4.Analise / avaliação e tratamento de riscos.

Devemos identificar os riscos de segurança e depois priorizar cada risco com base nos
critérios, verificar o que é mais critico para a empresa.
Deve-se fazer o levantamento de todos os ativos da empresa,que são críticos,para que
se encontre e avalie os riscos que podem ocorrer sobre estes. Encontrar as
vulnerabilidades do sistema adotado pela empresa e em até que ponto estas impactam
sobre os riscos da empresa.
Envolve tomar uma decisão sobre o tratamento do risco,como aplicar controles que
reduzam ao máximo os riscos, reconhecer que ele atenda a politica da organização.
Os controles devem assegurar que os riscos sejam reduzidos de modo aceitável , ou
seja , os custos e de implementação e a operação em relação aos riscos.

4.1 Analisando / avaliando os riscos de segurança da informação.

4.2 Tratando os riscos de segurança da informação

5.Politica de segurança da informação.

Aplicar as normas de segurança da informação.

A política de segurança da empresa de ser definida de forma clara de acordo com os
riscos, a criticidade de cada um e levar em consideração as normas de segurança.
O apoio e aceitação da direção na politica de segurança é importante. É necessário
que se estabeleça o enfoque da empresa para gerenciar a segurança da informação.

5.1 Documento da politica da informação.

__________________
__________________

7 Gestão de Ativos

O capitulo de Gestão de Ativos, trata do Gerenciamento dos Ativos, como fazer e

como implementar esta gestão.
A forma mais fácil de uma Gestão é através de inventários de ativos e das
informações, tendo o objetivo alcançar e manter a proteção adequada dos ativos da
organização.
Tipos de ativos:
 # Ativos de Informação: base de dados e arquivos, contratos e acordos;
 # Ativos de Software: aplicativos, sistemas, ferramentas de desenvolvimento e
utilitários;
 # Ativos físicos: equipamentos computacionais, equipamentos de comunicação,
mídia removíveis e outros equipamentos;
# Serviços: serviços de computação e comunicações, utilidades gerais;
# Pessoas: pessoas e suas qualificações habilidades e experiências;
# Intangíveis: reputação e imagem da empresa

7.1.1 Inventario
Um inventario é basicamente para definir o que é um ativo e qual a sua importância
para o funcionamento da empresa.
Este processo é de fundamenta importância em um procedimento de recuperação, ou
auditorias.
O QUE DEVE CONTER NO INVENTARIO?
O inventario deve conter informações especificas do ativo, para que ele é utilizado,
onde,
que software é utilizado neste ativo.

7.1.2 Proprietário dos ativos

Os ativos e o inventario, tem obrigatoriamente um proprietário que assuma a
responsabilidade dos ativos.

7.1.3 Uso aceitável dos ativos

Devem ser identificadas, documentadas e implementadas regras para que sejam
permitidos o uso de informações e de
ativos associados aos recursos de processamento da informação.

7.2 Classificação da informação

Objetivo: Assegurar que a informação receba um nível adequado de proteção. A
classificação da informação é sempre
muito dinâmica, tendo que estar sempre atualizada.

7.2.1 Recomendações para classificação

A informação deve ser classificada para indicar a necessidade, prioridades e o nível
esperado de proteção quando ao
tratamento da informação, requisitos legais, sensibilidade e criticidade para a
organização.

7.2.2 Rótulos e tratamento da informação

A informação, e os procedimentos para rotulação da informação precisam abranger
tanto os ativos de informação no
formato físico quanto no eletrônico.

Cap. 8 Segurança em Recursos Humanos

O Capitulo de Recursos Humanos, trata do gerenciamento das pessoas quanto suas

responsabilidades, direitos e deveres
dentro da organização.

8.1 Antes da contratação

Assegurar que os funcionários, entendam suas responsabilidades e estejam de acordo
com os seus papéis, tendo como objetivo,
reduzir o risco de roubo, fraude ou mau uso de recursos.

8.1.1Papéis e responsabilidades
Estas responsabilidades devem ser atribuídas antes da contratação, de forma
adequada, nas descrições de cargos e nos
termos e condições de contratação. E esclarecidas e atualizadas durante a
permanência do funcionário na empresa.

Os funcionários, fornecedores e terceiros, devem concordar e assinar os termos e

condições de sua contratação para o
trabalho, os quais devem declarar as suas responsabilidades e a da organização para
a segurança da informação.

