Curso Auditoria em Segurança da Informação.pdf

8/18/2019 Curso Auditoria em Segurança da Informação.pdf

1/92

Curso de Auditoria em

Segurança daInformação

Professor André L. N. CamposCerificado Auditor Líder BS7799


2/92

P r o

f e s s o r

A n

d r é

C a m p o s

Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”

Fundamentos em auditoria

Uma visão mais ampla sobre segurança da informação poderáser obtida no livro Sis tem a d e Seg urança d a In fo rm ação –Controlando os r iscos , de André Campos, Editora VisualBooks.


3/92

P r o

f e s s o r

A n

d r é C a m p o s



Este material foi produzido como apoio didático para disciplinas degraduação e pós-graduação relacionadas com Tecnologia da Informação.

O uso é permitido a todo e qualquer docente ou discente das referidasdisciplinas, ou correlatas, desde que sejam respeitados os direitos autorais,ou seja, que os créditos sejam mantidos.

Este material não pode ser vendido. Seu uso é permitido sem qualquercusto.

Diversas figuras foram obtidas a partir do acesso em sites de imagens.Estas imagens foram utilizadas em seu estado original, com 72DPI.

Algumas imagens foram obtidas da obra "Sistema de Segurança daInformação Controlando Riscos".

Todas as imagens são utilizadas para fins exclusivamente acadêmicos e nãovisam a obtenção de lucro.

Informações específicas sobre segurança da informação podem ser obtidasna obra Sistemas de segurança da informação Controlando Riscos;Campos, André; Editora Visual Books, 2007 .


4/92

P r o

f e s s o r

A n

d r é C a m p o s


A auditoria

O objetivo de uma auditoria é garantir aefetividade dos processos e ativos de umadeterminada organização.

A auditoria poderá dedicar-se a comprovar aeficácia , a comprovar a eficiência , ou acomprovar a efetividade .


5/92

P r o

f e s s o r

A n

d r é C a m p o s


A auditoria

Consiste basicamente da comparação doestado dos processos e dos ativos contra umcritério de auditoria .

Desta comparação, são possíveis osseguintes resultados:

• Conforme• Não conforme (Oportunidade de Melhoria)

Em ambos os casos, é possível haverobservações.


6/92

P r o

f e s s o r

A n

d r é C a m p o s


A auditoria

As conformidades e não conformidades sãoaplicadas com base nas evidências deauditoria , ou seja, em registros, apresentaçãode fatos ou outras informações que

corroborem as evidências. A auditoria não pode ser baseada em opiniõesou avaliações pessoais dos indivíduosenvolvidos na auditoria.


7/92

P r o

f e s s o r

A n

d r é C a m p o s


A auditoria

Os personagens de uma auditoria são oauditado , que é a organização que recebe aauditoria, os auditores , que são os querealizam a auditoria, os especialistas, que sãoas pessoas que fornecem conhecimento ouexperiência específicos para a equipe deauditoria, e o cliente de auditoria , que nemsempre é o auditado; muito comum em casode qualificação de fornecedores.


8/92

P r o

f e s s o r

A n

d r é C a m p o s


A auditoria

Para a realização de uma auditoria, éimportante haver um programa de auditoriaque preveja a realização de diversasauditorias, integradas ou não a outrossistemas auditores, e para cada auditoria umplano de auditoria . A equipe de auditoresprecisa ter a competência adequada para aauditoria.


9/92

P r o

f e s s o r

A n

d r é C a m p o s


A auditoria

Existem basicamente 3 tipos de auditoria;

Auditoria deprimeira parte é a auditoriainterna, que objetiva garantir a implementaçãocorreta de controles.

Auditoria desegunda parte é a auditoriacontratada para verificar se a auditoria internafoi realizada adequadamente.

Auditoria de terceira parte é a auditoriacontrata para aferir certificação com base emdeterminado critério de auditoria.


