Curso Auditoria em Segurança Da Informação PDF

Curso de Auditoria em
Segurana da
Informao
Professor Andr L. N. Campos
Cerificado Auditor Lder BS7799
Professor Andr Campos
Fundamentos em auditoria
Uma viso mais ampla sobre segurana da informao poder

ser obtida no livro Sistema de Segurana da Informao
Controlando os riscos, de Andr Campos, Editora Visual
Books.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Este material foi produzido como apoio didtico para disciplinas de
graduao e ps-graduao relacionadas com Tecnologia da Informao.
O uso permitido a todo e qualquer docente ou discente das referidas
disciplinas, ou correlatas, desde que sejam respeitados os direitos autorais,
ou seja, que os crditos sejam mantidos.
Este material no pode ser vendido. Seu uso permitido sem qualquer
custo.
Diversas figuras foram obtidas a partir do acesso em sites de imagens.

Estas imagens foram utilizadas em seu estado original, com 72DPI.
Algumas imagens foram obtidas da obra "Sistema de Segurana da
Informao Controlando Riscos".
Todas as imagens so utilizadas para fins exclusivamente acadmicos e no
visam a obteno de lucro.
Informaes especficas sobre segurana da informao podem ser obtidas

na obra Sistemas de segurana da informao Controlando Riscos;
Campos, Andr; Editora Visual Books, 2007.
A auditoria
O objetivo de uma auditoria garantir a
efetividade dos processos e ativos de uma
determinada organizao.
A auditoria poder dedicar-se a comprovar a
eficcia, a comprovar a eficincia, ou a
comprovar a efetividade.
A auditoria
Consiste basicamente da comparao do
estado dos processos e dos ativos contra um
critrio de auditoria.
Desta comparao, so possveis os
seguintes resultados:
Conforme
No conforme (Oportunidade de Melhoria)
Em ambos os casos, possvel haver
observaes.
A auditoria
As conformidades e no conformidades so
aplicadas com base nas evidncias de
auditoria, ou seja, em registros, apresentao
de fatos ou outras informaes que
corroborem as evidncias.
A auditoria no pode ser baseada em opinies
ou avaliaes pessoais dos indivduos
envolvidos na auditoria.
A auditoria
Os personagens de uma auditoria so o
auditado, que a organizao que recebe a
auditoria, os auditores, que so os que
realizam a auditoria, os especialistas, que so
as pessoas que fornecem conhecimento ou
experincia especficos para a equipe de
auditoria, e o cliente de auditoria, que nem
sempre o auditado; muito comum em caso
de qualificao de fornecedores.
A auditoria
Para a realizao de uma auditoria,
importante haver um programa de auditoria
que preveja a realizao de diversas
auditorias, integradas ou no a outros
sistemas auditores, e para cada auditoria um
plano de auditoria. A equipe de auditores
precisa ter a competncia adequada para a
auditoria.
A auditoria
Existem basicamente 3 tipos de auditoria;
Auditoria de primeira parte a auditoria
interna, que objetiva garantir a implementao
correta de controles.
Auditoria de segunda parte a auditoria
contratada para verificar se a auditoria interna
foi realizada adequadamente.
Auditoria de terceira parte a auditoria
contrata para aferir certificao com base em
determinado critrio de auditoria.
A auditoria
Uma auditoria deve basear-se em alguns
elementos essenciais, que proporcionaro
confiabilidade a todo o processo.
importante que a auditoria seja pautada pela
tica, pela justia, pelo zlo profissional, pela
imparcialidade, e por uma abordagem
baseada em evidncias.
A auditoria
A conduta tica do profissional de auditoria
far com que ele seja uma pessoa confivel,
ntegra, discreta e que mantm a
confidencialidade das informaes as quais
tem acesso.
A auditoria
A apresentao justa refere-se a obrigao
de informar verazmente e precisamente a
respeito das constataes de auditoria, dos
relatrios e das concluses. Mesmo as
divergncias entre a equipe de auditoria e o
auditado que no forem resolvidas, devem ser
claramente relatadas.
A auditoria
O cuidado profissional refere-se ao trabalho
zeloso e a aplicao do julgamento correto na
atividade de auditoria, considerando a
relevncia e a responsabilidade que um
auditor tem.
A auditoria
A independncia refere-se ao trabalho
imparcial que deve ser realizado pela equipe
de auditoria. Para tanto, os auditores no
podem ser subordinados ou dependentes do
auditado direto.
Os auditores precisam manter a mente aberta
e estarem livres da tendncia de conflito de
interesses.
A auditoria
A abordagem baseada em evidncias
refere-se ao mtodo cientfico para gerar as
concluses de auditoria, de modo que estas
sejam confiveis e reproduzveis.
A utilizao de amostragem aceitvel para
reduzir o tempo de auditoria, mas deve
garantir a confiabilidade necessria aos
resultados obtidos.
Critrios de auditoria
Existem diversos critrios de auditoria,
dependendo do tipo da auditoria e dos
resultados esperados.
Um critrio de auditoria um conjunto de
polticas, procedimentos ou requisitos.
Vejamos alguns destes critrios e seus

