Baixe o app para aproveitar ainda mais
Prévia do material em texto
Auditoria de Sistemas de Informação Aula 4 - Metodologia de Auditoria de Sistemas de Informação e Análise de Riscos Metodologia de ASI Descreve como funciona a auditoria na prática e as atividades que são realizadas em cada fase. ➔ Planejamento Delimita o escopo e os recursos a serem investidos na auditoria. ➔ Auditoria de Posição Refere-se ao levantamento e análise do ambiente auditado em um dado momento no tempo. ➔ Auditoria de Acompanhamento Refere-se ao processo de verificação e reavaliação dos pontos levantados em auditorias anteriores. Das aulas anteriores… Riscos Controle Interno Algo indesejável que pode acontecer Medidas que mantém os processos da empresa funcionando como projetado Metodologia de AIS Fonte: GIL et al (2018) Planejamento e controle Imagem de Mohamed Hassan por Pixabay. https://pixabay.com/pt/users/mohamed_hassan-5229782/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=3213924 https://pixabay.com/pt//?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=3213924 ➔ Uma das partes mais importantes do trabalho de auditoria. ➔ Define a necessidade de recursos e escopo em função do tempo definido. Auditoria de AcompanhamentoAuditoria de Posição Planejamento e controle Auditoria de AcompanhamentoAuditoria de Posição Planejamento e controle ➔ Identificação do tipo de auditoria ◆ Verificação de conformidade com padrões ◆ Melhoria processos sistematizados ◆ Compliance (conformidade) ● Sistema bancário com normas do BACEN ● Sistema de gerenciamento com regulamentos internos ● Sistema de saúde com LGPD ◆ Certificação ● Normas ISO, IEEE ◆ “Auditoria CSI” ➔ Formação de dois grupos: ◆ Coordenação: geralmente a alta gerência que irá direcionar os rumos da auditoria. ◆ Execução: auditores e técnicos que realizarão as atividades de auditoria. Auditoria de AcompanhamentoAuditoria de Posição Planejamento e controle Formação das equipes de auditoria ● Grupo de coordenação ○ Gerente de auditoria (coordenador dos trabalhos) ○ Gerentes que trabalham diretamente com o sistema a ser auditado ■ Gerente de Requisitos ■ Gerente de Desenvolvimento ■ Gerente de Testes ■ Gerente de Operações ■ Gerente de Suporte ao Produto ○ (Desejável) Coordenadores que trabalham em áreas afetadas ou afins ■ Coordenador de produto ■ Coordenador de RH (sistema de RH) ■ Coordenador de vendas (sistema de comércio online) ■ Coordenador de suprimentos (sistema de compras) ○ (Desejável) Alta Gerência (representante) ■ Diretor de TI ■ CIO Foto: Rodeo Project Management Software / Unsplash Formação das equipes de auditoria ● Grupo de trabalho ○ Auditores ○ Alguns representantes que trabalham diretamente com o sistema a ser auditado ■ Analista de Requisitos ■ Analista de Desenvolvimento ■ Analista de Testes ■ Analista de Operações ■ Analista de Suporte ao Produto ○ Algum representante de áreas diretamente afetadas ou afins ■ Analista de RH (sistema de RH) ■ Analista de vendas (sistema de comércio online) ■ Analista de suprimentos (sistema de compras) Foto: Rodeo Project Management Software / Unsplash Tarefas de cada grupo Foto: Rodeo Project Management Software / Unsplash ● Grupo de coordenação ○ Verificar se os trabalhos se alinham com os objetivos geral da empresa e do processo ○ Definição do objetivo ○ Definir o escopo ○ Aprovar orçamentos e cronogramas ○ Aprovar relatório final ou parecer de auditoria ● Grupo de trabalho ○ Elaborar os orçamentos e cronogramas ○ levantar recursos necessários para realização da auditoria ○ Realizar as análises e coletas de evidências ○ Escrever o relatório final ou parecer Planejamento e controle ● Elaboração de cronograma Fonte: GIL et al. (2018) ➔ Recursos financeiros, humanos e tecnológicos necessários ◆ planilhas ◆ quadro de reserva de recursos ◆ documentação pode variar de acordo com a empresa ➔ Elaboração de orçamento ◆ custo do projeto ◆ recursos financeiros disponíveis a serem aplicados ◆ Fonte dos recursos a serem investidos ● Capex, Opex, elemento econômico, etc.. Auditoria de AcompanhamentoAuditoria de Posição Planejamento e controle Dúvidas? ? ? ? ? ? ? ? ? ? Auditoria de Posição Imagem de Mohamed Hassan por Pixabay. https://pixabay.com/pt/users/mohamed_hassan-5229782/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=3213924 https://pixabay.com/pt//?