Upload
nguyenkien
View
218
Download
0
Embed Size (px)
Citation preview
CASO PRÁTICO 2: COBIT (STANDARDS UTILIZADOS EM AUDITORIA DE SISTEMAS DE
INFORMAÇÃO)
José Maria Pedro
CISA
JMPedro, CISA
Auditar Sistemas de Informação
Auditoria de Sistemas de Informação, consiste num exame sistemático e
independente de acordo com os Standards de Auditoria Geralmente
Aceites (ver ISACA), cujo objectivo é averiguar se as actividades
desenvolvidas e recursos aplicados em determinada organização estão
de acordo com as disposições estabelecidas previamente ou com
Standards e Boas Práticas relevantes para sistemas de informação
O Trabalho do auditor desenvolve-se normalmente num ambiente
desconhecido e destina-se especialmente a eliminar ou reduzir o risco de
errar na emissão de opinião sobre os sistemas de informação auditados
JMPedro, CISA
CISA - Certified Information Systems Auditor
(Áreas de Actuação)
• Processo de Auditoria de Sistemas de Informação
• Gestão, Planeamento e Organização dos SI
• Insfraestrutura Tecnológica e Práticas Operacionais
• Protecção de Activos de Informação
• Recuperação de Desastres e Continuidade de Negócio
• Desenvolvimento de Sistemas Aplicacionais, Aquisição,
Implantação e Manutenção
• Avaliação de Processos de Negócio e Gestão de Risco
JMPedro, CISA
RA = RI * RCI * RD
RCGTI * RCA * RCU
Os Riscos do Auditor de SI
RA: Risco de Auditoria
RI: Risco Inerente
RCI: Risco de Controlo Interno
RD: Risco de Detecção
RCGTI: Risco dos Controlos Gerais das TI
RCA: Risco dos Controlos Aplicacionais
RCU: Risco dos Controlos de Utilização
DADOS
Aplicações
Instalações
Hardware
Software de Sistema
Comunicações
Continuidade
Políticas Utilizadores
Perfis
JMPedro, CISA
DADOS
Classificação e Controlo
Utilizadores, acessos,
autenticação
Instalações, Ambiente,
Seg. Física
Software Aplicacional
Software Sistema
Hardware
Comunicações,
WEB
Políticas e Princípios de Gestão TIC, Segurança Organizacional
Conformidade, Legalidade, Gestão de Risco
Novas Questões de Controlo
InternoControlos
Aplicacionais
Controlos de
Utilização
Controlos
Gerais
JMPedro, CISA
Normas (standards) internacionais
a usar na auditoria de SI
Standards de Controlo Interno e Boas
PráticasGestão de TIC
Gestão de Informação
Gestão de Segurança
Gestão de Risco
Planos de Continuidade de Negócio
Gestão de Projectos
Desenvolvimento de Software
Gestão da Qualidade
Standards Profissionais ISACA, IFAC, IIA
JMPedro, CISA
COBIT (patrocinado pela ISACA)
ITIL - IT Infrastructure Library (itSMF)
Microsoft Operations Framework
ISO20000 (BS15000) Sistema de gestão de
serviços
IT Governance Implementing Guide
AS8015-2005 australiano
Gestão de TIC
JMPedro, CISA
Gestão de Informação
ISO 15489 / NP 4438
Sarbanes Oxley (SOX)
JMPedro, CISA
ISO27001 (anterior 17799 sobre segurança de
Sistemas de Informação);
ISO13335 (Orientações sobre aspectos da Gestão da
Segurança de TIC);
ISO13569 para serviços financeiros;
ITBaseline Protection - Manual alemão;
ACSI-33 australiano
NIST americana (numerosos);
COBIT Security Baseline;
ENV12924 para Sistemas de Informação da Medicina;
Information Security Fórum Standard of Good Pratice
SEGNACs (Portugal).
Gestão de Segurança
JMPedro, CISA
COSO Internal Control – Integrated Framework.
AS/NZS4360 australiano;
Risk Management Standard Institute;
ISO/IEC Guide 73;
Gestão de Risco
JMPedro, CISA
BS25999 (Guia para Disaster / Emergency Management
& Business Continuity);
NFPA 1600 (National Fire Protection Association, USA);
HB221-2004 Australiano;
NIST sp800-34 (U.S. Department of Commerce /
Technology Administration / National Institute of Standards
and Technology).
