Baixe o app para aproveitar ainda mais
Prévia do material em texto
Auditoria e Segurança da Informação– GSI536 Prof. Rodrigo Sanches Miani – FACOM/UFU Auditoria de Segurança da Informação Slides criados à partir da apostila “Auditoria e Conformidade de Segurança da Informação” Roberto W. S. Rodrigues e Jorge Henrique C. Fernandes. 1. Princípios gerais 2. Controles 3. Porque auditar a segurança da informação? 4. Perfil do auditor Tópicos 4. Perfil do auditor 1. Livro: Segurança e Auditoria em Sistemas de Informação – Maurício Rocha Lyra 2. Apostila: Auditoria e Conformidade de Segurança da Informação - Roberto Wagner da Silva Rodrigues, Jorge Henrique Cabral Fernandes Bibliografia Jorge Henrique Cabral Fernandes Princípios gerais � A troca de informações é essencial no mundo moderno; � Essa troca deve ser feita rapidamente! � A Internet tornou-se o principal mediador dessa troca de informações. � A segurança dessas informações passou a ser uma Motivação � A segurança dessas informações passou a ser uma preocupação para a gestão, seja ela pública ou privada; � Uma forma de gerenciar a segurança da informação é criar normas, formular políticas, padronizar procedimentos e práticas, estabelecer medições e métricas, além de automatizar controles. � É possível saber se as normas, políticas, procedimentos, processos e controles adotados estão funcionando de acordo? � Como? Pergunta � Como? � É possível saber se as normas, políticas, procedimentos, processos e controles adotados estão funcionando de acordo? � Como? Pergunta � Como? � Resposta: investigando criteriosamente tais controles! Ou seja, realizando auditorias. “A auditoria de segurança de informação é uma atividade devidamente estruturada para examinar criteriosamente a situação de controles que se aplicam à segurança da Definição situação de controles que se aplicam à segurança da informação. A atividade deve ser feita por um profissional devidamente qualificado, que irá expressar sua opinião acerca de uma determinada situação, e ao final do processo irá criar um relatório ou parecer.” � A auditoria cria condições técnicas para investigar e emitir um juízo sobre as evidências encontradas, de modo a se antecipar ante a possíveis riscos de violação dos ativos de informação; Características � Ativos de informação: � os processos organizacionais e processuais (procedimentos, roteiros, atividades),; � itens físicos (instalações, equipamentos, cabeamento); � lógicos (programas, sistemas, estruturas de dados). � O auditor deve: � empregar práticas geralmente aceitas, baseadas em um método racional; � lidar com responsabilidade e princípios éticos perante os clientes; � agir com independência no que se refere à investigação e produção do relato. Características do relato. � Exemplos de auditoria de segurança da informação: � Testes de invasão; � Investigações de ataques (perícias forense). Princípios gerais Controles � Um controle de segurança é uma salvaguarda ou contramedida de natureza gerencial, operacional ou técnica, prescrita para um sistema de informações, de modo a proteger a confidencialidade, integridade e disponibilidade do sistema de sua informação. Terminologia � Controle interno é o elemento responsável pelo controle dos processos da organização. O controle interno compreende todo o conjunto de controles, implementado sob responsabilidade da gestão da organização. � Passos do processo de auditoria: � 1) o gestor declara fatos sobre o desempenho das atividades da organização para os envolvidos; � 2) faz-se necessário recorrer a um profissional especializado, Processo de auditoria x Controles internos � 2) faz-se necessário recorrer a um profissional especializado, o auditor, para opinar sobre a veracidade de tais declarações; � 3) o auditor verifica se as declarações do gestor estão satisfatoriamente coerentes com as condições observadas no controle interno, emitindo uma opinião fundamentada acerca de tais declarações. � Envolvidos; � O próprio gestor, no caso de uma auditoria interna. � E a auditoria externa? Clientes do auditor � E a auditoria externa? � Quem avalia o controle interno de forma regular e frequente é a auditoria interna; � Outra forma de controlar a organização é por meio de uma controladoria externa; Auditoria Externa controladoria externa; � Vantagem: mais independente de influências do gestor que no caso do controle interno; � Desvantagem: dificuldade no acesso às informações. � A política de segurança deve tornar claro que cada colaborador na organização é um ator relevante quando se trata de proteger ativos na organização; � Os colaboradores devem estar cientes dos riscos de Auditoria x Políticas de segurança � Os colaboradores devem estar cientes dos riscos de segurança existentes e das medidas preventivas que devem ser tomadas; � A política de segurança da informação é o principal controle de segurança numa organização - a ele se articulam todos os outros controles. Porque auditar a segurança da informação? 1. Atestar que os controles de segurança em prática são eficientes; 2. Evitar a exposição da organização a riscos que podem provocar danos, se concretizados. Objetivos provocar danos, se concretizados. � No caso de sistemas expostos à Internet, os controles evitam que a organização esteja sujeita a ataques de hackers. O profissional de auditoria em TI/Segurança � Deve unir aspectos da área de exatas, como o raciocínio lógico e a visão de processos com outras associadas às ciências humanas, como boa capacidade de comunicação; � Ser curioso, questionador e detalhista; Perfil � Ser curioso, questionador e detalhista; � Possuir formação superior sólida – preferencialmente em Administração ou TI, complementada por uma pós- graduação em Gestão de Pessoas. Cursos e certificações específicos para a área de auditoria. � Fonte: https://profissoesemti.wordpress.com/as-profissoes-de-ti/auditor-de-ti/ � “Tem que ser chato. Detalhista, perfeccionista, metódico por natureza e ter também raciocínio matemático apurado. Como se trabalha com entrevistas, a comunicação é fundamental. É preciso ser extrovertido, gostar do contato pessoal e saber explicar os objetivos da auditoria” Perfil � “O profissional deve ter um perfil observador, planejador, racional e ao mesmo tempo comunicativo. Tem que ter uma ótima competência para interagir com diversos grupos de trabalho, do chão de fábrica até a presidência. E um certo discernimento para trabalhar com informações sigilosas” � Fonte: https://profissoesemti.wordpress.com/as-profissoes-de-ti/auditor-de-ti/ � Certified Information Systems Auditor (CISA) fornecida pela organização ISACA (Information Systems Audit and Control Association); � No Brasil, a academia CLAVIS fornece o curso preparatório e também as provas. Certificações também as provas.
Compartilhar