Guia Completo de Auditoria de Sistemas de TI

Classificado em Computação

Escrito em em português com um tamanho de 10,55 KB

1 - Auditoria de Sistemas em Operação

Transforma dados em informação; converte, captura, consiste, atualiza, armazena e recupera dados.

Análise de Relatórios:

  • Eficácia: Verifica o nível de satisfação do usuário.
  • Segurança Física: Avalia a qualidade dos relatórios.
  • Confidencialidade: Garante o sigilo das informações.

Análise de Cadastro:

  • Segurança Lógica: Verifica a existência de pontos de controle.
  • Segurança Física: Avalia o transporte, armazenamento e manuseio do cadastro.
  • Eficiência: Analisa a organização de arquivos não utilizados.

Pontos de Controle: Somatório de campos de valores, *passwords*, data de gravação, *hash* total, quantidade de registros, rotinas de atualização, programas de cálculo, rotina de *backup*, etc.

DFD (Diagrama de Fluxo de Dados): Obedece ao *TOPDOWN*, prioriza a representação de processos e permite a representação gráfica até o nível desejado.

Técnicas Mais Utilizadas: Questionários, vista *in loco*, *mapping*, entrevista, análise de relatórios/telas.

2 - Auditoria no Desenvolvimento de Sistemas

Auditor: Deve possuir conhecimento em análise de sistemas, ter atuado na auditoria de sistemas em operação, conhecimento em metodologia de desenvolvimento de sistemas e em metodologia de auditoria de elaboração do sistema em computador.

2.1 Ciclo de Desenvolvimento:

Inicializa Projeto → Estuda viabilidade → Analisa situação atual → Projeto lógico → Projeto físico → Desenvolvimento e testes → Implantação → Administração → Manutenção.

Profissionais Atuantes: Líder de projetos, analistas (sistema, BD, *software* básico, teleprocessamento, segurança, qualidade), programador, profissional do centro de informação.

2.2 Pontos de Controle:

  • Processos: Etapas do ciclo de desenvolvimento, rotina operacional, rotina de controle.
  • Resultados: Documentação, relatórios, estrutura lógica, estrutura física, modelo de dados, projeto de arquivos, *layouts* de telas, definição de programas.

2.3 Análise da Metodologia:

Entendimento através da documentação, identificação dos pontos de controle, encadeamento lógico de ideias, objetivos de cada etapa, técnicas de análises utilizadas, produtos gerados, responsabilidade pela execução de etapas, documentação exigida nas etapas de desenvolvimento, qualidade de desenvolvimento do sistema, avaliação da adequação dos equipamentos, opinião e debate com a equipe de computação.

2.4 Análise da Documentação:

Entendimento das especificações, identificação dos pontos fracos → Objetivo, análise de custo, levantamento do sistema atual, anteprojeto, projeto lógico, projeto físico, testes isolados e integrados, programação, implantação, documentação geral, analisar e avaliar resultados obtidos.

3 - Auditoria do Centro de Computação

Deve abranger instalações, profissionais que executam tarefas comuns a todos aplicativos, contratos de *hardware* e *software*, equipamentos, *software* básico de apoio, redes de comunicação, planos de integração de tecnologia, procedimentos administrativos, técnicos e gerenciais.

3.1 Auditoria de Contratos de Hardware e Software:

Auditar transações de compras, vendas, trocas, aluguel, *leasing*, seguro e manutenção de equipamentos e *softwares*.

3.2 Auditoria de Utilização de Hardware e Software:

Estabelece critério para treinamento de profissionais e usuários; monta um PDI possível de ser cumprido; mantém um orçamento de *hardware*, *software* e pessoal equilibrado; conduz a inovação tecnológica do ambiente; estabelece critérios de depreciação de equipamentos; desclassifica fornecedores não idôneos; identifica a causa do mau uso do *hardware* e *software*.

Técnicas Utilizadas: Análise de *log/accounting*, entrevista e questionário.

3.3 Auditorias de Funções:

Análise de funções, estudo do CPD e fluxo de informações do ambiente. Assegurar: Qualidade, rendimento, eficácia, produtividade, aproveitamento da especialização, maximização dos recursos, controle, coordenação, adequação do fluxo de informações entre os setores do CPD e os usuários.

Técnicas Utilizadas: Questionário, entrevista, análise de documento/relatório/telas.

3.4 Auditoria de Normas e Procedimentos:

Assegurar: Divulgação e uso de informações; diretrizes; organização; serviços de forma sistematizada, criteriosa e segmentada; treinamento e a capacitação do R.H.; funcionamento do CPD.

Documentação: Informações sobre o objetivo da normatização, facilidade de atualização, distribuição dos manuais, padrão estético, consistência de conteúdo, atualização das informações.

Técnicas Utilizadas: Questionário, visita *in loco*, entrevistas, análise da documentação.

