Baixe o app para aproveitar ainda mais
Prévia do material em texto
Segurança e Auditoria de Sistemas Profa. Suzi Lara Werner Auditoria de Sistemas de Informação �� OO queque éé Auditoria?Auditoria? � Engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada entidade, com o intuito de verificar sua conformidade com certos objetivos e políticasintuito de verificar sua conformidade com certos objetivos e políticas institucionais, orçamentos, regras, normas ou padrões. Auditoria de Sistemas de Informação �� QuemQuem fazfaz aa Auditoria?Auditoria? � Auditoria Interna: realizada por departamento interno responsável pela verificação e avaliação dos sistemas e procedimentos internos de uma entidade.de uma entidade. � Auditoria Externa: realizada por instituição externa e independente da entidade fiscalizada � Auditoria Articulada: Trabalho conjunto de auditorias internas e externas. Auditoria de Sistemas de Informação �� ComoComo fazerfazer Auditoria?Auditoria? � Auditoria Horizontal: Auditoria com tema específico realizada em� Auditoria Horizontal: Auditoria com tema específico realizada em várias entidades ou serviços paralelamente. Ex.: Avalia o requisito controle de documentos ao longo de toda a Organização. � Auditoria Vertical: A auditoria vertical considera a conformidade de um departamento em todos os requisitos a ele aplicável. Auditoria de Sistemas de Informação �� ComoComo fazerfazer Auditoria?Auditoria? � Auditoria Orientada: Auditoria focada em uma atividade específica� Auditoria Orientada: Auditoria focada em uma atividade específica qualquer ou em atividade com fortes indícios de erros ou fraudes. Auditoria de Sistemas de Informação �� OndeOnde fazerfazer auditoria?auditoria? � Auditoria de programas de governo � Auditoria de planejamento estratégico� Auditoria de planejamento estratégico � Auditorias administrativa, contábil, financeira, legalidade � Auditoria operacional � ... � Auditoria de Tecnologia da Informação Auditoria de Sistemas de Informação �� ElementoElemento dada AuditoriaAuditoria:: ControleControle � É a fiscalização exercida sobre as atividades de pessoas, órgãos, departamentos ou sobre produtos, para que tais atividades, ou produtos, não se desviem das normas pré-estabelecidas. Auditoria de Sistemas de Informação �� TiposTipos dede ControleControle � PREVENTIVOS – usados para prevenir erros, omissões ou atos fraudulentos (e.g. senhas de acesso a um determinado sistema). � DETECTIVOS – usados para detectar erros, omissões ou atos� DETECTIVOS – usados para detectar erros, omissões ou atos fraudulentos e ainda relatar sua ocorrência (e.g. softwares de controle de acesso e relatórios de tentativas de acesso não autorizado a um determinado sistema). � CORRETIVOS – usados para reduzir impactos ou corrigir erros uma vez detectados (e.g. planos de contingências) Auditoria de Sistemas de Informação �� ObjetvosObjetvos dessesdesses ControlesControles � Um dos objetivos desses controles é, primeiramente, a manutenção do investimento feito pela corporação em sistemas informatizados, tendo em vista que os sistemas de informação interconectados de hoje desempenham um papel vital no sucesso empresarial de umhoje desempenham um papel vital no sucesso empresarial de um empreendimento. � Esses controles também têm como objetivo evitar que algum sinistro venha a ocorrer; não conseguindo evitar, tentar fazer com que o impacto seja pequeno e, se mesmo assim, o impacto for grande, ter em mãos processos que auxiliem a reconstrução do ambiente. Auditoria de Sistemas de Informação �� ElementosElementos dada AuditoriaAuditoria:: ProcedimentosProcedimentos dada AuditoriaAuditoria � Em geral, é um check-list que contempla os itens a serem verificados durante a auditoria. � A concepção desses procedimentos antes do início dos processos de� A concepção desses procedimentos antes do início dos processos de auditoria é de suma importância porque garantirá um aumento da produtividade e da qualidade do trabalho. Como exemplo, pode-se citar que, para o bom andamento de uma partida de futebol, não é aconselhável mudar as regras do jogo enquanto o mesmo estiver acontecendo; faz-se isto antes de começar a partida. Auditoria de Sistemas de Informação �� ElementosElementos dada AuditoriaAuditoria:: ProcedimentosProcedimentos dada AuditoriaAuditoria � OS Procedimentos da Auditoria formam um conjunto de verificações e averiguações que permite obter e analisar as informações necessárias à formulação da opinião do auditor. � São listas de pontos a serem verificados durante a auditoria. Auditoria de Sistemas de Informação �� ElementosElementos dada AuditoriaAuditoria:: AchadosAchados dada AuditoriaAuditoria � São fatos significativos observados pelo auditor durante a execução da auditoria. � Embora sejam