universidade candido mendes pÓs-graduaÇÃo … · resolvidas simplesmente com os computadores e...
TRANSCRIPT
UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO “LATO SENSU”
AVM FACULDADE INTEGRADA
AUDITORIA EM SISTEMAS DE INFORMAÇÃO
Por: Cintia Possidonio de Souza
Orientadora
Prof. Luciana Madeira Frajdrach
Rio de Janeiro
2012
2
UNIVERSIDADE CANDIDO MENDES
PÓS-GRADUAÇÃO “LATO SENSU”
AVM FACULDADE INTEGRADA
AUDITORIA EM SISTEMAS DE INFORMAÇÃO
Apresentação de monografia à AVM Faculdade
Integrada como requisito parcial para obtenção do grau
de especialista em Auditoria e Controladoria
Por: . Cintia Possidonio de Souza
3
AGRADECIMENTOS
....À minha amiga Hevelyn Cristina que me
indicou este curso e esta Pós Graduação.
No início relutei um pouco devido à
distância e à minha correria diária, mas ela
iniciou os estudos comigo e me fez
enxergar que não atingiremos meta alguma
em nossa vida se não investirmos parte do
nosso tempo em um objetivo. À minha
orientadora Luciana Madeira, pelos
ensinamentos, pela excelência nas aulas e
pela paciência nesta orientação.
4
DEDICATÓRIA
.....Aos meus pais Adélia Possidonio de
Souza e Rosemiro Pedro de Souza, que
mesmo sem instrução não mediram esforços
para que eu e meu irmão estudássemos em
escola particular até o 2º grau. À eles o meu
respeito, carinho e eterna gratidão.
5
RESUMO
Este trabalho tem como objetivo mostrar rotinas e procedimentos ao auditor
em sistemas de informação que acompanhem e monitorem as rotinas operacionais
da empresa. Detectar falhas e corrigir problemas desde a implantação do sistema,
bem como propor mudanças após algum tempo de funcionamento, desde haja um
retorno maior do que o investimento.
O mesmo contém informações sobre análise de custos, benefícios, riscos e
viabilidade de implantação de um Sistema de Informação. Enumera os riscos de
quando as informações gerenciais são falhas, levando à decisões estratégicas
prejudiciais à empresa, bem como exibe os procedimentos e benefícios de uma
auditoria operacional que deve identificar as oportunidades para se alcançar maior
economia, eficiência e eficácia na organização.
6
METODOLOGIA
O presente trabalho desenvolveu-se através de pesquisas feitas em sites de
internet, estudo de caso feito com base em auditoria de T.I em empresas
brasileiras nos últimos dois anos e pesquisa bibliográfica envolvendo autores como
Dias, Wang, Gramling, Rittenberg, Johnstone, Fernandes, Oliveira, Rezende e
Abreu.
O mesmo descreve exemplos de como a auditoria de T.I pode levar à uma
tomada de decisão estratégica incorreta, descreve benefícios, rotinas e
procedimentos para fornecer à empresa informações relevantes em tempo hábil.
7
SUMÁRIO
INTRODUÇÃO 08
CAPÍTULO I PROCEDIMENTOS 10
Pré-requisitos para implantação de um Sistema de Informação 10
Planejamento Estratégico da Tecnologia da Informação (PETI) 16
Alinhamento Estratégico de TI 19
CAPÍTULO II RISCOS 20
Estudo de Viabilidade e Risco 20
Atendendo às Regulamentações de Compliance 22
Cobit – Control Objectives for Information and Related Technology 25
Avaliação do Sucesso ou Fracasso de uma Implantação de Sistema 25
CAPÍTULO III PAPEL DA AUDITORIA EM SISTEMAS DE TI 30
Administração da Contingência e Segurança 30
SGSI – Sistema de Gestão da Segurança da Informação 36
ISO/IEC27001 e ISO/IEC 27002 37
CONCLUSÃO 39
REFERÊNCIAS BIBLIOGRÁFICAS 43
ÍNDICE 45
8
INTRODUÇÃO
É comum ouvir que em time que está ganhando não se mexe, porém com
o avanço das tecnologias, quem não evolui acaba perdendo mercado. As
empresas cada vez mais precisam de softwares rápidos, com informações precisas
e claras para o seu negócio.
Wang (1998) afirma que a informação tecnológica pode ser a maior
ferramenta dos tempos modernos, mas é o julgamento de negócios dos humanos
que a faz poderosa.
Nos tempos de gestão moderna é inexorável e irreversível o uso dos
recursos da informática, sendo vital que o alto escalão da empresa não dependa
exclusivamente das pessoas que nela gestionam a informática e seus recursos.
Para tanto a empresa preocupada com a continuidade e perenidade dos processos
que envolvam a informática deve estabelecer um Plano de Contingência e
Segurança. (REZENDE, 1997)
Mudar de software requer um grande investimento financeiro além de
tempo e preparo para o treinamento de todos os funcionários que irão operar o
sistema.
O sistema novo deverá ter todas as funcionalidades do sistema antigo:
impressão de notas fiscais, boletos, recibos, envio de remessa e recepção de
arquivos de retorno bancário, interface entre o financeiro e o contábil e ainda
oferecer vantagens como: designer moderno, rapidez, relatórios de fácil
entendimento, etc.
9
Deve-se ainda aguardar o tempo necessário para a devida parametrização.
Se o sistema novo for iniciado sem os devidos testes ou ainda sem o preparo da
equipe, poderá ocorrer o caos na empresa.
Segundo Rezende e Abreu (2006) em vez de examinar apenas as
características da inovação causadas pelos Sistemas de Informação na empresa,
deveriam ser avaliadas até que ponto as mudanças no contexto organizacional
foram benéficas também. É necessário estabelecer objetivos caracterizados por
melhorias amplas radicalmente grandes e diferenças que justifiquem o
investimento.
Rezende e Abreu consideram que a Análise de Custos, benefícios, riscos e
viabilidade é um grande argumento para gestores justificarem o desenvolvimento
de projetos, pois deixa evidente os desembolsos, os benefícios mensuráveis e não
mensuráveis e a respectiva viabilidade ou não de um trabalho, e a prática mais
freqüente é a de benefícios não mensuráveis, como satisfação do cliente, imagem
da empresa e agilidade de processos.
Este trabalho se propõe à esclarecer como a auditoria de T. I. deve estar
inserida na rotina de processos de uma empresa, e tem como objetivo mostrar os
benefícios, rotinas e procedimentos para fornecer à empresa informações
relevantes em tempo hábil, levando em consideração atender às expectativas do
cliente final.
O primeiro capítulo descreve os procedimentos para implantação de um
Sistema de Informação, o segundo capítulo menciona alguns riscos e demonstra
como avaliar se uma implantação de sistema obteve êxito ou fracasso. O terceiro
capítulo descreve o papel da auditoria durante a implantação e checagem das
funcionalidades de um sistema de T.I.
10
CAPÍTULO I – PROCEDIMENTOS
1.1 - Pré-requisitos para implantação de um Sistema de
Informação
A primeira análise que qualquer empresa executa antes da decisão de
mudar de sistema é a necessidade e o planejamento de custos. De acordo com
Rezende (1997), para o estabelecimento de custos devem ser considerados os
valores sempre em moeda forte: hardware, software, aplicativos, recursos
humanos, treinamento, estimativa mensal, anual e total, atividades cotidianas e
custos atuais e/ou fixos, salários e encargos sociais, contratos de manutenção e
locações, serviços, consultorias, auditorias, compras, financiamentos e despesas
gerais. Rezende e Abreu (2006) ainda complementam capacitação, implantação,
adequações, otimizações, infra-estrutura como móveis e instalações elétricas e
impactos financeiro, ambientais, culturais, comportamentais, temporais e
situacionais.
A tecnologia da informação não deve ser trabalhada e estudada de forma
isolada. Sempre é necessário envolver e discutir as questões conceituais dos
negócios ou das atividades organizacionais, que não podem ser organizadas e
resolvidas simplesmente com os computadores e seus recursos de software, por
mais tecnologia que detenham. Dentro dessa visão de gestão da tecnologia da
informação, as tecnologias e seus recursos devem ser compatíveis, modernas,
econômicas, adequadas, úteis e padronizadas (REZENDE E ABREU, 2006).