É de Responsabilidades da direção:
Sempre atualizar e divulgar os termos de segurança, conscientizado sempre seus
funcionários.

8.2.3 Processo disciplinar

Convém que exista um processo disciplinar formal para os funcionários que tenham
cometido uma violação da segurança da
informação.

8.3.1 Encerramento de atividades

Tirar todos os privilégios dos funcionários, não deixando acessos indevidos.

8.3.2 Devolução de ativos

Os funcionários, devem devolver todos os ativos da organização que estejam em sua
posse, após o encerramento de suas
atividades.

9 Segurança física e do ambiente

9.1 Áreas seguras

Objetivo: Prevenir o acesso físico não autorizado, danos e interferências com as

instalações e informações da organização.

As instalações de processamento da informação críticas ou sensíveis sejam mantidas

em áreas seguras, protegidas por perímetros de segurança definidos, com barreiras de
segurança e controles de acesso apropriados.
9.1.1 Perímetro de segurança física

Objetivo: Trata de como a Segurança Física deve ser estruturada, de formas a

assegurar a segurança da Informação

Os perímetros de segurança sejam claramente definidos.

Os perímetros de um edifício de processamento da informação sejam fisicamente
sólidos
Sistemas adequados de detecção de intrusos,

9.1.2 Controles de entrada física

Objetivo Tratar dos procedimentos que devem ser adotados quando da entrada de
visitantes ou pessoas não autorizadas

9.1.3 Segurança em escritórios, salas e instalações

Objetivo: Trata do procedimentos a serem adotados quanto a segurança de salas,

escritórios ( Instalações físicas da empresa)

Os edifícios sejam discretos e dêem a menor indicação possível da sua finalidade.

9.1.4 Proteção contra ameaças externas e do meio ambiente

Os materiais perigosos ou combustíveis sejam armazenados a uma distância segura

da área de segurança.
Os equipamentos para contingência e mídia de backup fiquem a uma distância segura,
para que não sejam danificados por um desastre que afete o local principal;

9.1.5 Trabalhando em áreas seguras

Apenas pessoas autorizadas tenham conhecimento da existência de áreas seguras.

Evitar o o trabalho não supervisionado em áreas seguras
Não seja permitido o uso de máquinas fotográficas, gravadores de vídeo ou áudio ou
de outros equipamentos de gravação, tais como câmeras em dispositivos móveis,
salvo se for autorizado.

9.1.6 Acesso do público, áreas de entrega e de carregamento

Controle de acesso a áreas de entrega e carregamento

Os materiais entregues sejam inspecionados para detectar ameaças potenciais

9.2 Segurança de equipamentos

Objetivo: Impedir perdas, danos, furto ou comprometimento de ativos e interrupção das

atividades da organização.

Convém que também seja levado em consideração a introdução de equipamentos no

local, bem como sua remoção. Podem ser necessários controles especiais para a
proteção contra ameaças físicas e para a proteção de instalações de suporte, como a
infra-estrutura de suprimento de energia e de cabeamento.

9.2.1 Instalação e proteção do equipamento

Objetivo: Trata do procedimentos que devem ser adotados quanto a proteção de

equipamentos e instalações da empresa. Equipamentos devem ser colocados em local
que dificulte o acesso de pessoas não autorizadas devidamente protegidos.

9.2.2 Utilidades

Convém que todas as utilidades, tais como suprimento de energia elétrica, suprimento
de água, esgotos, calefação/ventilação e ar-condicionado sejam adequados para os
sistemas que eles suportam.

Convém que os equipamentos de telecomunicações sejam conectados à rede pública

de energia elétrica através de pelo menos duas linhas separadas.

9.2.3 Segurança do cabeamento

Objetivo: Trata dos procedimentos que devem ser adotados para a devida proteção do
sistema de cabeamento. Proteger o cabeamento contra interceptação não autorizada,
Cabos de energia de ser separado dos cabos de telecomunicação.
a) utilização de cabeamento de fibras ópticas;
b) acesso controlado aos painéis de conexões e às salas de cabos.

9.2.4 Manutenção dos equipamentos

Objetivo: Trata do procedimentos que devem ser adotados quando da manutenção de

equipamento; intervalos de manutenção, pessoas autorizadas para manutenção,
controle de falhas, descarte de equipamentos inutilizados e mídias.