10/92

P r o

f e s s o r

A n

d r é C a m p o s


A auditoria

Uma auditoria deve basear-se em algunselementos essenciais, que proporcionarãoconfiabilidade a todo o processo.

É importante que a auditoria seja pautada pelaética, pela justiça, pelo zêlo profissional, pelaimparcialidade, e por uma abordagembaseada em evidências.


11/92

P r o

f e s s o r

A n

d r é C a m p o s


A auditoria

A conduta ética do profissional de auditoriafará com que ele seja uma pessoa confiável,íntegra, discreta e que mantém aconfidencialidade das informações as quaistem acesso.


12/92

P r o

f e s s o r

A n d r

é C a m p o s


A auditoria

A apresentação justa refere-se a obrigaçãode informar verazmente e precisamente arespeito das constatações de auditoria, dosrelatórios e das conclusões. Mesmo asdivergências entre a equipe de auditoria e oauditado que não forem resolvidas, devem serclaramente relatadas.


13/92

P r o

f e s s o r

A n d r

é C a m p o s


A auditoria

O cuidado profissional refere-se ao trabalhozeloso e a aplicação do julgamento correto naatividade de auditoria, considerando arelevância e a responsabilidade que umauditor tem.


14/92

P r o

f e s s o r

A n d r

é C a m p o s


A auditoria

A independência refere-se ao trabalhoimparcial que deve ser realizado pela equipede auditoria. Para tanto, os auditores nãopodem ser subordinados ou dependentes doauditado direto.

Os auditores precisam manter a mente abertae estarem livres da tendência de conflito deinteresses.


15/92

P r o

f e s s o r

A n d r

é C a m p o s


A auditoria

A abordagem baseada em evidênciasrefere-se ao método científico para gerar asconclusões de auditoria, de modo que estassejam confiáveis e reproduzíveis.

A utilização de amostragem é aceitável parareduzir o tempo de auditoria, mas devegarantir a confiabilidade necessária aosresultados obtidos.


16/92

P r o

f e s s o r

A n d r

é C a m p o s


Critérios de auditoria

Existem diversos critérios de auditoria,dependendo do tipo da auditoria e dosresultados esperados.

Um critério de auditoria é um conjunto depolíticas, procedimentos ou requisitos.

Vejamos alguns destes critérios e seusprincipais objetivos.


17/92

P r o

f e s s o r

A n d r

é C a m p o s



Existem diversos critérios de auditoria,dependendo do tipo da auditoria e dosresultados esperados.

Um critério de auditoria é um conjunto depolíticas, procedimentos ou requisitos.

Vejamos alguns destes critérios e seusprincipais objetivos.


18/92

P r o

f e s s o r

A n d r

é C a m p o s



A ISO 27.001 é um critério específico paraauditorias de segurança da informação.

O objetivo deste critério é garantir que ainformação na organização esteja preservadaquanto a sua confidencialidade,disponibilidade e integridade.

Ela aborda temas tais como Política de

Segurança, Classificação da Informação,Segurança Física, Segurança de AcessoLógico, Segurança em Sistemas, entre outros.


19/92

P r o

f e s s o r

A n d r

é C a m p o s



A Sarbanes-Oxley (SARBOX / SOX) é umcritério específico para auditorias desegurança relacionadas com as atividadesfinanceiras da organização.

Trata-se de uma lei americana criada por PaulSarbanes e Michael Oxley com o objetivo degarantir transparência das operaçõesfinanceiras altamente baseadas em sistemas

de informação. Ela estabelece regras desegurança e auditoria, que inclui a criação decomitês e comissões de supervisão.


20/92

P r o

f e s s o r

A n d r

é C a m p o s



Seção Seção 302 Seção 404 Seção 409

Requisitos A seção CorporateResponsibility for FinancialReports determina queCEOs e CFOs devemassinar documentostrimestralmente eanualmente certificandoque seus relatórios

financeiros estão corretose precisos.

