Análise de práticas de auditoria em sistemas de informação: estudo de caso.

Abstract

A presente dissertação tem como objetivo principal analisar as práticas de auditoria em Sistemas de Informação (SI) num Instituto Público aqui designado Apoio Social. Assim, pretende-se efectuar uma avaliação das práticas de auditoria em SI, em conformidade com a norma internacional ISO/IEC 27002:2005, nomeadamente: avaliar a importância dos SI, a sua política de segurança, garantindo a precisão dos dados, impedindo a destruição e utilizando com eficiência os recursos informáticos; verificar a integridade, fiabilidade e confidencialidade dos SI, de forma a merecerem confiança e analisar ainda o controlo de entrada e saída de dados. Adotou-se uma abordagem do tipo qualitativo, tendo-se desenvolvido um estudo de caso, cuja finalidade será validar os objetivos mencionados anteriormente. Assim, da análise efetuada às práticas de auditoria em SI do referido Instituto, concluiu-se que de uma forma geral, os requisitos estabelecidos na norma internacional ISO / IEC 27002:2005 são devidamente cumpridos. No entanto, a referida análise, evidenciou algumas lacunas, relativamente à segurança do equipamento, devido a bloqueios e avarias das aplicações informáticas ou da infra-estrutura (hardware) e consequente perda de informação, em virtude de, não estarem conforme as diretrizes estabelecidas na referida norma. Também e no que concerne à gestão de operações e comunicações, se constatou um desconhecimento da existência de responsáveis pela introdução de dados e a consequente comunicação dos seus procedimentos e responsabilidades, pelo que não estão de acordo com os requisitos legais da norma internacional. This dissertation is an analysis of the role of the audit of information systems in a designated here as Public Social Aid Institute. Thus, we intend to make an assessment of audit practices in IS, in accordance with International Standard ISO / IEC 27002:2005, namely: evaluate the importance of IS, its security policy, ensuring accuracy of data by preventing the destruction and using computing resources efficiently, verify the integrity, reliability and confidentiality of SI in order to merit confidence and further analyze the control input and output data. Adopted an approach of qualitative type, having developed a case study, whose purpose is to validate the objectives mentioned above. Thus, from analysis of the practices in IS audit of the Institute, it was concluded that in general, the requirements of international standard ISO / IEC 27002:2005 are properly met. However, this analysis showed some gaps, concerning the safety of the equipment due to blockages and malfunctions of computer applications or infrastructure (hardware) and consequent loss of information due to not being in accordance with the guidelines set out in this standard. And also as regards the management of operations and communications, was found an ignorance of the existence of those responsible for data entry and subsequent communication of its procedures and responsibilities, so they are not in accordance with the legal requirements of international standard.