Baixe o app para aproveitar ainda mais
Prévia do material em texto
06/02/2017 1 Auditoria e Segurança em Sistemas de Informação Prof.ª. Janaide Nogueira 2017.1 Conceitos Básicos EMENTA Conceitos básicos de auditoria; Auditoria de sistemas de informação; Controles em sistemas de informação gerencial e de aplicações. Técnicas de auditoria em sistemas de informação. Estrutura da função de auditoria de sistemas de informação nas organizações. Os conceitos e os tipos de ameaças, riscos e vulnerabilidades dos sistemas de informação. Avaliação de integridade e segurança de dados, efetividade e de eficiência. Sistemas de auditoria. Funções de auditoria e segurança em sistemas de informação. Segurança na Internet. Levantamento e análise de risco. Criar plano de contingência organizacional. Conhecer e usar softwares para auditoria de sistemas. Políticas e normas de segurança em ambiente de TI. Pentest. 2 Disciplina 80hrs Referências Bibliográficas: O STALLINGS, WILLIAM. Criptografia e Segurança de Redes princípios e práticas 4 edição. O ALEXANDRE GUEDES GUIMARÃES, RAFAEL DUEIRE LINS, RAIMUNDO CORRÊA DE OLIVEIRA,Segurança Com Redes Privadas Virtuais – Vpns. Editora Brasport, 2006 O LAUDON, KENNETH C.; LAUDON, JANE PRICE. Sistemas de Informação Gerenciais administrando a empresa digital 5 edição. O THE HONEYNET PROJECT. Conheça o seu Inimigo o Projeto Honeynet revelando as ferramentas de segurança táticas e motivos da comunidade hacker. O LAUDON, KENNETH C.; LAUDON, JANE PRICE. Sistemas de Informação Gerenciais 7 edição. O ROSINI, Alessandro Marco. Administração de Sistemas de Informação e Gestão do Conhecimento. Pioneira Thomson. 3 O Conceitos básicos O Dado; O Informação; O Conhecimento O Importância da Informação O O que é auditoria? O Objetivos; O Classificação de auditoria; O Envolvidos; O Elementos essenciais; Agenda 4 O Conceitos básicos O Dado; O Informação; O Conhecimento O Importância da Informação O O que é auditoria? O Objetivos; O Classificação de auditoria; O Envolvidos; O Elementos essenciais; Agenda 5 O É um conjunto de letras, números ou dígitos que colocado isoladamente, não agrega nenhum conhecimento, não possui significado claro. Dado 6 06/02/2017 2 O É um conjunto de letras, números ou dígitos que colocado isoladamente, não agrega nenhum conhecimento, não possui significado claro. Dado 2,4,6,8,10; xyz; Maria Dado 7 8 Informação O conceito de informação vem ser o dado trabalhado ou tratado agregado com sentido natural e lógico para quem usa a informação. Define-se como algo útil. 9 Informação O conceito de informação vem ser o dado trabalhado ou tratado agregado com sentido natural e lógico para quem usa a informação. Define-se como algo útil. 2,4,6,8,10 – São Múltiplos de dois. x,y,z - São coordenadas cartesianas. Maria - Nome de uma pessoa. 10 Conhecimento Quando a informação é “trabalhada” por pessoas e pelos recursos computacionais, possibilitando geração de cenários, simulações e oportunidades, pode ser chamada de conhecimento. 11 Conhecimento Quando a informação é “trabalhada” por pessoas e pelos recursos computacionais, possibilitando geração de cenários, simulações e oportunidades, pode ser chamada de conhecimento. O Exemplo: O Percepção da dificuldade; 12 Conhecimento Quando a informação é “trabalhada” por pessoas e pelos recursos computacionais, possibilitando geração de cenários, simulações e oportunidades, pode ser chamada de conhecimento. O Exemplo: O Percepção da dificuldade; O Uso de experiências semelhantes; 06/02/2017 3 13 Conhecimento Quando a informação é “trabalhada” por pessoas e pelos recursos computacionais, possibilitando geração de cenários, simulações e oportunidades, pode ser chamada de conhecimento. O Exemplo: O Percepção da dificuldade; O Uso de experiências semelhantes; O Concepção de equipamentos, pessoas, materiais e pessoas, que são vitais para um serviço; 14 Conhecimento Quando a informação é “trabalhada” por pessoas e pelos recursos computacionais, possibilitando geração de cenários, simulações e oportunidades, pode ser chamada de conhecimento. O Exemplo: O Percepção da dificuldade; O Uso de experiências semelhantes; O Concepção de equipamentos, pessoas, materiais e pessoas, que são vitais para um serviço; O Entendimento de contratos que podem ser negociados, visando à adequação à realidade de uma atividade. Dado, Informação e Conhecimento Dados: estão nos arquivos, nas mídias eletrônicas Informação: pode ser extraída de um memorando, de uma tela, etc. Conhecimento existe dentro das pessoas, tem origem e é aplicado na mente das pessoas 15 Dado, Informação e Conhecimento 16 CONHECIMENTO INFORMAÇÃO DADO Importância da Informação O A informação é um elemento essencial: 17 Importância da Informação O A informação é um elemento essencial: O Para a geração do conhecimento; 18 06/02/2017 4 Importância da Informação O A informação é um elemento essencial: O Para a geração do conhecimento; O Para a tomada de decisões; 19 Importância da Informação O A informação é um elemento essencial: O Para a geração do conhecimento; O Para a tomada de decisões; O Representa efetivamente valor para o negócio, dentro de cada um dos seus processos. 20 Importância da Informação O A informação é um elemento essencial: O Para a geração do conhecimento; O Para a tomada de decisões; O Representa efetivamente valor para o negócio, dentro de cada um dos seus processos. O A importância da informação é tamanha nos tempos atuais que se diz que vivemos a era da informação. 