principais objetivos.
Existem diversos critrios de auditoria,
dependendo do tipo da auditoria e dos
resultados esperados.
Um critrio de auditoria um conjunto de
polticas, procedimentos ou requisitos.
Vejamos alguns destes critrios e seus

principais objetivos.
A ISO 27.001 um critrio especfico para
auditorias de segurana da informao.
O objetivo deste critrio garantir que a
informao na organizao esteja preservada
quanto a sua confidencialidade,
disponibilidade e integridade.
Ela aborda temas tais como Poltica de
Segurana, Classificao da Informao,
Segurana Fsica, Segurana de Acesso
Lgico, Segurana em Sistemas, entre outros.
A Sarbanes-Oxley (SARBOX / SOX) um
critrio especfico para auditorias de
segurana relacionadas com as atividades
financeiras da organizao.
Trata-se de uma lei americana criada por Paul
Sarbanes e Michael Oxley com o objetivo de
garantir transparncia das operaes
financeiras altamente baseadas em sistemas
de informao. Ela estabelece regras de
segurana e auditoria, que inclui a criao de
comits e comisses de superviso.
Sarbanes-Oxley (SARBOX / SOX)
Seo
Seo 302
Seo 404
Seo 409
Requisitos
A seo Corporate
Responsibility for Financial
Reports determina que
CEOs e CFOs devem
assinar documentos
trimestralmente e
anualmente certificando
que seus relatrios
financeiros esto corretos
e precisos.
A seo management
assessment of internal
controls determina que a
organizao documente, teste
e relatorie sua estrutrua
interna de controles;
Auditories externos devem
atestar a qualidade destes
controles.
A seo real-time issuer

disclosures determina que a
organizao elabore um
relatrio claro sobre
material changes to the
financial condition or
operations em no mximo
48 horas.
Aspectos
principais
Garante que os executivos

tenham avaliado a
efetivadade dos controles
internos 90 dias antes do
relatrio atual.
Garante a existncia de
controles internos para os
sistemas finaceiros existentes
e outros grandes sistemas
corporativos.
Garante que o
monitoramento financeiro
est altamente
automatizado e suportado
por um grande nmero de
diferentes sistemas.
Principais
preocupaoes
dos executivos
Quem na organizao
responsvel por garantir a
integridade e a
disponibilidade dos
sistemas financeiros?
Entre os controles internos,

esto inclusos o Plano de
Continuidade de Negcio e as
respectivas consideraes de
recuperao de desastres?
Quanto ser a material

changes monitorada quando
os sistemas de
monitoramento estiverem
for a do ar para manuteno
ou upgrade?
A metodologia ITIL um critrio especfico
itSMF, ou simplesmente, Gerenciamento de
servios de TI. Contm os seguintes livros:
Service Delivery, Service Support, The Business
Perspective - the IS View of Delivering Services to the
Business, Planning to Implement IT Service
Management, Software Asset Management, Security
Management, ITIL Small-scale Implementation,
Applications Management, ICT Infrastructure
Management, Gerenciamento de Servios de TI na
Prtica - Uma abordagem com base na ITIL
A metodologia COBIT um critrio especfico
para gesto de TI.
Grande foco no alinhamento estratgico, no
planejamento e acompanhamento dos planos
e retorno sobre os investimentos em
Tecnologia da Informao.
A norma ISO 12.207 um critrio especfico
sobre o ciclo de vida do software.
A norma se preocupa com a aquisio ou
desenvolvimento do software, seu suporte
durante o perodo de uso, e os processos de
gesto e melhoria contnua.
H ainda foco na questo dos treinamentos e
infra necessrios para utilizao adequada do
software.
A norma ISO 9.126 um critrio especfico
sobre a qualidade do software.
A norma se preocupa com aspectos tais como
funcionalidade adequada, confiabilidade,
usabilidade, eficincia, manutenibilidade, e
portabilidade.
A ISO 14.598 uma norma de apoio a
avaliao da qualidade de software.
O modelo CMMI um critrio especfico para
a melhoria contnua do processo de
desenvolvimento de software.
Trata-se de um modelo de maturidade, ou
seja, que permite a organizao evoluir ao
passo que implementa os procedimentos
propostos.
Naturalmente existem outras normas e
metodologias que podem ser adotadas como
critrio de uma auditoria. As normas e
metodologias apresentadas neste documento
so meramente ilustrativos.
Competncia dos auditores