9.2.5 Segurança de equipamentos fora das dependências da organização

Objetivo: Tratar dos procedimentos a serem adotados quanto a segurança de

equipamentos fora das dependências da organização. Equipamentos que contenham
dados críticos devem ser constante supervisionados, intrusões dos fabricantes de ser
seguidas, trabalho em casa devem ter seu risco analisado quanto a segurança da
informação.

9.2.6 Reutilização e alienação segura de equipamentos

Objetivo Trata dos procedimentos a serem adotados quanto a reutilização e alienação

segura de equipamentos; Todas as mídias de armazenamento devem ser examinadas
antes
antes de seu descarte. Dispositivos quando importantes devem ser destruídos. Deve
ser feita uma análise prévia quanto o descarte de dispositivos defeituosos

9.2.7 Remoção de propriedade

Os equipamentos, informações ou software não sejam retirados do local sem

autorização prévia;
Funcionários, fornecedores e terceiros que tenham autoridade para permitir a remoção
de ativos para fora do local sejam claramente identificados, registro da retirada e da
devolução de equipamentos, quando do seu retorno.

Inspeções

Convém que as pessoas sejam avisadas da realização das inspeções, e elas só

podem ser feitas com a devida autorização, levando em conta as exigências legais e
regulamentares.
10 Gerenciamento das operações e comunicações

O principal quesito, é assegurar a operação segura e correta dos recurssos de

processamento da informação, sendo assim, os precedimentos de operação devem
ser documentados, mantidos e atualizados, e estarem disponiveis a todos os usuarios
que deles necessitam. Deve se estar atento as mudanças, todas as modificações nos
recurssos de processamento da informação, devem ser controlados.
È importante que as funções e areas de responssabilidade, sejam separadas em
partes, para reduzir as oportunidades de modificações ou uso indevido não altorizado
ou não intencional dos ativos da segurança.
O planejamento e preparação são requisitos importantes, pra garantir a disponibilidade
adequada e o desempenho do sistema, tornando-os aceitaveis.
A ultilização dos recurssos deve ser monitorada e sincronizada e as projeções devem
ser feitas para as necessidades de capacidade futura, tudo isos pra garantir o
desempenho garantido do sistema.
Uma grande preocupação, é proteger o software e a informação, por isso deve ser
usado, para prevenir e detectar a introdução de codigos maliciosos e moveis não
altorizados, controles de detecção prevenção e recuperação, fora a configuração
adequada do equipamento, com base na politica de segurança.
Manter a integridade e a disponibilidade da informação e dos recursos de
processamento de informação, é importantissimo, procedimentos de rotina devem ser
estabelecidos para implementar as politicas de estrategias ( Efetuar a copia e testar a
mesma) para a geração de coipias de segurança, e possibilitar a geração de copias e
sua recuperação em tempo aceitavél.
Deve-se também garantir a proteção das informações em redes. Requer cuidadosas
considerações relacionadas ao fluxo de dados, implicações legais, monitoramento e
proteção. As redes devem ser adequadamente gerenciadas e controladas, isso implica
nas caracteristicas de segurança, niveis de serviço e requisitos de gerenciamento dos
serviços de rede, estes devem ser indentificados e incluidos em qualquer acordo de
serviço de rede ,tanto internamente, quanto tercerizados.
As copias de segurança merecem um cuidado especial com foco em prevenir contra
divulgação não altorizada, modificação, remoção ou distribuição aos ativos ,e
interrupções das atividades do negocio. As midias devem ser controladasd e
fisicamente protegidas, procedimentos operacionas apropriados devem ser
estabelecidos para proteger os documentos midias magneticas e computadores.

Topicos relacionados:
10.1 Procedimentos e responsabilidades operacionais
10.1.1 Documentação dos procedimentos de operação
10.1.2 Gestão de mudanças
10.1.3 Segregação de funções
10.1.4 Separação dos recursos de desenvolvimento, teste e de produção
10.3 Planejamento e aceitação dos sistemas
10.3.1 Gestão de capacidade
10.4 Proteção contra códigos maliciosos e códigos móveis
10.4.1 Controles contra códigos maliciosos
10.4.2 Controles contra códigos móveis
10.5 Cópias de segurança
10.5.1 Cópias de segurança das informações
10.6 Gerenciamento da segurança em redes
10.6.1 Controles de redes
10.6.2 Segurança dos serviços de rede
10.7 Manuseio de mídias
10.7.1 Gerenciamento de mídias removíveis
10.7.2 Descarte de mídias
10.7.3 Procedimentos para tratamento de informação
10.7.4 Segurança da documentação dos sistemas