O comprometimento da gestão da empresa e do executivo responsável
pela informatização pode parecer requisito óbvio, todavia, deve-se levar em conta
que poderá ocorrer a omissão de detalhes importantes na definição do sistema.
Isto pode prejudicar todo o projeto, causando a implantação e utilização
11
inadequada do sistema informatizado. Poderá ocorrer também que o executivo,
acreditando fazer um alto investimento esteja adquirindo um equipamento
completo e adequado, pense estar transferindo para o fornecedor toda a
responsabilidade de fazer com que o sistema satisfaça as necessidades da
empresa. (REZENDE E ABREU, 2006)
Não há uma maneira ideal de organizar a função de processamento de
dados. Algumas empresas desenvolvem seus próprios programas de computação
enquanto outras compram a maior parte de fornecedores externos que os adaptam
às necessidades do cliente1. (GRAMLING, RITTENBERG E JOHNSTONE, 2012)
Para que uma empresa ofereça uma venda de sistema pacote, ela deve
estar por dentro de todas as funcionalidades do sistema, estar apta para fazer as
alterações necessárias em um tempo mínimo e estar ciente de que qualquer falha
poderá acarretar um prejuízo financeiro grande no seu cliente.
A empresa Transrio Caminhões, Ônibus, Máquinas e Motores Ltda, de
razão social SIMPAR do grupo Julio Simões comprou neste ano de 2012 um
sistema chamado SINC da empresa SUPPORT INFORMÁTICA. O sistema foi
escolhido por votação pelo financeiro da SIMPAR e de acordo com informações de
um dos proprietários, Sr. Fernando Simões Filho, o sistema custou o preço de uma
nova concessionária. Porém durante a fase de instalação do software e
treinamento, qualquer atraso, seja da SIMPAR com ausência de algum funcionário,
seja da SUPPORT com a não-realização de ajustes no sistema, implicaria em
1 Cláudio Nasajón, Presidente e Diretor da empresa Nasajon Sistemas, começou a perceber que
segmentos distintos como: ótica, agência de viagens, farmácia... todos eles precisavam de softwares que
contivessem as mesmas informações: Contabilidade, Folha de Pagamento e Controle de Estoque. À partir daí
ele começou a focar seu negócio na elaboração de “sistemas pacote” que com pequenas adaptações, serviriam
para serem implantados em qualquer empresa. Hoje sua empresa está entre as 200 maiores empresas de TI do
Brasil. Na rádio JB FM (99,7 MHz – Rio de Janeiro), ele apresenta o programa Gestão Empresarial, com dicas
para o gerenciamento produtivo de empresas que desejam alcançar o sucesso. (Disponível em:
http://www.claudionasajon.com.br/index.php/category/nasajon-sistemas). Acesso em: 23 Jun.2012
12
multa. Isso forçou a implantação súbita, sem os devidos testes, o que acarretou
muita de dor de cabeça para o Controller Wagner Garcia e Almeida, responsável
pelas filiais do RJ e Sul. No fechamento do mês de abril, a interface do financeiro
não batia com a contabilidade. As contas contábeis mostravam um resultado
financeiro incorreto por falta de parâmetros do sistema.
Outro problema foi o retorno bancário que baixavam duplicatas de clientes
que não haviam efetuado o pagamento, com juros ou descontos absurdos e
deixava em aberto a duplicata que realmente havia sido paga.
A empresa Support Informática, bem como todas as empresas de
Soluções em T.I. trabalham com módulos genéricos e módulos específicos. Os
módulos genéricos são os módulos gerais aplicados à todos os ramos de
atividade. Os módulos específicos são aplicáveis à determinados ramos de
atividade, desenvolvidos e customizáveis pela Support.
Segundo a Support Informática, fazem parte dos módulos genéricos de
seu sistema SINC2: GERENCIAMENTO DE ESTOQUE: Itens, quantidades, custo
médio contábil, Custo Corrigido, de reposição e das últimas compras, Código de
barras, EAN13, DUN14, alternativos e de edição, Estatística de vendas e vendas
perdidas, Curvas ABC de vendas, de demanda e de freqüência Controle de itens
sem giro, em excesso e suas respectivas análises Sugestão automática de
reposição, estoque mínimo e máximo, Atualização automática de listas de preço,
Relatórios de movimentação (kardex), mapas de vendas, gerenciais etc. Integrado
a Escrita Fiscal, Contas a Pagar Orçamento/Pedido e Notas Fiscais.
GERENCIAMENTO CADASTRAL: Gestão do Cadastro e crédito de clientes e
fornecedores, Pesquisa de satisfação de clientes, Administração de contatos de
vendas Telemarketing, Gestão da qualificação de fornecedores. GESTÃO
COMERCIAL: Emissão de Orçamentos e Pedidos: Emissão de Notas Fiscais e
Cupom Fiscal, Faturamento/Emissão de Faturas e Duplicatas, Gestão de
Comissões de Vendas, Telemarketing, Versões específicas de programas para
2 Disponível em www http://www.supportweb.com.br/sinc.php Acesso em 23 Jun. 2012
13
simulação de vendas balcão e check-outs. GESTÃO FINANCEIRA: Contas a
Pagar e Contas a Receber, Cash-flow automático e integrado, Controle bancário,
Controle de pré-datados recebidos e emitidos Módulo de Caixa. GESTÃO
ADMINISTRATIVA E FISCAL: Contabilidade Gerencial, Controle de Patrimônio e
depreciação, Escrita Fiscal, Folha de Pagamentos e Gestão de RH, Segurança e
Medicina do Trabalho, Módulo de Informações Gerenciais, Exportação e
Importação entre filiais e matriz.. Como Módulos específicos a Support trabalha
com concessionárias, indústrias, supermercados e comerciantes varejistas,
distribuidores atacadistas e atividade sucroalcoolleira.
No módulo específico de Concessionárias que foi o sistema vendido para a
empresa SIMPAR, a SUPPORT apresenta: Gestão de Veículos novos e usados;
Comunicação com a Montadora; Gestão de Ordens de Serviço; Apontadoria de
mão-de-obra e Seguimento de veículos3. Mesmo assim, teve que fazer uma série
de alterações no sistema, pois o grupo Júlio Simões trabalha não só com veículos
leves, mas também com ônibus e caminhões e o método de avaliação da proposta
de venda é diferente para cada segmento.
Segundo Vidal (1995 apud REZENDE E ABREU, 2006) são necessários os
requisitos abaixo para a implantação de um Sistema de Informação:
• Comprometimento total da gestão da empresa e do executivo
responsável pela informatização com os problemas e as atividades a serem
informatizadas de forma sistemática. Devem dedicar tempo para a definição dos
requisitos do sistema, implantação e operação;
• Definição clara do objetivo a atingir, enfocando os problemas e as
atividades a serem informatizadas de forma sistêmica;
• Desenvolvimento de um planejamento abrangente e competente;
• Definição de alternativas para viabilizar este planejamento;
• Custo total deve ser estimado e assumido pela gestão da empresa;
• A organização da empresa deve ser de acordo com o plano
estabelecido;
14
• A coordenação de atividades, o controle do desempenho e a avaliação
dos resultados obtidos devem ser ações constantes da equipe multidisciplinar
envolvida.
Conforme Oliveira (1998 apud REZENDE E ABREU, 2006), o ponto de
partida para análise focada no gerenciamento do processo é anterior ao
desenvolvimento do sistema em si, correspondendo às seguintes atividades:
• A filosofia, o enfoque e os objetivos a serem calculados com a
informação;
• As prioridades, características, funções, objetivos, diretrizes e
estratégias que serão seguidas;
• A situação atual dos sistemas existentes, avaliando o grau de
atendimento das necessidades informações gerenciais;
• Os recursos de Tecnologia da Informação que serão utilizados:
estratégias, conectividades, compatibilidades de hardwares, softwares e
configuração dos equipamentos;
• Viabilização da integração dos sistemas;
• Os recursos humanos necessários: quantidade e qualificação dos
funcionários requeridos para a implantação do sistema e para a sua operação,
necessidade de treinamento e capacitação de pessoal;
• Os custos orçados para a execução do Planejamento Estratégico de
Informações ou Plano Diretor de Informática
• Os benefícios esperados e a avaliação dos custos em relação aos
benefícios tangíveis e intangíveis;
• A metodologia a ser utilizada para o desenvolvimento, implantação ou
aquisição de sistemas.
