Baixe o app para aproveitar ainda mais
Prévia do material em texto
Auditoria de Sistemas de Informação Aula 2 - Auditoria de Sistemas de Informação, Riscos Agenda do dia ➔ A auditoria de sistemas de informação Os objetivos e motivos para auditar a TI ➔ Objetivos da Auditoria de SI O que se quer ao auditar sistemas de informação? ➔ Níveis de atuação da auditoria de SI Em quais níveis gerenciais a auditoria atua ➔ Áreas de atuação da auditoria de SI Em quais áreas a auditoria atua Auditoria de Sistemas de Informação Auditoria: ● Atividade de identificar controles, avaliar riscos e conformidades e reportá-los. Imagem de wayhomestudio no Freepik Objetivos da auditoria de SI ● Segurança ○ Proteção física dos ativos de TI. ○ Proteção contra uso não autorizado de ativos. ○ Roubo/ furto/ perda de equipamentos. Imagem de rawpixel.com no Freepik Objetivos da auditoria de SI ● Integridade de dados ○ Garantir precisão no processamento de dados. ○ Completude/corretude dos processamentos. ○ Consistência de dados. Imagem de rawpixel.com no Freepik Objetivos da auditoria de SI ● Eficácia no atingimentos de metas organizacionais ○ Alinhamento com os objetivos organizacionais ○ Atingimento dos objetivos dos SI ○ Cumprimento das normas e regulamentos Imagem de rawpixel.com no Freepik Objetivos da auditoria de SI ● Eficiência no processamento de dados ○ Nível de utilização dos recursos computacionais ○ Reduzir o nível de desperdício de recursos. ○ Melhora nos processos de utilização de recursos Imagem de rawpixel.com no Freepik Nível de atuação da auditoria Nível Operacional ● Escopo: ○ procedimentos ○ fluxos de informações ○ aderência aos processos ● Objetivo: ○ verificar se os procedimentos e métodos de trabalhos propostos estão sendo efetivamente seguidos pelos colaboradores. Foto: Rodeo Project Management Software / Unsplash Nível de atuação da auditoria Nível Gerencial ● Escopo: ○ alinhamento estratégico ○ eficiência dos processos ○ supervisões, gerências e diretorias ● Objetivo: ○ verificar o alinhamento estratégico dos processos com os objetivos corporativos e a se os processos apresentam eficiência e eficácia satisfatórios. Foto: Rodeo Project Management Software / Unsplash Nível de atuação da auditoria Nível Estratégico ● Escopo: ○ governança ○ visão da empresa / objetivos do órgão ○ alinhamento dos altos executivos ● Objetivo: ○ verificar se a gestão da empresa está compatível com os objetivos e a visão corporativa. ○ verificar se a alta diretoria age em alinhamento com estes objetivos. Foto: Rodeo Project Management Software / Unsplash Onde atua a auditoria de SI Foto: jannoon028/Freepik Sistemas em produção ● Monitoramento de falhas ● Resposta às falhas de sistemas ● Verificação de processamento ● Otimização de recursos consumidos Desenvolvimento de sistemas ● Testes de completude, corretude, consistência, etc ● Testes de performance ● Adequação à estratégia da empresa ● Procedimentos de desenvolvimento do sistema (otimizar) Onde atua a auditoria de SI Foto: jannoon028/Freepik Ambiente de TI ● Estrutura organizacional ● Procedimentos e políticas de TI ● Contratos de SW e HW ● Aderência a normas técnicas e operacionais ● Controle de custos ● Controle do nível de utilização dos recursos de TI ○ máquinas ○ humanos ○ rede ● Planos de segurança e contingência E se a gente não auditar? Foto: Freepik ● Risco de tomar decisões equivocadas ● Risco de queda de qualidade dos serviços prestados ● Risco de insatisfação do cliente ● Risco de perdas financeiras ● Risco de falência Risco é tão perigoso assim? Dúvidas? ? ? ? ? ? ? ? ? ? Riscos Riscos Vamos explorar brevemente alguns dos tipos mais comuns de auditoria quanto ao órgão fiscalizador ➔ Definição A final de contas, o que é risco? ➔ Por que assumir riscos? ➔ Gerenciamento de riscos ◆ Avaliação de riscos ◆ Mitigação de riscos ◆ Reavaliação periódica de riscos Auditoria e os riscos ● Uma das funções da auditoria é evitar a assunção exagerada de riscos por parte da empresa/órgão ao exercer suas atividades. ● Assumir risco demais (ou desconhecer os riscos assumidos) pode levar a situações catastróficas e não contribui para a sustentabilidade da empresa. ● A tomada de decisão precisa, sempre, vir acompanhada de mapeamento dos riscos a serem tomados. Foto: Freepik Definição de ameaça ● É um evento ou uma atitude que tem o potencial de causar efeitos indesejáveis na organização ● Em TI: é um evento ou atitude que pode comprometer os ativos de TI da organização. Foto: Freepik Exemplos de ameaças em TI ● Ataque cibernético ● Exploração de falhas ● Fraudes ● Incêndios, curto-circuitos, falta de energia elétrica ● Contaminação da rede por malwares ● Roubo de equipamentos ● Acesso indevido a dados confidenciais Foto: Freepik Ameaças acidentais ● Acontece pela ação proposital de algum indivíduo ○ Assalto ○ Furto ○ Roubo ○ Ataque cibernético ○ Fraude Ameaças deliberadas ● Pode acontecer independente- mente da vontade ou ação de algum indivíduo ○ Descarga atmosférica ○ Falha em hardware ○ Queda de energia elétrica Ameaças ativas ● São ameaças deliberadas que não alteram dados da organização ○ Acesso a dados não autorizados Ameaças passivas ● São ameaças deliberadas que são capazes de alterar dados da organização ○ Defacing ○ Ransomware ○ Incêndio criminoso no CPD Ameaças internas ● São ameaças que se originam fora da organização ○ Ransomware ○ Ataque cibernético ○ Raio Ameaças externas ● São ameaças que têm origem dentro da organização ○ Fraude ○ Venda de dados Definição de risco ● Risco é a possibilidade de alguma ameaça se concretizar. ● ISO 27001: Em Segurança da Informação, o risco pode ser expresso como o efeito da incerteza sobre os objetivos da Segurança da Informação. ○ Qualquer evento possível de acontecimento que coloque em xeque os objetivos de TI, é um risco do ponto de vista da TI. ○ É importante notar que nem sempre o risco é resultado de alguém fazendo alguma ação! (lembre-se da ameaça acidental). Foto: Freepik Definição de risco ● Risco não é, necessariamente, probabilidade! Foto: Freepik Definição de vulnerabilidade ● Também conhecido como fraqueza, deficiência ou brecha. ● É uma característica que, quando explorada, gera um sinistro ou potencializam os danos causados por um sinistro. ○ Autenticação fraca ○ Bibliotecas desatualizadas ○ Ausência de sistemas de controle de acesso físico ○ Processos de trabalhos ineficientes ○ Não aderência a procedimentos especificados Foto: Freepik Definição de sinistro ● Também conhecido como ataque. ● É a concretização de um risco geralmente através da exploração de uma vulnerabilidade. ○ Roubo de dado ○ Invasão de sistemas computacionais ○ Ocorrência de dados aos equipamentos ○ Indisponibilidade de recursos computacionais ○ Morte de pessoas ○ Ataque de DDoS Foto: Freepik Definição de impacto ● É a consequência da ocorrência de um sinistro. ○ Impacto Direto: Aquele mensurável, geralmente causa prejuízo financeiro imediato. ■ Indisponibilidade de sistemas ■ Perda de recursos de TI ■ Perda de dados Foto: Freepik Definição de impacto ● É a consequência da ocorrência de um sinistro. ○ Impacto Indireto: Aquele imensurável, que envolve a percepção subjetiva dos cliente, fornecedores ou colaboradores. ■ Perda de prestígio perante os clientes ■ Diminuição na percepção da qualidade dos serviços prestados ■ Recusa em fornecimento de insumos ■ Diminuição da produtividade dos colaboradores Foto: Freepik Medida de impacto ● O dano causado por um sinistro pode ser medido em várias escalas. ● Exemplo: escala 0 a 5 ○ 0: impacto irrelevante ○ 1: Pouco impacto. Processos quase não afetados ○ 2: Poucos danos. Pequenas quedas de sistemas, poucos danos financeiros ○ 3: Perdas significativas ○ 4: Perdas catastróficas. ○ 5: Danos que comprometem a sobrevivência da empresa. Foto: Freepik Entendendoa relação entre os conceitos: Dúvidas? ? ? ? ? ? ? ? ? ? Gerenciamento de Riscos ● Framework simplista para lidar com os riscos inerentes ao negócio. ● Objetivo: identificar riscos associados às atividades desenvolvidas pela organização e diminuir exposição a riscos indesejados. Ciclo de Gerenciamento de Riscos Ilustração: o autor ● Caracterização da ameaça, risco, da vulnerabilidade e impacto. ● A ideia é conhecer melhor o “inimigo”. Ciclo de Gerenciamento de Riscos Ilustração: o autor 1 - Avaliar ● Ameaça: assalto ● Acidental ou deliberada? ○ Deliberada! ● Interna ou externa? ○ Depende! ● Vulnerabilidades exploradas? ○ Segurança interna falha ○ Falta de controle de acesso ○ Falta de iluminação ● Impactos diretos e indiretos? ○ Dano material ○ Problemas psicológicos (trauma) ○ Sensação de insegurança Ciclo de Gerenciamento de Riscos Ilustração: o autor 1 - Avaliar ● Ameaça: queda de raio ● Acidental ou deliberada? ○ Acidental! ● Interna ou externa? ○ Externa! ● Vulnerabilidades exploradas? ○ Falta de SPDA ○ Falta de equipamentos reserva ● Impactos diretos e indiretos? ○ Dano material ○ Indisponibilidade de sistemas ○ Perda de dados Ciclo de Gerenciamento de Riscos Ilustração: o autor 1 - Avaliar ● Ameaça: ransomware ● Acidental ou deliberada? ○ Deliberada! ● Interna ou externa? ○ Externa! ● Vulnerabilidades exploradas? ○ S.O. desatualizado ○ Uso de programas não licenciados ○ Uso de bibliotecas desatualizadas ● Impactos diretos e indiretos? ○ Dano material ○ Perda de dados ○ Paralisação das atividades Ciclo de Gerenciamento de Riscos Ilustração: o autor 1 - Avaliar ● Definição: tornar suave, aliviar, diminuir intensidade ● Em auditoria: ○ diminuir a intensidade dos danos ○ diminuir a probabilidade de sinistro ● Ideia central: ○ Implementar medidas para que o risco avaliado tenha menos chances de se materializar ou gere danos da menor monta possível caso ele ocorra. Ciclo de Gerenciamento de Riscos Ilustração: o autor 2 - Mitigar ● É impossível eliminar completamente todos os riscos. ● Conforme o risco é reduzido, fica cada vez mais caro reduzi-lo ainda mais. Ciclo de Gerenciamento de Riscos Ilustração: o autor 2 - Mitigar ● Exemplos de ações para mitigar riscos: ○ implementar controle ○ transferir o risco para um terceiro ■ seguro ○ não realizar a atividade arriscada Ciclo de Gerenciamento de Riscos Ilustração: o autor 2 - Mitigar ● Ameaça: assalto ● Como mitigar? ○ Revisão e implementação de dispositivos de segurança ○ Implantação de controle de acesso ○ Melhora na iluminação ○ Contratação de segurança armada Ciclo de Gerenciamento de Riscos Ilustração: o autor 2 - Mitigar ● Ameaça: queda de raio ● Como mitigar? ○ Implantação de pára-raio ○ Compra de máquinas extras ○ Investimento em nobreak e/ou gerador Ciclo de Gerenciamento de Riscos Ilustração: o autor 2 - Mitigar ● Ameaça: ransomware ● Como mitigar? ○ Atualização periódica do S.O. ○ Reescrita de códigos que usam bibliotecas abandonadas ○ Proibição de utilização de produtos não licenciados Ciclo de Gerenciamento de Riscos Ilustração: o autor 2 - Mitigar ● Repetir procedimento de avaliação ● Objetivo: ○ capturar incremento ou decremento do nível de risco decorrentes de outras atividades ou mudanças organizacionais, por exemplo. ○ o ambiente de negócios é muito dinâmico, o surgimento de novas tecnologias, por exemplo, pode levar na mudança de percepção de risco. Ciclo de Gerenciamento de Riscos Ilustração: o autor 2 - Reavaliar ● Outros eventos que podem causar reavaliação: ○ mudanças de legislação ■ LGPD. ○ eventos societários ■ aquisição ■ fusão ○ eventos organizacionais ■ novo CEO ○ lançamento de novo produto ○ mudança na área de atuação Ciclo de Gerenciamento de Riscos Ilustração: o autor 2 - Reavaliar ● Por tempo ○ reavaliação pode ser feita por tempo ○ para tanto, deve-se registrar a frequência com que os riscos serão avaliados ○ frequência pode avaliar de acordo com os impactos esperados, por exemplo ● Não é aceitável ignorar a reavaliação de riscos! Ciclo de Gerenciamento de Riscos Ilustração: o autor 2 - Reavaliar Exemplo de análise de risco: https://www.linkedin.com/embed/feed/update/urn:li:ugcPost:70725314446102 69185?compact=1 https://www.linkedin.com/embed/feed/update/urn:li:ugcPost:7072531444610269185?compact=1 https://www.linkedin.com/embed/feed/update/urn:li:ugcPost:7072531444610269185?compact=1 Dúvidas? ? ? ? ? ? ? ? ? ? Referências GIL, Antonio Loureiro. ARIMA, Carlos Hideo. Auditoria de Negócio com TI. 1a Edição. São Paulo: Saraiva Educação. 2018. SCHMIDT,Paulo. SANTOS, José Luiz. ARIMA, Carlos Hideo. Introdução à Auditoria de Sistemas de Informação. 2006. CASATI, João. Auditoria de Sistemas. Rio de Janeiro: SESES, 2016. UNIVERSIDADE ESTÁCIO DE SÁ. Auditoria e controles de seg. e classificação da informação UNIVERSIDADE DE CIÊNCIA E TECNOLOGIA DE HONG KONG. Information Systems Auditing, Controls and Assurance. 2023. In: coursera.org NAGATA, Hiromassa. GOMES, Estela Maria. Fundamentos de Auditoria e Auditoria de Sistemas.
Compartilhar