Boa parte da estabilidade e dos resultados
obtidos pela atividade de auditoria dependem
da competncia do auditor.
Esta competncia uma composio entre os
atributos pessoais, os conhecimentos e
habilidades, e a educao e experincia
profissional.
O auditor precisa ter competncia em

auditoria, e competncia especfica para o tipo
de auditoria que pretende conduzir.

Os atributos pessoais esto muito
relacionados com os princpios essenciais de
uma auditoria, que j foi visto.
Portanto, o auditor precisa ser tico, ter a
mente aberto, ser diplomtico, observador,
perceptivo, verstil, persistente, racional, e
auto confiante.
Estes atributos no so todos facilmente

encontrados em uma s pessoa, mas podem
ser desenvolvidos.

Quanto aos conhecimentos e habilidades,
isto tem a ver com uma grande diversidade de
aspectos.
importante possuir conhecimentos gerais,
tais como tcnicas de auditoria, sistema de
gesto, conhecimento de negcio, leis e
regulamentos.
Competncia para liderar equipes de auditoria

necessrio.
Conhecer o critrio de auditoria especfico
fundamental.

A educao e experincia profissional, se
relacionam com a competncia para cada
autor da auditoria.
O auditor precisa ter treinamento em auditoria
e conhecer bem o critrio de auditoria.
O auditor lder precisa ter uma competncia

superior a dos demais auditores, em
conhecimento e em experincia.

Parmetro
Auditor
Auditor Lder
Educao
Mnimo: nvel
mdio.
Idem.
Experincia
total
5 anos para NM Idem.

e 1 ano para
NS.
Experincia
especfica
Mnimo de 2
anos.
Idem.
Treinamento
em auditoria
40h.
Idem.
Experincia
em auditoria
4 auditorias,
mnimo 20
dias.
3 auditorias,
mnimo 15
dias, como
lder.

A competncia do auditor precisa ser sempre
melhorada, e que mesmo as competncias
existentes sejam mantidas atravs da
participao regular em auditorias.
Os auditores pode se certificar pelo RAC (Registro de
Auditores Certificados). Visite o site
http://www.cic.org.br.
Nveis de certificao:
Auditor
Auditor Aspirante
Auditor Interno
Auditor Lder
Programa de auditoria
Um programa de auditoria pode envolver
uma ou mais auditorias, e estas auditorias
pode ser combinadas ou em conjunto.
Quando diferentes sistemas de gesto
(qualidade, segurana da informao,
ambiente) so auditados juntos, isto
chamado de auditoria combinada.
Quando duas ou mais organizaes de