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=3213924 ➔ Levantamento de ambiente ou sistema ➔ Identificação e inventário dos pontos de controle ➔ Priorização e seleção dos pontos de controles levantados ➔ Revisão e avaliação dos pontos de controle ➔ Conclusão Auditoria de AcompanhamentoAuditoria de Posição Planejamento e controle ➔ Levantamento de ambiente e/ou sistema ◆ Objetivos: ● Entender o sistema a nível macro. ● Entender os conceitos envolvidos em sua concepção, modelos, arquitetura e componentes. ◆ Técnicas: ● Entrevistas ● Análise de documentos ○ Diagramas de Fluxos ○ Dicionário de Dados ○ Modelo Entidade-Relacionamento, etc ◆ Importante: respeitar sempre o escopo previamente acordado Auditoria de AcompanhamentoAuditoria de Posição Planejamento e controle ➔ Levantamento de ambiente e/ou sistema ◆ Atividade: Realizar Levantamentos ● Objetivos: ○ Caracterizar o ambiente em um ponto temporal ○ Entender a lógica e funcionamento dos sistemas e procedimentos ○ Registrar, documentar e mapear o ambiente de trabalho alvo da auditoria Auditoria de AcompanhamentoAuditoria de Posição Planejamento e controle ➔ Levantamento de ambiente e/ou sistema ◆ Atividade: Realizar Levantamentos ● Ferramentas utilizadas: ○ Entrevistas e questionários ○ Análise de documental; ○ Análise de relatórios gerenciais; ○ Verificações presenciais ○ Papéis de trabalho ◆ Forma estruturada de organização dos materiais coletados durante a realização dos trabalhos de auditoria. Auditoria de AcompanhamentoAuditoria de Posição Planejamento e controle ➔ Levantamento de ambiente e/ou sistema ◆ Após o levantamento o auditor deverá ser capaz de: ● Entender, de forma geral, como funcionam os processos de trabalho ● Ter uma noção geral dos ambientes de trabalho das seções-alvo da auditoria ● Identificar as melhores estratégias e ferramentas a serem aplicadas na fase de verificação de controles ● Identificar pontos de controles do processo Auditoria de AcompanhamentoAuditoria de Posição Planejamento e controle ➔ Levantamento de ambiente ou sistema ➔ Identificação e inventário dos pontos de controle ➔ Priorização e seleção dos pontos de controles levantados ➔ Revisão e avaliação dos pontos de controle ➔ Conclusão Auditoria de AcompanhamentoAuditoria de Posição Planejamento e controle ➔ Identificação e inventário dos pontos de controle ◆ Objetivos: ● Identificar elementos que estão no escopo delimitado no planejamento e merecem ser levantados e validados pela auditoria. ● Identificar as fraquezas dos pontos de controle levantados ● Identificar possíveis riscos associados a essas fraquezas. Auditoria de AcompanhamentoAuditoria de Posição Planejamento e controle ➔ Identificação e inventário dos pontos de controle ◆ Atividade: Caracterizar ponto de controle ● Levantamento e delimitação do ambiente de ocorrência do ponto de controle. ● Descrição dos recursos envolvidos na sua execução: ○ humanos ○ tecnológicos ○ financeiros ○ materiais ● Análise de quais procedimentos operacionais e/ou administrativos acionam ou dependem do resultado deste controle. ● Mapeamento de quais resultados derivam direta ou indiretamente deste controle. Auditoria de AcompanhamentoAuditoria de Posição Planejamento e controle ➔ Identificação e inventário dos pontos de controle ◆ Atividade: Caracterizar ponto de controle ● Pontos a serem analisados: ○ Uso de banco de dados ○ Uso da representação gráfica WBS ○ classificação de parâmetros ○ entendimento de causa e efeitos ○ aplicação deindicadores e métricas ○ implicações na gestão de risco da organização ○ estratégias de revisão do controle interno Auditoria de AcompanhamentoAuditoria de