Não é necessário que a gestão da empresa tenha conhecimento técnico
sobre computadores, porque a falta deste não é um impedimento. É muito mais
importante observar as necessidades da empresa , ver as vantagens que podem
3 Disponível em www http://www.supportweb.com.br/sinc.php Acesso em 23 Jun. 2012
15
trazer o uso do computador e fazer uma seleção criteriosa dos seus fornecedores,
do que entender seu funcionamento (BIO, 1993 apud REZENDE E ABREU, 2006)
A Auditoria de Sistemas consiste na: Avaliação do sistema de
informação utilizado, com a finalidade de conferir se este possui capacidade de
suportar adequadamente às necessidades empresa; Elaboração e monitoramento
de metas; Fiscalização do cumprimento de regulamentações e leis estabelecidas
pelo serviço de TI utilizado; Detecção de pontos críticos que possam arriscar o
cumprimento de objetivos; Identificação de necessidades, processos repetidos,
custos e barreiras que atrapalhem a eficiência dos fluxos de dados; Certificação de
informações confiáveis e oportunas; Redução dos riscos de erros e fraudes. A fim
de realizar todos os quesitos, o Auditor compreende todo o ambiente envolvido,
como equipamentos, centros de processamento de dados, software de entradas e
processos de informação, controles, arquivos e segurança. É através dessa
proposta de mecanismos de controle que o serviço servirá a favor da prevenção,
detecção, correção ou recuperação de dados e informações. A Auditoria de
Sistemas não é somente baseada na segurança, ela possibilita a organização a
inovar, intermediar, controlar e gerir processos, produtos e serviços de forma
contínua, com o objetivo de buscar uma posição de destaque diante de sua
concorrência.4
1.2 - Planejamento Estratégico da Tecnologia da
Informação (PETI)
O Planejamento Estratégico da Tecnologia da Informação (PETI) é o
conjunto de ferramentas e técnicas, alinhadas ao Planejamento Estratégico (PE) e
às estratégias de negócio, que possibilitam a definição de estratégias de ação para
4 Disponível em: http://msbrasil.com.br/blog/contabilidade/como-funciona-uma-auditoria-de-sistemas Acesso em 18/07/2012.
16
identificar os “Modelos de Informações Empresariais” e o Mapas de Conhecimento”
necessários à gestão de toda a organização.5
Figura 1 PETI FONTE: http://www.slideshare.net/waguinho40/peti-planejamento-estratgico-de-tecnologia-da-
informao Acesso em 13/07/2012
O planejamento estratégico da tecnologia da informação é um processo
dinâmico e interativo para estruturar estratégica, tática e operacionalmente as
informações organizacionais, a tecnologia da informação (e seus recursos:
hardware, software, sistemas de telecomunicação, gestão de dados e informação),
os sistemas de informação e do conhecimento, as pessoas envolvidas e a infra-
estrutura necessária para o atendimento de todas as decisões, ações e respectivos
processos da organização. O principal objetivo desse planejamento é de
estruturação completa das informações oportunas e dos conhecimentos
personalizados da organização. E a partir da estruturação das informações e
conhecimentos necessários, o objetivo é complementado com a estruturação da
tecnologia da informação e das pessoas envolvidas. Esse planejamento nas
organizações procura contribuir para sua competitividade, efetividade e inteligência
organizacional. (RESENDE, 2007)
5 Disponível em: http://www.slideshare.net/waguinho40/peti-planejamento-estratgico-de-tecnologia-da-informao Acesso em 13/07/2012
17
Na figura abaixo, a parte superior apresenta o planejamento estratégico
organizacional (PE) que essencialmente desmembra os objetivos e as estratégias
das funções organizacionais: produção ou serviços (PROD SERV), comercial ou
marketing (COM MKT), materiais ou logística (MAT LOG), financeira (FIN),
recursos humanos (RH) e jurídico-legal (JL).
Figura 2 PETI FONTE: http://www.slideshare.net/waguinho40/peti-planejamento-estratgico-de-tecnologia-da-
informao Acesso em 13/07/2012
De acordo com Resende (2007), o PETI constitui-se numa ferramenta
que possibilita a definição de estratégias de ação ao longo de um período de
aproximadamente um a três anos, visando principalmente: identificar os modelos
de informações organizacionais necessários à gestão da organização, para tomada
de decisões em todos os níveis (estratégicos, táticos e operacionais); estabelecer
ferramentas de controle de qualidade, produtividade, efetividade, prazos e custos
de projetos que envolvem a tecnologia da informação; elaborar plano de
desenvolvimento ou aquisição, implantação, implementação de sistemas de
informação (estratégicos, de gestão e operacionais); planejar recursos humanos;
planejar, padronizar e simplificar a tecnologia da informação necessária; e
identificar planos de ação imediatos e de curto prazo. Para atingir os objetivos
propostos por esse projeto com maior grau de efetividade, o trabalho é dividido em
fases que podem ser elaboradas concomitantemente por equipe multidisciplinar ou
multifuncional, visando facilitar a administração de tempos, recursos, qualidade,
produtividade e efetividade do referido planejamento.
18
Parte 1. Planejar o projeto a) Organizar o projeto b) Capacitar a equipe Parte 2 – Revisar o Planejamento Estratégico Organizacional c) Identificar estratégias e ações organizacionais Parte 3 – Planejar Informações e Conhecimentos d) Identificar informações e Conhecimentos Organizacionais Parte 4 – Avaliar e Planejar Sistemas de Informação e de Conhecimentos e) Avaliar sistemas de Informação e de conhecimentos f) Planejar sistemas de Informação e de conhecimentos Parte 5 – Avaliar e Planejar Tecnologia da Informação g) Avaliar Tecnologia de Informação h) Planejar Tecnologia de Informação – software i) Planejar Tecnologia de Informação – hardware j) Planejar Sistemas de Telecomunicação k) Planejar Sistemas de Dados e Informação l) Avaliar a infraestrutura paralela m) Planejar infraestrutura paralela n) Organizar unidade da tecnologia da informação Parte 6 – Avaliar e Planejar Recursos Humanos o) Avaliar Recursos Humanos p) Planejar Recursos Humanos Gestores e “não gestores” Parte 7 – Priorizar e Custear o Projeto q) Estabelecer prioridades e necessidades r) Avaliar impactos s) Elaborar Plano Econômico-Financeiro Parte 8 – Executar Planejamento do Projeto t) Elaborar Planos de Ação Parte 9 – Gerir o Projeto u) Gerir, divulgar, documentar e aprovar o Projeto
Figura 3 Metodologia de Planejamento Estratégico de Sistemas de Informação
FONTE: REZENDE (2007)
19
1.3 - Alinhamento estratégico de TI
De acordo com Fernandes e Abreu (2008), o alinhamento estratégico é o
processo de transformar a estratégia do negócio em estratégias e ações de TI que
garantam que os objetivos de negócio sejam apoiados. Pode ser realizado com ou
sem um plano estratégico de negócios formal.
A Figura abaixo mostra o alinhamento estratégico proposto por Henderson &
Venkatraman (1993) onde a estratégia de TI influencia e é influenciada pela
estratégia de negócio e interage bidirecionalmente com a infra-estrutura e os
processos de TI e com a infra-estrutura e os processos organizacionais
Figura 4 – Modelo de alinhamento estratégico de Henderson & Venkatraman (1993)
FONTE: FERNANDES E ABREU (2008)
20
CAPÍTULO II – RISCOS
2.1 – Estudo de Viabilidade e Risco
A informação é o principal patrimônio da empresa e está sob constante
risco6. (DIAS, 2000)
Conforme Rezende (1997) existem quatro tipos de viabilidade e análise de
riscos: Viabilidade Econômica – avaliação de custo de execução confrontada com
a renda ou benefícios derivados; Viabilidade Técnica – estudo da função,
desempenho e restrições que possam afetar a capacidade de se conseguir um
produto aceitável; Viabilidade Legal – determinação que qualquer infração,
violação ou responsabilidade legal que possa resultar do produto externado; e
Alternativas – avaliação das abordagens alternativas ao desenvolvimento de um
produto.
