Escolar Documentos
Profissional Documentos
Cultura Documentos
informação ajuda a
identificar riscos de
segurança, fraquezas nos
controlos internos e
oportunidades de melhoria,
contribuindo para a
protecção dos activos de
informação e a eficácia das
operações da organização.
AUDITORIA
INFORMÁTICA
Objectivos da Auditoria
Informática
Bruno Gamito
Elaborado por: Bruno Gamito, MsC.
Objectivos
Auditoria:
A auditoria é um processo de exame sistemático e independente das
actividades, registos, operações, transacções e demonstrações
financeiras de uma organização. Seu objectivo principal é avaliar a
conformidade com políticas, procedimentos, leis e regulamentos
aplicáveis, bem como a precisão e integridade das informações
financeiras e operacionais. A auditoria pode ser interna ou externa,
dependendo se é conduzida por membros da organização ou por
auditores independentes.
Sistemas de Informação:
Os sistemas de informação são conjuntos organizados de hardware,
software, dados, procedimentos e pessoas que colectam, processam,
armazenam e distribuem informações para apoiar a tomada de decisões
e as operações de uma organização. Eles desempenham um papel
crucial na colecta e geração de dados que são usados durante os
processos de auditoria.
1
Elaborado por: Bruno Gamito, MsC.
2
Elaborado por: Bruno Gamito, MsC.
3
Elaborado por: Bruno Gamito, MsC.
Processos de Negócios:
Os processos de negócios são os procedimentos e actividades
organizacionais que transformam insumos (como informações, recursos
e materiais) em produtos ou serviços que agregam valor aos clientes e
atingem os objectivos da organização. Eles podem ser divididos em
processos principais, de suporte e de gestão, dependendo de sua função
dentro da empresa.
4
Elaborado por: Bruno Gamito, MsC.
5
Elaborado por: Bruno Gamito, MsC.
Controlo de Acesso:
Implementação de mecanismos de controlo de acesso, como
autenticação de utilizador, autorização e autenticação de dois factores
(2FA), para garantir que apenas pessoas autorizadas tenham acesso aos
sistemas e dados.
Auditoria e Monitoramento:
Implementação de ferramentas de monitoramento de segurança, como
sistemas de detecção de intrusões (IDS) e sistemas de informação de
segurança (SIEM), para rastrear actividades suspeitas e eventos de
segurança.
Criptografia de Dados:
Criptografia de dados confidenciais em repouso (armazenados) e em
trânsito (durante a transferência), garantindo que mesmo se alguém
obtiver acesso, os dados permaneçam ilegíveis.
6
Elaborado por: Bruno Gamito, MsC.
Treinamento e Conscientização:
Educação dos funcionários sobre boas práticas de segurança, ameaças
cibernéticas e como reconhecer tentativas de phishing ou outros
ataques.
Segregação de Deveres:
Separar as funções e permissões de forma que nenhum indivíduo tenha
acesso a todos os aspectos críticos de um sistema, reduzindo o risco de
abuso ou erro.
Avaliações de Risco:
Realização de avaliações periódicas de risco para identificar ameaças
emergentes e garantir que os controlos de segurança sejam apropriados
e eficazes.
Controlos Físicos:
Implementar controlos físicos, como protecção de acesso às instalações
e salas de servidores, para proteger a infraestrutura de TI.
Criptografia de Comunicações:
Utilização de protocolos seguros, como HTTPS e VPNs, para proteger a
comunicação entre sistemas e redes.
7
Elaborado por: Bruno Gamito, MsC.
8
Elaborado por: Bruno Gamito, MsC.
Regulamentações Sectoriais:
Em muitas indústrias, existem regulamentações específicas
relacionadas à segurança da informação. Por exemplo, o sector de saúde
nos Estados Unidos está sujeito à Lei de Portabilidade e
Responsabilidade de Seguro de Saúde (HIPAA), que impõe requisitos de
segurança de dados para proteger informações de saúde. Os auditores
podem avaliar a conformidade com regulamentações específicas do
sector, quando aplicáveis.
9
Elaborado por: Bruno Gamito, MsC.
Experiência Prática:
Ganhe experiência prática trabalhando com sistemas de informação e
TI em diferentes capacidades, como administrador de sistemas, analista
de segurança ou desenvolvedor. Isso ajudará a compreender as
complexidades do ambiente de TI.
Aprendizado Contínuo:
Mantenha-se actualizado com as tendências e evoluções na área de
segurança da informação e auditoria. A tecnologia está sempre em
evolução, e é importante acompanhar as mudanças.
Acompanhamento de Melhorias:
Depois de conduzir uma auditoria, acompanhe as melhorias e a
implementação das recomendações feitas. Isso ajudará a entender como
suas avaliações afectam a organização e aprimorar suas habilidades de
auditoria.
Mentorship e Networking:
Procure mentores na área de auditoria de sistemas de informação e
participe de grupos e associações profissionais relacionados à auditoria
e segurança da informação. O networking pode ser valioso para
aprender com os outros e obter oportunidades de crescimento na
carreira.
Ética Profissional:
Mantenha altos padrões éticos, pois a auditoria de sistemas de
informação envolve o acesso a informações confidenciais e críticas para
a organização.
Exercícios em grupo…
(o grupo pode escolher aleatoriamente)
11
Elaborado por: Bruno Gamito, MsC.
12