Posição Planejamento e controle ➔ Identificação e inventário dos pontos de controle ◆ Após inventariar os pontos de controle, o auditor deverá ser capaz de: ● Entender, detalhadamente, como funcionam certos processos de trabalho. ● Ter uma visão geral dos ambientes de trabalho a que estão inseridos os pontos de controle analisados. ● Identificar quais os objetivos organizacionais são relacionados aos pontos de controles inventariados. ● Definir as melhores estratégias e ferramentas a serem aplicadas na fase de verificação de controles ● Definir quais as melhores métricas aplicáveis para a avaliação dos pontos identificados. Auditoria de AcompanhamentoAuditoria de Posição Planejamento e controle ➔ Levantamento de ambiente ou sistema ➔ Identificação e inventário dos pontos de controle ➔ Priorização e seleção dos pontos de controles levantados ➔ Revisão e avaliação dos pontos de controle ➔ Conclusão Auditoria de AcompanhamentoAuditoria de Posição Planejamento e controle ➔ Priorização e seleção dos pontos de controles levantados ◆ É executada pela coordenação ◆ Análise de risco → priorização das atividades que têm maior risco Auditoria de AcompanhamentoAuditoria de Posição Planejamento e controle ➔ Priorização e seleção dos pontos de controles levantados ◆ A execução da auditoria em determinados pontos de controle são, também, ponderados pela quantidade de recursos disponíveis para sua execução. Auditoria de AcompanhamentoAuditoria de Posição Planejamento e controle ➔ Matriz de risco gravidade do risco ch an ce d o r is co a co n te ce r ➔ Matriz de risco 5 4 3 2 1 1 2 3 4 gravidade do risco ch an ce d o ris co a co nt ec er ➔ Matriz de risco 5 Frequente: Ocorre continuamente. 4 Provável: Ocorre muitas vezes durante o ciclo de vida de um produto 3 Ocasional: Pode ocorrer alguma vez durante o ciclo de vida de um produto 2 Remoto: Dificilmente ocorrerá 1 Improvável: Muito improvável de acontecer, mas possível. ch an ce d o ris co a co nt ec er Fonte: US Army, MILITARY STANDARD SYSTEM SAFETY PROGRAM REQUIREMENTS. 1984 ➔ Matriz de risco Insignificante Marginal Crítico Catastrófico Vida Escoriações Pequenos ferimentos Incapacidade severa Morte Sistemas Perda ou indisponibilidade pontual de sistema Perda ou indisponibilidade restrita de sistema Perda ou indisponibilidade considerável de sistema Perda permanente de sistema Perda de dados Sem perda ou indisponibili- dade considerável de dados Breve indisponibilidade de dados Perda temporária de dados Perda permanente de dados Atividades empresariais Desempenho de atividades afetado pontualmente Desempenho de atividades levemente afetado Desempenho de atividades seriamente afetado Grande perda de faturamento ou paralisia das atividades Físico/ambiental Dano causal Pequenos danos Dano de grande monta Destruição completa Impacto atividades Impacto altamente contido Impacto local Impacto de médio prazo Impacto de Longo prazo Legal Sem risco de punição Punição questionável Risco de punição importante Risco de punição severa 1 2 3 4 gravidade do risco Adaptado de : US Army, MILITARY STANDARD SYSTEM SAFETY PROGRAM REQUIREMENTS. 1984 ➔ Matriz de risco 5 4 3 2 6 1 1 1 2 3 4 gravidade do risco ch an ce d o r is co a co n te ce r grau de risco ➔ Matriz de risco 5 5 10 15 20 4 4 8 12 16 3 3 6 9 12 2 2 4 6 8 1 1 2 3 4 1 2 3 4 gravidade do impacto ch an ce d o r is co a co n te ce r ➔ Matriz de risco 5 5 10 15 20 4 4 8 12 16 3 3 6 9 12 2 2 4 6 8 1 1 2 3 4 1 2 3 4 gravidade do risco ch an ce d o ris co a co nt ec er r ≤ 3 aceitável 4 ≤ r ≤ 7 aceitável com plano de gerenciamento 8 ≤ r ≤ 10 indesejável r > 10 inaceitável nível de aceitabilidade Dúvidas? ? ? ? ? ? ? ? ? ? Exemplo: Ataque de ransomware Ataque de ransomware Ataque de ransomware 5 Frequente: Ocorre continuamente. 4 Provável: Ocorre muitas vezes durante o ciclo de vida de um produto 3 Ocasional: Pode ocorrer alguma vez durante o ciclo de vida de um produto 2 Remoto: Dificilmente ocorrerá 1 Improvável: Muito improvável de acontecer, mas possível. Ataque de ransomware 5 Frequente: Ocorre continuamente. 