21 O que é auditoria? O Uma auditoria consiste basicamente na comparação do estado dos processos de negócio, dos seus serviços e ativos de informação, contra um critério de auditoria. 22 O que é auditoria? O Uma auditoria consiste basicamente na comparação do estado dos processos de negócio, dos seus serviços e ativos de informação, contra um critério de auditoria. O Os possíveis resultados são: O Conforme; O Não conforme(com eventual oportunidade de melhoria). 23 Objetivos da auditoria O Garantir a efetividade dos processos e ativos de uma determinada organização; O A auditoria poderá dedicar-se a comprovar a eficácia, a eficiência ou a efetividade do sistema. 24 06/02/2017 5 Curiosidades! O A eficácia refere-se a obtenção dos resultados, independente se estão sendo obtidos de melhor maneira ou não; 25 Curiosidades! O A eficácia refere-se a obtenção dos resultados, independente se estão sendo obtidos de melhor maneira ou não; O A eficiência preocupa-se com que os controles de segurança da informação estejam sendo implementados e utilizados da melhor forma possível, com a melhor qualidade e o menor custo, independentemente de os resultados esperados estarem sendo atingidos; 26 Curiosidades! O A efetividade é a junção das duas e se preocupa em garantir os melhores resultados da melhor forma possível; 27 Classificação de auditoria 28 CLASSIFICAÇÃO DAS AUDITORIAS QUANTO AO TIPO: Auditoria de Primeira Parte - auditoria interna Auditoria de Segunda Parte - cliente/fornecedor Auditoria de Terceira Parte - auditoria de certificação QUANTO AO PROPÓSITO: Auditoria de Adequação - analisa a adequação do programa de qualidade através da documentação(política/procedimentos). Auditoria de Conformidade - analisa a documentação e sua efetividade nos locais de uso (implementação). CLASSIFICAÇÃO DAS AUDITORIAS 06/02/2017 6 DE ACORDO COM O OBJETO: Auditoria do Sistema da Qualidade -documentação e organização; Auditoria deProcesso -instruções e procedimentos operacionais; Auditoria de Produto -produto com suas especificações. CLASSIFICAÇÃO DAS AUDITORIAS CONFORME O ESCOPO: Auditoria Completa - todas as funções e atividades pertinentes ao sistema da qualidade; Auditoria Parcial - determinada função, área, linha de produto ou atividade de interesse; Auditoria de Acompanhamento - verifica a implantação e eficácia de ações corretivas previamente acordadas. CLASSIFICAÇÃO DAS AUDITORIAS AS AUDITORIAS AINDA PODEM SER... PROGRAMADAS: Que respondem a um planejamento de auditoria. POR SOLICITAÇÃO: não programadas realizadas para obter uma informação específica. PRÉ-AUDITORIA: Utilizadas para decidir se é viável realizar uma auditoria de segunda ou de terceira parte. AS AUDITORIAS AINDA PODEM SER... SEM AVISO: São realizadas quando há suspeita de graves desvios no Sistema de Gestão da Qualidade da organização. EQUIPE DE AUDITORES É aconselhável uma equipe com no mínimo dois auditores; EQUIPE DE AUDITORES É aconselhável uma equipe com no mínimo dois auditores; Os auditores deverão ser determinados com antecedência, de acordo com o que descreve o procedimento de auditorias internas; 06/02/2017 7 EQUIPE DE AUDITORES É aconselhável uma equipe com no mínimo dois auditores; Os auditores deverão ser determinados com antecedência, de acordo com o que descreve o procedimento de auditorias internas; Os auditores devem estar habilitados para realizar a auditoria (curso de auditor interno). EQUIPE DE AUDITORES Poderá ser determinado um auditor líder para cada auditoria, que deverá: Ser responsável por todas as etapas da auditoria; Ter autoridade para tomar decisões finais; Participar da seleção da equipe de auditores; Atuar como representante da equipe de auditores; Apresentar o relatório final de auditoria. AS SETE OBRIGAÇÕES DO AUDITOR Verifique se estas coincidem com o enunciado da Política da Qualidade e o escopo da certificação; Verifique se as metas são conhecidas pelos colaboradores da empresa; Comprove quais são os meios que foram disponibilizados para implementar as metas; AS SETE OBRIGAÇÕES DO AUDITOR Verifique se os indicadores da qualidades são avaliados através de métodos objetivos de medição; Avalie a adequação dos métodos estabelecidos utilizando o mapa de processo; AS SETE OBRIGAÇÕES DO AUDITOR Estabeleça quais são as evidencias que permitem evidenciar o atendimento ou não atendimento dos requisitos da norma; Identifique quais processos fornecem e não fornecem valor agregado. O AUDITOR DEVE: Ser aberto; Ter a maturidade necessária; Ter uma boa capacidade de avaliação; Ter capacidade de coordenar e dirigir; Ser perseverante; Ser atento; Poder reagir eficientemente em situações de estresse; Não permitir que questões pessoais interfiram na auditoria; Tratar o auditado de modo adequado para que se alcance o objetivo da auditoria. 06/02/2017 8 DEVE SER: de maneira moderada criticar o fato e não a pessoa DEVE TER: Paciência Escuta ativa (deixar terminar de falar) DEVE MANTER: Contato visual Postura ereta da cabeça O AUDITOR QUANDO FOR CRITICAR O Exercícios: 1ª) Diferencie Dado, Informação e Conhecimento. 2ª) O que é auditoria? Quais os objetivos da auditoria? 3ª) Como podemos classificar as auditorias? 4ª) Quais as características que você considera mais importante para um auditor de sistemas de informação? Por quê? 44 45
Compartilhar