Planos de Continuidade de
Negócio
JMPedro, CISA
PMBOK (Project Management Body of Knowledge)
PRINCE2 (PRojects IN Controlled Environments)
Gestão de Projectos
JMPedro, CISA
TickIT (Sistemas de Gestão da Qualidade para Desenvolvimento de
Software e Critérios de Certificação)
Capability Maturity Model (Avalia a maturidade dos Sistemas de
Informação)
Desenvolvimento de Software
JMPedro, CISA
ISO9001
SixSIGMA
EFQM (European Foundation for Quality
Management)
Baldrige National Quality Plan
CAF (Common Access Framework)
Gestão da Qualidade
JMPedro, CISA
COBIT®
Control OBjectives for
Information and Related
Technology
www.isaca.org
JMPedro, CISA
Relacionamento entre a
empresa e as TI
gestão da empresa
gestão das TI
linhas de orientação e
alinhamento estratégico
actividades da
empresa
actividades das TI
precisam de
informação das
JMPedro, CISA
Controlo da empresa
ObjectivosActividades da
empresarecursoscontrolo
dirige
relatam usam
JMPedro, CISA
Recursos TIC
Informação
A lógica COBIT
Monitorização
Disponibilização e
Suporte
Aquisição e
Implementação
Planeamento e
Organização
Negócio
JMPedro, CISA
Princípios – Processos IT
JMPedro, CISA
Árvore dos Domínios COBIT
Agrupamento natural de processos, em
geral de acordo com um domínio de
responsabilidade da organização.
Processo um conjunto de actividades ou
tarefas com um agrupamento natural
Acções necessárias para se atingir um
resultado mensurável. As atividades têm um
ciclo de vida, as tarefas são pontuais.
Domínios (4)
Processos (34)
Actividades (316)
Tarefas
JMPedro, CISA
Os 4 Domínios no COBIT
Planeamento e Organização: Estratégia; Identificação do modo como a função IT vai contribuir para os objectivos do negocio
Aquisição e Implementação: A realização da estratégia. Identificação das soluções IT adequadas, aquisição ou desenvolvimento e integração nos processos de negócio.
Disponibilização e Suporte: Preocupa-se com a continuidade das operações, a sua segurança e o treino das equipas de TIC
Monitorização: Todos os processos IT necessitam de avaliação regular da sua qualidade e conformidade com os requisitos de controlo e de negócio
JMPedro, CISA
Os 7 Critérios da Informação
Eficácia: Relevante, pertinente, entregue a tempo, correcta, utilizável e
consistente
Eficiência: Recursos aproveitados de modo óptimo para a sua produção
Confidencialidade: Protegida de acessos não-autorizados
Integridade: Completa e correcta
Disponibilidade: Disponível quando necessário. Recursos que
garantam a continuidade da disponibilidade
Conformidade: Respeita as exigências legais, ou contratuais do negócio
Fiabilidade: Necessária à gestão para satisfazer as suas obrigações
legais ou contratuais de reporting e de tomada de decisão
JMPedro, CISA
Os 5 Recursos TI no COBIT
Dados - Sentido amplo (estruturados, não-estruturados, vídeo, som, gráficos, …)
Aplicações - Procedimentos manuais e automáticos
Tecnologia - Hardware, Comunicações, Sistemas Operativos, Rede, SGBD ...
Instalações - Recursos necessários para alojar e suportar os SI, edifícios, ar condicionado, energia, …
Pessoas - Competências necessárias para motivar, planear, organizar, adquirir, entregar, suportar e monitorar os SI e serviços associados
JMPedro, CISA
Família actual de produtos
COBIT
JMPedro, CISA
Benchmark COBIT®
Referencial de métricas com
Maturidade dos processos
(CMM)
www.isaca.org
JMPedro, CISA
Benchmark COBIT
PO1 - Define a Strategic IT Plan
Your geography: Europe, Middle East
and Africa
Your industry: Public Sector
Your size: >$50M turnover or < 150 staff
JMPedro, CISA
Benchmark COBIT
PO1 - Define a Strategic IT Plan
Your geography: Europe,
Middle East and Africa
Your industry: Public
Sector
Your size: >$50M turnover
or < 150 staff
JMPedro, CISA
Conclusões
• A auditoria de sistemas de informação precisa muito de
standards e de referenciais para basear as opiniões emitidas
pelos auditores e retirar a subjectividade;
• O ITIL é um instrumento cada vez mais útil na auditoria por
várias razões:
• O outsourcing de sistemas de informação tende a aumentar e tem de ser
controlado;
• A orientação das organizações para o cliente obriga a estruturar a produção
em processos;
• A desmaterialização dos relacionamentos organizacionais exige clareza e
métricas adequadas nos níveis de serviço.
OBRIGADO PELA ATENÇÃO
JMPedro, CISA
Bibliografia
www.isaca.org – Information Systems Audit
itSMF International – The IT Service Management Forum; Foundations of IT
Service Management; VHP; 2006; ISBN-13 978-90-77212-69-1
itSMF International – The IT Service Management Forum; METRICS for IT
Service Management; VHP; 2006; ISBN-13 978-90-77212-69-1
JMPedro, CISA