seguran a controle e auditoria de dados n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Segurança, Controle e Auditoria de Dados PowerPoint Presentation
Download Presentation
Segurança, Controle e Auditoria de Dados

Loading in 2 Seconds...

play fullscreen
1 / 37

Segurança, Controle e Auditoria de Dados - PowerPoint PPT Presentation


  • 82 Views
  • Uploaded on

Segurança, Controle e Auditoria de Dados. 2 – Conceitos. Conceitos. Campo: Objeto a ser fiscalizado; Entidade completa (pública ou privada); Uma parte selecionada da entidade; Uma função da entidade Período de fiscalização, Mês, ano... A gest ão de algum administrador.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Segurança, Controle e Auditoria de Dados' - dirk


Download Now An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
conceitos
Conceitos
  • Campo:
    • Objeto a ser fiscalizado;
      • Entidade completa (pública ou privada);
      • Uma parte selecionada da entidade;
      • Uma função da entidade
    • Período de fiscalização,
      • Mês, ano...
      • A gestão de algum administrador.
    • Natureza da auditoria
      • Operacional;
      • Financeira;
      • Legalidade; etc.
conceitos1
Conceitos
  • Âmbito:
    • Amplitude e exaustão dos processos de auditoria;
    • Limitação racional dos trabalhos executados;
    • Definirá:
      • Aprofundamento das tarefas de auditoria;
      • Grau de abrangência.
conceitos2
Conceitos
  • Área de Verificação:
    • Formado pelo campo e âmbito da auditoria;
    • Delimita de forma precisa os temas da auditoria.
conceitos3
Conceitos
  • Controle:
    • Fiscalização exercida sobre as:
      • Atividades;
      • Órgãos;
      • Departamentos;
      • Produtos.
    • O objetivo é que estes não se desviem das normas;
    • Três tipos de controle:
      • Preventivo;
      • Detectivo;
      • Corretivo.
conceitos4
Conceitos
  • Controle Preventivo:
    • Prevenção de erros, omissões ou atos fraudulentos.
  • Controle Detectivo:
    • Detectar os erros, omissões ou atos fraudulentos;
    • Relatar sua ocorrência.
  • Controle Corretivo:
    • Usados para reduzir impactos ou corrigir os erros detectados (planos de contingência).
conceitos5
Conceitos
  • Controle Preventivo:
    • Prevenção de erros, omissões ou atos fraudulentos.
  • Controle Detectivo:
    • Detectar os erros, omissões ou atos fraudulentos;
    • Relatar sua ocorrência.
  • Controle Corretivo:
    • Usados para reduzir impactos ou corrigir os erros detectados (planos de contingência).
conceitos6
Conceitos
  • Objetivos de Controle:
    • Metas de controle a serem alcançadas;
    • Efeitos negativos a serem evitados em:
      • Transações;
      • Atividades;
      • Funções.
    • Para serem alcançados, são traduzidos em diversos procedimentos de auditoria.
conceitos7
Conceitos
  • Procedimentos de Auditoria:
    • Formam um conjunto de verificações que permitem obter e analisar as informações necessárias à formulação de opiniões no auditor;
    • É necessário estabelecer estes procedimentos antes da auditoria iniciar, pois aumenta a produtividade e a qualidade do trabalho do auditor;
    • Alguns órgãos têm manuais contendo os procedimentos padrões utilizados para as auditorias.
conceitos8
Conceitos
  • Achados de Auditoria:
    • Fatos observados pelo auditor;
    • Não necessariamente são falhas e/ou irregularidades, podem também ser pontos fortes da organização;
    • Somente deve constar no relatório se for, de fato, algo relevante, e se for baseado em fatos e evidências irrefutáveis.
conceitos9
Conceitos
  • Papéis de Trabalho:
    • Registros dos atos e fatos observados pelo auditor;
    • Podem ser documentos, planilhas, tabelas, listas de verificações, arquivos informatizados, imagens, etc;
    • Dão suporte ao relatório de auditoria;
    • Contém o registro de metodologia adotada, procedimentos, verificações, fontes de informação, testes, entre outras informações relacionadas ao trabalho de auditoria.
conceitos10
Conceitos
  • Recomendações de Auditoria:
    • Realizada na fase final da auditoria;
    • Medidas corretivas possíveis, sugeridas pela instituição fiscalizadora, por meio do auditor;
    • Podem ser (mas não necessariamente serão) transformadas em determinações a serem cumpridas.
