Quando se pretende alcançar o sucesso organizacional, torna-se vital a utilização da tecnologia da informação, que se baseia em estudos essenciais na administração e gerenciamento de empresa.
O conceito de sistema é definido como um grupo de elementos inter-relacionados ou em interação que formam um todo unificado. Onde o grupo trabalha com interesses comuns, recebendo insumos e alcançando resultados no processo organizado de transformação.
“Sistema de Informação é o meio que providencia os meios de
armazenamento, geração e distribuição de informação com o
objectivo de suportar as funções de operação e gestão de uma
organização” [Layzell & Loucoupolus, 1987].Qualquer organização para sobreviver necessita de informação, quer para poder interagir com o seu meio ambiente, quer para permitir a interação entre as diferentes componentes da organização. É este fluxo de informação que permite á organização alcançar os objetivos que se propõe atingir.
Assim, partindo da definição comum de sistema, que sugere um grupo organizado de componentes agregados para interagir e cumprir um objetivo bem definido, podemos facilmente concluir que um SI é um sistema com a finalidade de produzir a já referida informação.
Em suma pode-se dizer que os SI são vistos como um sistema porque têm um objetivo, são constituídos por um conjunto de componentes, definem uma estrutura, um comportamento e um ciclo de vida:
- Objetivo: orientar a tomada de decisão.
- Componentes: dados, sistema de processamento de dados, canal de
comunicação.
- Estrutura: maneira como os diferentes processamentos de dados está ligados entre si.
- Comportamento: conjunto de procedimentos que se seguem para obter os dados, os processar e os enviar.
- Ciclo de Vida: É variável depende essencialmente das mudanças organizacionais que possam ocorrer na organização.
Os SI têm adquirido uma importância crescente, proporcional à relevância que
estes sistemas têm vindo a assumir na sociedade. É necessário ter em atenção, como o recurso a um SI adequado pode influenciar o aumento da produtividade nas diversas áreas de atividade.
SEGURANÇA DE SISTEMAS DE INFORMAÇÃO
A Segurança dos Sistemas de Informação é um dos elementos de maior valor na utilização da informação nas organizações modernas.
A segurança dos SI refere-se à proteção existente sobre as informações de uma determinada organização veiculadas através dos seus sistema de informação, e cujo conteúdo ou dado tenha valor para o seu proprietário.
Com a segurança dos SI pretende-se definir níveis de segurança e criar bases para a construção de planos de segurança de modo a assegurar os principais atributos que atualmente orientam a análise, planejamento e implementação de segurança do grupo de informações que se visam proteger.
Associados ao conceito de segurança estão diferentes tipos de ação como prevenção, detecção e reação. A prevenção tem como objetivo determinar o valor da informação e o risco a que esta está sujeito.
A detecção consiste na monitorar de modo a determinar, quando e como ocorreu o incidente e o responsável pelo mesmo. A reação consiste em levar a cabo ações que permitam repor a situação e eliminar o risco.
As expectativas do utilizador podem ser traduzidas em princípios de segurança de informação. A confidencialidade, a integridade e a disponibilidade. A primeira está relacionada com a prevenção da utilização, a integridade com a prevenção da modificação e a disponibilidade com a prevenção da retenção da informação.
- Princípio da Confidencialidade: Consiste em proteger a informação contra leitura e/ou cópia de forma a evitar que terceiros tenha acesso a informação sensível sem que tenha sido explicitamente autorizado pelo seu proprietário.
- Princípio da Disponibilidade: Consiste na proteção dos serviços prestados pelo sistema de forma que eles não sejam degradados ou se tornem indisponíveis, assegurando ao utilizador o acesso aos dados sempre que necessário.
- Princípio da Integridade: Consiste em proteger a informação contra modificações sem a permissão explícita do proprietário. A modificação inclui ações como escrita, alteração de conteúdo, alteração de status, remoção e inclusão de novas informações.
- Princípio da autenticidade: O princípio da autenticidade consiste na identificação correta de todos os utilizadores e equipamentos, assegurando ao receptor da informação que a origem desta é realmente a identificada.
POLITICA DE SEGURANÇA DE SISTEMAS DE INFORMAÇÃO
Uma PSSI pode ser definida resumidamente como um instrumento importante para proteger a organização contra ameaças à segurança da informação que a ela pertence ou que está sob sua responsabilidade.
Segundo Tom Peltier “Política significa coisas diferentes para diferentes pessoas”.
