01-auditoria-e-seguranc3a7a-em-sistemas-de-informac3a7c3a3o-conceitos

Prévia do material em texto

06/02/2017 
1 
Auditoria e Segurança em Sistemas de 
Informação 
 
Prof.ª. Janaide Nogueira 
 
2017.1 
Conceitos Básicos 
EMENTA 
 Conceitos básicos de auditoria; 
 Auditoria de sistemas de informação; 
 Controles em sistemas de informação gerencial e de aplicações. 
 Técnicas de auditoria em sistemas de informação. 
 Estrutura da função de auditoria de sistemas de informação nas organizações. 
 Os conceitos e os tipos de ameaças, riscos e vulnerabilidades dos sistemas de 
informação. 
 Avaliação de integridade e segurança de dados, efetividade e de eficiência. 
 Sistemas de auditoria. 
 Funções de auditoria e segurança em sistemas de informação. 
 Segurança na Internet. 
 Levantamento e análise de risco. 
 Criar plano de contingência organizacional. 
 Conhecer e usar softwares para auditoria de sistemas. 
 Políticas e normas de segurança em ambiente de TI. 
 Pentest. 
2 
Disciplina 
 80hrs 
 Referências Bibliográficas: 
O STALLINGS, WILLIAM. Criptografia e Segurança de Redes princípios e 
práticas 4 edição. 
O ALEXANDRE GUEDES GUIMARÃES, RAFAEL DUEIRE LINS, 
RAIMUNDO CORRÊA DE OLIVEIRA,Segurança Com Redes Privadas 
Virtuais – Vpns. Editora Brasport, 2006 
O LAUDON, KENNETH C.; LAUDON, JANE PRICE. Sistemas de 
Informação Gerenciais administrando a empresa digital 5 edição. 
O THE HONEYNET PROJECT. Conheça o seu Inimigo o Projeto Honeynet 
revelando as ferramentas de segurança táticas e motivos da comunidade 
hacker. 
O LAUDON, KENNETH C.; LAUDON, JANE PRICE. Sistemas de 
Informação Gerenciais 7 edição. 
O ROSINI, Alessandro Marco. Administração de Sistemas de Informação e 
Gestão do Conhecimento. Pioneira Thomson. 3 
O Conceitos básicos 
O Dado; 
O Informação; 
O Conhecimento 
O Importância da Informação 
O O que é auditoria? 
O Objetivos; 
O Classificação de auditoria; 
O Envolvidos; 
O Elementos essenciais; 
 
 
Agenda 
4 
O Conceitos básicos 
O Dado; 
O Informação; 
O Conhecimento 
O Importância da Informação 
O O que é auditoria? 
O Objetivos; 
O Classificação de auditoria; 
O Envolvidos; 
O Elementos essenciais; 
 
 
Agenda 
5 
O É um conjunto de letras, números ou dígitos 
que colocado isoladamente, não agrega 
nenhum conhecimento, não possui significado 
claro. 
 
 
Dado 
6 
06/02/2017 
2 
O É um conjunto de letras, números ou dígitos 
que colocado isoladamente, não agrega 
nenhum conhecimento, não possui significado 
claro. 
 
 
Dado 
2,4,6,8,10; xyz; Maria 
Dado 
7 8 
Informação 
 O conceito de informação vem ser o dado trabalhado 
ou tratado agregado com sentido natural e lógico para quem 
usa a informação. Define-se como algo útil. 
9 
Informação 
 O conceito de informação vem ser o dado trabalhado 
ou tratado agregado com sentido natural e lógico para quem 
usa a informação. Define-se como algo útil. 
2,4,6,8,10 – São Múltiplos de dois. 
x,y,z - São coordenadas cartesianas. 
Maria - Nome de uma pessoa. 
10 
Conhecimento 
 Quando a informação é “trabalhada” por pessoas e pelos 
recursos computacionais, possibilitando geração de cenários, 
simulações e oportunidades, pode ser chamada de 
conhecimento. 
 
