Auditoria e Aspectos

Legais em Segurança da
Informação
Prof. Luiz Claudio Diogo Reis
08/06/2021 Webaula 2 2
 Conteúdo Programático

Unidade 01: Auditoria de Sistemas de Informação (SI)

Unidade 02: Métodos e Técnicas Avançadas de Auditoria de SI e Forense
Unidade 03: Leis sobre Segurança da Informação e Vazamento de Dados
Unidade 04: Crimes Cibernéticos e Segurança Cibernética
 Agenda: Webaula 2

 Padrão ISACA para Auditoria de SI

 Fases do Trabalho de Auditoria de SI
 Métodos e Técnicas Convencionais de Auditoria de SI
 Controle Interno e Ambiência em TI
 Auditorias no Ambiente de TI
 Aplicações em Casos Práticos
Padrão ISACA para Auditoria de SI

1202.1: A função de auditoria de SI deve usar uma abordagem de

avaliação de risco e metodologia de suporte para desenvolver o
plano de auditoria de SI e determinar prioridades para a alocação
eficaz de recursos de auditoria de SI.

1401.2: Profissionais de auditoria de SI deverão garantir que os

resultados do relatório de auditoria sejam apoiados por evidências
suficientes e apropriadas.

https://www.isaca.org/bookstore/x/-
/media/02132b9ca87b40faa5bc2c13597b7b69.ashx

5
 Fases do Trabalho de Auditoria de Sistemas

1. Planejamento 3. Reporte
Recursos Humanos Elaboração de Relatório
Recursos Financeiros Comunicação do resultado do trabalho
Cronograma Partes interessadas
Abrangência e escopo

2. Execução 4. Follow up
Trabalho de campo Acompanhamento
Plano de Auditoria Regularização das ocorrências
Programa de Auditoria Atendimento e mitigação de riscos

6
 Fases Detalhadas do Trabalho de Auditoria de Sistemas
Levantamento do ambiente de Eleição, por análise de risco, dos Elaboração do relatório
sistema de informação a ser auditado. pontos de controle do ambiente. de auditoria.

Fase 1 Fase 2 Fase 3 Fase 4 Fase 5

Identificação e inventário Revisão e avaliação dos

dos pontos de controle. pontos de controle.

7
Auditoria de Acompanhamento

8
 Fase 1
Levantamento do ambiente de sistema de informação
a ser auditado:
✓ Entrevistas
✓ Análise da documentação existente

9
 Fase 2
Identificação e inventário dos pontos de controle:
✓ Documentos de entrada de dados
✓ Relatórios de saídas
✓ Telas
✓ Arquivos magnéticos
✓ Tabelas de banco de dados
✓ Rotinas manuais e/ou automatizadas
✓ Pontos de integração
✓ Análise da documentação existente
10
 Fase 3
Eleição, por análise de risco, dos pontos de controle
do ambiente.
✓ Priorização de análises pela auditoria
✓ Matriz de Risco
✓ Credibilidade da empresa
✓ Valores financeiros
✓ Aspectos institucionais
✓ Disponibilidade do ambiente

11
 Fase 4
Revisão e avaliação dos pontos de controle:
✓ Identificação de falhas ou fraquezas de controle
✓ Aplicação de técnicas de auditoria
✓ Uso de Programas de Auditoria
✓ Checklist de verificações

12
 Fase 5
Elaboração do relatório de avaliação de controle
interno e de auditoria:
✓ Fraquezas nos controles internos
✓ Impactos e consequências para a empresa
✓ Mitigação de riscos e vulnerabilidades
✓ Recomendações de melhorias

13
 Técnicas de Auditoria

Técnicas de auditoria são um conjunto de processos,

ferramentas e práticas que vão fornecer o controle para
que o auditor obtenha evidências ou provas suficientes,
adequadas, relevantes e úteis que permitam fundamentar
sua opinião sobre conclusão dos trabalhos realizados.

14
Principais Técnicas de Auditoria

Convencionais Sexta-feira
Sistemas (Avançadas)

✓ Entrevistas ✓ Ao redor do computador

✓ Questionários ✓ Através do computador
✓ Observação direta ✓ Com o computador
✓ Verificação in loco
✓ Análise de documentos

15
Pontos de Atenção

16
17
18
Questão para Reflexão

19
 Técnicas de Auditoria de SI (Ao redor)
Observação pessoal do auditor de sistemas das
Verificação in loco atividades ou instalação da área auditada.

Conjunto de perguntas que visam avaliar

Questionário determinado ponto de controle de um sistema ou
ambiente.

Consiste em realizar reuniões com as pessoas

Entrevistas envolvidas com o objeto de auditoria.

“Ao redor" do Análise comparativa dos dados de entrada e das

computador informações de saída dos processos do computador.

20
 Técnicas de Auditoria de SI (Através)
Obtenção de evidências de que um sistema e os controles
Test-desk estão operando conforme a documentação apresentada.
Não testa o resultado dos dados processados.

Rastreamento das instruções do programa de computador,

Tracing acionadas no processamento de determinada transação.
Mostra a ordem que as instruções foram executadas.

Mapeamento estatístico das rotinas de um programa de

Mapping computador, mostrando a quantidade utilizada e as não
utilizadas. Associado à eficiência do programa.

“Através” do Identificação, análise e teste dos pontos de controle do

sistema de informação em nível computadorizado.
computador

21
 Técnicas de Auditoria de SI (Através)
Consiste na visualização das partes da memória do
Snapshot computador e que há elementos utilizados pelo processo de
decisão, ao mesmo tempo que a decisão é tomada.

Arquivo de informação que serve para caracterizar e

Análise de job/log analisar a utilização do computador com relação a
programas e arquivos do sistema de informação.