geralmente associados a falhas e irregularidades, os� Embora sejam geralmente associados a falhas e irregularidades, os achados podem também indicar pontos fortes da instituição auditada. � Para que eles façam parte do relatório final de auditoria, os mesmos devem ser relevantes e baseados em fatos e evidências incontestáveis. Auditoria de Sistemas de Informação �� ElementosElementos dada AuditoriaAuditoria:: RelatórioRelatório FinalFinal � Os papéis de trabalho são registros que evidenciam atos e fatos observados pelo auditor. Esses registros podem estar em forma de documentos, tabelas, listas� Esses registros podem estar em forma de documentos, tabelas, listas de verificações, planilhas, arquivos, entre outros. Estes documentos são a base para o relatório de auditoria, pois contêm registro da metodologia utilizada, procedimentos, fontes de informação, enfim, todas as informações relacionadas ao trabalho de auditoria. Auditoria de Sistemas de Informação �� ElementosElementos dada AuditoriaAuditoria:: RelatórioRelatório FinalFinal � Já na fase da concepção do relatório, são feitas as recomendações de auditoria. Elas são medidas corretivas possíveis, sugeridas pela instituição fiscalizadora ou pelo auditor em seu relatório, para corrigirinstituição fiscalizadora ou pelo auditor em seu relatório, para corrigir as deficiências detectadas durante o trabalho de verificação de vulnerabilidades ou deficiências. Dependendo da competência ou posição hierárquica do órgão fiscalizador, essas recomendações podem se transformar em determinações a serem cumpridas. Auditoria de Sistemas de Informação Auditoria da Tecnologia da InformaçãoAuditoria da Tecnologia da Informação � Abrange todos os aspectos relacionados com a auditoria da segurança das informações além de outros controles que podem influenciar a segurança de informações e oque podem influenciar a segurança de informações e o bom funcionamento dos sistemas da organização. . Auditoria de Sistemas de Informação Auditoria da Tecnologia da InformaçãoAuditoria da Tecnologia da Informação � Dependendo da área de verificação escolhida, este tipo de auditoria pode abranger: � todo o ambiente de informática ou a organização do� todo o ambiente de informática ou a organização do departamento de informática. Além disso, pode ainda contemplar: � os controles sobre banco de dados, redes de comunicação e de computadores e � controles sobre os aplicativos. Auditoria de Sistemas de Informação Auditoria da Tecnologia da InformaçãoAuditoria da Tecnologia da Informação � Qual o escopo da avaliação? � Avaliação da política de segurança. � Controles de acesso lógico.� Controles de acesso lógico. � Controles de acesso físico. � Controles ambientais. � Planos de contingências e continuidade dos serviços. Auditoria de Sistemas de Informação Auditoria da Tecnologia da InformaçãoAuditoria da Tecnologia da Informação � Qual o escopo da avaliação? � Controles organizacionais. � Controles de mudanças.� Controles de mudanças. � De operação dos sistemas. � Controles sobre o banco de dados. � Controles sobre computadores. � Controles sobre ambiente cliente-servidor.Auditoria de Sistemas de Informação Auditoria da Tecnologia da InformaçãoAuditoria da Tecnologia da Informação � Qual o escopo da avaliação? � Desenvolvimento de sistemas aplicativos. � Entrada, processamento e saída de dados.� Entrada, processamento e saída de dados. � Sobre conteúdo e funcionamento do aplicativo, com relação a área por ele atendida. Auditoria de Sistemas de Informação Auditoria da Tecnologia da InformaçãoAuditoria da Tecnologia da Informação � Fases da Auditoria PlanejamentoPlanejamento ExecuçãoExecução RelatórioRelatório Auditoria de Sistemas de Informação Auditoria da Tecnologia da InformaçãoAuditoria da Tecnologia da Informação � Fases da Auditoria � Pesquisar Fontes de Informação PlanejamentoPlanejamento � Pesquisar Fontes de Informação � Definir Campo, Âmbito e Sub-Áreas � Definir os Recursos Necessários � Metodologia � Definir Objetivos e Procedimentos Auditoria de Sistemas de Informação Auditoria da Tecnologia da InformaçãoAuditoria da Tecnologia da Informação � Fases da Auditoria PlanejamentoPlanejamento Pesquisar Fontes de Informação � Deixar o máximo de informações disponíveis. � Estabelecer os recursos e conhecimentos técnicos necessários. � Exemplos: hardware, SO, sistemas de segurança, aplicativos e responsáveis pela área. Pesquisar Fontes de Informação Auditoria de Sistemas de Informação Auditoria da Tecnologia da InformaçãoAuditoria da Tecnologia da Informação � Fases da Auditoria PlanejamentoPlanejamento Pesquisar Fontes de Informação � Principais fontes de informação sobre a entidade auditada: Informações Técnicas: � Tipo de HW, Sistema Operacional, Softwares de Segurança, Responsáveis