Resende defende que o esboço do estudo de Viabilidade e Risco deve ser
formal e documentado contendo descrição do problema, ambiente, restrições,
recomendações e impactos, alternativas, análise de custo-benefício, avaliação de
riscos, questões legais envolvidas, outros.
6 Para Rezende e Abreu (2006) Riscos são possíveis resultados que podem ocorrer à partir de ações que envolvem o projeto. Possibilidade de não-cumprimento do prazo pré-definido, mudança da T.I., alteração de legislação, perda de recursos humanos, etc. Para Fernandes e Abreu (2008) Risco Operacional é a possibilidade de ocorrências de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos internos.
21
Figura 5 - Custos, benefícios, riscos e viabilidade FONTE: REZENDE E ABREU (2006)
A Análise de Custos, benefícios, riscos e viabilidade é uma atividade que
deve ser elaborada para qualquer projeto deixando claro o investimento e retornos.
(REZENDE E ABREU, 2006)
O Estudo da Viabilidade e de Risco é a projeção da imagem de uma
situação para o desenvolvimento de um sistema e/ou projeto, mostrando se o
mesmo trará ou não benefícios reais para a empresa, mensuráveis ou não, e
permitindo a tomada de decisão por parte dos envolvidos. Faz parte da primeira
fase do projeto de sistemas, participando todos os envolvidos, entre todos os
níveis para possibilitar a geração de quatro alternativas básicas: desenvolvimento
de um sistema manual, desenvolvimento de um sistema mecanizado,
desenvolvimento de um sistema informatizado e integrado ou manter inalterado o
sistema corrente (RESENDE, 1997).
Segundo Gramling, Rittemberg e Johnstone (2012), o cliente deve ter um
plano de gestão de risco para a área de tecnologia da informação e o auditor deve
iniciar uma auditoria do processamento computadorizado pela revisão do plano de
gestão de risco de T.I.
22
2.2 – Atendendo às Regulamentações de Compliance
De acordo com Fernandes e Abreu (2008) existem dois regulamentos
bastante fortes e que tem dado grande poder às áreas de “controle interno” da
maioria das organizações: o Sarbanes-Oxley e o Acordo de Basiléia II. O primeiro
atinge empresas de capital aberto e que têm ações nas bolsas de valores norte-
americanas. A segunda atinge instituições financeiras de uma forma geral. Tais
regulamentações têm forte impacto na área de TI e fazem parte do modelo de
Governança de TI, pois dependendo da organização, devem ser contempladas
pelo alinhamento estratégico. Seu atendimento se reveste de vários projetos
constantes do portifólio de TI e que vão criar restrições às operações de serviços
de TI.
2.2.1 – Sarbanes-Oxley Act (SOA)
Lei Federal americana, patrocinada pelos congressistas norte-americanos
Sarbanes e Oxley e publicada em agosto de 2002 para regular as
responsabilidades e práticas de auditoria em empresas abertas (FERNANDES E
ABREU, 2008)
De acordo com Fernandes e Abreu (2008), para a TI, as seções 302 e 404
do SOA são de essencial importância. A Seção 302 especifica que:
• O CEO (Chief Executive Officer) geralmente o presidente da
empresa e o CFO (Chief Financial Officer) responsável máximo pelas finanças de
uma empresa devem revisar os relatórios financeiros;
• Com base no conhecimento do CEO e do CFO, os relatórios não
contém nenhuma declaração falsa de uma fato material ou omissão, para fazer a
declaração de resultados;
• Com base no conhecimento do CEO e do CFO, outras informações
financeiras incluídas representam corretamente, em todos os aspectos materiais, a
condição financeira, os resultados de operações e fluxos de caixa nos períodos
apresentados pelos relatórios;
23
• O CEO e o CFO são responsáveis por manter e estabelecer
controles e procedimentos sobre a emissão de relatórios financeiros e controles
internos sobre relatórios financeiros;
• Os sistemas de controle interno sobre a emissão dos relatórios
financeiros devem ser projetados sobre a supervisão do CEO e do CFO, incluindo
as subsidiárias;
• Deve ser avaliada a efetividade do sistema de controle sobre a
emissão de relatórios financeiros;
• Devem ser comunicadas mudanças nos controles internos sobre
relatórios financeiros, considerando o último ano fiscal;
• Devem ser consideradas as deficiências dos sistemas de controle
interno que possam afetar a habilidade da empresa em registrar, processar,
sumarizar e comunicar informações financeiras;
• Deve ser comunicada qualquer fraude que envolva a gerência ou
outros empregados que tenham um papel significante nos registros do controle
interno sobre relatórios financeiros.
A Seção 404, por sua vez especifica que:
• A administração tem a responsabilidade de estabelecer e manter
uma estrutura adequada de controle interno e procedimentos para relatórios
financeiros;
• A administração deve avaliar a efetividade do sistema de controle
interno sobre relatórios financeiros;
• Deve ser realizada uma auditoria externa específica sobre a
avaliação interna da efetividade do sistema de controle interno feita pela
administração.
Para Fernandes e Abreu, (2008), o CIO (Chief Information Officer)
que é o diretor de informática, deve ser peça fundamental no esforço da empresa
para se ajustar ao SOA, devendo participar ativamente do projeto de adequação.
24
2.2.2 - Acordo de Basiléia II
Estabelecido pelo Bank for International Seettlements (BIS), sediado na
cidade suíça da Basiléia (que vem a ser o “Banco Central dos Bancos Centrais”), o
Acordo da Basiléia II estipula requisitos de capital mínimo para as instituições
financeiras dos seus riscos de crédito e operacionais. Atualmente o Banco Central
do Brasil vem auditando as áreas de TI dos bancos através do instrumento
denominado COBIT – Control Objectives for Information and related Technology,
desenvolvido pela Information Systems Audit and Control Association – ISACA.
(FERNANDES E ABREU, 2008)
2.2.3 - Resolução 3380 do Banco Central do Brasil
Em junho de 2006 foi publicada a Resolução 3380 do Banco Central do
Brasil, que determina que as instituições financeiras e demais instituições
autorizadas a funcionar pelo Banco Central do Brasil implementem sua própria
estrutura de gerenciamento do risco operacional. No que tange à Tecnologia da
Informação, a resolução refere-se à falhas em sistemas como risco operacional.
