Palestra sobre "Auditoria de TI aplicado ao Desenvolvimento de Software" ministrada no meetup Stone Tech Saturday, realizado pela Comunidade .NET São Paulo, no dia 18 de março de 2017.
Auditoria de TI aplicado ao Desenvolvimento de Software
1. AUDITORIA DE TI
Aplicada ao Desenvolvimento de Software
Tech Saturday
18/03/17
Thiago Vidal, MTAC
2. Agenda
O que é Auditoria?
Tipos de Auditoria
Auditoria de Sistemas
As Etapas da Auditoria de TI
Processos, Riscos e Controles
Processos de TI
ITGCs – Controles Gerais de TI
IT Application Controls
18/03/2017Stone Tech Saturday
3. O que é Auditoria?
A origem do termo provém da palavra inglesa “audit”;
Significado: examinar, ajustar, corrigir, certificar.
Avaliação sistemática de procedimentos para verificar se as atividades desenvolvidas
em determinada organização estão:
Em conformidade com as normas e padrões estabelecidos
Implementadas com eficácia para o atingimento dos objetivos de negócio
18/03/2017Stone Tech Saturday
4. Tipos de Auditoria
Externa: o auditor é contratado por uma empresa e tem um tempo limitado para
resolver os problemas da empresa
Auditoria de Sistemas
Auditoria de RH
Auditoria de Qualidade
Auditoria de Demonstrações Financeiras, etc.
Interna: o auditor é funcionário da própria empresa e conhece os processos de negócio,
gestão e procedimentos de aderência às normas a fim de apontar vulnerabilidades às
quais a organização está sujeita.
18/03/2017Stone Tech Saturday
6. Auditoria de Sistemas
Auditoria de sistemas é uma atividade cujos objetivos são:
Determinar se os sistemas de informação são confiáveis e gerenciáveis;
Determinar se os sistemas possuem capacidade de atender as necessidades da
empresa;
Gerenciar os riscos envolvidos ao ambiente de TI;
Avaliar a utilização de tecnologias e sistemas;
Manter a integridade de dados do negócio;
Buscar transparência da área de TI perante a empresa e os clientes.
18/03/2017Stone Tech Saturday
7. Auditoria de Sistemas
Portanto uma auditoria de sistemas busca:
Reduzir os riscos de erros e fraudes;
Certificar informações confiáveis.
18/03/2017Stone Tech Saturday
8. Auditoria de Sistemas
Os sistemas serão avaliados por:
Revisão e avaliação dos controles da aplicação;
Desenvolvimento;
Infraestrutura;
Operação e performance;
Segurança da informação.
18/03/2017Stone Tech Saturday
9. As Etapas da Auditoria de TI
Planejamento
Diagnóstico
Execução
Conclusão
18/03/2017Stone Tech Saturday
10. As Etapas da Auditoria de TI
Planejamento
Atividades
➢ Alinhamento de cronograma e prazos para a realização de cada atividade;
➢ Definição de escopo do trabalho
➢ Definição dos procedimentos a serem executados;
➢ Critérios para realização do diagnóstico da auditoria;
➢ Levantamento de restrições ou potenciais riscos associados à execução do trabalho.
18/03/2017Stone Tech Saturday
11. As Etapas da Auditoria de TI
Diagnóstico
Atividades
➢ Avaliação do Sistema, sua infraestrutura de suporte e regras de negócio em relação
aos procedimentos acordados;
➢ Identificação de não conformidades em relação ao esperado nos procedimentos
previamente acordados;
➢ Apoio na avaliação do plano de ação para a solução de problemas.
18/03/2017Stone Tech Saturday
12. As Etapas da Auditoria de TI
Execução
➢ Execução de procedimentos de auditoria para a avaliação dos controles:
➢ Testes de controles (base amostral)
➢ Tipos de falha:
➢ Sistêmica (desenho do processo)
➢ Randômica (casos esporádicos) -> avaliar mais evidências
18/03/2017Stone Tech Saturday
13. As Etapas da Auditoria de TI
Conclusão
➢ Consolidação dos resultados da auditoria
➢ Discussões acerca de potenciais não conformidades identificadas durante a etapa
anterior
➢ Elaboração de documentação final (Relatório de Auditoria)
18/03/2017Stone Tech Saturday
14. As Etapas da Auditoria de TI
O resultado final da auditoria deve conter:
Especificação das não conformidades e falhas encontradas;
Controles avaliados no sistema;
Riscos encontrados e a avaliação desses riscos;
Sugestões de melhoria.
18/03/2017Stone Tech Saturday
15. Processos, Riscos e Controles
Processo: conjunto de ações relacionadas entre si logicamente e coerente a
fim de produzir um output favorável à organização;
Risco: a combinação entre probabilidade de um evento acontecer e o impacto
resultante caso ele ocorra;
Ameaça (quando tem um efeito negativo, produzindo um problema, perda);
Oportunidade (quando tem um efeito positivo, produzindo um benefício);
Controle: modo de prevenir riscos e evitar que ocorram erros na auditoria.