pelas áreas auditadas, Relatórios de auditorias anteriores, Bases de dados, Documentos ou Websites, Notícias veiculadas na imprensa, Relatórios da Auditoria Interna, Visitas anteriores à entidade Pesquisar Fontes de Informação Auditoria de Sistemas de Informação Auditoria da Tecnologia da InformaçãoAuditoria da Tecnologia da Informação � Fases da Auditoria PlanejamentoPlanejamento Definir Campo, Âmbito e Sub-Áreas � Em auditorias de informática, a natureza é auditoria de TI, quase sempre com enfoque empresarial. � O objeto pode englobar um sistema computacional específico; um, várias ou todas as seções do departamento de informática; ou até mesmo toda a organização. O período depende do âmbito (grau de profundidade das verificações) e das sub-áreas de sistemas escolhidas pela equipe. Auditoria de Sistemas de Informação Auditoria da Tecnologia da InformaçãoAuditoria da Tecnologia da Informação � Fases da Auditoria PlanejamentoPlanejamento Definir Campo, Âmbito e Sub-Áreas � São determinadas também a amplitude e a exaustão dos processos de auditoria, incluindo uma limitação racional dos trabalhos a serem executados. � A área de verificação delimita de modo muito preciso os temas da auditoria e, em função do objeto a ser fiscalizado e da natureza da auditoria, pode ser subdividida em sub-áreas. Auditoria de Sistemas de Informação Auditoria da Tecnologia da InformaçãoAuditoria da Tecnologia da Informação � Fases da Auditoria PlanejamentoPlanejamento Definir os Recursos Necessários � Humanos: equipe escolhida de acordo com o grau de complexidade, componentes e ferramentas utilizadas. � Econômicos: previsão de gastos. � Técnicos: levantar dispositivos de hardware, software e documentos técnicos a serem utilizados. Definir os Recursos Necessários Auditoria de Sistemas de Informação Auditoria da Tecnologia da InformaçãoAuditoria da Tecnologia da Informação � Fases da Auditoria PlanejamentoPlanejamento Metodologia � Norteiam a auditoria em várias áreas especializadas e organizacionais. � Avaliador deve utilizar um modelo normativo, um conjunto de padrões, de como a atividade deveria estar sendo feita. � O modelo normativo é traduzido em objetivos de controle a serem avaliados pelo auditor em cada área específica. Metodologia Auditoria de Sistemas de Informação Auditoria da Tecnologia da InformaçãoAuditoria da Tecnologia da Informação � Fases da Auditoria PlanejamentoPlanejamento Definir Objetivos e Procedimentos � Definir de forma clara os objetivos da auditoria e os procedimentos que serão utilizados durante sua execução. Definir Objetivos e Procedimentos Auditoria de Sistemas de Informação Auditoria da Tecnologia da InformaçãoAuditoria da Tecnologia da Informação � Fases da Auditoria � Equipe deve reunir evidências confiáveis, relevantes e úteis para os ExecuçãoExecução � Equipe deve reunir evidências confiáveis, relevantes e úteis para os objetivos da auditoria. � Todas essas evidências devem estar organizadas nos papéis de trabalhos, para facilitar a elaboração do relatório. � Os achados da Auditoria e as conclusões da equipe devem ser suportados pela correta interpretação e análise das evidências. Auditoria de Sistemas de Informação ExecuçãoExecução Auditoria da Tecnologia da InformaçãoAuditoria da Tecnologia da Informação � Fases da Auditoria � As evidências podem se dividir em 4 tipos: � Evidência Física – observações de atividades Evidência Documentária – resultado de extração de dados, registros e� Evidência Documentária – resultado de extração de dados, registros e transações, etc. � Evidência fornecida pelo auditado – transcrições de entrevistas, cópias de documentos cedidos pelo auditado, políticas, emails, relatórios, etc. � Evidência Analítica – comparações, cálculos e interpretações de documentos de entidades similares ou da mesma entidade em períodos diferentes. Auditoria de Sistemas de Informação Auditoria da Tecnologia da InformaçãoAuditoria da Tecnologia da Informação � Fases da Auditoria RelatórioRelatório � O relatório final deve conter evidências, conclusões, recomendações e determinações. � Deve ser claro, objetivo, sem uso exagerado de termos técnicos. RelatórioRelatório Auditoria de Sistemas de Informação Auditoria da Tecnologia da InformaçãoAuditoria da Tecnologia da Informação � Fases da Auditoria � Estrutura Típica: RelatórioRelatório Estrutura Típica: � Dados da entidade auditada � Resumo � Dados da auditoria � Não-conformidades detectadas � Conclusão Auditoria de Sistemas de Informação ExercíciosExercícios � O que é auditoria? � Quem faz a Auditoria? � Como fazer auditoria? � O que é Controle? � Explique os tipos de Controle? � O que são achados da Auditoria? � Qual a função dos objetivos de controle? � Cite pelo menos 3 enfoques dos objetivos de controle.
Compartilhar