Escolar Documentos
Profissional Documentos
Cultura Documentos
Legais em Segurança da
Informação
Prof. Luiz Claudio Diogo Reis
08/06/2021 Webaula 2 2
Conteúdo Programático
https://www.isaca.org/bookstore/x/-
/media/02132b9ca87b40faa5bc2c13597b7b69.ashx
5
Fases do Trabalho de Auditoria de Sistemas
1. Planejamento 3. Reporte
Recursos Humanos Elaboração de Relatório
Recursos Financeiros Comunicação do resultado do trabalho
Cronograma Partes interessadas
Abrangência e escopo
2. Execução 4. Follow up
Trabalho de campo Acompanhamento
Plano de Auditoria Regularização das ocorrências
Programa de Auditoria Atendimento e mitigação de riscos
6
Fases Detalhadas do Trabalho de Auditoria de Sistemas
Levantamento do ambiente de Eleição, por análise de risco, dos Elaboração do relatório
sistema de informação a ser auditado. pontos de controle do ambiente. de auditoria.
7
Auditoria de Acompanhamento
8
Fase 1
Levantamento do ambiente de sistema de informação
a ser auditado:
✓ Entrevistas
✓ Análise da documentação existente
9
Fase 2
Identificação e inventário dos pontos de controle:
✓ Documentos de entrada de dados
✓ Relatórios de saídas
✓ Telas
✓ Arquivos magnéticos
✓ Tabelas de banco de dados
✓ Rotinas manuais e/ou automatizadas
✓ Pontos de integração
✓ Análise da documentação existente
10
Fase 3
Eleição, por análise de risco, dos pontos de controle
do ambiente.
✓ Priorização de análises pela auditoria
✓ Matriz de Risco
✓ Credibilidade da empresa
✓ Valores financeiros
✓ Aspectos institucionais
✓ Disponibilidade do ambiente
11
Fase 4
Revisão e avaliação dos pontos de controle:
✓ Identificação de falhas ou fraquezas de controle
✓ Aplicação de técnicas de auditoria
✓ Uso de Programas de Auditoria
✓ Checklist de verificações
12
Fase 5
Elaboração do relatório de avaliação de controle
interno e de auditoria:
✓ Fraquezas nos controles internos
✓ Impactos e consequências para a empresa
✓ Mitigação de riscos e vulnerabilidades
✓ Recomendações de melhorias
13
Técnicas de Auditoria
14
Principais Técnicas de Auditoria
Convencionais Sexta-feira
Sistemas (Avançadas)
15
Pontos de Atenção
16
17
18
Questão para Reflexão
19
Técnicas de Auditoria de SI (Ao redor)
Observação pessoal do auditor de sistemas das
Verificação in loco atividades ou instalação da área auditada.
20
Técnicas de Auditoria de SI (Através)
Obtenção de evidências de que um sistema e os controles
Test-desk estão operando conforme a documentação apresentada.
Não testa o resultado dos dados processados.
21
Técnicas de Auditoria de SI (Através)
Consiste na visualização das partes da memória do
Snapshot computador e que há elementos utilizados pelo processo de
decisão, ao mesmo tempo que a decisão é tomada.
22
Técnicas de Auditoria de SI (Com)
23
Auditoria do Ambiente de Tecnologia da Informação
24
Código de Prática para a Gestão da Segurança da Informação
ABNT ISO 27002
✓ Objetivo: Estabelecer diretrizes e princípios gerais para a
gestão de segurança da informação em organizações
✓ Seções: 14
✓ Objetivos de controle: 35
✓ Controles específicos: 114
25
Conceitos Fundamentais em
Segurança da Informação
Confidencialidade Sexta-feira
Integridade Disponibilidade
26
Segurança do Ambiente de TI
27
Seções da ISO 27002
1. Políticas de segurança da informação
2. Organização da segurança da informação
3. Segurança em recursos humanos
4. Gestão de ativos
5. Controle de acesso
6. Criptografia
7. Segurança física e do ambiente
8. Segurança nas operações
28
Seções da ISO 27002
9. Segurança nas comunicações
10. Aquisição, desenvolvimento e manutenção de sistemas
11. Relacionamento na cadeia de suprimento
12. Gestão de incidentes de segurança da informação
13. Segurança da informação na gestão da continuidade do negócio
14. Conformidade
29
Os 10 Principais Pontos de Controle
do Ambiente de TI
1. Infraestrutura física
30
Os 10 Principais Pontos de Controle
do Ambiente de TI
31
Os 10 Principais Pontos de Controle
do Ambiente de TI
32
Os 10 Principais Pontos de Controle
do Ambiente de TI
33
Os 10 Principais Pontos de Controle
do Ambiente de TI
34
Os 10 Principais Pontos de Controle
do Ambiente de TI
35
Os 10 Principais Pontos de Controle
do Ambiente de TI
36
Os 10 Principais Pontos de Controle
do Ambiente de TI
37
Os 10 Principais Pontos de Controle
do Ambiente de TI
38
Os 10 Principais Pontos de Controle
do Ambiente de TI
40