auditoria cooperam para auditar um nico
auditado, isto chamado de auditoria
conjunta.
A aes fundamentais que contribuem para o
xito das estratgias de negcio da
organizao devem ser fortemente apoiadas e
patrocinadas pela Alta Direo.
No diferente no caso do programa de
auditoria em Tecnologia da Informao,
Segurana da Informao, Governana em TI,
Gesto de Servios em TI, ou qualquer outra
considerada estratgica.
De fato, os programas de auditoria precisam
ser geridos, e para tal, a organizao deve
estabelecer um processo contnuo para este
fim.
Como todos os processos de qualidade, o de
auditoria tambm precisa garantir a melhoria
contnua, e para tanto, um ciclo P-D-C-A,
demonstrado no prximo slide.
Existe uma norma especfica que estabelece
uma proposta de P-D-C-A para o programa de
auditoria.
Esta mesma norma prope uma metodologia
para as atividades de auditoria, e para as
competncias dos auditores.
Esta norma a NBR ISO 19.011 Diretrizes
para auditorias.
Monitorando e analisando
- Monitorao e anlise crtica
- Necessidade de aes corretivas
- Necessidade de aes
preventivas
- Oportunidades de melhoria
ACT
PLAN
Melhorando o programa de
auditoria
Estabelecendo o programa
- Objetivos e abrangncia
- Responsabilidades
- Recursos
- Procedimentos
CHECK
DO
Implementando o programa
- Programando auditorias
- Avaliando auditores
- Selecionando equipes
- Dirigindo auditorias
- Mantendo registros
Um primeiro passo definir o objetivo do
programa de auditoria, que pode estar
relacionado com questes estratgicas,
aspectos comerciais, requisitos do prprio
SGSI, dos clientes, ou das leis e
regulamentos, entre outros.
Por exemplo, Satisfazer requisitos da norma
X, Conformidade com contratos, e Ober
confiana do cliente seriam objetivos
vlidos.
Em seguida deve-se definir a
abrangncia deste programa, que ser
influenciado pelo tamanho e complexidade
da organizao, frequncia das auditorias,
requisitos normativos, preocupaes das
partes interessadas, mudanas
significativas na organizao, entre outros.
O prximo passo definir as
responsabilidades do programa de
auditoria.
O programa de auditoria deve ser
gerenciado por um ou mais colaboradores
que compreendam os princpios de
auditoria, que possam avaliar os auditores,
e que tenham compreenso tcnica e
capacidade gerencial, especialmente da
gesto de projetos.
Os recursos necessrios para o programa
de auditoria precisam ser reservados.
importante lembrar que os recursos se
referem no apenas aos aspectos
financeiros, mas tambm aos recursos
tcnicos, ao processo de obteno
manuteno das competncias dos
auditores, recursos humanos
(disponibilidade), tempo e dinheiro para
viagens, hospedagens e coisas do gnero.
Os procedimentos de auditoria deve ser
definidos, e podem fazer parte da Poltica de
Segurana da Informao (PSI).
Devem abranger o planejamento das
auditorias, a manuteno das competncias,
a seleo das equipes, a realizao das
auditorias, as aes de acompanhamento, o
registro, a monitoramento do programa, e o
processo de comunicao com a Alta Direo
a respeito dos resultados.
Implementar o programa , de fato,
fazer acontecer tudo o que foi planejado.
Isto envolve comunicar as partes
interessadas, coordenar as auditorias,
avaliar continuamente a competncia
dos auditores, selecionar e monitorar as
equipes, garantir os recursos,
gerenciar o cronograma de auditoria,
analisar os riscos, e manter a
qualidade do programa.
Em qualquer processo de auditoria, os
registros so de fundamental
importncia. So a evidncia de que o
programa existe.
Sendo assim, so trs as principais
categorias de registro:
1 Relativos a auditoria;
2 Relativos a anlise crtica do
programa;
3 Relativos ao pessoal de auditoria.
Os registros relativos as auditorias
incluem:
1 - Planos de auditoria;
2 - Relatrios de auditoria;
3 - Relatrios de no conformidade;
4 - Relatrios de ao corretiva;
5 - Relatrios de acompanhamento.
Os registros relativos as anlise crtica
incluem:
1 Atas de reunio;
2 Registro de informaes consideradas;
3 Relatrio de propostas.
Os registros relativos a equipe de
auditoria incluem:
1 Competncia do auditor;
2 Avaliao de desempenho;
3 Seleo das equipes;

4 Experincia adquirida;
5 Treinamentos realizados.
Monitorando o programa
A prpria implementao do programa
precisa ser monitorada. Pode parecer
estranho, j que o programa criado para
auditar precisa tambm ser auditado.
As informaes obtidas neste
monitoramente devem ser estruturadas
de maneira didtica e repassadas para a
Alta Direo.
Mas como monitorar a implantao de
um programa de auditoria?
O acompanhamento do cronograma de
implantao uma bom comeo. Os
resultados obtidos em termos de
documentos gerados, procedimentos
escritos, e implementados, devem ser
considerados.
No entanto, um mtodo efetivo criar
indicadores de desempenho que
possam monitorar caractersticas tais
como:
A habilidade da equipe de auditoria em
implementar o plano de auditoria;
A conformidade com o programa de
auditoria e as programaes;
A realimentao dos clientes de auditoria,
auditados e auditores.
Melhorando o programa
O objetivo da anlise crtica do
programa de auditoria considerar
todas as informaes possveis a
respeito do programa, de modo que seja
possvel avaliar a situao atual, definir
uma situao futura desejada, e propor
melhorias que garantam o
preenchimento da lacuna entre a
situao atual e a desejada.
Melhorando o programa
A anlise crtica deve considerar, por
exemplo:
1 - resultados e tendncias apresentadas
pelo monitoramento;
2 - A conformidade com os
procedimentos;
3 - A evoluo de necessidades e
expectativas das partes interessadas;
4 - Os registros do programa de auditoria
(j mencionados);
5 - A consistncia no desempenho entre
equipes de auditoria.

