PROFESSOR: ANTONYALISON ANTONY RIBEIRO

E-mail: professorantony@hotmail.com

SEGURANÇA DA INFORMAÇÃO

AUDITORIA

Banco de Dados

de Autorizações

Monitor de

Referência

Autenticação Controle de acesso

Usuário Objetos

Administrador

de Segurança

Auditoria

Política de segurança

SEGURANÇA DA INFORMAÇÃO

Estudar e analisar o ambiente

corporativo e assegurar que as metas e

objetivos de TI estão sendo alcançados

e os controles chaves estão sendo

aplicados.

O QUE QUEREMOS COM A AUDITORIA

SEGURANÇA DA INFORMAÇÃO

As diretrizes de gerenciamento descrevem e

sugerem atividades de avaliação para serem

executadas para cada controle de alto nível.

Entre os principais objetivos temos:

• Fornecer gerenciamento com segurança de que os

objetivos de controle estejam sendo alcançados;

• Onde existir pontos fracos de controle significantes,

será verificado os riscos resultantes;

• Aconselhar a administração em ações corretivas;

OBJETIVO DA AUDITORIA

SEGURANÇA DA INFORMAÇÃO

• Definição de Auditoria:

ISO/IEC 17799:2001

Verificação de Conformidade Técnica.

• Definição do Dicionário Aurélio:

Exame analítico e pericial que segue o desenvolvimento das

operações contábeis, desde o início até o balanço; auditagem.

• Não devemos utilizar o termo “Exame” pois este está mais

relacionado com o processo pericial ou de análise forense.

• O termo “Auditoria de Sistemas Comprometidos” ilustra a

confusão comum entre Auditoria e Perícia.

Auditoria = Verificação

DEFINIÇÃO DE SEGURANÇA

SEGURANÇA DA INFORMAÇÃO

CONCEITO

Função da auditoria de sistemas é promover

adequação, revisão, avaliação e recomendações

para o aprimoramento dos controles internos nos

sistemas de informação da empresa, bem como

avaliar e utilização do recursos humanos, materiais e

tecnológicos envolvidos no processamento dos

mesmos”

(Schimidt, 2006)

SEGURANÇA DA INFORMAÇÃO

O QUE AUDITAR?

“Não se pode controlar o que não se

pode medir”

a) Fidelidade da Informação

b) Segurança física e lógica da Informação

c) Conformidade legal

d) Conformidade com boas práticas

e) Eficiência e Eficácia dos Recursos e Resultados

f) Obediência às políticas

SEGURANÇA DA INFORMAÇÃO

Auditoria Pró-Ativa

• Ação pela qual uma situação é observada através

da coleta de informações para eventual comparação

com um estado anterior e/ou futuro. Pode ser

entendida como uma ação que visa identificar

possíveis falhas antes que uma ameaça potencial

seja concretizada.

SEGURANÇA DA INFORMAÇÃO

Auditoria Reativa

• Coleta de informações e evidências após a

identificação de uma violação.

É parte da atividade de análise forense, a qual

fornece informações sobre as ações ocorridas e que

serão utilizadas para prover as correções

necessárias assim como para o aumento do grau de

segurança.

SEGURANÇA DA INFORMAÇÃO

AMEAÇA

Ameaça: O termo ameaça foi muito bem definido por

Karen Olsen na seguinte publicação do NIST (National

Institute of Standards and Technology): “Security in

Open Systems SP 800-7”.

Ameaça é uma circunstância, condição, ou

evento que possui potencial para causar

estrago para o corpo técnico ou recursos de

rede na forma de destruição, divulgação,

modificação de dados, negação de serviço,

fraude, desperdício e/ou abuso.

SEGURANÇA DA INFORMAÇÃO

TIPOS DE AUDITORIA

• Auditoria Remota: Quando o processo de auditoria

é controlado e executado fora das instalações que são

alvo do processo.

• Auditoria Local: Realização da atividade dentro do

ambiente que está sendo auditado.

• Auditoria Física: Processo de verificação das

condições de segurança física de um sistema, como

por exemplo se a sala de servidores possui fechadura

e se esta realmente funciona.

SEGURANÇA DA INFORMAÇÃO

TIPOS DE AUDITORIA

• Auditoria Lógica: Auditoria que verifica as demais

condições não físicas que fazem parte do processo

e/ou sistema.

• Auditoria de Perímetro: Atividade de mapeamento

da infraestrutura de rede responsável pela delimitação

e/ou segmentação. A auditoria de perímetro permite

verificar externamente qual a parte visível da

infraestrutura.