A seção managementassessment of internalcontrols determina que aorganização documente, testee relatorie sua estrutruainterna de controles;Auditories externos devematestar a qualidade destes

controles.

A seção real-time issuerdisclosures determina que aorganização elabore umrelatório claro sobrematerial changes to thefinancial condition oroperations em no máximo48 horas.

Aspectosprincipais

Garante que os executivostenham avaliado aefetivadade dos controlesinternos 90 dias antes dorelatório atual.

Garante a existência decontroles internos para ossistemas finaceiros existentese outros grandes sistemascorporativos.

Garante que omonitoramento financeiroestá altamenteautomatizado e suportadopor um grande número dediferentes sistemas.

Principaispreocupaçoesdos executivos

Quem na organização éresponsável por garantir aintegridade e adisponibilidade dossistemas financeiros?

Entre os controles internos,estão inclusos o Plano deContinuidade de Negócio e asrespectivas considerações derecuperação de desastres?

Quanto será a materialchanges monitorada quandoos sistemas demonitoramento estiveremfor a do ar para manutençãoou upgrade?

Sarbanes-Oxley (SARBOX / SOX)


21/92

P r o

f e s s o r

A n d r é

C a m p o s



A metodologia ITIL é um critério específicoit SMF, ou simplesmente, Gerenciamento deserviços de TI. Contém os seguintes livros:

Service Delivery, Service Support, The BusinessPerspective - the IS View of Delivering Services to theBusiness, Planning to Implement IT ServiceManagement, Software Asset Management, SecurityManagement, ITIL Small-scale Implementation, Applications Management, ICT InfrastructureManagement, Gerenciamento de Serviços de TI naPrática - Uma abordagem com base na ITIL


22/92

P r o

f e s s o r

A n d r é

C a m p o s



A metodologiaCOBIT é um critério específicopara gestão de TI.

Grande foco no alinhamento estratégico, noplanejamento e acompanhamento dos planose retorno sobre os investimentos emTecnologia da Informação.


23/92

P r o

f e s s o r

A n d r é

C a m p o s



A norma ISO 12.207 é um critério específicosobre o ciclo de vida do software.

A norma se preocupa com a aquisição oudesenvolvimento do software, seu suportedurante o período de uso, e os processos degestão e melhoria contínua.

Há ainda foco na questão dos treinamentos e

infra necessários para utilização adequada dosoftware.


24/92

P r o

f e s s o r

A n d r é

C a m p o s



A norma ISO 9.126 é um critério específicosobre a qualidade do software.

A norma se preocupa com aspectos tais comofuncionalidade adequada, confiabilidade,usabilidade, eficiência, manutenibilidade, eportabilidade.

A ISO 14.598 é uma norma de apoio a

avaliação da qualidade de software.


25/92

P r o

f e s s o r

A n d r é

C a m p o s



O modelo CMMI é um critério específico paraa melhoria contínua do processo dedesenvolvimento de software.

Trata-se de um modelo de maturidade, ouseja, que permite a organização evoluir aopasso que implementa os procedimentospropostos.


26/92

P r o

f e s s o r

A n d r é

C a m p o s



Naturalmente existem outras normas emetodologias que podem ser adotadas comocritério de uma auditoria. As normas emetodologias apresentadas neste documentosão meramente ilustrativos.


27/92

P r o

f e s s o r

A n d r é

C a m p o s


Competência dos auditores

Boa parte da estabilidade e dos resultadosobtidos pela atividade de auditoria dependemda competência do auditor.

Esta competência é uma composição entre osatributos pessoais , os conhecimentos ehabilidades , e a educação e experiênciaprofissional .

O auditor precisa ter competência emauditoria, e competência específica para o tipode auditoria que pretende conduzir.


28/92

P r o

f e s s o r

A n d r é

C a m p o s



Os atributos pessoais estão muitorelacionados com os princípios essenciais deuma auditoria, que já foi visto.