Alguns riscos apontados como interrupção de atividades da instituição e danos à
ativos, também podem ser originadas pela Tecnologia da Informação. As
implicações desta resolução para a TI de uma instituição financeira são que a TI
deve identificar, avaliar, monitorar, controlar e mitigar os riscos operacionais que
afetam a instituição, deve desenvolver e implementar um Plano de Continuidade
em apoio às atividades da instituição, deve gerenciar os riscos que seus
fornecedores representam para a continuidade do negócio. (FERNANDES E
ABREU, 2008)
25
2.3 – Cobit Control Objectives for Information and related
Technology
O Cobit (Control Objectives for Information and related Technology) foi
criado em 1994 pela ISACF7, a partir do seu conjunto inicial de objetivos de
controle, e vem evoluindo através da incorporação de padrões internacionais
técnicos, profissionais, regulatórios e específicos para processos de TI. O principal
objetivo de suas práticas é contribuir para o sucesso da entrega de produtos de e
serviços de TI , a partir da perspectiva das necessidades do negócio com um foco
mais acentuado no controle do que na execução (FERNANDES E ABREU, 2008)
2.4 - Avaliação do Sucesso ou Fracasso de uma
Implantação de Sistema
Conforme Dias (2000), os aspectos de segurança apresentados a seguir
podem ser utilizados como uma lista de controle, tanto pela gerência de segurança
de sistemas, como pela equipe de auditoria. Para a gerência de segurança, essa
lista pode servir como um conjunto de tarefas a serem realizadas na
implementação da política de segurança:
• Elaborar, divulgar e manter atualizado documento que descreva a
política de segurança de informações;
• A alta gerência deve estar comprometida com a política de segurança
de informações, a qual deve ser implantada de acordo com o documento formal
por ela aprovado;
• Definir uma estrutura organizacional responsável pela segurança, a qual
deve aprovar e revisar as políticas de segurança, designar funções de segurança e
coordenar a implantação da política;
26
• Estabelecer procedimentos de segurança de pessoal, com intuito de
reduzir ou evitar erros humanos, mau uso dos recursos computacionais, fraude ou
roubo, por meio de um processo rigoroso de recrutamento de pessoal e de controle
sobre acessos a dados confidenciais;
• Todos os funcionários devem ter conhecimento dos riscos de segurança
de informações e de suas responsabilidades com relação a esse assunto. É
aconselhável que haja um treinamento de segurança para difusão de boas práticas
e padrões de segurança, promovendo uma cultura de segurança na organização;
• Implantar controle de acesso lógico aos sistemas de forma a prevenir
acessos não autorizados. Esse controle pode ser feito via processo seguro de
logon, senhas fortemente seguras, registro formal de usuários, monitoramento por
trilhas de auditoria;
• Definir procedimentos de backup e de restauração dos sistemas
computacionais para garantir a integridade e a disponibilidade de dados e
software. A freqüência de backup deve ser apropriada e pelo menos uma cópia do
backup deve ser guardada em local seguro. Os procedimentos de restauração
devem ser periodicamente testados para garantir sua efetividade quando forem
necessários; e
• Auditar regularmente todos os aspectos de segurança a fim de
determinar se as políticas estão sendo efetivamente cumpridas ou se são
necessárias modificações.
Conforme Rezende e Abreu (2006), dentro de uma abordagem sócio-
técnica, um sistema de informação deve ser avaliado segundo duas perspectivas:
sua qualidade técnica e seu ajuste ao contexto organizacional. A implantação de
um sistema de informação causa diversas mudanças na organização. Essas
mudanças devem contemplar algumas medidas de sucesso, tais como: efetividade
e qualidade das decisões, satisfação do usuário, mudanças no comportamento e
nas atitudes dos usuários e desempenho organizacional.
7 Information Systems Audit and Control Foundation, ligado à ISACA (ISAC Association) – acesso através do site http://isaca.org
27
Existem diferentes critérios de avaliação quanto ao sucesso ou fracasso da
implantação de um sistema. Os mais importantes são:
• Altos níveis de uso do sistema pelo usuário;
• Satisfação do usuário, principalmente quanto à conformidade dos
requisitos funcionais do sistema;
• Atitudes favoráveis tanto dos usuários quanto do pessoal da área de
Tecnologia da Informação;
• Objetivos atingidos (até que ponto o sistema atende as metas
específicas para ele);
• Retorno financeiro da organização pela redução de custos ou aumento
das vendas ou lucros. (LAUDON E LAUDON, 1999 apud REZENDE E ABREU,
2006).
Outro foco de análise do resultado da implantação de um Sistema de
Informação, segundo Resende e Abreu (2006), baseia-se em quatro fatores
básicos:
• Envolvimento do usuário: participação do usuário no proceso de
concepção, desenvolvimento e implantação;
• Suporte da gestão: o grau no qual a gestão dá suporte ao esforço de
implementação político e/ou financeiro;
• O nível de risco e qualidade do projeto;
• A qualidade do gerenciamento do processo de implantação.
De acordo com Resende e Abreu (2006), a deficiência em um desses
fatores pode causar problemas em quatro grandes itens: o design propriamente
dito, a definição (exatidão e confiabilidade dos dados), o custo de implantação do
sistema e pode acarretar deficiências na operação do sistema.
Outro fator considerado importante para Resende e Abreu é o
distanciamento (gap) existente entre os usuários e os analistas (profissionais da
área de T.I), causando dificuldades na comunicação dos dois grupos. Quem perde
é a empresa na sua totalidade, e o ideal será sempre o trabalho harmonioso em
28
conjunto como uma equipe multidisciplinar. A clara avaliação dos riscos do projeto
passa pela análise dos possíveis impactos que o sistema possa ter na
organização. Sistemas com elementos técnicos e organizacionais compatíveis
tendem a aumentar a produtividade sem sacrificar os objetivos humanos e sociais.
Se a empresa não tem uma definição clara e prévia das suas
necessidades, e não insiste nelas, estará em uma posição difícil para reclamar
caso o sistema implantado não realize o que ela crê que deveria realizar. A
implantação com êxito de sistemas computacionais necessita de tempo e
planejamento. O motivo básico de um fracasso total ou parcial é com freqüência, a
falta de comprometimento e envolvimento dos gestores da empresa e usuários do
sistema (REZENDE E ABREU, 2006)
A maioria das empresas de auditoria utiliza um enfoque de “risco” na
realização de auditorias. Melhor ainda, elas usam um enfoque de “risco
empresarial”. A premissa básica é a de que o auditor deve entender a estrutura
básica do negócio do cliente para poder identificar riscos significativos que o
afetam (GRAMLING, RITTENBERG E JOHNSTONWE, 2012)
De acordo com Fernandes e Abreu (2008), a gestão do desempenho da
T.I. refere-se ao monitoramento dos objetivos de desempenho das operações e
serviços em termos de desenvolvimento de aplicações, suporte a serviços, entrega
de serviços, segurança da informação e o seu monitoramento, assim como dos
acordos de nível de serviço, acordos de nível operacional8 e níveis de serviço dos
contratos de apoio9.
Para o Cobit (Control Objectives for Information and related Technology), o
atingimento dos objetivos de desempenho é avaliado através das medições de
resultados (outcome measures). De acordo com o IT Governance Institute (2007),
8 Em inglês, os acordos de nível operacional são conhecidos pela sigla OLA – Operational Level Agreements, que compreendem os acordos de nível de serviço entre as áreas de TI e entre esta e as áreas de suprimento e contratos da empresa.
29
tais medições indicam se as metas do processo foram atingidas e podem ser
extraídas apenas após os fatos ocorridos. As metas para as medições de
resultados são estabelecidas como resultados de melhoria dos processos de TI ou
como resultados que devem ser mantidos, tendo em vista os objetivos da empresa
(FERNANDES E ABREU, 2008)
9 Contratos de apoio são realizados com fornecedores externos de serviços e são conhecidos como UC – Underpinning Contracts.
30
CAPÍTULO III – PAPEL DA AUDITORIA EM SISTEMAS DE
TI
3.1 - Administração da Contingência e Segurança
Segundo Oliveira (2011) a Segurança da Informação10 é composta por
pilares básicos, e todo o resto gira em torno disto: Confidencialidade, Integridade e
Disponibilidade. .Este tripé da segurança da informação pela é conhecido pela
sigla CID. Confidencialidade é a garantia de que o acesso às informações seja
obtido somente por entidades autorizadas. Integridade é a garantia de que as
informações serão protegidas contra alterações não autorizadas e mantidas a
exatidão e a inteireza das mesmas, tal qual como foi armazenada e
disponibilizada. Disponibilidade é a garantia de que as informações estarão
disponíveis onde e quando as entidades autorizadas necessitarem, com total
segurança.
Alguns aspectos originados dos conceitos do CID são:
• Autenticação - Processo de autenticar uma entidade como sendo aquela
que se apresenta.
• Autorização - Processo de concessão de direitos para que uma entidade
autenticada acesse as informações somente com as permissões a ela atribuída.
(ler, gravar, modificar, apagar, executar, visualizar).
• Auditoria - Processo de registrar as ações realizadas pelas entidades
durante a interação com as informações e sistemas.
• Autenticidade - Processo que certifica a legitimidade das informações,
quer seja de credenciais de acesso que autenticam as entidades ou que as
informações por estas entidades transmitidas são autênticas, assim como a
entidade remetente ou destinatária como legítima.