Books.
PROJETOS DE AUDITORIA DE TI
Elaborado pelo professor Andr Campos

Books.
PROJETOS DE AUDITORIA DE TI
Este material foi produzido como apoio didtico para disciplinas de
graduao e ps-graduao relacionadas com Tecnologia da Informao.
O uso permitido a todo e qualquer docente ou discente das referidas
disciplinas, ou correlatas, desde que sejam respeitados os direitos autorais,
ou seja, que os crditos sejam mantidos.
Este material no pode ser vendido. Seu uso permitido sem qualquer
custo.
Diversas figuras foram obtidas a partir do acesso em sites de imagens.

Estas imagens foram utilizadas em seu estado original, com 72DPI.
Algumas imagens foram obtidas da obra "Sistema de Segurana da
Informao Controlando Riscos".
Todas as imagens so utilizadas para fins exclusivamente acadmicos e no
visam a obteno de lucro.
Informaes especficas sobre segurana da informao podem ser obtidas

na obra Sistemas de segurana da informao Controlando Riscos;
Campos, Andr; Editora Visual Books, 2007.
Iniciando a auditoria
A auditoria conduzida por um lder, ou
auditor lder, que designado pelo gerente
responsvel pelo programa de auditoria.
Quando acontecem auditorias conjuntas
importante que as organizaes envolvidas na
auditoria cheguem a um consenso quanto a
que ser o auditor lder e qual ser sua
autoridade sobre a equipe de auditoria, que
neste caso ser mista.
No podem haver dois auditores lderes para a

mesma auditoria.
Cada auditoria deve possuir uma definio dos
objetivos, escopo e critrio de auditoria,
documentados. Os objetivos podem ser:
1 Avaliao de conformidade (compliance);
2 Avaliao da capacidade do Sistema de
Gesto;
3 Avaliao da eficcia do Sistema de
Gesto;
4 Identificao de reas do Sistema de

Gesto para potencial melhoria.
O escopo da auditoria determina a
abrangncia e os limites da auditoria,
envolvendo inclusive os limites fsicos, da
estrutura hierrquica formal ou informal, dos
processos, e do perodo de auditoria.
O critrio de auditoria a referncia contra a
qual a conformidade ser determinada,
podendo ser polticas, normas, procedimentos,
leis, regulamentos, requisitos do Sistema de
Gesto, requisitos contratuais, entre outros.
Os objetivos da auditoria so definidos pelo
cliente, e o escopo e critrio de auditoria so
acordados entre o cliente e o auditor lder.
Qualquer eventual mudana de objetivos,
escopo ou critrio aps o incio da auditoria,
deve ser devidamente documentado e
assinado pelo cliente e pelo auditor lder.
Nos casos de auditorias combinadas

especialmente importante que o auditor lder
garanta que os objetivos, escopo e critrio
sejam adequados para a auditoria em
questo.
importante, antes de executar um projeto de
auditoria, determinar a viabilidade deste
projeto.
Existem informaes suficientes para suportar
a auditoria? O auditado est disposto a
cooperar ou resistente ao processo? O
tempo e os recursos planejados so realmente
suficientes?
No vale a pena comear um projeto que no
poder ser concludo. O cliente, o auditado e o
auditor lder devem garantir a viabilidade.
Aps o estudo de viabilidade, o prximo passo
definir a equipe de auditores. importante
que a equipe, coletivamente, possua os
conhecimentos e as habilidades necessrias
para conduzir a auditoria em questo. Devem
ser considerados aspectos tais como: a)
objetivos, escopo e critrio da auditoria; b) se
a auditoria simples, combinada ou conjunta;
c) requisitos legais, regulamentares,
certificaes, etc; d) a garantia de
independncia e imparcialidade; e) bom
relacionamento inter-pessoal do grupo); f) o
idioma da auditoria, se for o caso.
Se a equipe de auditores no for suficiente
para garantir o conjunto de conhecimentos e
habilidades necessrias, ser necessrio
convidar (contratar) especialistas que
atendam a esta demanda.
Membros da equipe podero ser substitudos
a pedido do cliente ou do auditado, caso haja
conflito de interesses ou relato de conduta
inapropriada de um dos auditores ou
especialistas.
No incio da auditoria, adequado que o
contato inicial com o cliente seja
estabelecido de maneira formal (apesar de no
ser obrigatrio), onde so definidos:
a) Canais de comunicao;
b) Confirmar a autoridade;
c) Detalhamento do projeto de auditoria;
d) Solicitao de acessos a informao;
e) Definio das regras de segurana fsica e
lgica pertinentes;
f) Explicitar se havero observadores e e guias.
Anlise crtica de documentos