_________________
_________________
capítulo 11: controle de acessos (parte 1)

políticas de segurança que englobam acessos de usuários, sistemas e redes como um

todo: autenticação, privilégios, senhas, documentos, equipamentos, redes locais e
remotas

11.1.1 política de acesso

tudo é proibido, a menos que seja explicitamente autorizado

11.2 gerenciamento de acesso de usuários

atribuir identificações individuais, registrar e fazer com que o usuário tenha consciência
das suas responsabilidades
11.2.2 privilégios de acesso

manter controle do nível de acesso de cada usuário, evitar atribuições desnecessárias,

verificar periodicamente os registros de usuário

11.3.1 uso de senhas

evitar usar senhas fáceis de serem descobertas ou anotá-las em papel; usar senhas
temporárias para o registro dos usuários e educar os usuários para que não
compartilhem suas senhas

11.3.3 mesa limpa e tela limpa

proteger papéis e mídias em cima da mesa de trabalho, bloquear a tela do computador

quando ausente, evitar cópias não autorizadas de documentos

11.4.1 controle de acesso a rede

garantir métodos de autenticação para controlar o acesso dos usuários aos recursos
de
rede da empresa

11.4.2 acesso externo e remoto

garantir a proteção contra acessos externos indevidos, e segurança em acessos

remotos para a empresa

11.4.5 segregação de redes

dividir a rede em segmentos de acordo com os departamentos da empresa, o que

facilita o gerenciamento; utilizar roteadores pra conectar as redes

11.4.7 controle de roteamento

utilizar firewalls para isolar as redes internas do link externo, e proxies para filtrar as
requisições vindas da rede externa

11.5

Objetivo: Prevenir acesso não autorizado ao sistema

11.5.1 Procedimentos seguros de entrada no sistema (log-on)

Controle de acesso ao sistema=Controle de usuários que efetuarão logon na rede ou
no sistema operacional.

11.5.2 Identificação e autenticação de usuário

Controle
Convém que todos os usuários tenham um identificador único (ID de usuário) para uso
pessoal e exclusivo, e convém que uma técnica adequada de autenticação seja
escolhida para validar a identidade alegada por um usuário.

11.5.3 Sistema de gerenciamento de senha

Controle
A senha é um dos principais meios de validar a autoridade de um usuário para acessar
um serviço de
computador.

11.5.4 Uso de utilitários de sistema

Controle
Convém que o uso de programas utilitários que podem ser capazes de sobrepor os
controles dos sistemas e aplicações seja restrito e estritamente controlado.e sobrepor
os controles dos sistemas e aplicações.

11.5.5 Desconexão de terminal por inatividade

Controle
Convém que terminais inativos sejam desconectados após um período definido de
inatividade.

11.5.6 Limitação de horário de conexão

Controle
Convém que restrições nos horários de conexão sejam utilizadas para proporcionar
segurança adicional para aplicações de alto risco. Diretriz
es para implementação Convém que controles de horário de conexão
11.6 Controle de acesso à aplicação e à informação

Objetivo: Prevenir acesso não autorizado à informação contida nos sistemas de

aplicação.

11.6.1 Restrição de acesso à informação

Controle
Convém que o acesso à informação e às funções dos sistemas de aplicações por
usuários e pessoal de
suporte seja restrito de acordo com o definido na política de controle de acesso.

11.6.2 Isolamento de sistemas sensíveisntrole

Convém que sistemas sensíveis tenham um ambiente computacional dedicado
(isolado).ações adicionais
Alguns sistemas de aplicação são suficientemente sensíveis a perdas potenciais,
requerendo tratamento
especial
11.7 Computação móvel e trabalho remoto
Objetivo: Garantir a segurança da informação quando se utilizam a computação móvel
e recursos de trabalho remoto. Convém que a proteção requerida seja proporcional
com o risco desta forma específica de tra
11.7.1 Computação e comunicação móvelntrole
Convém que uma política formal seja estabelecida e que medidas de segurança
apropriadas sejam adotadas para a proteção contra os riscos do uso de recursos de
computação e comunicação móveis.

