Tip:
Highlight text to annotate it
X
Olá, caros acadêmicos! Sejam bem-vindos
ao último vídeo da disciplina de Segurança
em Tecnologia da Informação, o qual se
refere à terceira unidade do seu Caderno de
Estudos e tem o objetivo de proporcionar
conhecimentos complementares deste
conteúdo, cujo foco é a Auditoria de
Sistemas de Informação.
A segurança da informação é um assunto
muito amplo.
Vimos que sua abrangência é
consideravelmente diversa.
Sob o ponto de vista pessoal, percebemos
seus principais riscos, cujas ações maliciosas
influenciam diretamente a saúde dos
ambientes informacionais.
Neste amplo e variado cenário, são muitas
as vulnerabilidades que devem ser tratadas.
Além de considerar as investidas das
intenções maliciosas, também existem os
fatores sobre os quais não podemos ter
controle, e nestes estão incluídos, por
exemplo, os eventos catastróficos.
Nesse sentido, todos os aspectos da
segurança da informação vistos até agora
têm o objetivo de salvaguardar basicamente
o ambiente e a informação das ações
consideradas maléficas ou não.
Já sob outra ótica da segurança da
informação, é relevante analisar o grau de
conformidade com que os sistemas de
informação estão atuando em relação aos
seus propósitos, ou seja, se os agentes
envolvidos com os sistemas de informação,
sejam eles os fornecedores ou os usuários,
estão fazendo uso adequado de todos os
recursos que incorporam o ambiente informacional.
Não somente sobre a correta e sigilosa
manipulação dos dados e as informações,
mas, também, da geração dos resultados
dos processamentos por estes sistemas de
informação, para prover a garantia total da
veracidade do teor das informações
constantes nas demonstrações
apresentadas, tanto dos relatórios como
nas consultas das bases de dados.
Então, o ponto central desta parte da
segurança da informação é prezar pela
garantia de que os resultados gerados pelos
sistemas de informação estejam em
conformidade com a realidade dos fatos,
principalmente das áreas financeira e
contábil das organizações.
Também entram nesta lista os aspectos das
obrigações das empresas em relação ao
fisco, sejam estes nos âmbitos municipal,
estadual ou federal.
Estas obrigações devem ser atendidas para
que as empresas não venham a sofrer
sanções pelo não cumprimento da
legalidade e que a falta de transparência
não venha a atrapalhar as suas relações
com seus parceiros comerciais, ou seja, os
seus clientes e fornecedores.
O que fica caracterizado nestas Auditorias
de Sistemas é que tais atividades
necessitam ser realizadas por profissionais
com conhecimentos mistos, tanto da área
de auditoria quanto da área
de sistemas de informação.
Desta forma, o grau de domínio destas
áreas de conhecimento irá determinar a
eficiência dos resultados destas auditorias.
Inicialmente, a auditoria, como disciplina,
tinha como seu principal propósito avaliar
resultados contábeis das organizações.
Hoje, esta matéria se ampliou e chegou até
os sistemas de informação, nos quais estão
incluídos o hardware, o software, o
processamento dos dados, todo tipo de
armazenamento de dados ou a saída na
forma impressa de informações nos
relatórios ou nas interfaces de consultas.
Recentemente, um conceito que surgiu e
que é bem difundido pela Governança de TI,
o denominado "Compliance", e que significa
o cumprimento de obrigações legais, ou
seja, cumprir e estar em acordo com as
exigências legais impostas
por órgãos reguladores.
Podemos citar como exemplos bem
interessantes para serem analisados, a lei
Sarbanes-Oxley e o Acordo da Basileia.
A lei americana Sarbanes-Oxley, abreviada
por SOX, teve sua criação motivada
principalmente por ações inescrupulosas de
gestores mal intencionados na
apresentação dos resultados financeiros de
algumas empresas, e assim, quando
descobertas estas falcatruas, a lei se
encarregou de estabelecer rígidos controles
sobre a geração destes resultados, que a
partir de sua promulgação tiveram que
passar a apresentar as evidências dos
números apresentados.
Mas os controles vão além dos resultados
obtidos por estes sistemas de informação, e
quando falamos que o "Compliance" tem
influência direta na tecnologia de
informação, estamos precisamente nos
referindo a como os sistemas de informação
estão sob auditoria no processo do ciclo de
vida destes sistemas de informação.
Estas auditorias estão presentes no
momento de validar as suas versões e dos
programas que sofreram manutenções.
As atividades de controle sobre o teor dos
levantamentos de novos requisitos de
software, suas implementações, ***,
homologações e liberações das versões
contendo as alterações propostas
pertencem aos auditores credenciados e
certificados nesta lei para realizar a
aprovação ou não do escopo executado.
O outro exemplo é o Acordo da Basileia.
Instituições financeiras de diversas
nacionalidades, apoiadas pelos governos
federais, juntaram-se para criar um acordo
internacional que viesse a estabelecer
diretrizes para a operação das entidades
financeiras, no tocante ao controle
operacional e de riscos envolvendo
a área financeira.
Foi então criado no ano de 1975 o BCBS
(Basel Committee on Banking Supervision).
De lá para cá, muitas atualizações foram
feitas nos critérios técnicos e regras da
avaliação dos riscos operacionais em torno
das instituições financeiras.
Estas ações têm o objetivo de proteger
estas instituições de eventuais falências por
falta de controle e avaliação
sobre as operações.
O referido comitê, com sede na Basileia,
Suíça, por isso o nome de Acordo da
Basileia, é ligado ao BIS
(Bank for International Settlements),
cuja criação data de 1930.
Desta forma, podemos concluir que os
sistemas de informação responsáveis para
prover o apoio para estas instituições
financeiras necessitam estar em
conformidade com as diretrizes propostas
por este acordo.
Estes devem prezar pelo controle efetivo
dos valores monetários operacionalizados
pela referida instituição.
Devem oferecer total controle das
operações liberadas e, quando da aplicação
das auditorias, as demonstrações das
evidências deverão estar em conformidade
com as diretrizes.
Certamente, ao aderir a este tipo de acordo,
as instituições financeiras e de crédito
passaram a obter diversas vantagens, com o
alcance de resultados mais expressivos,
seguros e transparentes, pois, por exemplo,
passaram a avaliar com critérios bem mais
apurados a sua forma de atuação.
Desta forma, concluímos o terceiro vídeo!
Desejamos que você faça um ótimo
proveito deste material.
Estes assuntos estão muito presentes nos
programas de Governança de TI nas
organizações e ganham considerável
notação no meio da tecnologia da
informação, como forma de
apoio aos negócios.
E, como já citamos, podem ser uma ótima
oportunidade profissional.
Bons estudos e até breve!