Na fase de execuo da auditoria, antes das
atividades no local, importante fazer uma
anlise crtica dos documentos, que podem
incluir documentos e registros especficos do
Sistema de Gesto e relatrios de auditorias
anteriores.
No caso da ISO 27.001 importante avaliar o
documento de definio de escopo e a
declarao de aplicabilidade, alm do registro
de incidentes de segurana da informao.
Anlise crtica de documentos

Caso a documentao no se encontre nas
condies mnimas necessrias para o incio
da auditoria, provvel que a auditoria seja
interrompida at que a documentao seja
providenciada.
Esta deciso deve ser tomada entre o auditor
lder e o cliente da auditoria.
Preparando atividades no local

O auditor lder deve apresentar para o cliente
e para o auditado um plano de auditoria, que
sirva de base central para a comunicao
entre todos os participantes e interessados no
projeto.
Este plano deve ser detalhado e dar uma idia
clara do escopo, do tempo, dos recursos e dos
resultados esperados par ao projeto. Uma
prtica adequada construir um cronograma
do projeto que inclua todas estas informaes.
Uma ferramenta muito utilizada o MS
Project.

O plano de auditoria deve conter pelo menos
as seguintes informaes:
1 Os objetivos da auditoria;
2 O critrio de auditoria selecionado;

3 O escopo da auditoria;
4 As datas e locais onde ocorrero as
atividades de auditoria;
5 O tempo estimado das atividades;
6 As funes e responsabilidades dos

envolvidos;

Continuao...
7 A alocao de recursos;
8 A identificao dos stakeholders (partes

interessadas);
9 O idioma vigente para auditoria, se for
diferente do idioma nativo;
10 As principais entregas, a serem
apresentadas no relatrio de auditoria;
11 Questes de logstica (viajens, etc);
12 Termos de sigilo e confidencilidade;
13 Termos sobre aes de
acompanhamento.

essencial que o plano de auditoria seja
avaliado pelos principais envolvidos, ou seja,
a equipe de auditoria, o cliente e o auditado.
O cliente dever expressar formalmente sua
aprovao para o plano de auditoria, atravs
de um documento assinado por ele.
Eventuais alteraes no plano de auditoria
devero ser aprovadas novamente, tambm
de maneira formal.

O auditor lder, conhecendo melhor o auditado,
tendo analisado os documentos da
organizao ou rea, tendo avaliado a
viabilidade da auditoria, e tendo elaborado o
plano de auditoria, agora tem totais condies
de dividir o trabalho da auditoria para sua
equipe.
Ele considerar a competncia de cada
auditor frente demanda de cada tarefa, alm
de observar a questo da independncia dos
auditores.

O auditor lder conduzir sua equipe na
preparao dos documentos para trabalho.
Este documentos so compostos basicamente
de listas de verificao (check-lists) e
eventualmente formulrios para o registro de
informaes de suporte, tais como evidncias
e constataes, entre outros.
Os documentos de trabalho devem ser

preservados, pelo menos, at a concluso da
auditoria.
Conduzindo projeto de auditoria

A reunio de abertura importante, e deve
ser conduzida com a alta direo da
organizao auditado e envolver as lideranas
das reas, funes e processos a serem
auditados. Esta reunio tem os seguintes
objetivos:
1 Confirmar o plano de auditoria;
2 Fornecer informaes sobre como ser
conduzida a auditoria;
3 Confirmar os canais de comunicao;

4 Abrir espao para perguntas.

A comunicao durante a auditoria um fator
chave de sucesso, e deve ser feita
adequadamente. impressionante o fato de
que todos os envolvidos em projetos, de
qualquer espcie, esto cientes da
importncia da comunicao. No entanto, um
grande nmero de problemas ocorrem durante
o projeto exatamente em decorrncia de
falhas ligadas a comunicao.

Um plano formal de comunicao precisa ser
elaborado. Os stakeholders so identificados e
comunicados do andamento da auditoria, tanto
no que se refere aos resultados positivos
quanto aos resultados negativos.
Problemas que estejam inviabilizando ou
prejudicando a auditoria precisam ser levadas
ao cliente imediatamente, para que as devidas
providncias sejam tomadas. Caso contrrio, o
inteiro projeto de auditoria poder fracassar.