Portanto, o auditor precisa ser ético, ter amente aberto, ser diplomático, observador,perceptivo, versátil, persistente, racional, eauto confiante.

Estes atributos não são todos facilmenteencontrados em uma só pessoa, mas podemser desenvolvidos.


29/92

P r o

f e s s o r

A n d r é

C a m p o s



Quanto aos conhecimentos e habilidades ,isto tem a ver com uma grande diversidade deaspectos.

É importante possuir conhecimentos gerais,tais como técnicas de auditoria, sistema degestão, conhecimento de negócio, leis eregulamentos.

Competência para liderar equipes de auditoriaé necessário.

Conhecer o critério de auditoria específico éfundamental.


30/92

P r o

f e s s o r

A n d r é

C a m p o s



A educação e experiência profissional , serelacionam com a competência para cadaautor da auditoria.

O auditor precisa ter treinamento em auditoriae conhecer bem o critério de auditoria.

O auditor líder precisa ter uma competênciasuperior a dos demais auditores, emconhecimento e em experiência.


31/92

P r o

f e s s o r

A n d r é

C a m p o s



Parâmetro Auditor Auditor Líder

Educação Mínimo: nívelmédio.

Idem.

Experiência

total

5 anos para NM

e 1 ano paraNS.

Idem.

Experiênciaespecífica

Mínimo de 2anos.

Idem.

Treinamento

em auditoria

40h. Idem.

Experiênciaem auditoria

4 auditorias,mínimo 20dias.

3 auditorias,mínimo 15dias, comolíder.


32/92

P r o

f e s s o r

A n d r é

C a m p o s



A competência do auditor precisa ser sempremelhorada , e que mesmo as competênciasexistentes sejam mantidas através daparticipação regular em auditorias.

Os auditores pode se certificar pelo RAC (Registro deAuditores Certificados). Visite o sitehttp://www.cic.org.br .

Níveis de certificação:• Auditor• Auditor Aspirante• Auditor Interno• Auditor Líder

http://www.cic.org.br/http://www.cic.org.br/http://www.cic.org.br/


33/92

P r o

f e s s o r

A n d r é

C a m p o s


Programa de auditoria

Um programa de auditoria pode envolveruma ou mais auditorias, e estas auditoriaspode ser combinadas ou em conjunto.

Quando diferentes sistemas de gestão(qualidade, segurança da informação,ambiente) são auditados juntos, isto échamado de auditoria combinada .

Quando duas ou mais organizações deauditoria cooperam para auditar um únicoauditado, isto é chamado de auditoriaconjunta .


34/92

P r o

f e s s o r

A n d r é

C a m p o s



A ações fundamentais que contribuem para oêxito das estratégias de negócio daorganização devem ser fortemente apoiadas epatrocinadas pela Alta Direção .

Não é diferente no caso do programa deauditoria em Tecnologia da Informação,Segurança da Informação, Governança em TI,Gestão de Serviços em TI, ou qualquer outraconsiderada estratégica.


35/92

P r o

f e s s o r

A n d r é

C a m p o s



De fato, os programas de auditoria precisamser geridos, e para tal, a organização deveestabelecer um processo contínuo para estefim.

Como todos os processos de qualidade, o deauditoria também precisa garantir a melhoriacontínua, e para tanto, um ciclo P-D-C-A ,demonstrado no próximo slide.


36/92

P r o

f e s s o r

A n d r é

C a m p o s



Existe uma norma específica que estabeleceuma proposta de P-D-C-A para o programa deauditoria.

Esta mesma norma propõe uma metodologiapara as atividades de auditoria, e para ascompetências dos auditores.

Esta norma é a NBR ISO 19.011 – Diretrizespara auditorias.


