View
5
Download
0
Category
Preview:
DESCRIPTION
3 - Auditoria01
Citation preview
SEGURANÇA DA INFORMAÇÃO
AUDITORIA
Banco de Dados
de Autorizações
Monitor de
Referência
Autenticação Controle de acesso
Usuário Objetos
Administrador
de Segurança
Auditoria
Política de segurança
SEGURANÇA DA INFORMAÇÃO
Estudar e analisar o ambiente
corporativo e assegurar que as metas e
objetivos de TI estão sendo alcançados
e os controles chaves estão sendo
aplicados.
O QUE QUEREMOS COM A AUDITORIA
SEGURANÇA DA INFORMAÇÃO
As diretrizes de gerenciamento descrevem e
sugerem atividades de avaliação para serem
executadas para cada controle de alto nível.
Entre os principais objetivos temos:
• Fornecer gerenciamento com segurança de que os
objetivos de controle estejam sendo alcançados;
• Onde existir pontos fracos de controle significantes,
será verificado os riscos resultantes;
• Aconselhar a administração em ações corretivas;
OBJETIVO DA AUDITORIA
SEGURANÇA DA INFORMAÇÃO
• Definição de Auditoria:
ISO/IEC 17799:2001
Verificação de Conformidade Técnica.
• Definição do Dicionário Aurélio:
Exame analítico e pericial que segue o desenvolvimento das
operações contábeis, desde o início até o balanço; auditagem.
• Não devemos utilizar o termo “Exame” pois este está mais
relacionado com o processo pericial ou de análise forense.
• O termo “Auditoria de Sistemas Comprometidos” ilustra a
confusão comum entre Auditoria e Perícia.
Auditoria = Verificação
DEFINIÇÃO DE SEGURANÇA
SEGURANÇA DA INFORMAÇÃO
CONCEITO
Função da auditoria de sistemas é promover
adequação, revisão, avaliação e recomendações
para o aprimoramento dos controles internos nos
sistemas de informação da empresa, bem como
avaliar e utilização do recursos humanos, materiais e
tecnológicos envolvidos no processamento dos
mesmos”
(Schimidt, 2006)
SEGURANÇA DA INFORMAÇÃO
O QUE AUDITAR?
“Não se pode controlar o que não se
pode medir”
a) Fidelidade da Informação
b) Segurança física e lógica da Informação
c) Conformidade legal
d) Conformidade com boas práticas
e) Eficiência e Eficácia dos Recursos e Resultados
f) Obediência às políticas
SEGURANÇA DA INFORMAÇÃO
Auditoria Pró-Ativa
• Ação pela qual uma situação é observada através
da coleta de informações para eventual comparação
com um estado anterior e/ou futuro. Pode ser
entendida como uma ação que visa identificar
possíveis falhas antes que uma ameaça potencial
seja concretizada.
SEGURANÇA DA INFORMAÇÃO
Auditoria Reativa
• Coleta de informações e evidências após a
identificação de uma violação.
É parte da atividade de análise forense, a qual
fornece informações sobre as ações ocorridas e que
serão utilizadas para prover as correções
necessárias assim como para o aumento do grau de
segurança.
SEGURANÇA DA INFORMAÇÃO
AMEAÇA
Ameaça: O termo ameaça foi muito bem definido por
Karen Olsen na seguinte publicação do NIST (National
Institute of Standards and Technology): “Security in
Open Systems SP 800-7”.
Ameaça é uma circunstância, condição, ou
evento que possui potencial para causar
estrago para o corpo técnico ou recursos de
rede na forma de destruição, divulgação,
modificação de dados, negação de serviço,
fraude, desperdício e/ou abuso.
SEGURANÇA DA INFORMAÇÃO
TIPOS DE AUDITORIA
• Auditoria Remota: Quando o processo de auditoria
é controlado e executado fora das instalações que são
alvo do processo.
• Auditoria Local: Realização da atividade dentro do
ambiente que está sendo auditado.
• Auditoria Física: Processo de verificação das
condições de segurança física de um sistema, como
por exemplo se a sala de servidores possui fechadura
e se esta realmente funciona.
SEGURANÇA DA INFORMAÇÃO
TIPOS DE AUDITORIA
• Auditoria Lógica: Auditoria que verifica as demais
condições não físicas que fazem parte do processo
e/ou sistema.
• Auditoria de Perímetro: Atividade de mapeamento
da infraestrutura de rede responsável pela delimitação
e/ou segmentação. A auditoria de perímetro permite
verificar externamente qual a parte visível da
infraestrutura.
