PROFESSOR: ANTONY

ALISON ANTONY RIBEIRO

E-mail: professorantony@hotmail.com

SEGURANA DA INFORMAO

AUDITORIA
Poltica de segurana
Banco de Dados
de Autorizaes

Administrador

Controle de

Autenticao

acesso

de Segurana

Monitor de
Referncia
Usurio

Objetos
Auditoria

SEGURANA DA INFORMAO

O QUE QUEREMOS COM A AUDITORIA

Estudar e analisar o ambiente

corporativo e assegurar que as metas e
objetivos de TI esto sendo alcanados
e os controles chaves esto sendo
aplicados.

SEGURANA DA INFORMAO

OBJETIVO DA AUDITORIA

As diretrizes de gerenciamento descrevem e

sugerem atividades de avaliao para serem
executadas para cada controle de alto nvel.
Entre os principais objetivos temos:
Fornecer gerenciamento com segurana de que os
objetivos de controle estejam sendo alcanados;
Onde existir pontos fracos de controle significantes,
ser verificado os riscos resultantes;
Aconselhar a administrao em aes corretivas;

SEGURANA DA INFORMAO

DEFINIO DE SEGURANA

Definio de Auditoria:
ISO/IEC 17799:2001
Verificao de Conformidade Tcnica.
Definio do Dicionrio Aurlio:
Exame analtico e pericial que segue o desenvolvimento das
operaes contbeis, desde o incio at o balano; auditagem.
No devemos utilizar o termo Exame pois este est mais
relacionado com o processo pericial ou de anlise forense.
O termo Auditoria de Sistemas Comprometidos ilustra a
confuso comum entre Auditoria e Percia.

Auditoria = Verificao

SEGURANA DA INFORMAO

CONCEITO

Funo da auditoria de sistemas promover

adequao, reviso, avaliao e recomendaes
para o aprimoramento dos controles internos nos
sistemas de informao da empresa, bem como
avaliar e utilizao do recursos humanos, materiais e
tecnolgicos envolvidos no processamento dos
mesmos

(Schimidt, 2006)

SEGURANA DA INFORMAO

O QUE AUDITAR?

No se pode controlar o que no se

pode medir
a) Fidelidade da Informao
b) Segurana fsica e lgica da Informao
c) Conformidade legal
d) Conformidade com boas prticas
e) Eficincia e Eficcia dos Recursos e Resultados
f) Obedincia s polticas

SEGURANA DA INFORMAO

Auditoria Pr-Ativa
Ao pela qual uma situao observada atravs
da coleta de informaes para eventual comparao
com um estado anterior e/ou futuro. Pode ser
entendida como uma ao que visa identificar
possveis falhas antes que uma ameaa potencial
seja concretizada.

SEGURANA DA INFORMAO

Auditoria Reativa
Coleta de informaes e evidncias aps a
identificao de uma violao.
parte da atividade de anlise forense, a qual
fornece informaes sobre as aes ocorridas e que
sero utilizadas para prover as correes
necessrias assim como para o aumento do grau de
segurana.

SEGURANA DA INFORMAO

AMEAA

Ameaa: O termo ameaa foi muito bem definido por

Karen Olsen na seguinte publicao do NIST (National
Institute of Standards and Technology): Security in
Open Systems SP 800-7.

Ameaa uma circunstncia, condio, ou

evento que possui potencial para causar
estrago para o corpo tcnico ou recursos de
rede na forma de destruio, divulgao,
modificao de dados, negao de servio,
fraude, desperdcio e/ou abuso.

SEGURANA DA INFORMAO

TIPOS DE AUDITORIA

Auditoria Remota: Quando o processo de auditoria

controlado e executado fora das instalaes que so
alvo do processo.
Auditoria Local: Realizao da atividade dentro do
ambiente que est sendo auditado.
Auditoria Fsica: Processo de verificao das
condies de segurana fsica de um sistema, como
por exemplo se a sala de servidores possui fechadura
e se esta realmente funciona.

SEGURANA DA INFORMAO

TIPOS DE AUDITORIA

Auditoria Lgica: Auditoria que verifica as demais

condies no fsicas que fazem parte do processo
e/ou sistema.
Auditoria de Permetro: Atividade de mapeamento
da infraestrutura de rede responsvel pela delimitao
e/ou segmentao. A auditoria de permetro permite
verificar externamente qual a parte visvel da
infraestrutura.
Auditoria de Conformidade: Permite avaliar e/ou
validar uma situao frente a uma norma ou
requisitos.

