Transcript Ferramentas de Auditoria

Ferramentas de Auditoria
Prof.: Cheila Bombana
Ferramentas de Auditoria
Instrumentos informatizados utilizados para realizar uma
atividade de auditoria.
• Auxiliam na extração, sorteio, seleção de dados e transações,
atentando para discrepâncias e desvios.
• Auxiliam nas atividades de planejamento, documentação e
geração de relatórios da auditoria.
Ferramentas de Auditoria
Exemplos de ferramentas para realizar atividades de auditoria.
Uma ferramenta pode substituir o parecer do Auditor?
Tipos de Ferramentas de Auditoria
• Software generalista de auditoria de Tecnologia da Informação.
• Softwares especialistas de Auditoria.
• Programas utilitários.
Software Generalista
Envolve o uso de software aplicativo em ambiente batch,
que pode processar, além de simulação paralela, uma variedade
de funções de auditoria de forma automatizada e nos formatos
que o auditor desejar.
Software Generalista - Exemplos
• ACL (Audit Command Language) : é um software de extração e
análise de dados desenvolvido no Canadá; http://www.acl.com
• IDEA (Interactiva Data Extraction & Analysis) software para
extração e análise de dados também desenvolvido no Canadá;
• Audimation: é a versão norte-americana do IDEA, da CasewareIDEA, que desenvolve consultoria e dá suporte para o produto;
http://www.audimation.com
Software Generalista - Exemplos
• Galileo: software integrado de gestão de auditoria. Inclui gestão
de riscos de auditoria, documentação e emissão de relatórios para
auditoria interna;
• Pentana: software de planejamento estratégico da auditoria,
sistema de planejamento e monitoramento de recursos, controle de
horas, registro de checklists e programas de auditoria, inclusive de
desenho e gerenciamento de plano de ação.
Software Generalista - Exemplos
SE Audit (Gestão de Auditorias): software que realiza o
gerenciamento de todas as etapas do processo de auditoria, desde
o planejamento e aprovação, até o monitoramento, seja ela interna
de fornecedores , e/ ou de organismos certificadores.
O SE Audit é um sistema 100% web, multiusuário e multidepartamental, que incorpora ferramentas de: organização,
classificação e pesquisa.
(demonstração)
http://www.softexpert.com.br/planejamento-controle-auditorias.php
Software Generalista - Segurança
Snort: é uma ferramenta NIDS, "open-source" bastante popular por
sua flexibilidade nas configurações de regras e constante
atualização frente às novas ferramentas de invasão .
Outro ponto forte desta ferramenta é o fato de ser leve,
pequeno, fazer escaneamento do micro e verificar anomalias dentro
de toda a rede ao qual seu computador pertence.
A utilização do Snort é indicada para monitorar redes
TCP/IP pequenas, onde pode detectar uma grande variedade do
tráfego suspeito, assim como ataques externos e então, fornece
argumento para as decisões dos administradores.
Os módulos que compõe o Snort são ferramentas
poderosas, capazes de produzir uma grande quantidade de
informação
sobre
os
ataques
monitorados.
http://www.snort.com.br/default.asp
Software Generalista - Segurança
Nessus: é uma ferramenta de auditoria muito usada para detectar
e corrigir vulnerabilidades nos PCs da rede local. Ele realiza uma
varredura de portas, detectando servidores ativos e simulando
invasões para detectar vulnerabilidades.
Era um aplicativo Open-Source, hoje continua sendo de
uso gratuito, mas o código fonte passou a ser fechado, para evitar a
concorrência predatória de outras empresas.
Existem versões do Nessus para diversos sistemas,
incluindo o Linux, Windows, FreeBSD e MacOS X. Ao usar a versão
Windows, é recomendável que você utilize o Windows 2003 ou
outra versão server do sistema.
http://www.nessus.org
Software Generalista - Segurança
Nmap (Network Mapper): é uma ferramenta de código aberto para
exploração de rede e auditoria de segurança. Ela foi desenhada
para escanear rapidamente redes amplas, embora também
funcione muito bem contra hosts individuais.
Determina quais hosts estão disponíveis na rede, quais
serviços os hosts oferecem, quais sistemas operacionais eles estão
executando e que tipos de filtro de pacotes/firewalls estão em uso.
Normalmente utilizado para auditorias de segurança, mas
muitos administradores de sistemas e rede consideram-no útil para
tarefas rotineiras como:
• inventário de rede;
• gerenciamento de serviços de atualização agendados;
• monitoramento de host ou disponibilidade de serviço.
http://insecure.org/nmap
Software Generalista
Vantagens:
• Pode processar vários arquivos ao mesmo tempo;
• Pode processar vários tipos de arquivos com formatos diferentes
(bancos de dados);
• Poderia também fazer uma integração sistêmica com vários tipos de
softwares ou hardwares;
• Reduz a dependência do auditor, sendo que evita o desenvolvimento
de aplicativos específicos para diferentes auditorias de Sistemas de
informação.
Software Generalista
Desvantagens:
• Como o processamentos das aplicações envolve gravações de
dados (arquivos) em separado para serem analisados, poucas
aplicações podem ser feitas em ambiente on-line;
• O software não consegue processar cálculos complexos, pois se
trata de um sistema generalista, não aprofunda na lógica e na
matemática muito complexas.
Softwares Especialistas
Consiste em programa desenvolvido especificamente para
certas tarefas em certas circunstâncias.
Vantagens:
• Pode atender sistemas ou transações não contempladas por
softwares generalistas;
• O auditor, quando consegue desenvolver softwares específicos,
pode utilizar isso como vantagem competitiva;
Desvantagens:
• Pode ser muito caro, pois terá uso limitado e normalmente restrito a
determinado cliente
• Atualização pode ser complicada devido a falta de recursos que
acompanhem as novas tecnologias.
Programas Utilitários
O auditor utiliza softwares utilitários para executar funções
muito comuns de processamento, como sortear arquivo, sumarizar,
concatenar, gerar relatórios. Pode ser editor de texto, planilhas(
Excel), ou recursos de bancos de dados como o SQLServer, Dbase2,
Oracle, etc.
Vantagem:
• Pode ser utilizado como alternativa na ausência de outros recursos.
Desvantagem:
• Sempre necessitará do auxílio do funcionário da empresa auditada
para operar a ferramenta (no caso de ferramentas complexas, como
bancos de dados).