• Auditoria de Conformidade: Permite avaliar e/ou
validar uma situação frente a uma norma ou
requisitos.
SEGURANÇA DA INFORMAÇÃO
PASSOS DE UMA AUDITORIA
• O processo de auditoria deve sempre ser autorizado
e seguir as normas e/ou legislação pertinente.
• A auditoria fornece uma fotografia instantânea da
situação encontrada.
• As informações geradas pela auditoria devem ser
armazenadas conforme a política da empresa.
• Deve-se manter um histórico de todas as atividades
realizadas no processo de auditoria, incluindo horários
de realização, duração dos eventos e métodos
utilizados no processo.
SEGURANÇA DA INFORMAÇÃO
PERGUNTA
1-) A auditoria de sistemas computacionais deve ser
vista como um projeto? Justifique
2-) Quais as dificuldades enfrentadas pela auditoria na
empresa?
SEGURANÇA DA INFORMAÇÃO
FASES DA AUDITORIA
– Levantamento
– Planejamento
– Execução
– Elaboração do Relatório
– Monitoramento
SEGURANÇA DA INFORMAÇÃO
LEVANTAMENTO
• Informações iniciais
– Objetivos institucionais
– Legislação aplicável
– Estrutura organizacional
• Avaliação dos Controles Internos
– O auditor, para determinar a extensão e o alcance
da fiscalização, deve examinar e avaliar o grau de
confiabilidade dos controles internos.
SEGURANÇA DA INFORMAÇÃO
AVALIAÇÃO DOS CONTROLES DE TI
• Avaliação limitada: avaliação menos profunda dos
controles gerais e de aplicativos, que pode ser
realizada por equipes compostas somente por
auditores que não detenham conhecimentos
específicos de TI. Os controles pertinentes são
examinados na extensão necessária para o
atendimento dos objetivos da auditoria.
SEGURANÇA DA INFORMAÇÃO
AVALIAÇÃO DOS CONTROLES DE TI
• Controles Gerais
• Controles de Aplicativos
• Análise de Dados
SEGURANÇA DA INFORMAÇÃO
CONTROLES GERAIS
• Políticas e padrões organizacionais, especialmente
relacionados à TI
• Organização e administração da TI
• Segregação de funções
• Procedimentos de Segurança
• Controles físicos (de acesso e de ambiente)
• Controles lógicos de acesso
• Desenvolvimento de sistema e alterações de
programas
• Plano de Continuidade de Negócios
• Computação de usuário final
SEGURANÇA DA INFORMAÇÃO
CONTROLES DE APLICATIVOS
• Controles e procedimentos que garantem que
apenas as transações válidas são processadas e
registradas
• Controle no(a):
– Entrada de Dados
– Processamento de Dados
– Saída de Dados
SEGURANÇA DA INFORMAÇÃO
CONTROLES DE APLICATIVOS
• São específicos dos sistemas e são implementados
para prevenir, detectar e corrigir erros e
irregularidades em transações durante a entrada,
processamento e saída de dados.
• Possui como objetivo garantir um processamento
confiável e exato, a partir de controles incorporados
diretamente em programas aplicativos, nas três áreas
de operação: entrada, processamento e saída de
dados.
SEGURANÇA DA INFORMAÇÃO
ANALISE DE DADOS
• Segundo princípios geralmente aceitos de auditoria,
quanto menor a confiabilidade dos controles gerais ou
de aplicativo (ou se esses não forem avaliados), maior
a extensão dos testes necessários para determinar a
confiabilidade dos dados.
• Papel da evidência:
– Única evidência para fundamentar um achado
– Evidência auxiliar ou de ratificação
– Informação geral (histórico, descrições etc.)
SEGURANÇA DA INFORMAÇÃO
PLANEJAMENTO
• Nesta fase, deve ser definido:
– Objetivo da auditoria
– Objeto da auditoria
– Universo a ser auditado (escopo)
– Técnicas e procedimentos a serem utilizados
– Critérios de auditoria
– Etapas e cronogramas
– Recursos humanos e materiais
SEGURANÇA DA INFORMAÇÃO
ETAPAS DO PLANEJAMENTO
• Visão geral
• Avaliação dos Controles Internos
• Elaboração da Matriz de Planejamento
– A Avaliação dos Controles Internos deve ser feita
caso não tenha sido realizada a fase de
Levantamento.
Recommended