Baixe o app para aproveitar ainda mais
Prévia do material em texto
Auditoria e Controles de Segurança da Informação Aula 3 Documentação Prof. Msc Sheila Monteiro Agenda Documentação: papéis de trabalho, Relatórios de Auditoria e Pareceres; Conhecer e compreender o papel da Auditoria na Tecnologia da Informação; 3 As expectativas de quem pediu a auditoria; Plano de auditoria Os critérios da auditoria: padrões e confidencialidade; As necessidades e interesses do auditado; A documentação que deve estar disponível; A agenda proposta para auditoria. 4 Produtos gerados pela auditoria Certificado de controle interno Manual de auditoria do ambiente a ser auditado Pastas contendo a documentação obtida Relatório de fraquezas de controle interno 5 Relatório de Fraquezas de controle interno Objetivo do projeto de auditoria Pontos de controle auditados Conclusão alcançada a cada ponto de controle Alternativas de solução propostas 6 Manual de auditoria do ambiente a ser auditado Armazena o planejamento da auditoria, os pontos de controle testados e serve como referência para futuras auditorias. Compõe-se de toa a documentação anterior já citada. 7 Certificado de controle interno Indica se o ambiente está em boa, razoável ou má condição em relação aos parâmetros de controle interno. Apresenta a opinião da auditoria em termos globais e sintéticos. 8 Pastas contendo a documentação obtida Irá conter toda a documentação do ambiente e dos trabalhos realizados como: relação de programas, relação de arquivos do sistema, relação de relatórios e telas, fluxos, atas de reunião, etc. 9 Nome da organização; Relatório Final Objetivos; Escopo; Grupos ou áreas auditadas; Identificação do líder e equipe; Lista dos auditados; Descrição da auditoria; Conclusões; Papéis e responsabilidades Auditor Cliente Auditado Auditor Líder Responsabilidades 11 11 Auditor Aquele que audita Auditado Aquele que é avaliado na auditoria Auditor Líder Auditor que conduz uma auditoria Cliente Aquele que solicita ou contrata a auditoria Controles organizacionais e operacionais Aquisição, Desenvolvimento, Manutenção e Documentação de sistemas Controles de hardware Controles de acesso Operação e computador Suporte técnico Sistemas Aplicativo Plano de contingência e de recuperação de desastres Redes de computadores Auditoria Controles organizacionais e operacionais Controles administrativos instalados no fluxo das transações econômicas e financeiras dos sistemas de informações. A eficiência deste controle depende de práticas e habilidades gerenciais. Controles organizacionais e operacionais 14 Delineamento das responsabilidades operacionais; Coordenação do orçamento de informática Desenvolvimento e implementação de políticas globais de informática Intermediação com terceiros (networking) Gerenciamento de suprimentos Desenvolvimento de plano de capacitação São atribuídas aos indivíduos que têm competências para conceber e implantar sistemas. Aquisição, Desenvolvimento, Manutenção e Documentação de Sistemas Controles organizacionais e operacionais 16 Planejamento de sistemas de informações Especificação, programação, teste e implementação de sistemas novos Documentação e controle sobre versões de programas em produção. Modificação dos programas das aplicações existentes Manutenção preventiva dos sistemas aplicativos Aquisição de sistemas Controles de hardware Implantar os procedimentos de segurança física sobre os equipamentos instalados em ambiente de informática de uma organização. Controles organizacionais e operacionais 18 Auxiliar no monitoramento do uso de hardware Controle do acesso dos usuários aos ambiente de informática Inventário e Hardware Padronização dos equipamentos análise da segurança do ambiente computadorizado Controle de Acesso As atividades de controle de acesso lógico às informações, softwares e dados são atribuições da área de Segurança da Informação Controles organizacionais e operacionais 20 Acesso físico: controle sobre o acesso físico ao hardware Acesso lógico: controle sobre o acesso aos recursos do sistema, incluindo a possibilidade de acesso a dados ou a processamento de programas e transações Operação de computador Documentação dos procedimentos executados na operação dos computadores de uma organização Controles organizacionais e operacionais 22 Planejamento, controle e monitoramento das operações Planejamento da capacidade Monitoramento de todos os sistemas e as redes Gravação , rastreamento dos problemas e monitoramento de tempo de resposta Backup de sistemas, programas, dados e banco de dados Gerenciamento de help-desk Suporte técnico Refere-se aos indivíduos com responsabilidades de implantar, manipular e supervisionar os recursos de alta tecnologia e de dar apoio à sua utilização na organização. Rotineiras Esporádicas Suporte técnico Ações Rotineiras Gerenciamento de help desk Resolução aos problemas de instalação de redes Monitoramento das ocorrências de problemas Treinamento dos usuários dos Softwares Revisão preventiva dos equipamentos Substituição dos equipamentos antigos Segurança da Informação (quando não há a figura do Administrador de segurança) Suporte técnico Ações Esporádicas Dimensionamento de banco de dados Instalação de softwares utilitários Manutenção dos sistemas operacionais Instalação dos Upgrades Padronização dos recursos de TI Ativação de redes (estações, etc...) Sistemas Aplicativo Tem como objetivo identificar os controles e avaliar os riscos de confidencialidade , privacidade, acuidade, disponibilidade, auditabilidade e manutenibilidade dos sistemas e também de concluir a respeito dos sistemas aplicativos classificados como chaves e da funções-chaves dos sistemas para a organização. Sistemas Aplicativo Atribuição de responsabilidades e autoridades com perfis de acessos às pessoas e aos sistemas Segregação das funções incompatíveis Registro das transações de forma consistente e íntegra Contabilizações em tempo hábil Monitoramento das operações Levantamento de relatórios Avaliação dos planos de contingência da organização: Planos desenvolvidos que contemplem todas as necessidades de contingência Se são abrangentes para cobrir aspectos físicos, lógicos, de redes, de propriedades intelectuais, entre outros.. Equipe de contingência preparada para as eventualidades Planos testados periodicamente Backup atualizados Redes de computadores Certificar a confiabilidade da rede: Segurança física Segurança lógica Segurança de enlace Segurança de aplicação O que vem depois? Na próxima aula iremos conhecer as melhores práticas que apoiam a auditoria de TI, até lá! Dúvidas nesta aula? Procure seu tutor! Obrigada e até a próxima aula!
Compartilhar