De uma forma mais complexa podemos definir PSSI como um processo:
- De negócio, cuja execução capacita a organização de proteção dos
seus recursos, implementando regras definidas a nível estratégico e de acordo com a política organizacional.
- Que traduz Standards de especificações de implementação.
- Que define procedimentos específicos de manipulação e proteção da informação que permitam reduzir as vulnerabilidades da organização.
- Que atribuem direitos e responsabilidades aos utilizadores.
- Que estipula penalizações para os não cumpridores.
AUDITORIA NO DESENVOLVIMENTO SE SISTEMAS
A proposta de participação da auditoria no desenvolvimento de sistemas tem a seguinte justificativa: seria muito tarde efetuar a auditoria para recomendar o aperfeiçoamento de controle interno de um sistema de informação implantado e operacionalizado. Conforme a natureza de recomendações da auditoria pode implicar o “redesenvolvimento” do sistema computadorizado, o que causaria diversas dificuldades de atendimento e cumprimento das tarefas propostas. A implantação de certos controles como “trilha de auditoria” em um sistema de informação computadorizado em produção pode acarretar:
- Reestudo e redesenvolvimento do próprio projeto.
- redimensionamento de recursos financeiros, materiais e humanos da informática.
- reimplantação do sistema de informação.
- Mudança de procedimentos operacionais do sistema de informação. Portanto o custo de investimento do projeto seria aumentado.
Como forma de atuação adequada do auditor na fase de desenvolvimento de sistemas computadorizados, existem 4 itens que devem ser ponderados:
1- Controles efetivos devem ser desenvolvidos no sistema, e não incluídos posteriormente.
2- Em geral, analistas de sistemas e programadores não têm dedicado tempo suficiente para controles.
3- Auditores devem dedicar-se mais em desenvolvimento de sistemas para assegurar a implantação de controles adequados.
4- Auditores devem informar a administração de que um sistema de controles não trata somente do conceito tradicional de controle interno, mas é também um instrumento para conseguir eficiência operacional do sistema de informação.
Essa filosofia de atuação tem sido uma das formas de se conseguir minimizar a ocorrência de problemas de erros, tanto intencionais ou não, bem como de tentativas de operações não autorizadas nos sistemas de informação.
PADRÕES DE CONTROLE E SEGURANÇA A SEREM OBSERVADOS NA ESPECIFICAÇÃO DO SISTEMA.
Para facilitar o processo de revisão e acompanhamento da implantação de controles, mostraremos 3 grupos que julgamos ser importantes para o controle e segurança. Trilha de auditoria, totais de controle de arquivos e/ou banco de dados e relatórios de gestão.
Trilha de auditoria: Rotina de controle que permite recuperar de forma inversa, as informações processadas através da reconstituição da composição das mesmas, devidamente demonstradas tanto de forma sintética quanto analítica se for necessário.Exemplos:
- totais de controle apresentados a cada processamento de módulos de sistema que possibilita acompanhar a produção física de processamento dos dados.
- Relatórios analíticos e sintéticos físico-financeiros provenientes de processamento das informações do sistema.
- contabilização com código do usuário, data e hora das atualizações realizadas no respectivo registro do cadastro mestre e etc.
Totais de controle de arquivos e/ou banco de dados: Os registros de totais de controle em arquivos seqüenciais são denominados de “header” para o primeiro e “trailler” para ultimo registro de controle. No caso de um arquivo indexado ou banco de dados, é constituído apenas de “header” ou registro totalizador. Eles tem por objetivo preservar o arquivo magnético contra eventuais violações de dados, inclusão ou exclusão indevida de registros extra sistemas que podem ser detectados durante o processamento de sistema em condições normais.
Esses totais de controle podem ser:
- quantidade de registros existentes em um arquivo magnético.
- valores totais.
- “hash-total” dos campos numéricos, etc.
Relatórios de Gestão: Esses relatórios devem permitir a identificação das ocorrências de anomalias ou irregularidades de processamento de sistemas de informação, apurar índices ou indicadores de qualidade das informações constantes em arquivos magnéticos e auxiliar no estabelecimento de critérios de seleção de informações para avaliação. Como exemplos temos:
- relatório de curva “ABC” com freqüência de movimentação ou de composição de registros de um determinado arquivo magnético.
- relatórios ou telas com indicadores de movimentação física ou financeira de cadastros mestres.
- índices de ocorrências de inconsistências de arquivos com registros pendente, etc.