Caso, durante a auditoria, sejam encontradas
falhas graves, que possam gerar prejuzo para
a organizao, devem ser comunicados
imediatamente ao cliente e ao auditado, e
no aguardar a concluso da auditoria para
isso.
Qualquer necessidade de mudana de escopo
durante a auditoria, deve ser devidamente
documentada e amplamente comunicada para
todos os stakeholders.

comum que as auditorias contem com
observadores e guias. Estes indivduos no
devem interferir de maneira alguma na
auditoria.
O guia pode ser designado pelo auditado para
cumprir as seguintes responsabilidades:
1 Estabelecer contados e programar visitas;
2 Organizar as visitas;
3 Garantir o respeito s normas e regras;
4 Testemunhar a auditoria;
5 Ajudar na coleta de informaes.

Informaes
disponveis
Coletar por
amostragem
Evidncias
da auditoria
Avaliar contra
critrio
Constataes
da auditoria
De acordo com os objetivos,

escopo e critrio da auditoria,
sero coletadas informaes
por amostragem.
Isto inclui informaes sobre
funes, processos e
atividades. Apenas
informaes verificveis so
vlidas.
Analisar
criticamente
Concluses
da auditoria

Informaes
disponveis
Coletar por
amostragem
Evidncias
da auditoria
Avaliar contra
critrio
Constataes
da auditoria
Os mtodos mais utilizados para

a coleta de informaes so:
1 Entrevistas;
2 Observao das atividades;
3 Anlise de documentos.
Analisar
criticamente
Concluses
da auditoria

Informaes
disponveis
Coletar por
amostragem
Evidncias
da auditoria
Avaliar contra
critrio
Constataes
da auditoria
As evidncias da auditoria sero

avaliadas contra o critrio de
auditoria.
Esta avaliao demonstrar
conformidade ou no
conformidade com o critrio.
As no conformidades sero
oportunidades de melhoria.
Analisar
criticamente
Concluses
da auditoria

Informaes
disponveis
Coletar por
amostragem
Evidncias
da auditoria
Avaliar contra
critrio
Constataes
da auditoria
A identificao das
conformidades, no
conformidades, e oportunidades
de melhoria so chamadas de
constataes da auditoria.
A equipe de auditoria, durante o
projeto, dever se reunir para
avaliar as constataes de
auditoria.
Analisar
criticamente
Concluses
da auditoria

Informaes
disponveis
Coletar por
amostragem
Evidncias
da auditoria
Avaliar contra
critrio
Constataes
da auditoria
Se for objeto da auditoria, todas

a conformidades individuais
sero registradas, e com elas, o
registro da evidncia
(verificvel) que a suporta.
Deve estar claro em que local,
ativo, funo, ou processo a
conformidade foi encontrada.
Analisar
criticamente
Concluses
da auditoria

Informaes
disponveis
Coletar por
amostragem
Do mesmo modo, e
principalmente, as no
conformidades devem ser
registradas. Estas no
conformidades podem ser
graduadas, se for o caso.
Evidncias
da auditoria
Avaliar contra
critrio
Constataes
da auditoria
O auditado deve estar ciente e

concordar com a constatao
da auditoria.
Analisar
criticamente
Concluses
da auditoria

Informaes
disponveis
Coletar por
amostragem
Evidncias
da auditoria
Avaliar contra
critrio
Constataes
da auditoria
Caso haja qualquer divergncia

entre o auditado e a equipe de
auditoria, deve ser feito todo o
esforo possvel para se chegar
a um consenso.
No sendo possvel, um registro
detalhado da divergncia dever
fazer parte dos registros da
auditoria.
Analisar
criticamente
Concluses
da auditoria

Informaes
disponveis
Coletar por
amostragem
Evidncias
da auditoria
Avaliar contra
critrio
Constataes
da auditoria
Aps toda a atividade de coleta

de informaes e avaliao das
evidncias, a hora de analisar
todo este material e gerar as
concluses da auditoria.
Geralmente, isto feito em uma
longa reunio com todos os
membros da equipe de auditoria.
Analisar
criticamente
Concluses
da auditoria

Informaes
disponveis
Coletar por
amostragem
Evidncias
da auditoria
Avaliar contra
critrio
Constataes
da auditoria
O objetivo da reunio :
1 Analisar todas as
constataes da auditoria, e
qualquer informao adicional;
2 Acordar sobre as concluses
da auditoria;
3 Preparar recomendaes (se
for o caso);
4 Discutir eventuais aes de
acompanhamento.
Analisar
criticamente
Concluses
da auditoria

Ao final da auditoria o auditor lder conduzir
uma reunio de encerramento, onde
participaro a equipe de auditoria, o auditado,
o cliente, e eventualmente outros
stakeholders.
O objetivo deixar claro todas as
constataes da auditoria e eventualmente
definir prazos para que o auditado alcance a
conformidade.
Estes prazos no devem ser definidos sem a

presena e concordncia do auditado.

