Escolar Documentos
Profissional Documentos
Cultura Documentos
e
classificação da informação
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 1
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA
INFORMAÇÃO
Fiscalização
Orientação
Controle interno
Podemos então concluir que, para a organização atingir seu objetivo, deverá realizar
a avaliação contínua dos controles internos com o objetivo de identificar e analisar os
riscos associados ao não cumprimento das metas e objetivos operacionais. A
identificação e o gerenciamento dos riscos são uma ação proativa que permite evitar
surpresas desagradáveis nas organizações. São os administradores que devem definir
os níveis de riscos operacionais e de informação que estão dispostos a assumir.
Metodologia de auditoria em TI
Melhoria de
processo Melhoria do
sistema de gestão
Certificação Compliance
Segundo Lyra, é possível pensarmos em uma metodologia de trabalho que seja flexível
e aderente a todas as modalidades de auditoria em sistemas de informação. Essa
metodologia é composta basicamente pelas seguintes fases:
Nessa etapa, busca-se identificar os diversos pontos de controles que merecem ser
validados no contexto do escopo da auditoria. Cada ponto de controle deve ser
relacionado, seus objetivos descritos, assim como as suas funções, parâmetros,
fraquezas e técnicas de auditoria mais adequadas à sua validação. O resultado desse
levantamento deve ser encaminhado ao grupo de coordenação da auditoria para uma
validação quanto à sua pertinência para garantir que o objetivo da auditoria será
atingido.
Essa etapa consiste na seleção e priorização dos pontos de controle que foram
inventariados na etapa anterior e que devem fazer parte da auditoria a ser realizada.
Podem ser considerados os seguintes critérios:
Conclusão da auditoria
Devemos ter em mente que esse será um material que poderá ser posteriormente
consultado por outros auditores; portanto, quanto mais completo, melhor será seu
entendimento por outro auditor.
Manual de auditoria do
ambiente a ser auditado
Produtos gerados pela
auditoria
Certificado de controle
interno
Pastas contendo a
documentação obtida
Auditor
Cliente
Auditado
Auditor Líder
O auditor é quem realiza as auditorias propriamente ditas. Ele deve planejar e realizar
suas atribuições de forma eficaz e com competência, comunicar aos clientes e
esclarecer os requisitos da auditoria quando necessário.
É o cliente quem solicita a auditoria e determina o seu propósito. Ele deve informar
aos colaboradores envolvidos no processo de auditoria os objetivos e o escopo da
auditoria, assim como indicar as pessoas guias responsáveis. É de sua
responsabilidade também receber o relatório de auditoria, realizar análise crítica,
determinar as ações de acompanhamento e informar ao auditado.
Dirigir Monitorar
Cobit
PMBOK ITIL
Definição e
atualização da
estrutura de
governança
Entrega de valor
Avaliar, dirigir e
Governança Otimização dos riscos
monitorar
Otimização dos
recursos
Transparência das
partes interessadas
Inovação Programação
Ergonomia do sistema
Gestão financeira
Desativação de software
Gestão de portfólio
Gestão de capacidade
Gestão de disponibilidade
Gestão de problemas
Administração da segurança
Operações de TI
Análise de conformidade
Monitoramento de desempenho
Auditoria de controles
O ITIL foi desenvolvido pelo atual OGC (Office of Government Commerce), órgão
público que busca otimizar e melhorar os processos internos do governo britânico. O
ITIL é uma biblioteca de melhores práticas voltada para a área de TI, mais
especificamente para a área de infraestrutra.
• Integração;
• Escopo;
• Tempo;
• Custo;
• Qualidade;
• Recursos humanos;
• Comunicações;
• Riscos;
• Aquisição;
• Partes interessadas.
Ela verifica se essas operações e ações da organização estão sendo realizadas de forma
eficaz e eficiente para alcançar os objetivos de negócio da organização. É utilizada
para avaliar a capacidade da organização de proteger seus ativos de informação e
dispensar corretamente as informações para as partes autorizadas.