4 Provável: Ocorre muitas vezes durante o ciclo de vida de um produto 3 Ocasional: Pode ocorrer alguma vez durante o ciclo de vida de um produto 2 Remoto: Dificilmente ocorrerá 1 Improvável: Muito improvável de acontecer, mas possível. Ataque de ransomware Insignificante Marginal Crítico Catastrófico Escoriações Pequenos ferimentos Incapacidade severa Morte Perda ou indisponibilidade pontual de sistema Perda ou indisponibilidade restrita de sistema Perda ou indisponibilidade considerável de sistema Perda permanente de sistema Sem perda ou indisponibili- dade considerável de dados Breve indisponibilidade de dados Perda temporária de dados Perda permanente de dados Desempenho de atividades afetado pontualmente Desempenho de atividades levemente afetado Desempenho de atividades seriamente afetado Grande perda de faturamento ou paralisia das atividades Dano causal Pequenos danos Dano de grande monta Destruição completa Impacto altamente contido Impacto local Impacto de médio prazo Impacto de Longo prazo Sem risco de punição Punição questionável Risco de punição importante Risco de punição severa 1 2 3 4 Ataque de ransomware Insignificante Marginal Crítico Catastrófico Escoriações Pequenos ferimentos Incapacidade severa Morte Perda ou indisponibilidade pontual de sistema Perda ou indisponibilidade restrita de sistema Perda ou indisponibilidade considerável de sistema Perda permanente de sistema Sem perda ou indisponibili- dade considerável de dados Breve indisponibilidade de dados Perda temporária de dados Perda permanente de dados Desempenho de atividades afetado pontualmente Desempenho de atividades levemente afetado Desempenho de atividades seriamente afetado Grande perda de faturamento ou paralisia das atividades Dano causal Pequenos danos Dano de grande monta Destruição completa Impacto altamente contido Impacto local Impacto de médio prazo Impacto de Longo prazo Sem risco de punição Punição questionável Risco de punição importante Risco de punição severa 1 2 3 4 Ataque de ransomware 5 5 10 15 20 4 4 8 12 16 3 3 6 9 12 2 2 4 6 8 1 1 2 3 4 1 2 3 4 gravidade do risco ch an ce d o ris co a co nt ec er r ≤ 3 aceitável 4 ≤ r ≤ 7 aceitável com plano de gerenciamento 8 ≤ r ≤ 10 indesejável r > 10 inaceitável Exemplo: Conversão de separador decimal incorreto no relatório gerencial interno Conversão de separador decimal incorreto no relatório gerencial interno 5 Frequente: Ocorre continuamente. 4 Provável: Ocorre muitas vezes durante o ciclo de vida de um produto 3 Ocasional: Pode ocorrer alguma vez durante o ciclo de vida de um produto 2 Remoto: Dificilmente ocorrerá 1 Improvável: Muito improvável de acontecer, mas possível. Conversão de separador decimal incorreto no relatório gerencial interno 5 Frequente: Ocorre continuamente. 4 Provável: Ocorre muitas vezes durante o ciclo de vida de um produto 3 Ocasional: Pode ocorrer alguma vez durante o ciclo de vida de um produto 2 Remoto: Dificilmente ocorrerá 1 Improvável: Muito improvável de acontecer, mas possível. Conversão de separador decimal incorreto no relatório gerencial interno Insignificante Marginal Crítico Catastrófico Escoriações Pequenos ferimentos Incapacidade severa Morte Perda ou indisponibilidade pontual de sistema Perda ou indisponibilidade restrita de sistema Perda ou indisponibilidade considerável de sistema Perda permanente de sistema Sem perda ou indisponibili- dade considerável de dados Breve indisponibilidade de dados Perdatemporária de dados Perda permanente de dados Desempenho de atividades afetado pontualmente Desempenho de atividades levemente afetado Desempenho de atividades seriamente afetado Grande perda de faturamento ou paralisia das atividades Dano causal Pequenos danos Dano de grande monta Destruição completa Impacto altamente contido Impacto local Impacto de médio prazo Impacto de Longo prazo Sem risco de punição Punição questionável Risco de punição importante