Auditoria e Segurança da

Informação– GSI536
Prof. Rodrigo Sanches Miani – FACOM/UFU
 Auditoria de Segurança da
Informação
Slides criados à partir da apostila “Auditoria e Conformidade de
Segurança da Informação” Roberto W. S. Rodrigues e Jorge Henrique C. Fernandes.
Tópicos

1. Princípios gerais
2. Controles
3. Porque auditar a segurança da informação?
4. Perfil do auditor
Bibliografia

1. Livro: Segurança e Auditoria em Sistemas de

Informação – Maurício Rocha Lyra
2. Apostila: Auditoria e Conformidade de Segurança da
Informação - Roberto Wagner da Silva Rodrigues,
Jorge Henrique Cabral Fernandes
Princípios gerais
Motivação

A troca de informações é essencial no mundo moderno;

Essa troca deve ser feita rapidamente!
A Internet tornou-se o principal mediador dessa troca de informações.

A segurança dessas informações passou a ser uma

preocupação para a gestão, seja ela pública ou privada;

Uma forma de gerenciar a segurança da informação é criar

normas, formular políticas, padronizar procedimentos e
práticas, estabelecer medições e métricas, além de
automatizar controles.
Pergunta

É possível saber se as normas, políticas, procedimentos,

processos e controles adotados estão funcionando de
acordo?

Como?
Pergunta

É possível saber se as normas, políticas, procedimentos,

processos e controles adotados estão funcionando de
acordo?

Como?

Resposta: investigando criteriosamente tais controles! Ou

seja, realizando auditorias.
Definição

“A auditoria de segurança de informação é uma atividade

devidamente estruturada para examinar criteriosamente a
situação de controles que se aplicam à segurança da
informação. A atividade deve ser feita por um profissional
devidamente qualificado, que irá expressar sua opinião acerca
de uma determinada situação, e ao final do processo irá criar
um relatório ou parecer.”
Características

A auditoria cria condições técnicas para investigar e emitir um

juízo sobre as evidências encontradas, de modo a se
antecipar ante a possíveis riscos de violação dos ativos de
informação;

Ativos de informação:
os processos organizacionais e processuais (procedimentos, roteiros,
atividades),;
itens físicos (instalações, equipamentos, cabeamento);
lógicos (programas, sistemas, estruturas de dados).
Características
O auditor deve:

empregar práticas geralmente aceitas, baseadas em um método

racional;
lidar com responsabilidade e princípios éticos perante os clientes;
agir com independência no que se refere à investigação e produção
do relato.

Exemplos de auditoria de segurança da informação:

Testes de invasão;
Investigações de ataques (perícias forense).
Princípios gerais
Controles
Terminologia

Um controle de segurança é uma salvaguarda ou

contramedida de natureza gerencial, operacional ou técnica,
prescrita para um sistema de informações, de modo a
proteger a confidencialidade, integridade e disponibilidade do
sistema de sua informação.

Controle interno é o elemento responsável pelo controle dos

processos da organização. O controle interno compreende
todo o conjunto de controles, implementado sob
responsabilidade da gestão da organização.
Processo de auditoria x Controles internos
Passos do processo de auditoria:

1) o gestor declara fatos sobre o desempenho das atividades

da organização para os envolvidos;

2) faz-se necessário recorrer a um profissional especializado,

o auditor, para opinar sobre a veracidade de tais declarações;

3) o auditor verifica se as declarações do gestor estão

satisfatoriamente coerentes com as condições observadas no
controle interno, emitindo uma opinião fundamentada acerca
de tais declarações.
Clientes do auditor

Envolvidos;

O próprio gestor, no caso de uma auditoria interna.

E a auditoria externa?
Auditoria Externa

Quem avalia o controle interno de forma regular e frequente é

a auditoria interna;

Outra forma de controlar a organização é por meio de uma

controladoria externa;

Vantagem: mais independente de influências do gestor que no

caso do controle interno;

Desvantagem: dificuldade no acesso às informações.

Auditoria x Políticas de segurança

A política de segurança deve tornar claro que cada

colaborador na organização é um ator relevante quando se
trata de proteger ativos na organização;

Os colaboradores devem estar cientes dos riscos de

segurança existentes e das medidas preventivas que devem
ser tomadas;

A política de segurança da informação é o principal controle

de segurança numa organização - a ele se articulam todos os
outros controles.
Porque auditar a segurança da
informação?
Objetivos

1. Atestar que os controles de segurança em prática são

eficientes;

2. Evitar a exposição da organização a riscos que podem

provocar danos, se concretizados.
No caso de sistemas expostos à Internet, os controles evitam que a organização
esteja sujeita a ataques de hackers.
O profissional de auditoria em
TI/Segurança
Perfil

Deve unir aspectos da área de exatas, como o raciocínio

lógico e a visão de processos com outras associadas às
ciências humanas, como boa capacidade de comunicação;

Ser curioso, questionador e detalhista;

Possuir formação superior sólida – preferencialmente em

Administração ou TI, complementada por uma pós-
graduação em Gestão de Pessoas. Cursos e certificações
específicos para a área de auditoria.

Fonte: https://profissoesemti.wordpress.com/as-profissoes-de-ti/auditor-de-ti/
Perfil

“Tem que ser chato. Detalhista, perfeccionista, metódico por

natureza e ter também raciocínio matemático apurado.
Como se trabalha com entrevistas, a comunicação é
fundamental. É preciso ser extrovertido, gostar do contato
pessoal e saber explicar os objetivos da auditoria”

“O profissional deve ter um perfil observador, planejador,

racional e ao mesmo tempo comunicativo. Tem que ter uma
ótima competência para interagir com diversos grupos de
trabalho, do chão de fábrica até a presidência. E um certo
discernimento para trabalhar com informações sigilosas”

Fonte: https://profissoesemti.wordpress.com/as-profissoes-de-ti/auditor-de-ti/
Certificações

Certified Information Systems Auditor (CISA) fornecida pela

organização ISACA (Information Systems Audit and Control
Association);

No Brasil, a academia CLAVIS fornece o curso preparatório e

também as provas.