18/03/2017Stone Tech Saturday
16. Processos de TI
ITGC – IT General Controls: os principais controles que avaliam o ambiente de
TI de uma empresa
Avaliamos controles dos sistemas de informação que suportam os diversos
processos de negócio de uma empresa, como:
Contas a Pagar;
Compras;
Faturamento;
Tesouraria, etc...
Não podemos confiar em um sistema cujas informações não são confiáveis
18/03/2017Stone Tech Saturday
17. Processos de TI
Por que são importantes?
Ajudam a garantir a integridade do negócio
Objetivos de TI:
Confidencialidade
Integridade
Disponibilidade
Eficiência e Eficácia
18/03/2017Stone Tech Saturday
18. Processos de TI
Quando o resultado da avaliação dos ITGCs é considerado inefetivo, assume-se
que os objetivos de negócio não foram alcançados.
18/03/2017Stone Tech Saturday
19. Processos de TI
Processo de Auditoria de ITGCs
Identificar e entender o ambiente de TI e sistemas para serem avaliados;
Realizar entrevistas e documentações para entender os processos;
Verificar adequação de controles existentes;
Validar a eficiência de controles existentes.
18/03/2017Stone Tech Saturday
20. ITGCs – Controles Gerais de TI
Quais são os Principais ITGCs?
Access Management (Gestão de Acessos)
Change Management (Gestão de Mudanças)
Program Development (Desenvolvimento do Sistema)
IT Operations (Operações de TI)
18/03/2017Stone Tech Saturday
21. ITGCs – Controles Gerais de TI
Access Management (Gestão de Acessos)
Risco: acessos não autorizados de usuários a sistemas/módulos/programas que
podem resultar em mudanças inadequadas de dados
Objetivos: os acessos aos sistemas e funcionalidades devem ser segregados de
maneira adequada aos usuários
Acesso Físico e Acesso Lógico
Segregação de Funções
18/03/2017Stone Tech Saturday
22. ITGCs – Controles Gerais de TI
Access Management (Gestão de Acessos)
Processo de Inclusão de Funcionário no Sistema (Definição de Perfil de Acesso)
Workflow:
1) Solicitação do RH
2) Aprovação do Responsável (Owner)
3) Execução
18/03/2017Stone Tech Saturday
23. ITGCs – Controles Gerais de TI
Processo de Inclusão de Funcionário no Sistema (Definição de Perfil de Acesso)
18/03/2017Stone Tech Saturday
_____
_____
_____
_____
____
1
Owner
2
Login:
novousuario
Tipo:
Trainee
3
24. ITGCs – Controles Gerais de TI
Processo de Exclusão de um Usuário do Sistema
18/03/2017Stone Tech Saturday
Formulário
de
Desligamento
Trainee (RH)
Data desl:
27/01/17
TI
Remover perfil
Atualizar
sistema
Notifica RH
Data solicitação:
30/01/17
25. ITGCs – Controles Gerais de TI
18/03/2017Stone Tech Saturday
Área Controle Como Testar
Concessão de Acesso Existe um processo formal para conceder acesso a novos usuários do sistema e
para alterar um perfil de acesso para um usuário existente no sistema
Revisar uma evidência de concessão de acessos
Remoção de Acesso Existe um processo formal para desabilitar contas de usuários desligados Comparar a lista de usuários ativos com a lista de usuários inativos do
sistema para verificar quais funcionários foram desligados de fato
Revisão Periódica de Acessos Revisão de acessos periódicos de usuários, administradores e fornecedores é feita
a cada 90 dias.
Revisar uma evidência de revisão periódica de acessos
Requisitos de Senha Cada usuário possui uma senha única e individual composta por caracteres
minúsculos, maiúsculos, alfanuméricos (senha forte)
Verificar na política de senhas quais são as regras de configuração de uma
senha
Acessos privilegiados de usuários Contas de usuário que tem acesso privilegiado ao sistema (servidores, bancos de
dados, aplicação e infraestrutura) são restritos a pessoas autorizadas
Revisar contas de usuários com acessos privilegiados
Acesso Físico
Apenas pessoas autorizadas podem adentrar às instalações físicas no ambiente de
processamento de dados
Avaliar a distribuição de tokens e crachás que expira e identifica os
visitantes e/ou funcionários do Data Center;
Identificar a autorização de visitantes antes do acesso às áreas
confidenciais do Data Center
▪ Access Management: Exemplo de Controles
26. ITGCs – Controles Gerais de TI
Change Management (Gestão de Mudanças)
Risco: Mudanças inadequadas nos sistemas pode gerar inconsistências nos dados
Objetivos: Todas as mudanças nos sistemas devem ser devidamente autorizadas,
testadas, aprovadas, implementadas e documentadas.