11.7.2 Trabalho remoto

Controle
Convém que uma política, planos operacionais e procedimentos sejam desenvolvidos
e implementados para atividades de trabalho remoto.
As atividades de trabalho remoto utilizam tecnologias de comunicação que permitem
que as pessoas
trabalhem remotamente de uma localidade fixa externa à sua organização.
12 Aquisição, desenvolvimento e manutenção de sistemas de informação

*Consiste em garantir que todo software, incluindo sistema operacional, aplicações de

negócios, e aplicações desenvolvidas sejam supervisionadas, desde sua aquisição,
até sua implementação, incluindo também toda sua manutenção, e testes.

12.1 Requisitos de Segurança de sistema de informação

*Garantir segurança para todo o sistema de informação, e tomar como parte integrante

12.1.1 Análise e especificação dos requisitos de segurança

*Analisar qualquer e especificar qualquer requisito para controle de segurança, sendo

para novos sistemas de informação ou implementação de algum existente

12.2 Processamento correto nas aplicações

*Prevenir erros, perdas, modificações não-autorizadas, ou uso indevido de

informações

12.2.1 Validação dos dados de entrada

*Analisar todo e qualquer dado o qual esteja de entrada das aplicações sejam
validados, garantindo sua validade e autenticidade

12.2.2 Controle do processamento interno

*Acompanhamento de todo o processamento de dados, para que a detecção de

qualquer erro, por mal uso, ou uso indevido

12.2.3 Integridade de mensagens

*Garantir a autenticidade e proteger toda a intergridade das mensagens das

aplicações, e todos os controles sejam implantados

12.2.4 Validação dos dados de saída

*Garantir que todos os dados de saída das aplicações sejam valdiadados e que o
processamento feito, fora feito da maneira correta e está de acordo com as
circunstâncias.

12.3 Controles criptográficos

*Proteger a confidencialidade, a autenticidade ou a integridade das informações por

meios
criptográficos.

12.3.1 Política para o uso de controles criptográficos

*Criar uma política para o uso de controles criptográficos a fim de proteger a

informação

12.3.2 Gerenciamento de chaves

*Convém que um processo de gerenciamento de chaves seja implantado para apoiar o

uso de técnicas criptográficas pela organização.

12.4 Segurança dos arquivos do sistema

*Garantir a segurança de arquivos de sistema.

12.4.1 Controle de software operacional

*Procedimentos quanto a instalação, atualização e modificação do software

operacional

12.4.2 Proteção dos dados para teste de sistema

*Todo e qualquer dado que seja testado deve estar devidamente protegido de
qualquer dano ao sistema, ou seja, em um ambiente controlado

12.4.3 Controle de acesso ao código-fonte de programa

*Acesso restrito ao código-fonte, para qualquer funcionário, para que nenhuma

mudança maliciosa seja feita, assim prejudicando a empresa

12.5 Segurança em processos de desenvolvimento e de suporte

*Manter a segurança de sistemas aplicativos e da informação.

12.5.1 Procedimentos para controle de mudanças

*Toda e qualquer mudança deve ser controlada, utilizando procedimentos formais para
isso.

12.5.2 Análise crítica técnica das aplicações após mudanças no sistema operacional

*Qualquer mudança que seja praticada, deve rigorosamente analisada e testada para
que não haja qualquer impacto negativo na operação da empresa

12.5.3 Restrições sobre mudanças em pacotes de softwares

*Restringir quaisquer mudanças em pacotes de softwares, limitando somente as

mudanças necessárias, sendo essas totalmente controladas

12.5.4 Vazamento de informações

*Evitar todo e qualquer vazamento de informações da empresa, ainda que seja

necessário um monitoramento de atividades do pessoal

12.5.5 Desenvolvimento terceirizado de software

*Garantir que o software desenvolvido por terceiros seja de qualidade, fazer todo e
qualquer teste para evitar danos ao sistema, ou softwares maliciosos, acompanhar seu
desenvolvimento

12.6 Gestão de vulnerabilidades

*Reduzir riscos resultantes da exploração de vulnerabilidades técnicas conhecidas.

