Auditando microcomputadores
Palestra
Palestrante Isaac Vicente Ferreira – Marcus Antonio E. Guimarães
Entidade: Petrobrás
Esta palestra apresentou as experiências executadas sobre o tema na PETROBRÁS. A necessidade de auditoria em micro-informática assume papel de importância em empresas com elevado número de equipamento e software.
A auditoria de microcomputadores permite identificar o uso inadequado de recursos de informática, prevenir acidentes com aplicações importantes e principalmente permitir reaproveitamento de software e hardware ociosos em determinado departamento para utilização por outro, evitando-se novos investimentos.
O primeiro aspectos a considerar no processo de auditoria é o estágio de evolução da micro-informática na empresa, considerando os seguintes aspectos:
- quando, porque, e como começou
- definição de compra ou aluguel
- padronização
- recursos humanos
- ligação micro/mainframe
- redes
- liberdade do usuário
- independência em relação aos sistemas corporativos
- processamento distribuído
- transformação do PC(Personal Computer) em BC(Business
Computer)
Analisando os fatores acima, deve-se questionar sobre o valor das informações obtidas com aplicações em microcomputadores.
Entre as questões a serem respondidas, incluem-se:
- Qual o valor da informação?
- Qual o risco numa atividade?
- Qual a segurança e controle de acesso às aplicações?
- Como migraram os conceitos comuns em outros ambientes como:
. Documentação
. acesso lógico
. acesso físico
. manutenção
. backup
. organização de arquivos
. continuidade operacional
Como se mantém a memória da empresa com relação
aos recursos humanos? (Turn-Over)
Durante a execução da auditoria deve-se observar:
- Software instalados e não utilizado - para permitir reaproveitamento
por outras áreas da Empresa
- Capacidade ociosa de equipamentos
- Software com finalidades iguais instalados no mesmo micro
- Arquivos duplicados, pessoais, com elevado índice de fragmentação
- Compra de equipamento não justificada
- Controle de acesso lógico ( segurança)
- Desempenho de Hardware e de equipamentos: acompanhar a vida do equipamento,
chamadas de manutenção
- Comparar a situação registrada do cadastro de hardware
e software quando este existe. É de fundamental importância
no processo. Registrar a situação: inexistente/desatualizado/outra
- Não realização de Backup
- Aplicativos desenvolvidos ou contratados de tecnologia ou estratégias
não registrados no DEPIN (expõe a empresa no mercado)
- Inexistência de anti-vírus
- Vírus
- Documentação inexistente
A empresa deve se organizar no sentido de manter um Catálogo de Software para evitar duplicidade no desenvolvimento.
O processo de auditoria fundamenta-se em políticas, Normas e Padrões estabelecidos e amplamente divulgados nas instalações da empresa. Existe um processo de conscientização das responsabilidades de cada usuário perante a utilização de um equipamento e software da empresa.
As normas deverão contemplar os seguintes aspectos:
- Segurança física:
- equipamentos aterrados ligados a estabilizadores
- acesso a pessoas autorizadas
- iluminação, temperatura, umidade
Segurança lógica:
- software de controle de acesso
- pirataria
- procedimento anti-vírus
- registro de log
Backup de dados e programas fontes:
- periodicidade
- responsável
- local de guarda
- como recuperar
- Documentação
Manutenção de hardware:
- cronograma preventivo
- avaliação desempenho micro e serviços de manutenção
Cadastro de hardware, software e aplicativos:
- evitar duplicidade no desenvolvimento
- controlar movimentação entre departamentos
Utilização de winchester:
- organização dos subdiretórios
- nomenclatura
- alteração dos arquivos de configuração do
sistema operacional: CONFIG.SYS e AUTOEXEC.BAT
- planejamento para melhor instalação do software
- winchester não é arquivo morto
- recuperação de arquivo apagado
- cuidados no transporte
- arquivos duplicados
- software para agrupar arquivos fragmentados
- utilização restrita aos negócios da empresa
O processo de auditoria:
- Localização do Software/Áreas/Número de
Série
- Questionário de controle interno
- Identificação física/lógica
- Teste de vírus
- Número de Série
- Utilização do equipamento
- Relacionar aplicativos
- Bater cadastro de hardware e software com existente ( inclusive verão
do software)
- Software adquirido e não utilizado alocado no departamento
- Analisar pesquisa de campo com cadastro par providências