Risco de punição severa 1 2 3 4 Conversão de separador decimal incorreto no relatório gerencial interno Insignificante Marginal Crítico Catastrófico Escoriações Pequenos ferimentos Incapacidade severa Morte Perda ou indisponibilidade pontual de sistema Perda ou indisponibilidade restrita de sistema Perda ou indisponibilidade considerável de sistema Perda permanente de sistema Sem perda ou indisponibili- dade considerável de dados Breve indisponibilidade de dados Perda temporária de dados Perda permanente de dados Desempenho de atividades afetado pontualmente Desempenho de atividades levemente afetado Desempenho de atividades seriamente afetado Grande perda de faturamento ou paralisia das atividades Dano causal Pequenos danos Dano de grande monta Destruição completa Impacto altamente contido Impacto local Impacto de médio prazo Impacto de Longo prazo Sem risco de punição Punição questionável Risco de punição importante Risco de punição severa 1 2 3 4 Conversão de separador decimal incorreto no relatório gerencial interno 5 5 10 15 20 4 4 8 12 16 3 3 6 9 12 2 2 4 6 8 1 1 2 3 4 1 2 3 4 gravidade do risco ch an ce d o ris co a co nt ec er r ≤ 3 aceitável 4 ≤ r ≤ 7 aceitável com plano de gerenciamento 8 ≤ r ≤ 10 indesejável r > 10 inaceitável Ataque de ransomware 5 5 10 15 20 4 4 8 12 16 3 3 6 9 12 2 2 4 6 8 1 1 2 3 4 1 2 3 4 gravidade do risco ch an ce d o ris co a co nt ec er r ≤ 3 aceitável 4 ≤ r ≤ 7 aceitável com plano de gerenciamento 8 ≤ r ≤ 10 indesejável r > 10 inaceitável Dúvidas? ? ? ? ? ? ? ? ? ? Seminário 1 Análise de risco Imagem de Mohamed Hassan por Pixabay. https://pixabay.com/pt/users/mohamed_hassan-5229782/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=3213924 https://pixabay.com/pt//?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=3213924 Objetivo: Estudar as diversas técnicas de análise de risco utilizadas no mercado Tarefa: Elaborar uma apresentação de 10 a 15 minutos sobre alguma técnica de análise de risco utilizada atualmente. Conteúdos: ● Conceito/objetivos da técnica escolhida ● Origens e desenvolvimento histórico ● Passo-a-passo da aplicação da técnica ● Pelo menos 1 exemplo de aplicação na área onde originalmente foi desenvolvida ● Pelo menos 2 exemplos aplicados em TI. Forma: O aluno está livre para utilizar a forma de apresentação que desejar sempre tendo em mente os recursos disponíveis em laboratório. “Reserva” de tópico: Para que duas pessoas não apresentem o mesmo tópico, será criado um tópico no canal “Geral” da disciplina na plataforma Teams onde cada aluno deverá observar os tópicos já escolhidos e responder com o tópico diferente a ser apresentado. Critérios de pontuação: Se o aluno apresentar um tópico repetido será penalizado em 40%. ● (20%) Conceito/objetivos da técnica escolhida ● (10%) Origens e desenvolvimento histórico ● (15%) Passo-a-passo da aplicação da técnica ● (15%) Pelo menos 1 exemplo de aplicação na área onde originalmente foi desenvolvida ● (30%) Pelo menos 2 exemplos aplicados em TI. Tempo: Desconto de 10% para cada minuto que faltar para completar 10 min. ou que exceder 15 min. Forma: Apresentações bem elaboradas ganham bônus de até 10%. Apresentações muito confusas/mal feitas podem perder até 10%. Prazo máxima para escolha de tópico: 9/9 23:59h Apresentação: 16/9 (1ª aula) Peso na nota final: 15% Dúvidas? ? ? ? ? ? ? ? ? ? Referências GIL, Antonio Loureiro. ARIMA, Carlos Hideo. Auditoria de Negócio com TI. 1a Edição. São Paulo: Saraiva Educação. 2018. SCHMIDT,Paulo. SANTOS, José Luiz. ARIMA, Carlos Hideo. Introdução à Auditoria de Sistemas de Informação. 2006. CASATI, João. Auditoria de Sistemas. Rio de Janeiro: SESES, 2016. UNIVERSIDADE ESTÁCIO DE SÁ. Auditoria e controles de seg. e classificação da informação UNIVERSIDADE DE CIÊNCIA E TECNOLOGIA DE HONG KONG. Information Systems Auditing, Controls and Assurance. 2023. In: coursera.org NAGATA, Hiromassa. GOMES, Estela Maria. Fundamentos de Auditoria e Auditoria de Sistemas.
Compartilhar