Auditoria e Controles de Segurança da Informação - Aula_02

Prévia do material em texto

Auditoria e Controles de Segurança da Informação
Aula 2 
Auditoria de TI
Prof. Msc Sheila Monteiro
Você Sabe o que é uma auditoria
?
?
3
Auditoria
Um exame sistemático e independente para determinar se as atividades e seus resultados estão de acordo com as disposições planejadas, se estas foram implementadas com a eficácia e se são adequadas à consecução dos objetivos.”
Objetivos
Conformidade com padrões
Melhoria do sistema de gestão
Compliance
Certificação
Melhoria de Processo
Auditoria para verificar a conformidade com padrões
Conformidade com padrões
Melhoria do sistema de gestão
Compliance
Certificação
Melhoria de Processo
ISO 20000
 ISO 27002
ISO 9000
COBIT
Auditoria para determinar a eficácia de um sistema de gestão /certificação
Conformidade com padrões
Melhoria do sistema de gestão
Compliance
Certificação
Melhoria de Processo
ISO 27001
ISO 9001
Auditoria para atender a requisitos regulamentares e reguladores
Conformidade com padrões
Melhoria do sistema de gestão
Compliance
Certificação
Melhoria de Processo
 SOX
BACEN
CVM
Auditoria como ferramenta para melhoria
P
Planejar a auditoria
D
Conduzir a auditoria e relatar constatações
C
Análise crítica dos resultados
A
Ações corretivas
Conformidade com padrões
Melhoria do sistema de gestão
Compliance
Certificação
Melhoria de Processo
Metodologia
9
Planejamento e controle do projeto de auditoria 
Levantamento das informações
Identificação e inventário dos pontos de controles
Priorização e seleção dos pontos de controle
Avaliação dos pontos de controles
Conclusão da auditoria
Acompanhamento da auditoria
10
Planejamento e controle do projeto de auditoria 
Planejamento inicial das ações
Definição dos recursos necessários
Abrangência das ações
Enfoque que se deseja
Definição dos procedimentos a serem utilizados
Acompanhamento e controle dos resultados obtidos
Ferramentas e métodos de planejamento (PMBOK) 
11
As expectativas de quem pediu a auditoria;
Plano de auditoria
Os critérios da auditoria: padrões e confidencialidade;
As necessidades e interesses do auditado;
A documentação que deve estar disponível;
A agenda proposta para auditoria.
12
Informações relevantes para a auditoria.
Deverá ocorrer de forma abrangente
Utilização técnicas de entrevista e análise de documentação existente
Informações de forma gráfica ou descritiva
Identificar claramente o escopo
Levantamento das informações
13
Identificar os diversos pontos de controles que merecem ser validados
Identificação e inventário dos pontos de controles
Relacionar cada ponto de controle, seus objetivos descritos, funções, parâmetros, fraquezas e técnicas de auditoria mais adequadas à sua validação. 
O resultado encaminhado ao grupo de coordenação da auditoria 
14
Esta etapa consiste na seleção e priorização dos pontos de controle que foram inventariados na etapa anterior e que devem fazer parte da auditoria a ser realizada. Podem ser considerados os seguintes critérios:
Priorização e seleção dos pontos de controle
Grau de risco existente no ponto de controle
Disponibilidade de recursos 
Existência de ameaças
15
Elaborada com base em uma norma ou um padrão
Lista de verificação
Elaborada com base em como uma função ou atividade opera;
Pré-estabelecidas de forma padronizada para uso na auditorias internas;
Elaborada para cada auditoria específica.
16
Realização de testes de validação dos pontos de controle, Segundo as especificações e parâmetros determinados nas etapas anteriores.
Avaliação dos pontos de controles
 É a auditoria propriamente dita.
Utilização de técnicas de auditoria que evidenciem falhas ou fraquezas dos pontos de controles auditados
17
Com quem conversou?
Registros
Local;
Processo;
Documento;
Referência aos elementos da norma;
Descrição.
18
Agenda da auditoria
Data da auditoria;
Atividades a serem auditadas;
Previsão de intervalos;
Horário e data das reuniões de abertura e fechamento;
A equipe auditora e suas responsabilidades.
Horário das atividades;
19
O acompanhamento da auditoria (follow-up) deve ser efetuado até que todas as recomendações tenham sido executadas e as fraquezas tenham sido eliminadas ou atinjam um nível tolerável pela organização.
Acompanhamento da auditoria
20
Auditor líder preside o encontro;
Reunião de abertura
Registro das pessoas presentes;
Explicação sobre o objetivo da auditoria;
21
Elaboração do relatório de auditoria contendo o resultado encontrado, qualquer que seja ele. 
Conclusão da auditoria
Diagnóstico da situação atual dos pontos de controle caso existam, as fraquezas dos controles
Ponto de controle (fraqueza) transforma-o em ponto de auditoria
Ponto de auditoria deverá sofrer revisão e avaliação, após um prazo dado para tomada de medidas corretivas.
22
Consolidação dos trabalhos;
Encerramento
Apresentação do relatório;
Apresentar breve resumo;
Reapresentar equipe se for o caso;
Apresentar parecer por área auditada;
Apresentar recomendações;
Acordar datas para ações corretivas;
Distribuir cópias.
23
Nome da organização;
Relatório Final
Objetivos;
Escopo;
Grupos ou áreas auditadas;
Identificação do líder e equipe;
Lista dos auditados;
Descrição da auditoria;
Conclusões;
Por que é importante planejar?
?
?
Otimiza a utilização do tempo da auditoria;
Demonstra atitude profissional;
Mostra ao auditado que o auditor está preparado;
Torna as auditorias mais significativas.
Competências do auditor
 Ético;
 Mente aberta;
 Diplomático;
 Observador;
 Versátil
 Decisivo
 Autoconfiante
 Paciente
 Imparcial
26
Auditor NÃO deve ser:
Ingênuo;
Cínico;
Indisciplinado;
Teimoso;
Frágil;
Chato;
Ansioso para agradar;
Inclinado a discussões
Dono da verdade;
27
O que vem depois?
Na próxima aula analisaremos os diferentes artefatos gerados em uma auditoria
Dúvidas nesta aula? 
Procure seu tutor! 
Obrigada e até a próxima aula!