conceitos11
Conceitos
  • Natureza da Auditoria:
    • Não existe classificação padrão;
    • As classificações mais comuns são:
      • Quanto ao órgão fiscalizador,
      • Quanto à forma de abordagem do tema;
      • Quanto ao tipo ou área envolvida.
conceitos12
Conceitos
  • Quanto ao órgão fiscalizador:
    • Auditoria Interna:
      • Realizada por um setor ou departamento interno da organização avaliada;
      • Esse setor/departamento deve ser um específico, encarregado de avaliar e verificar os sistemas e procedimentos internos;
      • Tem como objetivo reduzir as probabilidades de:
        • Erros,
        • Fraudes,
        • Práticas ineficientes ou ineficazes;
      • Deve ser independente e prestar contas diretamente à direção da organização.
conceitos13
Conceitos
  • Quanto ao órgão fiscalizador:
    • Auditoria Externa:
      • Realizada por uma instituição externa e independente da organização avaliada;
      • Emite pareceres sobre:
        • Gestão de recursos;
        • Situação financeira;
        • Legalidade e regularidade das operações.
conceitos14
Conceitos
  • Quanto ao órgão fiscalizador:
    • Auditoria Articulada:
      • Utiliza ambos modos de auditoria: interna e externa;
      • Beneficiada pela superposição de tarefas e responsabilidades;
      • Caracteriza-se pelo:
        • Uso comum de recursos;
        • Comunicação recíproca dos resultados.
      • Custo mais alto;
      • Falhas na comunicação afetariam o processo e, como conseqüência, o resultado.
conceitos15
Conceitos
  • Quanto à Forma de Abordagem do Tema:
    • Auditoria Horizontal:
      • Um único tema;
      • Avalia-se várias entidades ou serviços paralelamente.
    • Auditoria Orientada:
      • Auditoria focada em uma atividade;
      • Esta atividade pode ser uma qualquer, como também pode ser (mais provável e recomendável) uma com fortes indícios de erros ou fraudes.
conceitos16
Conceitos
  • Quanto ao Tipo ou Área Envolvida:
    • Auditoria de Programas de Governo:
      • Acompanhamento, exame e avaliação da execução de programas e projetos governamentais específicos;
      • Preocupa-se também com a efetividade das medidas governamentais.
    • Auditoria Administrativa:
      • Engloba o plano da organização:
        • Procedimentos;
        • Documentos.
      • Avalia os elementos que dão suporte à tomada de decisão.
conceitos17
Conceitos
  • Quanto ao Tipo ou Área Envolvida:
    • Auditoria do Planejamento Estratégico:
      • Verifica se:
        • Os principais objetivos da organização são atingidos;
        • As políticas e estratégias de aquisição, utilização e alienação de recursos são respeitadas.
    • Auditoria Contábil:
      • Relativa à salvaguarda dos ativos e à fidedignidade das contas da instituição;
      • Fornece certa garantia de que as operações e o acesso aos ativos se efetuem de acordo com as devidas autorizações;
      • Realizada em intervalos razoáveis de tempo;
      • Exige medidas corretivas adequadas, caso sejam detectadas falhas.
conceitos18
Conceitos
  • Quanto ao Tipo ou Área Envolvida:
    • Auditoria Financeira (ou de Contas):
      • Analisa as contas, a situação financeira, legalidade e regularidade das operações e aspectos contábeis, financeiros, orçamentários e patrimoniais;
      • Verifica se todas as operações foram corretamente autorizadas, liquidadas, ordenadas, pagas e registradas;
      • Averigua se foram tomadas as medidas necessárias para registrar com exatidão e proteger todos os ativos;
      • Confere se todas as operações registradas (assim como o próprio registro) estão em conformidade com a legislação em vigor.
conceitos19
Conceitos
  • Quanto ao Tipo ou Área Envolvida:
    • Auditoria Operacional:
      • Incide em todos os níveis de gestão;
      • Atua nas fases de programação, execução e supervisão;
      • Tem como ponto de vista a economia, eficiência e eficácia;
      • Pode ser conhecida também como “de Eficiência”, “de Gestão”, “de Resultados”, “de Práticas de Gestão”;
      • Audita todos os sistemas e métodos utilizados pelo gestor para tomar decisões;
      • Analisa a execução das decisões tomadas e aprecia até que ponto os resultados pretendidos foram atingidos.
conceitos20
Conceitos
  • Quanto ao Tipo ou Área Envolvida:
    • Auditoria de integrada:
      • Inclui, simultaneamente, a auditoria financeira e a operacional.
