Auditoria e Controles de Segurança da Informação - Aula_03

Prévia do material em texto

Auditoria e Controles de Segurança da Informação
Aula 3 
Documentação 
Prof. Msc Sheila Monteiro
 Agenda
Documentação: papéis de trabalho, Relatórios de Auditoria e Pareceres;
Conhecer e compreender o papel da Auditoria na Tecnologia da Informação;
3
As expectativas de quem pediu a auditoria;
Plano de auditoria
Os critérios da auditoria: padrões e confidencialidade;
As necessidades e interesses do auditado;
A documentação que deve estar disponível;
A agenda proposta para auditoria.
4
Produtos gerados pela auditoria 
Certificado de controle interno
Manual de auditoria do ambiente a ser auditado
Pastas contendo a documentação obtida
Relatório de fraquezas de controle interno
5
Relatório de Fraquezas de controle interno
Objetivo do projeto de auditoria
Pontos de controle auditados
Conclusão alcançada a cada ponto de controle
Alternativas de solução propostas
6
Manual de auditoria do ambiente a ser auditado
Armazena o planejamento da auditoria, os pontos de controle testados e serve como referência para futuras auditorias. Compõe-se de toa a documentação anterior já citada.
7
Certificado de controle interno
Indica se o ambiente está em boa, razoável ou má condição em relação aos parâmetros de controle interno. Apresenta a opinião da auditoria em termos globais e sintéticos.
8
Pastas contendo a documentação obtida
Irá conter toda a documentação do ambiente e dos trabalhos realizados como: relação de programas, relação de arquivos do sistema, relação de relatórios e telas, fluxos, atas de reunião, etc.
9
Nome da organização;
Relatório Final
Objetivos;
Escopo;
Grupos ou áreas auditadas;
Identificação do líder e equipe;
Lista dos auditados;
Descrição da auditoria;
Conclusões;
Papéis e responsabilidades
Auditor
Cliente
Auditado
Auditor Líder
Responsabilidades
11
11
Auditor
Aquele que audita
Auditado
Aquele que é avaliado na auditoria
Auditor Líder
Auditor que conduz uma auditoria
Cliente
Aquele que solicita ou contrata a auditoria
 Controles organizacionais e operacionais
Aquisição, Desenvolvimento, Manutenção e Documentação de sistemas
 Controles de hardware
 Controles de acesso
 Operação e computador
 Suporte técnico
 Sistemas Aplicativo
 Plano de contingência e de recuperação de desastres
 Redes de computadores
Auditoria
 Controles organizacionais e operacionais 
Controles administrativos instalados no fluxo das transações econômicas e financeiras dos sistemas de informações.
A eficiência deste controle depende de práticas e habilidades gerenciais.
 Controles organizacionais e operacionais 
14
Delineamento das responsabilidades operacionais;
Coordenação do orçamento de informática
Desenvolvimento e implementação de políticas globais de informática
Intermediação com terceiros (networking)
Gerenciamento de suprimentos
Desenvolvimento de plano de capacitação
São atribuídas aos indivíduos que têm competências para conceber e implantar sistemas.
Aquisição, Desenvolvimento, Manutenção e Documentação de Sistemas
 Controles organizacionais e operacionais 
16
Planejamento de sistemas de informações
Especificação, programação, teste e implementação de sistemas novos
Documentação e controle sobre versões de programas em produção.
Modificação dos programas das aplicações existentes
Manutenção preventiva dos sistemas aplicativos
Aquisição de sistemas
Controles de hardware
Implantar os procedimentos de segurança física sobre os equipamentos instalados em ambiente de informática de uma organização.
 Controles organizacionais e operacionais 
18
Auxiliar no monitoramento do uso de hardware 
Controle do acesso dos usuários aos ambiente de informática
Inventário e Hardware
Padronização dos equipamentos
análise da segurança do ambiente computadorizado
Controle de Acesso
As atividades de controle de acesso lógico às informações, softwares e dados são atribuições da área de Segurança da Informação 
 Controles organizacionais e operacionais 
20
Acesso físico: controle sobre o acesso físico ao hardware
Acesso lógico: controle sobre o acesso aos recursos do sistema, incluindo a possibilidade de acesso a dados ou a processamento de programas e transações 
Operação de computador
Documentação dos procedimentos executados na operação dos computadores de uma organização
 Controles organizacionais e operacionais 
22
Planejamento, controle e monitoramento das operações
Planejamento da capacidade
Monitoramento de todos os sistemas e as redes
Gravação , rastreamento dos problemas e monitoramento de tempo de resposta
Backup de sistemas, programas, dados e banco de dados
Gerenciamento de help-desk
Suporte técnico
Refere-se aos indivíduos com responsabilidades de implantar, manipular e supervisionar os recursos de alta tecnologia e de dar apoio à sua utilização na organização. 
Rotineiras
Esporádicas
Suporte técnico
Ações Rotineiras
 Gerenciamento de help desk
 Resolução aos problemas de instalação de redes
 Monitoramento das ocorrências de problemas
 Treinamento dos usuários dos Softwares
 Revisão preventiva dos equipamentos
 Substituição dos equipamentos antigos
 Segurança da Informação (quando não há a figura do Administrador de segurança)
Suporte técnico
Ações Esporádicas
 Dimensionamento de banco de dados
 Instalação de softwares utilitários
 Manutenção dos sistemas operacionais
 Instalação dos Upgrades
 Padronização dos recursos de TI
 Ativação de redes (estações, etc...) 
Sistemas Aplicativo
Tem como objetivo identificar os controles e avaliar os riscos de confidencialidade , privacidade, acuidade, disponibilidade, auditabilidade e manutenibilidade dos sistemas e também de concluir a respeito dos sistemas aplicativos classificados como chaves e da funções-chaves dos sistemas para a organização.
Sistemas Aplicativo
 Atribuição de responsabilidades e autoridades com perfis de acessos às pessoas e aos sistemas
 Segregação das funções incompatíveis
 Registro das transações de forma consistente e íntegra
 Contabilizações em tempo hábil
 Monitoramento das operações
 Levantamento de relatórios
Avaliação dos planos de contingência da organização: 
 Planos desenvolvidos que contemplem todas as necessidades de contingência
 Se são abrangentes para cobrir aspectos físicos, lógicos, de redes, de propriedades intelectuais, entre outros..
 Equipe de contingência preparada para as eventualidades
 Planos testados periodicamente
 Backup atualizados
Redes de computadores
Certificar a confiabilidade da rede: 
 Segurança física
 Segurança lógica
 Segurança de enlace
 Segurança de aplicação
O que vem depois?
Na próxima aula iremos conhecer as melhores práticas que apoiam a auditoria de TI, até lá!
Dúvidas nesta aula? 
Procure seu tutor! 
Obrigada e até a próxima aula!