SEGURANA DA INFORMAO

PASSOS DE UMA AUDITORIA

O processo de auditoria deve sempre ser autorizado

e seguir as normas e/ou legislao pertinente.
A auditoria fornece uma fotografia instantnea da
situao encontrada.
As informaes geradas pela auditoria devem ser
armazenadas conforme a poltica da empresa.
Deve-se manter um histrico de todas as atividades
realizadas no processo de auditoria, incluindo horrios
de realizao, durao dos eventos e mtodos
utilizados no processo.

SEGURANA DA INFORMAO

PERGUNTA

1-) A auditoria de sistemas computacionais deve ser

vista como um projeto? Justifique

2-) Quais as dificuldades enfrentadas pela auditoria na

empresa?

SEGURANA DA INFORMAO

FASES DA AUDITORIA

Levantamento
Planejamento
Execuo
Elaborao do Relatrio
Monitoramento

SEGURANA DA INFORMAO

LEVANTAMENTO

Informaes iniciais
Objetivos institucionais
Legislao aplicvel
Estrutura organizacional

Avaliao dos Controles Internos

O auditor, para determinar a extenso e o alcance
da fiscalizao, deve examinar e avaliar o grau de
confiabilidade dos controles internos.

SEGURANA DA INFORMAO

AVALIAO DOS CONTROLES DE TI

Avaliao limitada: avaliao menos profunda dos

controles gerais e de aplicativos, que pode ser
realizada por equipes compostas somente por
auditores que no detenham conhecimentos
especficos de TI. Os controles pertinentes so
examinados na extenso necessria para o
atendimento dos objetivos da auditoria.

SEGURANA DA INFORMAO

AVALIAO DOS CONTROLES DE TI

Controles Gerais
Controles de Aplicativos
Anlise de Dados

SEGURANA DA INFORMAO

CONTROLES GERAIS

Polticas e padres organizacionais, especialmente

relacionados TI
Organizao e administrao da TI
Segregao de funes
Procedimentos de Segurana
Controles fsicos (de acesso e de ambiente)
Controles lgicos de acesso
Desenvolvimento de sistema e alteraes de
programas
Plano de Continuidade de Negcios
Computao de usurio final

SEGURANA DA INFORMAO

CONTROLES DE APLICATIVOS

Controles e procedimentos que garantem que

apenas as transaes vlidas so processadas e
registradas
Controle no(a):
Entrada de Dados
Processamento de Dados
Sada de Dados

SEGURANA DA INFORMAO

CONTROLES DE APLICATIVOS

So especficos dos sistemas e so implementados

para prevenir, detectar e corrigir erros e
irregularidades em transaes durante a entrada,
processamento e sada de dados.

Possui como objetivo garantir um processamento

confivel e exato, a partir de controles incorporados
diretamente em programas aplicativos, nas trs reas
de operao: entrada, processamento e sada de
dados.

SEGURANA DA INFORMAO

ANALISE DE DADOS

Segundo princpios geralmente aceitos de auditoria,

quanto menor a confiabilidade dos controles gerais ou
de aplicativo (ou se esses no forem avaliados), maior
a extenso dos testes necessrios para determinar a
confiabilidade dos dados.
Papel da evidncia:
nica evidncia para fundamentar um achado
Evidncia auxiliar ou de ratificao
Informao geral (histrico, descries etc.)

SEGURANA DA INFORMAO

PLANEJAMENTO

Nesta fase, deve ser definido:

Objetivo da auditoria
Objeto da auditoria
Universo a ser auditado (escopo)
Tcnicas e procedimentos a serem utilizados
Critrios de auditoria
Etapas e cronogramas
Recursos humanos e materiais

SEGURANA DA INFORMAO

ETAPAS DO PLANEJAMENTO

Viso geral

Avaliao dos Controles Internos

Elaborao da Matriz de Planejamento
A Avaliao dos Controles Internos deve ser feita
caso no tenha sido realizada a fase de
Levantamento.

SEGURANA DA INFORMAO

VISO GERAL

Objetivos institucionais

Estrutura Organizacional
Legislao Aplicvel
Prticas Administrativas
Planos Estratgicos
Descrio do Objeto da Fiscalizao