“Através” do Identificação, análise e teste dos pontos de controle do

Mapping sistema de informação em nível computadorizado.
computador

22
 Técnicas de Auditoria de SI (Com)

Software de auditoria Softwares de mercado para a auditoria.

Programas dos sistemas operacionais dos

Programa utilitário computadores, sistemas de bancos de dados, etc.

Programa específico Programa desenvolvido pela equipe de auditores.

Identificação, análise e teste dos pontos de controle

“Com” computador do sistema de informação com o uso de softwares.

23
Auditoria do Ambiente de Tecnologia da Informação

24
Código de Prática para a Gestão da Segurança da Informação
ABNT ISO 27002
✓ Objetivo: Estabelecer diretrizes e princípios gerais para a
gestão de segurança da informação em organizações
✓ Seções: 14
✓ Objetivos de controle: 35
✓ Controles específicos: 114

25
 Conceitos Fundamentais em
Segurança da Informação

Confidencialidade Sexta-feira
Integridade Disponibilidade

Garantia de que a Proteção da informação e Garantia de que as pessoas

informação seja acessível dos métodos de autorizadas tenham acesso
apenas às pessoas processamento quanto a às informações.
autorizadas. modificações não
autorizadas.

26
 Segurança do Ambiente de TI

✓ Envolve a segurança física e a lógica

✓ Abrange uma gama de recursos a serem protegidos
perante as ameaças existentes no ambiente de
Tecnologia da Informação.

27
 Seções da ISO 27002
1. Políticas de segurança da informação
2. Organização da segurança da informação
3. Segurança em recursos humanos
4. Gestão de ativos
5. Controle de acesso
6. Criptografia
7. Segurança física e do ambiente
8. Segurança nas operações

28
 Seções da ISO 27002
9. Segurança nas comunicações
10. Aquisição, desenvolvimento e manutenção de sistemas
11. Relacionamento na cadeia de suprimento
12. Gestão de incidentes de segurança da informação
13. Segurança da informação na gestão da continuidade do negócio
14. Conformidade

29
 Os 10 Principais Pontos de Controle
do Ambiente de TI

1. Infraestrutura física

Envolve os ativos de TI: Equipamentos (hardware), Programas de

computador (software), Informações, Recursos humanos e
tecnológicos, instalações etc., cujo objetivo é a manutenção de
controle adequado dos bens e ativos tangíveis e intangíveis da
empresa.

30
 Os 10 Principais Pontos de Controle
do Ambiente de TI

2. Organização funcional e tecnológica do ambiente

Refere-se aos subitens de organização da segurança: Políticas de

segurança e de pessoal, Planejamento Estratégico de TI (PETI).

Assegurar proteção, divulgação e uso das informações referentes a

políticas, diretrizes e serviços de forma sistematizada e criteriosa.

31
 Os 10 Principais Pontos de Controle
do Ambiente de TI

3. Segurança ambiental e fatores humanos

Consiste em controlar e manter a segurança do ambiente de TI e de

recursos humanos para garantir o bom andamento das atividades da
organização, bem como assegurar a adequada qualidade e
produtividade do trabalho das áreas de TI.

32
 Os 10 Principais Pontos de Controle
do Ambiente de TI

4. Planos de segurança e de contingência

Contempla manter a proteção dos ativos da organização por meio

de: Planos de segurança (Normas e procedimentos de segurança
preventiva e detectiva) e Planos de contingência (Instruções de
segurança corretiva e de restauração do ambiente de TI).

33
 Os 10 Principais Pontos de Controle
do Ambiente de TI

5. Segurança física e lógica de mídias magnéticas

Consiste em proteger e garantir a segurança das mídias magnéticas,

que contêm os programas de computador e os arquivos de sistemas
vitais aos negócios da organização. Envolve a manutenção das cópias
de segurança e a segurança lógica dos processos de controle e
recuperação de informações.

34
 Os 10 Principais Pontos de Controle
do Ambiente de TI

6. Redes, teleprocessamento e microinformática

Consiste em assegurar a proteção de redes de comunicação entre os

computadores. Assim, tornam-se essenciais o bom funcionamento e
um controle de acesso eficaz da rede corporativa para minimizar os
impactos que podem causar prejuízos na ocasião da ocorrência de
algum incidente indesejado.

35
 Os 10 Principais Pontos de Controle
do Ambiente de TI

7. Ambiente web ou internet

Abrange as redes internet, intranet e extranet. O ponto de controle

é constituído de ambiente tecnológico da rede e de aplicações do
comércio eletrônico.

36
 Os 10 Principais Pontos de Controle
do Ambiente de TI

8. Controle de operação e de uso de recursos

tecnológicos
Consiste na utilização adequada de hardware e software com o
objetivo de assegurar a utilização eficiente, eficaz e segura dos
equipamentos de computação e respectivos softwares nas diversas
áreas usuárias. O controle corresponde a verificar a melhor forma de
distribuição de recursos tecnológicos na organização.

37
 Os 10 Principais Pontos de Controle
do Ambiente de TI

9. Controle de acesso físico e lógico

Consiste na aplicação de controles para segurança física

(instalações) e lógica (sistemas operacionais e de informação).

38
 Os 10 Principais Pontos de Controle
do Ambiente de TI

10. Banco de dados e sistemas de informação

Consiste no estabelecimento de critérios de classificação de

informação e de sistemas, monitoramento da manutenção de
sistemas de informação, bem como controle da documentação das
aplicações.
 Pontos de Atenção

✓ Fases do Trabalho de Auditoria de SI

✓ Auditoria de Acompanhamento
✓ Técnicas de Auditoria de SI
✓ Seções da ISO 27002
✓ Principais Pontos de Controle do Ambiente de TI

40