Buscar

Introdução a Auditoria de Sistemas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 3, do total de 24 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 6, do total de 24 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 9, do total de 24 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Prévia do material em texto

Auditoria e Segurança da 
Informação– GSI536
Prof. Rodrigo Sanches Miani – FACOM/UFU
Auditoria de Segurança da
Informação
Slides criados à partir da apostila “Auditoria e Conformidade de 
Segurança da Informação” Roberto W. S. Rodrigues e Jorge Henrique C. Fernandes.
1. Princípios gerais
2. Controles
3. Porque auditar a segurança da informação?
4. Perfil do auditor
Tópicos
4. Perfil do auditor
1. Livro: Segurança e Auditoria em Sistemas de
Informação – Maurício Rocha Lyra
2. Apostila: Auditoria e Conformidade de Segurança da
Informação - Roberto Wagner da Silva Rodrigues,
Jorge Henrique Cabral Fernandes
Bibliografia
Jorge Henrique Cabral Fernandes
Princípios gerais
� A troca de informações é essencial no mundo moderno;
� Essa troca deve ser feita rapidamente!
� A Internet tornou-se o principal mediador dessa troca de informações.
� A segurança dessas informações passou a ser uma
Motivação
� A segurança dessas informações passou a ser uma
preocupação para a gestão, seja ela pública ou privada;
� Uma forma de gerenciar a segurança da informação é criar
normas, formular políticas, padronizar procedimentos e
práticas, estabelecer medições e métricas, além de
automatizar controles.
� É possível saber se as normas, políticas, procedimentos,
processos e controles adotados estão funcionando de
acordo?
� Como?
Pergunta
� Como?
� É possível saber se as normas, políticas, procedimentos,
processos e controles adotados estão funcionando de
acordo?
� Como?
Pergunta
� Como?
� Resposta: investigando criteriosamente tais controles! Ou
seja, realizando auditorias.
“A auditoria de segurança de informação é uma atividade
devidamente estruturada para examinar criteriosamente a
situação de controles que se aplicam à segurança da
Definição
situação de controles que se aplicam à segurança da
informação. A atividade deve ser feita por um profissional
devidamente qualificado, que irá expressar sua opinião acerca
de uma determinada situação, e ao final do processo irá criar
um relatório ou parecer.”
� A auditoria cria condições técnicas para investigar e emitir um
juízo sobre as evidências encontradas, de modo a se
antecipar ante a possíveis riscos de violação dos ativos de
informação;
Características
� Ativos de informação:
� os processos organizacionais e processuais (procedimentos, roteiros,
atividades),;
� itens físicos (instalações, equipamentos, cabeamento);
� lógicos (programas, sistemas, estruturas de dados).
� O auditor deve:
� empregar práticas geralmente aceitas, baseadas em um método
racional;
� lidar com responsabilidade e princípios éticos perante os clientes;
� agir com independência no que se refere à investigação e produção
do relato.
Características
do relato.
� Exemplos de auditoria de segurança da informação:
� Testes de invasão;
� Investigações de ataques (perícias forense).
Princípios gerais
Controles
� Um controle de segurança é uma salvaguarda ou
contramedida de natureza gerencial, operacional ou técnica,
prescrita para um sistema de informações, de modo a
proteger a confidencialidade, integridade e disponibilidade do
sistema de sua informação.
Terminologia
� Controle interno é o elemento responsável pelo controle dos
processos da organização. O controle interno compreende
todo o conjunto de controles, implementado sob
responsabilidade da gestão da organização.
� Passos do processo de auditoria:
� 1) o gestor declara fatos sobre o desempenho das atividades
da organização para os envolvidos;
� 2) faz-se necessário recorrer a um profissional especializado,
Processo de auditoria x Controles internos
� 2) faz-se necessário recorrer a um profissional especializado,
o auditor, para opinar sobre a veracidade de tais declarações;
� 3) o auditor verifica se as declarações do gestor estão
satisfatoriamente coerentes com as condições observadas no
controle interno, emitindo uma opinião fundamentada acerca
de tais declarações.
� Envolvidos;
� O próprio gestor, no caso de uma auditoria interna.
� E a auditoria externa?
Clientes do auditor
� E a auditoria externa?
� Quem avalia o controle interno de forma regular e frequente é
a auditoria interna;
� Outra forma de controlar a organização é por meio de uma
controladoria externa;
Auditoria Externa
controladoria externa;
� Vantagem: mais independente de influências do gestor que no
caso do controle interno;
� Desvantagem: dificuldade no acesso às informações.
� A política de segurança deve tornar claro que cada
colaborador na organização é um ator relevante quando se
trata de proteger ativos na organização;
� Os colaboradores devem estar cientes dos riscos de
Auditoria x Políticas de segurança
� Os colaboradores devem estar cientes dos riscos de
segurança existentes e das medidas preventivas que devem
ser tomadas;
� A política de segurança da informação é o principal controle
de segurança numa organização - a ele se articulam todos os
outros controles.
Porque auditar a segurança da 
informação?
1. Atestar que os controles de segurança em prática são
eficientes;
2. Evitar a exposição da organização a riscos que podem
provocar danos, se concretizados.
Objetivos
provocar danos, se concretizados.
� No caso de sistemas expostos à Internet, os controles evitam que a organização
esteja sujeita a ataques de hackers.
O profissional de auditoria em 
TI/Segurança
� Deve unir aspectos da área de exatas, como o raciocínio
lógico e a visão de processos com outras associadas às
ciências humanas, como boa capacidade de comunicação;
� Ser curioso, questionador e detalhista;
Perfil
� Ser curioso, questionador e detalhista;
� Possuir formação superior sólida – preferencialmente em
Administração ou TI, complementada por uma pós-
graduação em Gestão de Pessoas. Cursos e certificações
específicos para a área de auditoria.
� Fonte: https://profissoesemti.wordpress.com/as-profissoes-de-ti/auditor-de-ti/
� “Tem que ser chato. Detalhista, perfeccionista, metódico por
natureza e ter também raciocínio matemático apurado.
Como se trabalha com entrevistas, a comunicação é
fundamental. É preciso ser extrovertido, gostar do contato
pessoal e saber explicar os objetivos da auditoria”
Perfil
� “O profissional deve ter um perfil observador, planejador,
racional e ao mesmo tempo comunicativo. Tem que ter uma
ótima competência para interagir com diversos grupos de
trabalho, do chão de fábrica até a presidência. E um certo
discernimento para trabalhar com informações sigilosas”
� Fonte: https://profissoesemti.wordpress.com/as-profissoes-de-ti/auditor-de-ti/
� Certified Information Systems Auditor (CISA) fornecida pela
organização ISACA (Information Systems Audit and Control
Association);
� No Brasil, a academia CLAVIS fornece o curso preparatório e
também as provas.
Certificações
também as provas.

Outros materiais