Dessa forma, a auditoria poderá avaliar o risco das informações mais valiosas para as
organizações e estabelecer métodos de minimizar os riscos. Nesse caso, a auditoria de
TI tem como objetivo avaliar:
Aquisição,
desenvolvimento,
manutenção e
documentação de
sistemas
Controles de hardware
Controles de acesso
Auditoria Operação e
computador
Suporte técnico
Sistemas aplicativos
Plano de contingência
e de recuperação de
desastres
Redes de
computadores
Auditoria de sistemas
• Metodologia;
• Planejamento;
• Levantamento do sistema;
• Identificação e inventário dos pontos de controle;
• Priorização e seleção dos pontos de controle;
• Avaliação dos pontos de controle;
• Conclusão da auditoria;
• Acompanhamento.
Auditoria durante
o desenvolvimento
de sistemas
Auditoria de
sistemas em
produção
Auditoria de
sistemas de
informação
Auditoria no
ambiente
tecnológico
Auditoria em
eventos
específicos
Test deck
Conjunto de dados de entrada especialmente preparado com o objetivo de testar os
controles programados e os controles dos sistemas aplicativos.
Simulação paralela
Elaboração de um programa de computador para simular as funções de rotina do
sistema sob auditoria. Enquanto no test deck simulamos dados e os submetemos ao
programa de computador, na simulação paralela simulamos o programa e submetemos
os mesmos dados que foram utilizados pelo programa auditado em sua rotina de
processamento.
Visita in loco
Consiste na atuação de equipe de auditoria junto ao pessoal de sistemas e instalações.
Rastreamento e mapeamento
Desenvolvimento e implementação de trilha de auditoria para acompanhar certos
pontos da lógica do processamento de algumas transações.
Rastreamento de programas
Possibilita seguir o caminho de uma transação durante o processamento do programa.
Objetiva identificar as inadequações e ineficiência na lógica de um programa.
Análise de relatórios/telas
Análise de log/accounting
Permite verificar a utilização de todos os ativos de TI envolvidos no objeto da auditoria.
Ferramentas de auditoria
Ferramentas
de auditoria
• Simulação paralela;
• Extração de dados de amostra;
• Testes globais;
• Geração de dados estatísticos;
• Sumarização;
• Composição de arquivo;
• Apontamento de duplicidade de registro;
• Sequência incorreta de registro.
A Norma ABNT NBR ISO 27001 é uma norma de segurança que oferece um modelo
para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e
melhorar um Sistema de Gestão de Informação (SGSI). Oferece um anexo com
controles de segurança baseados e definidos na Norma ISO 27002 (norma de melhores
práticas em segurança da informação):
• Política de segurança;
• Organizando a segurança da informação;
• Gestão de ativos;
• Segurança em recursos humanos;
• Segurança física e do ambiente;
• Segurança nas operações e comunicações;
• Controle de acessos;
• Aquisição, desenvolvimento e manutenção de sistemas;
• Gestão de incidentes de segurança da informação;
• Gestão da continuidade do negócio;
• Conformidade.
• Foco no negócio;
• Entregar qualidade e valor às partes interessadas;
• Estar em conformidade com os requisitos legais e regulatórios relevantes;
• Prover informação tempestiva e precisa sobre o desempenho da segurança da
informação;
• Avaliar ameaças atuais e futuras à informação;
• Promover melhorias contínuas na informação;
• Promover melhorias contínuas na informação;
• Adotar uma abordagem baseada em risco;
• Proteger informação classificada;
• Concentrar-se em aplicações críticas de negócio;
• Desenvolver sistemas de forma segura;
• Atuar de uma maneira profissional e ética;
• Promover uma cultura de segurança da informação positiva.
O SANS Institute mantém uma lista com os 20 controles de segurança mais críticos
para as organizações. O objetivo é apresentar os principais controles que todas as
empresas e entidades devem priorizar no momento de criar e investir em sua
infraestrutura de segurança:
Matriz RACI
Pessoas
Atividade 2 A R I C
Atividade 3 A R I I
Atividade 4 A C I R
• Para toda atividade, deve existir pelo menos (1) um responsável para executá-la (R)
e um dono (A);
• Não pode existir mais de um dono para uma mesma atividade (A).