18/03/2017Stone Tech Saturday
27. ITGCs – Controles Gerais de TI
Change Management (Gestão de Mudanças)
O que significa Gestão de Mudanças?
Novas implementações
Adição de funcionalidades no sistema já existente
Criação ou modificação de interfaces
Alterações na infraestrutura (SO, BD, etc)
Mudanças emergenciais
Mudanças em configurações ou parâmetros
18/03/2017Stone Tech Saturday
28. ITGCs – Controles Gerais de TI
Change Management: Exemplo de Controles
18/03/2017Stone Tech Saturday
Área Controle Como Testar
Gestão de Mudanças Existe um processo formal documentado para a gestão de mudanças no sistema Revisar procedimentos de gestão de mudanças e validar tais procedimentos
Mudanças na Documentação
Todas as mudanças realizadas no sistema, como servidores, bancos de dados,
tecnologias, aplicações e infraestrutura estão documentadas e atualizadas
Revisar logs de mudanças
29. ITGCs – Controles Gerais de TI
Program Development (Desenvolvimento de Software)
Risco: desenvolvimento inadequado de sistemas/programas ou a implementação
destes podem resultar em dados inconsistentes
Objetivos: Garantir que todas as novas implementações e desenvolvimentos de
sistemas/programas estejam autorizados, documentados, testados e aprovados de
maneira correta.
18/03/2017Stone Tech Saturday
30. ITGCs – Controles Gerais de TI
Program Development (Desenvolvimento de Software)
Estrutura de um Aplicativo:
18/03/2017Stone Tech Saturday
DEV TEST QA PRD
BD
Usuário Final
31. ITGCs – Controles Gerais de TI
Program Development: Exemplos de Controles
18/03/2017Stone Tech Saturday
Área Controle Como Testar
Testes de Sistemas Existe um documento que detalha step by step os procedimentos adequados de testes
de novos sistemas e novas implementações.
Revisar uma evidência de planos de testes e resultados
Aprovação de Requests
É preciso uma aprovação formal de um administrador ou coordenador de TI para
aprovar as requests de alterações ou novas implementações para o servidor de
produção.
Revisar uma evidência de aprovação
Migrar Requests A segregação de acessos de usuários que fazem a migração de requests para o servidor
de produção dos usuários que solicitam a migração é restrita.
Verificar se há segregação de funções (SoD) entre desenvolvedores e administradores
32. ITGCs – Controles Gerais de TI
IT Operations
Risco: sistemas ou programas podem não estar acessíveis a todos os usuários e/ou
podem não estar funcionando de maneira adequada.
Objetivos: sistemas e programas têm de funcionar perfeitamente a todos os
usuários.
18/03/2017Stone Tech Saturday
33. ITGCs – Controles Gerais de TI
IT Operations: Exemplos de Controles
18/03/2017Stone Tech Saturday
Área Controle Como Testar
Processamento de jobs
O processamento em batch de jobs está agendado, processado, monitorado
corretamente.
Avaliar procedimentos de processamento de jobs e monitoramento e validar se os
procedimentos estão sendo seguidos.
Monitoramento de jobs Os jobs que falharam são acompanhados e documentados incluindo explicações. Validar se os jobs que falharam foram apontados e documentados.
Backup & Recovery
Backups de sistemas críticos e documentos confidenciais estão contemplados no Plano
de Recuperação de Desastres.
Verificar a validade e os procedimentos de backup e recovery do Plano de Recuperação
de Desastres.
34. IT Application Controls
Controles aplicativos de TI estão relacionados às aplicações de software;
Uma aplicação de software é o software que associa os dados a um contexto
de negócio;
Implementa regras de negócio inerente aos processos empresariais;
Processa transações de negócio
Exemplo de aplicação de software:
ERP
Sistema de Pagamentos Online
18/03/2017Stone Tech Saturday
35. IT Application Controls
A aplicação de software habilita e limita as ações dos usuários;
É importante auditar todos os controles que envolvem o funcionamento do
sistema, pois as apl. de software envolvem dinheiro e negócios da empresa;
O primeiro passo na auditoria de controles aplicativos é verificar como o
software desempenha suas funções de negócio;
O auditor deve conhecer o negócio ou realizer entrevistas para entendimento;
18/03/2017Stone Tech Saturday
36. IT Application Controls
O Segundo passo é identificar os potenciais riscos associados com a atividade:
“O que pode dar errado?” X Como a aplicação lida com esses riscos?
18/03/2017Stone Tech Saturday
37. IT Application Controls
A auditoria de controles aplicativos deve cobrir:
Aderência do Sistema às regras de negócio;
Validação de dados de entrada (input) e dados de saída (output);
Controle de acesso lógico e autenticação;
Tratamento de Exceções e logs;
18/03/2017Stone Tech Saturday