10 Disponível em: http://pt.scribd.com/doc/52566307/49/SGSI-%E2%80%93-Sistema-de-Gestao-da-Seguranca-da-Informacao. Acesso em: 22/07/2012
31
• Não Repúdio - Característica das informações que garante o não
repúdio, seja referente à autenticidade de documentos ou transações financeiras e
comerciais.
• Legalidade - Característica das informações estarem em conformidade
legal, assim como os processos que as manipulam e provê validade jurídica.
(OLIVEIRA, 2011)
Segundo OLIVEIRA (2011), Para que a segurança da informação seja
efetiva e completa, podemos dividi-la em três partes: Segurança Física e do
Ambiente, Segurança Tecnológica; e Segurança em Pessoas
Figura 5 - Divisão da Segurança da Informação11 FONTE: NORMAS E POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO. Apostila
elaborada por: Prof. Salomão de Oliveira no curso ‘Gestão de Tecnologia’, no ‘Centro Universitário Radial Estácio’ de São Paulo – Campus Jabaquara.
Data de Envio: 04/08/2011.
De acordo com Oliveira (2011), o incidente de segurança mais freqüente é
a que tem o ser humano - o elo mais fraco da corrente -como principal ator,
podendo ser intencional ou não. As causas de incidentes não intencionais são:
11 Disponível em: http://pt.scribd.com/doc/52566307/49/SGSI-%E2%80%93-Sistema-de-
Gestao-da-Seguranca-da-Informacao. Acesso em: 22/07/2012
FÍSICA AMBIENTE TECNOLÓGICA
PESSOAS
32
falta de treinamento, desatenção, falta de comprometimento, imperícia ou
imprudência, negligência, dentre outros. As causas de incidentes intencionais são:
sabotagens, facilitações, espionagens, ataques hackers,engenharia social,
etc.Temos ainda os incidentes com causas não humanas, que podem ser
tecnológicas e naturais: falhas de sistemas, falhas de hardware, falhas de infra-
estrutura, tempestades, alagamentos, raios etc. A implementação de defesas pode
ser feita sob uma abordagem de camadas. A figura abaixo ilustra,com alguns
exemplos, como se dá a segurança nas várias camadas de profundidade e como
cada camada é dependente da anterior.
Figura 6 – Camadas de Profundidade da Segurança FONTE: NORMAS E POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO. Apostila
elaborada por: Prof. Salomão de Oliveira no curso ‘Gestão de Tecnologia’, no ‘Centro Universitário Radial Estácio’ de São Paulo – Campus Jabaquara.
Data de Envio: 04/08/2011.
É necessário o planejamento constante, definindo política, normas gerais,
treinamento, responsabilidades, operacionalização, acompanhamento e análise
dos resultados. Deve contemplar a segurança empresarial de informática,
DADOS Permissões de acesso, encriptação, auditoria
APLICATIVOS Antivírus, anti-spyware, desenvolvimento
SERVIDORES Autenticação, correções de S.O / aplicativos, HIDS
POLÍTICA DE SEGURANÇA Normas, procedimentos, monitoração,conscientização, educação e treinamento
SEGURANÇA FÍSICA Segurança patrimonial, vigilância, edificações
REDE INTERNA Firewalls, VLAN, NIDS, VPN, HIDS
PERÍMETROS Firewalls, VLAN, DMZ, NIDS, VPN, HIDS
33
ambiental, física, lógica, de comunicação, de acessos, etc, onde a Engenharia de
Software e seus recursos podem contribuir, inclusive como auditoria eletrônica
(REZENDE, 1997).
A auditoria eletrônica é elaborada através de software específico e também
convencionais, procurando armazenar todas as operações, tentativas de fraudes,
de acessos não permitidos, de manipulações em arquivos, etc. Também pode ser
utilizada como fechamento valores, como instrumento de suporte entre sistemas
operacionais e sistemas comerciais, como fiscalizador de operações de sistemas,
relator de falhas eletrônicas, perdas de dados, alternativas de recuperação de
dados, e outras diversas vulnerabilidades em que é envolvida a Engenharia de
Software. (REZENDE, 1997).
Para Rezende (1997), Segurança é responsabilidade de todos os
envolvidos, como cultura, treinamento e políticas práticas diárias, como plano de
backup, controle de acesso às ferramentas cotidianas de informática, bem como
instalações Físicas. O Plano de Contingência abrange principalmente alternativas
para o processamento de dados da empresa, como por exemplo: acordo com
empresas correlatas, contratos com prestadores de serviços e fornecedores no
que diz respeito à atendimento, suporte, substituição de equipes, soluções, etc.
Como os controles gerais afetam todo e qualquer processo de
computação, o auditor normalmente começa com os controles gerais em sua
avaliação das possíveis deficiências envolvendo processos computadorizados.
(GRAMLING, RITTENBERG E JOHNSTONE, 2012)
Segundo Gramling, Rittenberg e Johnstone (2012), o auditor deve
concentrar sua atenção em sete conceitos fundamentais de controle ao avaliar a
organização do processo de dados:
1. A autorização de todas as transações deve partir de fora do
departamento de processamento de dados – Esta autorização inclui a revisão e a
aprovação de alterações de programas e reforça um aspecto fundamental, o de
34
que o pessoal de TI não deve ter o poder de fazer modificações não autorizadas
de programas ou dados.
2. Os usuários, e não o processamento de dados, são responsáveis por
autorizar, rever e testar o desenvolvimento de todos os aplicativos e alterações de
programas de computação.
3. O acesso a dados é permitido somente a usuários autorizados, tal como
determinado pelo proprietário dos dados,e em conformidade com as políticas e
normas da organização à respeito de privacidade de informação.
4. O departamento de processamento de dados é responsável por todas
as funções de guarda associadas a dados, arquivo de dados, software e
documentação relacionada – Esta responsabilidade inclui a limitação de acesso a
usuários autorizados, a inserção de verificações de integridade em programas e
sistemas e a manutenção de recursos adequados de reserva e da segurança de
todos os aplicativos, arquivos de dados e documentos.
5. Os usuários, conjuntamente com o processamento de dados, são
responsáveis pela adequação de controles de aplicação incorporados em
aplicativos ou sistemas de bases de dados – As organizações devem fixar normas
de controle que especifiquem objetivos mínimos de controle para toda e qualquer
aplicação, controles alternativos que poderiam ser implantados e responsabilidade
pelos controles.
6. A administração deve avaliar periodicamente a função de sistema de
informação em termos de eficiência operacional, integridade, segurança e
compatibilidade com objetivos organizacionais para a tecnologia da informação – o
departamento de auditoria interna pode fazer esta avaliação.
7. A equipe de auditoria interna deve ser adequadamente treinada na
auditoria de sistemas de computação e deve auditar periodicamente as aplicações
e operações.
A Norma NBC T 12 – DA AUDITORIA INTERNA, diz o seguinte com
relação ao PROCESSAMENTO ELETRÔNICO DE DADOS – PED: 12
12 Disponível em: http://www.cfc.org.br/sisweb/sre/docs/RES_780.doc Acesso em 22/07/2012
35
“12.2.5.1 – O auditor interno deve dispor de conhecimentos
suficientes dos recursos de PED e dos sistemas de
processamento da entidade, a fim de avaliá-los e planejar
adequadamente seu trabalho.
12.2.5.2 – O uso de técnicas de auditoria interna, que demande o
emprego de recursos de PED, requer que o auditor interno as
domine completamente, de forma a implementar os próprios
procedimentos ou, se for o caso, orientar, supervisionar e revisar
os trabalhos de especialistas.”
A segurança lógica e sistêmica deve prever ações de funcionários, hackers
e crackers, parceiros,clientes, fornecedores e quaisquer outros que interagem com
a organização, prevendo e tratando os riscos de: espionagem, sabotagem,
erros, facilitação, roubo, furto e desvio de dados e informações, etc. (OLIVEIRA,
2011)
A Société Génerale, em uma das maiores fraudes bancárias, perdeu mais
de US$ 7 bilhões por causa de operações não autorizadas por um operador com
títulos de renda fixa que era capaz de encobrir os negócios não autorizados por
meio de vários lançamentos de diário. O fraudador tinha acesso a registros que os
operadores com títulos de renda fixa normalmente não teriam, já que havia
trabalhado anteriormente no departamento de contabilidade. O departamento de
segurança de T.I. deixou de cancelar as suas autorizações para a contabilidade
quando ele trocou de funções, o que criou um problema de tarefas incompatíveis.