11 
Conhecimento 
 Quando a informação é “trabalhada” por pessoas e 
pelos recursos computacionais, possibilitando geração de 
cenários, simulações e oportunidades, pode ser chamada de 
conhecimento. 
O Exemplo: 
O Percepção da dificuldade; 
 
12 
Conhecimento 
 Quando a informação é “trabalhada” por pessoas e 
pelos recursos computacionais, possibilitando geração de 
cenários, simulações e oportunidades, pode ser chamada de 
conhecimento. 
O Exemplo: 
O Percepção da dificuldade; 
O Uso de experiências semelhantes; 
 
06/02/2017 
3 
13 
Conhecimento 
 Quando a informação é “trabalhada” por pessoas e 
pelos recursos computacionais, possibilitando geração de 
cenários, simulações e oportunidades, pode ser chamada de 
conhecimento. 
O Exemplo: 
O Percepção da dificuldade; 
O Uso de experiências semelhantes; 
O Concepção de equipamentos, pessoas, materiais e 
pessoas, que são vitais para um serviço; 
14 
Conhecimento 
 Quando a informação é “trabalhada” por pessoas e 
pelos recursos computacionais, possibilitando geração de 
cenários, simulações e oportunidades, pode ser chamada de 
conhecimento. 
O Exemplo: 
O Percepção da dificuldade; 
O Uso de experiências semelhantes; 
O Concepção de equipamentos, pessoas, materiais e 
pessoas, que são vitais para um serviço; 
O Entendimento de contratos que podem ser negociados, 
visando à adequação à realidade de uma atividade. 
 
Dado, Informação e Conhecimento 
Dados: estão nos arquivos, nas mídias eletrônicas 
Informação: pode ser extraída de um memorando, de 
uma tela, etc. 
Conhecimento existe dentro das pessoas, tem 
origem e é aplicado na mente das pessoas 
15 
Dado, Informação e Conhecimento 
16 
CONHECIMENTO 
INFORMAÇÃO 
DADO 
Importância da Informação 
O A informação é um elemento essencial: 
 
17 
Importância da Informação 
O A informação é um elemento essencial: 
O Para a geração do conhecimento; 
 
18 
06/02/2017 
4 
Importância da Informação 
O A informação é um elemento essencial: 
O Para a geração do conhecimento; 
O Para a tomada de decisões; 
 
19 
Importância da Informação 
O A informação é um elemento essencial: 
O Para a geração do conhecimento; 
O Para a tomada de decisões; 
O Representa efetivamente valor para o negócio, 
dentro de cada um dos seus processos. 
 
20 
Importância da Informação 
O A informação é um elemento essencial: 
O Para a geração do conhecimento; 
O Para a tomada de decisões; 
O Representa efetivamente valor para o negócio, 
dentro de cada um dos seus processos. 
O A importância da informação é tamanha nos 
tempos atuais que se diz que vivemos a era da 
informação. 
 
21 
O que é auditoria? 
O Uma auditoria consiste basicamente na 
comparação do estado dos processos de 
negócio, dos seus serviços e ativos de 
informação, contra um critério de auditoria. 
 
22 
O que é auditoria? 
O Uma auditoria consiste basicamente na 
comparação do estado dos processos de 
negócio, dos seus serviços e ativos de 
informação, contra um critério de auditoria. 
O Os possíveis resultados são: 
O Conforme; 
O Não conforme(com eventual oportunidade de 
melhoria). 
 
23 
Objetivos da auditoria 
O Garantir a efetividade dos processos e ativos 
de uma determinada organização; 
 
O A auditoria poderá dedicar-se a comprovar a 
eficácia, a eficiência ou a efetividade do 
sistema. 
 
24 
06/02/2017 
5 
Curiosidades! 
O A eficácia refere-se a obtenção dos 
resultados, independente se estão sendo 
obtidos de melhor maneira ou não; 
 
25 
Curiosidades! 
O A eficácia refere-se a obtenção dos 
resultados, independente se estão sendo 
obtidos de melhor maneira ou não; 
O A eficiência preocupa-se com que os controles 
de segurança da informação estejam sendo 
implementados e utilizados da melhor forma 
possível, com a melhor qualidade e o menor 
custo, independentemente de os resultados 
esperados estarem sendo atingidos; 
 
26 
Curiosidades! 
O A efetividade é a junção das duas e se 
preocupa em garantir os melhores resultados 
da melhor forma possível; 
 
27 
Classificação de auditoria 
28 
 
 
CLASSIFICAÇÃO DAS AUDITORIAS 
QUANTO AO TIPO: 
 Auditoria de Primeira Parte - auditoria interna 
 Auditoria de Segunda Parte - cliente/fornecedor 
 Auditoria de Terceira Parte - auditoria de 
certificação 
 
 QUANTO AO PROPÓSITO: 
 Auditoria de Adequação - analisa a adequação do 
programa de qualidade através da 
documentação(política/procedimentos). 
 
 Auditoria de Conformidade - analisa a documentação e 
sua efetividade nos locais de uso (implementação). 
 