3.5 Auditoria dos Custos de PED:

Verificar: Critérios para apuração de custos; indicadores de custos apurados e sua evolução histórica e comparação com o mercado; esquema de análise de custo vigente; ações tomadas e pendências para minimização de custos.

Técnicas Utilizadas: Entrevista, visita *in loco* e questionário.

4 - Auditoria em Ambiente de Microinformática

Identificar: Inventário de micros, localização física, usuários, configuração, *softwares*...; política do centro de informação da empresa. Verificar: Tempo, natureza, segurança física, segurança lógica e confidencialidade no uso dos microcomputadores dentro da empresa; integração entre os micros; documentação dos sistemas.

4.1 Auditoria do Centro de Informação:

  • Objetivo: Acesso a informações em tempo curto, prover ferramentas ao usuário, reduzir carga de sistemas processados no *mainframe*, treinamento de usuários, suporte ao desenvolvimento de aplicativos para microcomputadores, apoio à escolha de *software* para microcomputadores, orientação na utilização dos micros na empresa.
  • Análises: Funções do CI, normas e procedimentos do CI (*backups*, LP, editores de texto, planilha, documentação, contratação de *hard/softwares*, atendimento ao usuário).
  • Avaliações: Atividades de treinamento, atividades de controle de utilização de *hard/softwares*, estrutura do CI.

4.2 Auditoria dos Microcomputadores e Seus Usuários:

Envio de questionários aos usuários; levantamento de dados do micro (*hardware*, interfaces, procedimentos de seguranças, *backups*...); recebimento de resposta para levantamento de usuários que mereçam uma auditoria mais detalhada.

Técnicas Utilizadas: Questionários.

5 - Auditoria em Ambiente de Teleprocessamentos e Banco de Dados

Aspectos Importantes: A existência de administrador de dados, de dicionário de dados, de um SGBD, de analista de B.D., de controle de acesso ao B.D.

Problemas Encontrados: Leitura e extração de dados por entidades não autorizadas; alteração dos dados ou procedimentos de programas, adição de dados estranhos aos arquivos, utilização de equipamentos ou *softwares* sem autorização.

Controles a Serem Verificados: *Password*, autorização de acesso aos dados, confirmação da digitação de dados antes da atualização no BD, verificação da integridade do BD e da última transação processada versus a última transação recuperada no BD (quando da queda no sistema), verificação de protocolos de arquivos, dos de linhas e da utilização dos terminais.

Procedimentos de Segurança: Criação da função de administrador de dados, segurança física dos terminais, definir normas para uso de *passwords*.

Técnicas Utilizadas: Questionários, visitas *in loco*, entrevistas.

6 - Auditoria da Segurança Física e Ambiental do Centro de Computação

Infraestrutura do centro de computação, acesso físico (*porteiro*, catraca), segurança da rede de comunicação de dados, segurança física de recursos humanos e materiais, plano de contingência.

Técnicas Utilizadas: Questionário, visita *in loco*, entrevistas.

7 - Auditoria da Segurança Lógica e Confidencialidade

Segurança Lógica: Modificação inadequada dos recursos tecnológicos, informação e *softwares*.

Confidencialidade: Captação indevida dos recursos tecnológicos, informações e *softwares*.

Programa de Crítica e Consistência: Verificam integridade do dado e sua compatibilidade com as informações contidas no cadastro.

Programa de Processamentos: Verificam a correção do funcionamento do sistema e a alimentação dos arquivos corretos.

Programa de Saída: Evitam a passagem de informações erradas aos usuários.

8 - Auditoria do Plano Diretor de Informática (PDI)

Documentação que formaliza o planejamento estratégico de informática para uma organização:

  • Estabelece a filosofia da PED para a empresa.
  • Define os objetivos e a estrutura da área de informática.
  • Apresenta o plano de sistemas a serem desenvolvidos e mantidos.
  • Estabelece critérios para aquisição de *softwares* e *hardwares*.
  • Define a necessidade de recursos humanos.
  • Apresenta um orçamento de custos na área de informática.
  • Enumera os benefícios a serem alcançados e as restrições previstas.

O Auditor Deve:

  • Discutir se os novos sistemas desenvolvidos estão priorizando a gravidade da fraqueza do controle interno.
  • Acompanhar se os relatórios de auditoria serviram de base para a elaboração do PDI.
  • Verificar a adequação do plano de sistemas às fraquezas detectadas pelo relatório de auditoria.
  • Acompanhar o cumprimento dos objetivos definidos para o PDI.
  • Analisar a metodologia aplicada.
  • Avaliar a qualidade do planejamento do PDI.

9 - Auditoria do Ambiente de Inteligência Artificial

Sistemas especialistas.

Karma: -30%
Visitas: 0

Entradas relacionadas:

Etiquetas:
normas auditoria informações dos logs cpd segurança da informação centro de computação controle interno auditoria de TI desenvolvimento de sistemas auditoria de sistemas hash total auditoria