(GRAMLING, RITTENBERG E JOHNSTONE, 2012). Detalhes da prisão do
fraudador estão presentes no anexo 1 deste trabalho, na página 28.
36
3.2 - SGSI – Sistema de Gestão da Segurança da
Informação
Um SGSI é um sistema de gerenciamento utilizado para estabelecer a
política e os objetivos da segurança da informação baseado em uma abordagem
de análise de risco do negócio, com o intuito de definir, implementar, operar,
monitorar, manter e melhorar a segurança da informação. (OLIVEIRA, 2011)
Segundo Oliveira (2011), O Plano Diretor de Segurança da Informação
(PDSI) deverá direcionar as ações de segurança da informação e mantê-las
alinhadas ao planejamento estratégico da empresa. Este plano deverá descrever:
• Missão e visão da área de segurança;
• Estrutura departamental e relacionamento interdepartamental e com
entidades externas;
• Definição de estratégias para segurança da informação;- Planejamento
de aplicação da Política;
• Planejamento de implementações técnicas;
• Planejamento financeiro;
• Planejamento de treinamentos;
• Fatores críticos de sucesso e provisão de recursos;
• Modelo de atuação e gestão da segurança da informação – SGSI;
• Definição de responsabilidades;
• Aderência à NBR ISSO/IEC 17799 ou outras normas de segurança
adotadas pela empresa;
• Estudo de impacto e adequação aos dispositivos e decretos legais e
resoluções ou regulamentações setoriais como SUSEP, Basiléia, diretrizes da
CVM ou Banco Central, dentre outras;
• Gerenciamento da segurança da informação com apuração de
resultados.
37
3.3 - ISO/IEC27001 e ISO/IEC 27002
A ISO International Organization for Standardization / IEC –
International Eletrotechnical Comission 27001 foi preparada para prover um
modelo para estabelecer, implantar, operar, monitorar, rever, manter e melhorar
um Sistema de Gestão da Segurança da Informação. (Information Security
Management System – ISMS). (FERNANDES E ABREU, 2008)
De acordo com Fernandes e Abreu (2008), a organização deve
conduzir auditorias internas do ISMS em intervalos planejados, para determinar se
as atividades de controle, os controles, os processos e os procedimentos do
sistema:
• Estão em conformidade com os requisitos da norma e dos demais
requisitos legais ou regulatórios;
• Estão em conformidade com os requisitos de segurança da informação
identificados;
• Estão implementados e mantidos de forma efetiva;
• Estão sendo desempenhados como esperado.
O plano de auditoria deve ser planejado, considerando o status e a
importância dos processos, as áreas a serem auditadas, assim como os resultados
de auditorias prévias. (FERNANDES E ABREU, 2008)
De acordo com Fernandes e Abreu (2008) a norma ISO/IEC 27002 está
estruturada nas seguintes sessões:
• Política de segurança da informação;
• Organizando a segurança da informação;
• Gestão de ativos;
• Segurança em recursos humanos;
• Segurança Física do ambiente;
• Gestão das operações e comunicações;
38
• Controle de acesso;
• Aquisição, desenvolvimento e manutenção de sistemas de informação;
• Gestão de incidentes de segurança da informação;
• Gestão da continuidade do negócio;
• Conformidade
Os benefícios da segurança da informação estão na prevenção de
perdas financeiras que a empresa pode ter, no caso da ocorrência de riscos de
segurança da informação. Este modelo se aplica a qualquer organização cujos
negócios dependam fortemente da TI, embora existam outras normas Iso para
segurança da informação que podem ser vistas no site: www.iso.org
O anexo 2 deste trabalho é um artigo de Denny Roger fala sobre
restruturação da auditoria baseada na baseada na Governança da Segurança da
Informação e nos riscos operacionais.
39
CONCLUSÃO
O objetivo principal desta pesquisa foi descrever como o auditor detecta a
fidedignidade da informação, mostrar rotinas e procedimentos do auditor em
sistemas de informação que acompanhem e monitorem as rotinas operacionais da
empresa, detectar falhas e corrigir problemas.
A gestão dos riscos corporativos está presente em qualquer empresa.. Um
dos papéis e responsabilidade da auditoria em sistemas de informação é ter o
controle dos riscos e controlá-los. A implementação da auditoria contínua, com
foco na inteligência dos riscos vai assegurar eficiência e respostas em tempo hábil,
e a ausência desta, pode levar a empresa a uma catástrofe.
Escolher um sistema eficaz e caro não é garantia de sucesso. É
necessário treinamento e participação de todos os envolvidos, além de ajustes que
devem ser minuciosamente definidos antes da implantação. Os controles de
segurança, backup´s, acesso de dados com restrições por usuários, cronograma,
devem ser respeitados. É preciso investir tempo no treinamento do sistema novo
em paralelo com o antigo e todos os testes devem ser feitos antes da troca. O
auditor deverá ainda acompanhar e monitorar o funcionamento do sistema
continuamente.
Para um sistema funcionar com êxito ele deve atender às expectativas da
empresa, do usuário e principalmente do cliente final.
Os objetivos descritos neste trabalho foram alcançados principalmente no
Capítulo III que fala sobre o papel da auditoria nos sistemas de informação,
administração da segurança e contingência, para que ocorra sucesso tanto na
implantação do sistema quanto no monitoramento deste, corrigindo falhas e
evitando danos maiores na organização.
40
ANEXO 1
Fraudador preso O suspeito da maior fraude bancária da história foi detido e pode ser condenado a sete anos de prisão
27 de janeiro de 2008
O suspeito de ser o autor da maior fraude do sistema bancário mundial, o operador de sistemas do banco Société Générale, Jérôme Kerviel, tem apenas 31 anos de idade, formado na Universidade de Lyon, foi admitido no banco em 2000, no setor de operações comerciais, em 2005 passou para o setor de negociação e recentemente havia sido promovido para área comercial de investimentos em contratos futuros. A fraude de US$ 7,16 bilhões, teria sido iniciada no segundo semestre de 2007, Kerviel realizava as transações fraudulentas fora do expediente, durante a noite, utilizava contas existentes de clientes para realizar a supersaturação. Kerviel assumiu a culpa e será demitido do banco juntamente com seus supervisores imediatos. Há suspeitas de que o banco esteja utilizando Kerviel como bode expiatório para as perdas do banco. O presidente do banco, Daniel Bouton, tentando se explicar sobre estas suspeitas, disse: 'O que aconteceu no Société Générale não tem nada a ver com uma catástrofe que foi produto de nossa estratégia. Isto se assemelha a um incêndio voluntário que teria destruído uma grande fábrica de um grupo industrial' (Le Figaro, 26/1/2008). As perdas do Société Générale são semelhantes ao lucro do Itaú e Bradesco juntos nos primeiros nove meses de 2007. Ele foi preso pela polícia francesa no sábado, dia 26. O operador de mercados de futuros foi detido às 13h na unidade financeira da Polícia de Paris e passou por interrogatórios. A polícia disse que irá deter Kerviel apenas por 24 horas, mas caso os promotores do caso decidam colocá-lo sob investigação oficial ele pode permanecer detido na prisão ou obter liberdade sob controle judicial. Na madrugada de sexta para sábado foi feita uma busca policial na casa do operador a procura de algum indício que possa incriminá-lo. A sala em que Kerviel trabalhava no Société Générale também foram vasculhadas, a polícia recolheu documentos e arquivos de computador. Kerviel deverá ser julgado por manipular os sistemas de informática do banco, fraude e outros crimes financeiros. A pena pode ser de dois anos pela manipulação dos sistemas e cinco por fraude, totalizando sete anos de detenção.
