Auditando microcomputadores

Autor: Luiz Fernando Ballin Ortolani


Palestra
Palestrante Isaac Vicente Ferreira – Marcus Antonio E. Guimarães
Entidade: Petrobrás

Esta palestra apresentou as experiências executadas sobre o tema na PETROBRÁS. A necessidade de auditoria em micro-informática assume papel de importância em empresas com elevado número de equipamento e software.

A auditoria de microcomputadores permite identificar o uso inadequado de recursos de informática, prevenir acidentes com aplicações importantes e principalmente permitir reaproveitamento de software e hardware ociosos em determinado departamento para utilização por outro, evitando-se novos investimentos.

O primeiro aspectos a considerar no processo de auditoria é o estágio de evolução da micro-informática na empresa, considerando os seguintes aspectos:

- quando, porque, e como começou
- definição de compra ou aluguel
- padronização
- recursos humanos
- ligação micro/mainframe
- redes
- liberdade do usuário
- independência em relação aos sistemas corporativos
- processamento distribuído
- transformação do PC(Personal Computer) em BC(Business Computer)

Analisando os fatores acima, deve-se questionar sobre o valor das informações obtidas com aplicações em microcomputadores.

Entre as questões a serem respondidas, incluem-se:

- Qual o valor da informação?
- Qual o risco numa atividade?
- Qual a segurança e controle de acesso às aplicações?
- Como migraram os conceitos comuns em outros ambientes como:
. Documentação
. acesso lógico
. acesso físico
. manutenção
. backup
. organização de arquivos
. continuidade operacional

Como se mantém a memória da empresa com relação aos recursos humanos? (Turn-Over)
Durante a execução da auditoria deve-se observar:

- Software instalados e não utilizado - para permitir reaproveitamento por outras áreas da Empresa
- Capacidade ociosa de equipamentos
- Software com finalidades iguais instalados no mesmo micro
- Arquivos duplicados, pessoais, com elevado índice de fragmentação
- Compra de equipamento não justificada
- Controle de acesso lógico ( segurança)
- Desempenho de Hardware e de equipamentos: acompanhar a vida do equipamento, chamadas de manutenção
- Comparar a situação registrada do cadastro de hardware e software quando este existe. É de fundamental importância no processo. Registrar a situação: inexistente/desatualizado/outra

- Não realização de Backup
- Aplicativos desenvolvidos ou contratados de tecnologia ou estratégias não registrados no DEPIN (expõe a empresa no mercado)
- Inexistência de anti-vírus
- Vírus
- Documentação inexistente

A empresa deve se organizar no sentido de manter um Catálogo de Software para evitar duplicidade no desenvolvimento.

O processo de auditoria fundamenta-se em políticas, Normas e Padrões estabelecidos e amplamente divulgados nas instalações da empresa. Existe um processo de conscientização das responsabilidades de cada usuário perante a utilização de um equipamento e software da empresa.

As normas deverão contemplar os seguintes aspectos:

- Segurança física:
- equipamentos aterrados ligados a estabilizadores
- acesso a pessoas autorizadas
- iluminação, temperatura, umidade

Segurança lógica:

- software de controle de acesso
- pirataria
- procedimento anti-vírus
- registro de log

Backup de dados e programas fontes:

- periodicidade
- responsável
- local de guarda
- como recuperar
- Documentação

Manutenção de hardware:

- cronograma preventivo
- avaliação desempenho micro e serviços de manutenção

Cadastro de hardware, software e aplicativos:

- evitar duplicidade no desenvolvimento
- controlar movimentação entre departamentos

Utilização de winchester:

- organização dos subdiretórios
- nomenclatura
- alteração dos arquivos de configuração do sistema operacional: CONFIG.SYS e AUTOEXEC.BAT
- planejamento para melhor instalação do software
- winchester não é arquivo morto
- recuperação de arquivo apagado
- cuidados no transporte
- arquivos duplicados
- software para agrupar arquivos fragmentados
- utilização restrita aos negócios da empresa

O processo de auditoria:

- Localização do Software/Áreas/Número de Série
- Questionário de controle interno
- Identificação física/lógica
- Teste de vírus
- Número de Série
- Utilização do equipamento
- Relacionar aplicativos
- Bater cadastro de hardware e software com existente ( inclusive verão do software)
- Software adquirido e não utilizado alocado no departamento
- Analisar pesquisa de campo com cadastro para providências