• Auditoria de Conformidade: Permite avaliar e/ou

validar uma situação frente a uma norma ou

requisitos.

SEGURANÇA DA INFORMAÇÃO

PASSOS DE UMA AUDITORIA

• O processo de auditoria deve sempre ser autorizado

e seguir as normas e/ou legislação pertinente.

• A auditoria fornece uma fotografia instantânea da

situação encontrada.

• As informações geradas pela auditoria devem ser

armazenadas conforme a política da empresa.

• Deve-se manter um histórico de todas as atividades

realizadas no processo de auditoria, incluindo horários

de realização, duração dos eventos e métodos

utilizados no processo.

SEGURANÇA DA INFORMAÇÃO

PERGUNTA

1-) A auditoria de sistemas computacionais deve ser

vista como um projeto? Justifique

2-) Quais as dificuldades enfrentadas pela auditoria na

empresa?

SEGURANÇA DA INFORMAÇÃO

FASES DA AUDITORIA

– Levantamento

– Planejamento

– Execução

– Elaboração do Relatório

– Monitoramento

SEGURANÇA DA INFORMAÇÃO

LEVANTAMENTO

• Informações iniciais

– Objetivos institucionais

– Legislação aplicável

– Estrutura organizacional

• Avaliação dos Controles Internos

– O auditor, para determinar a extensão e o alcance

da fiscalização, deve examinar e avaliar o grau de

confiabilidade dos controles internos.

SEGURANÇA DA INFORMAÇÃO

AVALIAÇÃO DOS CONTROLES DE TI

• Avaliação limitada: avaliação menos profunda dos

controles gerais e de aplicativos, que pode ser

realizada por equipes compostas somente por

auditores que não detenham conhecimentos

específicos de TI. Os controles pertinentes são

examinados na extensão necessária para o

atendimento dos objetivos da auditoria.

SEGURANÇA DA INFORMAÇÃO

AVALIAÇÃO DOS CONTROLES DE TI

• Controles Gerais

• Controles de Aplicativos

• Análise de Dados

SEGURANÇA DA INFORMAÇÃO

CONTROLES GERAIS

• Políticas e padrões organizacionais, especialmente

relacionados à TI

• Organização e administração da TI

• Segregação de funções

• Procedimentos de Segurança

• Controles físicos (de acesso e de ambiente)

• Controles lógicos de acesso

• Desenvolvimento de sistema e alterações de

programas

• Plano de Continuidade de Negócios

• Computação de usuário final

SEGURANÇA DA INFORMAÇÃO

CONTROLES DE APLICATIVOS

• Controles e procedimentos que garantem que

apenas as transações válidas são processadas e

registradas

• Controle no(a):

– Entrada de Dados

– Processamento de Dados

– Saída de Dados

SEGURANÇA DA INFORMAÇÃO

CONTROLES DE APLICATIVOS

• São específicos dos sistemas e são implementados

para prevenir, detectar e corrigir erros e

irregularidades em transações durante a entrada,

processamento e saída de dados.

• Possui como objetivo garantir um processamento

confiável e exato, a partir de controles incorporados

diretamente em programas aplicativos, nas três áreas

de operação: entrada, processamento e saída de

dados.

SEGURANÇA DA INFORMAÇÃO

ANALISE DE DADOS

• Segundo princípios geralmente aceitos de auditoria,

quanto menor a confiabilidade dos controles gerais ou

de aplicativo (ou se esses não forem avaliados), maior

a extensão dos testes necessários para determinar a

confiabilidade dos dados.

• Papel da evidência:

– Única evidência para fundamentar um achado

– Evidência auxiliar ou de ratificação

– Informação geral (histórico, descrições etc.)

SEGURANÇA DA INFORMAÇÃO

PLANEJAMENTO

• Nesta fase, deve ser definido:

– Objetivo da auditoria

– Objeto da auditoria

– Universo a ser auditado (escopo)

– Técnicas e procedimentos a serem utilizados

– Critérios de auditoria

– Etapas e cronogramas

– Recursos humanos e materiais

SEGURANÇA DA INFORMAÇÃO

ETAPAS DO PLANEJAMENTO

• Visão geral

• Avaliação dos Controles Internos

• Elaboração da Matriz de Planejamento

– A Avaliação dos Controles Internos deve ser feita

caso não tenha sido realizada a fase de

Levantamento.

SEGURANÇA DA INFORMAÇÃO

VISÃO GERAL

• Objetivos institucionais

• Estrutura Organizacional

• Legislação Aplicável

• Práticas Administrativas

• Planos Estratégicos

• Descrição do Objeto da Fiscalização