 
CLASSIFICAÇÃO DAS AUDITORIAS 
06/02/2017 
6 
DE ACORDO COM O OBJETO: 
 Auditoria do Sistema da Qualidade -documentação e 
organização; 
 Auditoria deProcesso -instruções e procedimentos 
operacionais; 
 Auditoria de Produto -produto com suas 
especificações. 
CLASSIFICAÇÃO DAS AUDITORIAS 
CONFORME O ESCOPO: 
 Auditoria Completa - todas as funções e atividades 
pertinentes ao sistema da qualidade; 
 Auditoria Parcial - determinada função, área, linha de 
produto ou atividade de interesse; 
 Auditoria de Acompanhamento - verifica a implantação 
e eficácia de ações corretivas previamente acordadas. 
CLASSIFICAÇÃO DAS AUDITORIAS 
AS AUDITORIAS AINDA PODEM SER... 
 PROGRAMADAS: Que respondem a um planejamento 
de auditoria. 
 POR SOLICITAÇÃO: não programadas realizadas 
para obter uma informação específica. 
 PRÉ-AUDITORIA: Utilizadas para decidir se é viável 
realizar uma auditoria de segunda ou de terceira parte. 
 
AS AUDITORIAS AINDA PODEM SER... 
 
SEM AVISO: São realizadas quando há suspeita de 
graves desvios no Sistema de Gestão da Qualidade da 
organização. 
EQUIPE DE AUDITORES 
 É aconselhável uma equipe com no mínimo dois 
auditores; 
 
EQUIPE DE AUDITORES 
 É aconselhável uma equipe com no mínimo dois 
auditores; 
 Os auditores deverão ser determinados com 
antecedência, de acordo com o que descreve o 
procedimento de auditorias internas; 
06/02/2017 
7 
EQUIPE DE AUDITORES 
 É aconselhável uma equipe com no mínimo dois 
auditores; 
 Os auditores deverão ser determinados com 
antecedência, de acordo com o que descreve o 
procedimento de auditorias internas; 
 Os auditores devem estar habilitados para realizar a 
auditoria (curso de auditor interno). 
EQUIPE DE AUDITORES 
 
Poderá ser determinado um auditor líder para cada auditoria, 
que deverá: 
 Ser responsável por todas as etapas da auditoria; 
 Ter autoridade para tomar decisões finais; 
 Participar da seleção da equipe de auditores; 
 Atuar como representante da equipe de auditores; 
 Apresentar o relatório final de auditoria. 
 
AS SETE OBRIGAÇÕES DO 
AUDITOR 
 
Verifique se estas coincidem com o enunciado da Política 
da Qualidade e o escopo da certificação; 
 Verifique se as metas são conhecidas pelos colaboradores 
da empresa; 
 Comprove quais são os meios que foram disponibilizados 
para implementar as metas; 
AS SETE OBRIGAÇÕES DO 
AUDITOR 
 Verifique se os indicadores da qualidades são avaliados 
através de métodos objetivos de medição; 
 
 Avalie a adequação dos métodos estabelecidos utilizando o 
mapa de processo; 
AS SETE OBRIGAÇÕES DO 
AUDITOR 
Estabeleça quais são as evidencias que permitem 
evidenciar o atendimento ou não atendimento dos requisitos 
da norma; 
 
 Identifique quais processos fornecem e não fornecem 
valor agregado. 
O AUDITOR DEVE: 
 Ser aberto; 
 Ter a maturidade necessária; 
 Ter uma boa capacidade de avaliação; 
 Ter capacidade de coordenar e dirigir; 
 Ser perseverante; 
 Ser atento; 
 Poder reagir eficientemente em situações de estresse; 
 Não permitir que questões pessoais interfiram na 
auditoria; 
 Tratar o auditado de modo adequado para que se alcance o 
objetivo da auditoria. 
06/02/2017 
8 
DEVE SER: 
 de maneira moderada 
 criticar o fato e não a pessoa 
 
 DEVE TER: 
 Paciência 
 Escuta ativa (deixar terminar de falar) 
 
 DEVE MANTER: 
 Contato visual 
 Postura ereta da cabeça 
O AUDITOR QUANDO FOR 
CRITICAR 
O Exercícios: 
 
1ª) Diferencie Dado, Informação e Conhecimento. 
 
2ª) O que é auditoria? Quais os objetivos da auditoria? 
 
3ª) Como podemos classificar as auditorias? 
 
4ª) Quais as características que você considera mais importante para 
um auditor de sistemas de informação? Por quê? 
44 
45