Este o momento para que as divergncias
entre a equipe de auditoria e o auditado sejam
trazidas tona, e que haja um esforo
conjunto no sentido de resolver estas
divergncias.
Se constar dos objetivos da auditoria, as
recomendaes de melhoria podero ser
apresentadas tambm neste momento, bem
como a proposta de aes de
acompanhamento.
O relatrio de auditoria
Ao final da auditoria o auditor lder
providenciar a elaborao do relatrio de
auditoria.
No h um modelo oficial para este tipo de
relatrio, mas importante que ele garanta um
registro completo, preciso, conciso e claro
da auditoria.
No entanto, importante que pelo menos

alguns elementos fundamentais componham
este relatrio.
Entre estes elementos podemos citar:
1 Os objetivos da auditoria;
2 O escopo da auditoria;
3 A identificao do cliente;
4 A identificao do auditor lder;
5 As datas e locais onde as atividades foram

realizadas;
6 O critrio de auditoria;
7 As constataes da auditoria;
8 As concluses da auditoria.
Outras informaes opcionais:
1 O plano de auditoria;
2 Lista de representantes do auditado;
3 Resumo do processo de auditoria;
4 Retorno sobre o atendimento dos objetivos;
5 reas planejadas mas no cobertas;

6 Divergncias no resolvidas;
7 Recomendaes para melhoria;
8 Plano de ao para acompanhamentos;

9 Lista de distribuio do relatrio.
Geralmente, o relatrio de auditoria
entregue em uma data posterior concluso
da mesma. Caso haja qualquer tipo de
atraso, isto deve ser informado ao cliente e
ao auditado e tambm constar como registro
no prprio relatrio.
Este relatrio de propriedade do cliente, e a
confidencialidade dele deve ser amplamente
respeitada.
Qualquer registro ou documento referente a
auditoria deve ser devolvido ou destrudo
completamente.
Concluindo a auditoria
Quando todas estas atividades foram realizadas
e o plano de auditoria seguido at o fim, a
auditoria data por encerrada.
Caso tenham havido contrataes de qualquer
tipo ou o estabelecimento de acordos para
viabilizar a realizao da auditoria, este o
momento para encerrar estes contratos e
acordos de maneira formal.
Todos os envolvidos, incluindo terceiros,
devero assinar termos de sigilo e
confidencialidade a fim de preservar o cliente e
o auditado.

Curso Auditoria em Segurança Da Informação PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Curso Auditoria em Segurança Da Informação PDF

Enviado por

Direitos autorais:

Formatos disponíveis

Curso de Auditoria em

Professor Andr Campos

Uma viso mais ampla sobre segurana da informao poder

Professor Andr Campos

Diversas figuras foram obtidas a partir do acesso em sites de imagens.

Informaes especficas sobre segurana da informao podem ser obtidas

Professor Andr Campos

Professor Andr Campos

Professor Andr Campos

Professor Andr Campos

Professor Andr Campos

Professor Andr Campos

Professor Andr Campos

Professor Andr Campos

Professor Andr Campos

Professor Andr Campos

Professor Andr Campos

Professor Andr Campos

Professor Andr Campos

Vejamos alguns destes critrios e seus

Professor Andr Campos

Vejamos alguns destes critrios e seus

Professor Andr Campos

Professor Andr Campos

Professor Andr Campos

A seo real-time issuer

Garante que os executivos

Entre os controles internos,

Quanto ser a material

Professor Andr Campos

Professor Andr Campos

Professor Andr Campos

Professor Andr Campos

Professor Andr Campos

Professor Andr Campos

Professor Andr Campos

Competncia dos auditores

O auditor precisa ter competncia em

Professor Andr Campos

Competncia dos auditores

Estes atributos no so todos facilmente

Professor Andr Campos

Competncia dos auditores

Competncia para liderar equipes de auditoria

Professor Andr Campos

Competncia dos auditores

O auditor lder precisa ter uma competncia

Professor Andr Campos

Competncia dos auditores

5 anos para NM Idem.

Professor Andr Campos

Competncia dos auditores

Professor Andr Campos

Quando duas ou mais organizaes de

Professor Andr Campos

Professor Andr Campos

Professor Andr Campos

Professor Andr Campos

Professor Andr Campos

Professor Andr Campos

Professor Andr Campos

Professor Andr Campos

Professor Andr Campos