    • Auditoria de Legalidade:
      • Também conhecida como “de Regularidade” ou “de Conformidade”;
      • Analisa a legalidade e regularidade das atividades, funções, operações ou gestão de recursos;
      • Verifica se todos esses elementos estão em conformidade com a legislação vigente.
conceitos21
Conceitos
  • Quanto ao Tipo ou Área Envolvida:
    • Auditoria de Tecnologia da Informação:
      • Auditoria essencialmente operacional;
      • Analisa os sistemas de informática, o ambiente computacional, a segurança de informações, e o controle interno da entidade fiscalizada;
      • Identifica os pontos fortes e fracos da organização;
      • Pode ser conhecida também como Auditoria “Informática”, “Computacional” ou “de Sistemas”.
conceitos22
Conceitos
  • Auditoria de Tecnologia da Informação:
    • Analisa a gestão de recursos, com foco na eficiência, eficácia, economia e efetividade;
    • Pode abranger diversos aspectos, dependendo do enfoque do auditor:
      • O ambiente de informática como todo: analisando aspectos que influencias a segurança dos outros controles, como segurança física e lógica, planejamento de contingencias...
      • A organização do departamento como um todo, analisando: aspectos administrativos, como políticas, padrões e procedimentos organizacionais, gerencia de pessoal e planejamento de capacidades .
conceitos23
Conceitos
  • Auditoria de Tecnologia da Informação:
    • Pode envolver controles sobre banco de dados, redes de comunicação e de microcomputadores e controles sobre os aplicativos;
    • Não exige uma classificação padronizada de sub-áreas;
    • Aqui usaremos as seguintes:
      • Auditoria de Segurança de Informações;
      • Auditoria de Tecnologia da Informação;
      • Auditoria de Aplicativos.
conceitos24
Conceitos
  • Auditoria de Tecnologia da Informação:
    • Auditoria de Segurança de Informações;
      • Determina a postura da organização em relação à segurança;
      • Avalia a política de segurança e os controles a ela relacionados, principalmente de modo global;
      • Envolve:
        • Avaliação da política de segurança;
        • Controles de acesso lógico;
        • Controles de acesso físico;
        • Controles ambientais;
        • Plano de contingências e continuidade de serviços.
conceitos25
Conceitos
  • Auditoria de Tecnologia da Informação:
    • Auditoria de Tecnologia da Informação;
      • Abrange aspectos da Auditoria de Segurança de Informações;
      • Além deles, têm também outros controles, que podem também influenciar a segurança, estes controles são:
        • Organizacionais;
        • De mudanças;
        • De operação dos sistemas;
        • Sobre banco de dados;
        • Sobre microcomputadores;
        • Sobre ambientes cliente-servidor.
conceitos26
Conceitos
  • Auditoria de Tecnologia da Informação:
    • Auditoria de Aplicativos:
      • Está voltada para a segurança de aplicações específicas, incluindo elementos intrinsecos da área que o aplicativo atende, como orçamento, contabilidade, estoque, venda, pessoal etc.
      • Esta auditoria compreende:
        • Controle sobre o desenvolvimento de sistemas aplicativos;
        • Controles de entrada, processamento e saída de dados;
        • Controles sobre o conteúdo e funcionamento do aplicativo, em relação à área por ele atendida.
conceitos27
Conceitos
  • Acesso Lógico
    • Está relacionado com o acesso ao conteúdo da informação.
    • Abrange aspectos como:
      • acesso de pessoas a terminais e outros equipamentos de computação,
      • manuseio de listagens (uma questão também de acesso físico),
      • funções autorizadas dentro do ambiente informatizado (transações e programas que pode executar),
      • arquivos aos quais tenham acesso, etc.
    • Mesmo que as informações não estejam armazenadas em computadores, valem os mesmos conceitos de segurança de acesso lógico.
conceitos28
Conceitos
  • Propriedade da Informação
    • O conceito deriva do direito de posse direta ou delegada sobre os ativos de informações, exercido em nome da organização.