12.6.1 Controle de vulnerabilidades técnicas

*Toda e qualquer vulnerabilidade técnica encontrada, deve ser controlada em menos

tempo possível, avaliar seu risco, e tomar as medidas apropriadas

13 - Gestão de Incidentes de Segurança da Informação

Este Artigo da norma, nos diz é necessário uma pessoa responsável para cuidar da
segurança da informação, que este seja conhecido por todos em caso de algum
incidente este precisa ser avisado imediatamente. A implantação de procedimento de
notificação é extremamente importante no processo da segurança da informação, caso
haja algo de diferente acontecendo que possa burlar a segurança, não deverá ser
tomada nenhum tipo de decisão precipitada e deverá ser feito um relatório detalhado
com todos os erros que acontecem. Treinamentos para conscientização de
funcionários é fundamental para que os mesmos possam aderir a causa e entender o
porque deve haver regras para haver segurança. É importante lembrar que o usuário,
ao relatar perigo à segurança da informação, esse relato deve ser de fácil acesso e
sempre disponível, além do mesmo ser informado que de hipótese alguma poderá
tentar averiguar uma fragilidade a segurança da informação, pois isso poderá danificar
o sistema e a segurança da informação.

Tópicos Importantes:

> 13.1.1 Notificação de eventos de segurança da informação

> 13.1.2 Notificando fragilidades de segurança da informação
> 13.2.1 Responsabilidades e procedimentos

14 - Gestão da Continuidade do Negócio

A gestão da continuidade trata do que se deve fazer ao acontecer um evento

prejudicial a segurança da informação, para minimizar os prejuízos que acontecerão
para a empresa, analisando possíveis desastres que podem acontecer. Essa política
deve ser exposta e bem explicada a todos que fazem o uso da segurança da
informação, pois tais devem saber o que fazer quando houver tal evento. Tudo deve
ser feito em pró de recuperar as partes básicas do sistema em menor espaço de
tempo possível. O plano de continuidade deve ser feito de acordo com a análise feita
anteriormente dos prejuízos que a empresa teria, quanto maior o prejuízo maior o
investimento no plano de continuidade do negócio. Cópias do plano de continuidade
devem estar em segurança em lugares remotos longe do local onde está implantada a
corporação.

Tópicos Importantes:

> 14.1.1 Incluindo segurança da informação no processo de gestão da continuidade de

negócio
> 14.1.2 Continuidade de negócios e análise/avaliação de riscos
> 14.1.3 Desenvolvimento e implementação de planos de continuidade relativos à
segurança da
informação
> 14.1.4 Estrutura do plano de continuidade do negócio

15 Conformidade

Lista algumas precauções para não sofrer penalidades, deveres dos gestores com a
política de segurança da empresa, e auditoria.
15.1 Conformidade com requisitos legais

Objetivo: Evitar penalidades de qualquer natureza obtendo serviços de profissionais ou

consultorias qualificadas regendo os requisitos legais.

15.1.1 Identificação da legislação aplicável

Objetivo: Tudo seja explicitamente definido, documentado e atualizado.

15.1.2 Direitos de propriedade intelectual

Objetivo: Utilização de softwares legalmente registrados.

15.1.3 Proteção de registro organizacional

Objetivo: Registros (Ex.: Banco de dados) sejam protegidos contra perda, destruição e
falsificação, seguindo a norma ISO 15489-1.

15.1.4 Proteção de dados e privacidade de informações pessoais

Objetivo: Criando, divulgando e implementando uma política de privacidade e proteção

de dados.

15.1.5 Prevenção de mau uso de recursos de processamento da

informação

Objetivo: Proibição de divulgação de informações não autorizadas por usuários,

conforme política de segurança.

15.1.6 Regulamentação de controles de criptografia

Objetivo: Utilizar controles de criptografia de acordo com as normas.

15.2 Conformidade com normas e políticas de segurança da informação e

conformidade técnica
Objetivo: Garantir que a política de segurança tenha êxito, e mantê-lo atualizado.

15.2.1 Conformidade com as políticas e normas de segurança da

informação.

Objetivo: Os gestores devem garantir que a política de segurança está sendo

executada dentro da sua área de responsabilidade.
15.2.2 Verificação da conformidade técnica

Objetivo: Sistemas de informação sejam periodicamente verificados (Hardware,

software, teste de invasão e avaliar vulnerabilidades).

15.3 Considerações quanto à auditoria de sistemas de informação

Objetivo: Maior eficácia, menor interferência no processo de auditoria.

15.3.1 Controles de auditoria de sistemas de informação

Objetivo: Planejar o processo da auditoria, tenho maior eficiência e menor risco de

interrupção no processo.

15.3.2 Proteção de ferramentas de auditoria de sistemas de informação

Objetivo: Proteção às ferramentas de auditoria, prevenindo uso indevido do mesmo.