Disponível em: http://www.pco.org.br/conoticias/ler_materia.php?mat=3100 Acesso em
13/07/2012
41
ANEXO 2
Auditoria sobre a segurança da informação: inimiga ou aliada? Por Denny Roger
Há boas razões para celebrar os progressos alcançados nos programas de auditoria do Sistema de Gestão da Segurança da Informação (SGSI) sem cair na ilusão de que a estrada já está pronta. O comitê brasileiro sobre as normas de gestão de segurança da informação (série 27000), que colabora com o desenvolvimento de padrões internacionais através da ISO (International Organization for Standardization), está trabalhando no desenvolvimento de duas normatizações que tem como objetivo:
* Prover orientação para o gerenciamento do programa de auditoria do Sistema de Gestão da Segurança da Informação e a condução de auditorias internas e externas de acordo com a ISO/IEC 27001:2005 (Sistemas de gestão de segurança da informação – Requisitos), em adição e complemento àquelas contidas na ISO 19011 (Diretrizes para auditorias de sistema de gestão da qualidade e/ou ambiental);
* Orientar os processos de auditoria dos controles aplicados em um Sistema de Gestão de Segurança da Informação em harmonia com as normas ISO/IEC 27001 e ISO/IEC 27002.
As duas normas estão em fase de desenvolvimento, e o cenário traçado para o futuro do programa de auditoria parece claro.
Investir em treinamentos
Primeiro, convém que as equipes de auditorias reciclem suas competências especificas em segurança da informação. Um planejamento prévio deve criar um plano diferenciado de treinamento para os envolvidos com o processo de auditoria.
A aquisição de conhecimentos inicia-se formalmente através da formação de auditores líderes no Sistema de Gestão da Segurança da Informação (ISO/IEC 27001) e continuará evoluindo, muito em breve, através dos futuros padrões internacionais ISO IEC 27007: Guidelines for ISMS Auditing e a ISO IEC DTR 27008: Guidelines for auditors on ISMS controls. É importante ressaltar que estes dois documentos estão em fase de desenvolvimento no Brasil pelo Comitê Brasileiro sobre as normas de gestão de segurança da informação.
Reestruturar a auditoria
Diretor da EPSEC, membro do Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), membro do International Association of Emergency Managers (IAEM), especialista em análise de risco, projetos de redes seguras e perícia forense.
42
Segundo ponto: esse reposicionamento da auditoria, de acordo com os novos padrões (ISO IEC 27007 e a ISO IEC DTR 27008), exige uma capacidade maior de analisar informações técnicas cada vez mais complexas.
O fato ocorre porque as ameaças e os controles de segurança da informação evoluem constantemente. A segurança da informação e a tecnologia da informação são muito dinâmicas. Os livros, os cursos e as faculdades, não conseguem acompanhar essa evolução.
É por essa razão que a maioria dos profissionais da área de segurança da informação possui um perfil autodidata. Os criminosos que atuam na internet também são autodidatas. São pessoas assim que desenvolvem novos golpes quase que diariamente.
Os auditores precisam desenvolver cada vez mais sua capacidade de analisar informações complexas em profundidade suficiente para identificar eventuais riscos e oportunidades de melhoria no processo de segurança da informação.
Uso prático de metodologia
Terceiro, as áreas de auditoria deverão atualizar suas metodologias para auditoria do Sistema de Gestão de Segurança da Informação, de acordo com os novos padrões (ISO IEC 27007 e a ISO IEC DTR 27008), incluindo uma série de passos a serem seguidos para garantir a aplicação correta de uma comparação da situação atual da organização com os resultados esperados.
A atualização da metodologia pode contar com o apoio dos departamentos Jurídico e de Compliance, que explicarão como obter informações derivadas de obrigações de conformidade legal e normas pertinentes ao setor de atuação da organização. As equipes de Segurança da Informação e Tecnologia da Informação podem fornecer dados sobre boas práticas adotadas pela organização e como são estabelecidos os controles.
Conclusão
A expectativa é de que as organizações realizem, o mais breve possível, a reestruturação da área de auditoria trazendo uma atualização no conhecimento dos auditores e também no uso de novas metodologias.
Essa evolução será necessária para sinalizar o compromisso dessa área com as metas de segurança da informação e gestão de risco da organização. Mas, para isso, é preciso olhar para um horizonte mais amplo. E buscar orientação de outras áreas de apoio na companhia para avaliar a adequação e efetividade dos controles estabelecidos e implementados, incluindo uma abordagem baseada na Governança da Segurança da Informação e nos riscos operacionais.
Disponível em: http://idgnow.uol.com.br/blog/mente-hacker/2011/01/04/auditoria-sobre-a-seguranca-da-informacao-inimiga-ou-aliada/ Acesso em 22/07/2012
43
REFEFÊNCIAS BIBLIOGRÁFICAS
MSBRASIL. Como funciona uma auditoria de sistemas. Disponível em:
http://msbrasil.com.br/blog/contabilidade/como-funciona-uma-auditoria-de-
sistemas/ Acesso em 18/07/2012
DIAS, Cláudia. 2000. Segurança e Auditoria da Tecnologia da Informação. Rio de
Janeiro: Axcel Books.
FERNANDES, Agnaldo Aragon, ABREU, Vladimir Ferraz. 2008. Implantando a
Governança de T.I. 2a Edição. Rio de Janeiro: Brasport
GRAMLING, Audrey A., RITTENBERG, Larry E e JOHNSTONE, Karla M., 2012.
Auditing. [tradução técnica Antônio Zoratto Sanvicente] São Paulo: Cengage
Learning.
NASAJON SISTEMAS. Disponível em:
http://www.claudionasajon.com.br/index.php/category/nasajon-sistemas. Acesso
em: 23 Jun.2012
OLIVEIRA, Salomão. Normas e políticas de segurança da informação. Apostila do
curso ‘Gestão de Tecnologia’, no ‘Centro Universitário Radial Estácio’ de São
Paulo – Campus Jabaquara. Data de Envio: 04/08/2011. Disponível em:
http://pt.scribd.com/doc/52566307/49/SGSI-%E2%80%93-Sistema-de-Gestao-da-
Seguranca-da-Informacao. Acesso em: 22/07/2012
REZENDE, Denis Alcides e ABREU, Aline França. 2006. Tecnologia da Informação
Aplicada a Sistemas de Informação Empresariais. 4a Edição. São Paulo: Atlas.
44
REZENDE, Denis Alcides, 1997. Engenharia de Software Empresarial. Rio de
Janeiro: Brasport.
REZENDE, Denis Alcides, 2007. Sistemas de Informações Organizacionais. 2ª ed.
São Paulo: Atlas.
SUPPORT. Solução Sinc. Disponível em: http://www.supportweb.com.br/sinc.php
Acesso em: 23 Jun.2012
WANG, C. B.(1998). Techno Vision II - Um Guia para Profissionais e Executivos
Dominarem a Tecnologia e Internet. São Paulo: Makron Books.
45
ÍNDICE
INTRODUÇÃO ....................................................................................................08
CAPÍTULO I - PROCEDIMENTOS .....................................................................10
1.1. Pré-requisitos para implantação de um Sistema de Informação ..........10
1.2. Planejamento Estratégico da Tecnologia da Informação (PETI) ...........16
1.3 Alinhamento Estratégico de TI ................................................................19
CAPÍTULO II RISCOS ........................................................................................20
2.1. Estudo de Viabilidade e Risco ...............................................................20
2.2. Atendendo às Regulamentações de Compliance ..................................22
2.2.1 – Sarbanes-Oxley Act (SOA) ..................................................22
2.2.2 - Acordo de Basiléia II .............................................................24
2.2.3 - Resolução 3380 do Banco Central do Brasil ........................24
2.3. Cobit – Control Objectives for Information and Related Technology .....25
2.4. Avaliação do Sucesso ou Fracasso de uma Implantação de Sistema ..25
CAPÍTULO III PAPEL DA AUDITORIA EM SISTEMAS DE TI ...........................30
3.1. Administração da Contingência e Segurança ........................................30
3.2. SGSI – Sistema de Gestão da Segurança da Informação ....................36
3.3. ISO/IEC27001 e ISO/IEC 27002 ...........................................................37
CONCLUSÃO .....................................................................................................39
REFERÊNCIAS BIBLIOGRÁFICAS ....................................................................43
ÍNDICE ................................................................................................................45