    • Em princípio, a propriedade de um ativo pertence a quem dele faz uso em função de uma necessidade funcional.
    • Normalmente, quem faz uso de um determinado ativo é o seu criador, a pessoa que recebeu autorização do mesmo.
    • Também recebe o nome de gestão, sendo o responsável pela administração das informações conhecido também como gestor.
conceitos29
Conceitos
  • Custódia da Informação
    • Refere-se à pessoa ou organização responsável pela guarda de um ativo de propriedade de terceiros, sendo o conceito estendido ao domínio das informações.
    • A área de informática, ao contrário da visão clássica ainda bastante aceita, é custodiante dos ativos de informações das áreas usuárias, os legítimos proprietários dos mesmos.
    • Geralmente, uma vez recebida do proprietário, a custódia não pode ser delegada.
    • Implica a responsabilidade do receptor quanto à integridade dos ativos custodiados.
conceitos30
Conceitos
  • Controle de Acesso
    • Está relacionado diretamente ao acesso concedido. Sua função é garantir que o acesso seja feito somente dentro dos limites estabelecidos. Esse controle é exercido por meio de mecanismos como senhas, listas de acesso, categorias, níveis de acesso, privilégios de acesso, etc.
    • Senhas
      • Constituem o mecanismo de controle de acesso mais antigo usado pelo ser humano para impedir acessos não autorizados. Foram e ainda são muito usadas como forma de se controlar o acesso a recursos de informação.
      • Modernamente, tendem a ser usadas apenas como mecanismo de autenticação de identidade de usuários, através da atribuição de uma senha exclusiva para cada chave de acesso ou identificação de usuários individuais.
      • Á medida que evolui a tecnologia, as senhas tendem a ser substituídas por alguma característica físico-biométrica do usuário, como a imagem da íris, a impressão digital, a voz, etc.
conceitos31
Conceitos
  • Controle de Acesso
    • Chaves de acesso ou identificações
      • Códigos de acesso atribuídos a usuários; cada um recebe uma chave de acesso única e individual. A cada chave de acesso é associada uma senha destinada a autenticar a identidade do usuário que possui essa chave.
    • Listas de acesso
      • Constitui uma espécie de tabela onde constam o tipo e o nome do recurso, ao qual são associadas as identificações de usuários com os tipos de operações permitidas aos mesmos.
conceitos32
Conceitos
  • Controle de Acesso
    • Operações
    • Determinam o que cada usuário pode fazer em relação a determinado recurso. Normalmente, consistem no seguinte:
      • Leitura - o usuário pode somente consultar informações;
      • Gravação - o usuário pode incluir informações;
      • Alteração - o usuário pode alterar informações existentes;
      • Exclusão - o usuário pode excluir informações existentes;
      • Eliminação - o usuário pode eliminar o meio físico de suporte das informações;
      • Execução - em ambientes informatizados, permite que o usuário possa executar comandos ou programas contidos em arquivos.
conceitos33
Conceitos
  • Acesso Físico
    • Acesso ou posse de um ativo do ponto de vista físico é o uso que se faz de determinado recurso. No caso de informações, está representado pelo acesso ao meio de registro ou suporte que abriga as informações;
    • Normalmente, os riscos relacionados com o acesso físico afetam os meios de registro e suporte das informações, ao passo que os riscos relacionados com o acesso lógico afetam o conteúdo.
conceitos34
Conceitos
  • Plano de contingência
    • Um plano global destinado a manter o ambiente de informações da organização totalmente seguro contra quaisquer ameaças a sua integridade e disponibilidade.
    • Consiste em procedimentos de recuperação pré-estabelecidos, com a finalidade de minimizar o impacto sobre as atividades da organização no caso de ocorrência de um dano ou desastre que os procedimentos de segurança não conseguiram evitar.
    • Estatísticas européias demonstram que mais de três quartos das empresas que sofreram um desastre envolvendo a perda de seu ambiente de informações fecham imediatamente ou no máximo em dois anos.
conceitos35
Conceitos
  • Preservação e recuperação de informações
    • O conceito de preservação está ligado à necessidade de sobrevivência dos acervos de informações, evitando eventos que causem sua destruição.
    • O conceito de recuperação aplica-se a recursos que tenham sido destruídos ou danificados, permitindo que os mesmos sejam novamente disponibilizados para uso