37/92

P r o

f e s s o r

A n d r é

C a m p o s



C H E C K

D O

P L A N

A C T

Estabelecendo o programa- Objetivos e abrangência- Responsabilidades- Recursos- Procedimentos

Implementando o programa- Programando auditorias- Avaliando auditores- Selecionando equipes- Dirigindo auditorias- Mantendo registros

Melhorando o programa deauditoria

Monitorando e analisando- Monitoração e análise crítica

- Necessidade de ações corretivas- Necessidade de ações

preventivas- Oportunidades de melhoria


38/92

P r o

f e s s o r

A n d r é

C a m p o s


Estabelecendo o programa

Um primeiro passo é definir o objetivo doprograma de auditoria , que pode estarrelacionado com questões estratégicas,aspectos comerciais, requisitos do próprioSGSI, dos clientes, ou das leis eregulamentos, entre outros.

Por exemplo, “Satisfazer requisitos da normaX”, “Conformidade com contratos”, e “Oberconfiança do cliente” seriam objetivosválidos.


39/92

P r o

f e s s o r

A n d r é

C a m p o s



Em seguida deve-se definir aabrangência deste programa, que seráinfluenciado pelo tamanho e complexidadeda organização, frequência das auditorias,requisitos normativos, preocupações daspartes interessadas, mudançassignificativas na organização, entre outros.


40/92

P r o

f e s s o r

A n d r é

C a m p o s



O próximo passo é definir asresponsabilidades do programa deauditoria.

O programa de auditoria deve sergerenciado por um ou mais colaboradoresque compreendam os princípios deauditoria, que possam avaliar os auditores,e que tenham compreensão técnica ecapacidade gerencial, especialmente dagestão de projetos.


41/92

P r o

f e s s o r

A n d r é

C a m p o s



Os recursos necessários para o programade auditoria precisam ser reservados.

É importante lembrar que os recursos sereferem não apenas aos aspectosfinanceiros, mas também aos recursostécnicos, ao processo de obtençãomanutenção das competências dosauditores, recursos humanos(disponibilidade), tempo e dinheiro paraviagens, hospedagens e coisas do gênero.


42/92

P r o

f e s s o r

A n d r é

C a m p o s



Os procedimentos de auditoria deve serdefinidos, e podem fazer parte da Política deSegurança da Informação (PSI).

Devem abranger o planejamento dasauditorias, a manutenção das competências,a seleção das equipes, a realização dasauditorias, as ações de acompanhamento, oregistro, a monitoramento do programa, e oprocesso de comunicação com a Alta Direçãoa respeito dos resultados.


43/92

P r o

f e s s o r

A n d r é

C a m p o s


Implementando o programa

Implementar o programa é, de fato,fazer acontecer tudo o que foi planejado.

Isto envolve comunicar as partesinteressadas, coordenar as auditorias ,avaliar continuamente a competênciados auditores, selecionar e monitorar asequipes , garantir os recursos ,gerenciar o cronograma de auditoria,analisar os riscos , e manter aqualidade do programa.


44/92

P r o

f e s s o r

A n d r é

C a m p o s



Em qualquer processo de auditoria, osregistros são de fundamentalimportância. São a evidência de que oprograma existe.

Sendo assim, são três as principaiscategorias de registro:

1 – Relativos a auditoria;

2 – Relativos a análise crítica doprograma;

3 – Relativos ao pessoal de auditoria.


45/92

P r o

f e s s o r

A n d

r é C a m p o s



Os registros relativos as auditoriasincluem:

1 - Planos de auditoria;

2 - Relatórios de auditoria;3 - Relatórios de não conformidade;4 - Relatórios de ação corretiva;

5 - Relatórios de acompanhamento.


46/92

P r o

f e s s o r

A n d

r é C a m p o s



Os registros relativos as análise críticaincluem:

1 – Atas de reunião;

2 – Registro de informações consideradas;

3 – Relatório de propostas.


47/92

P r o

f e s s o r

A n d

r é C a m p o s



Os registros relativos a equipe deauditoria incluem:

1 – Competência do auditor;

2 – Avaliação de desempenho;3 – Seleção das equipes;4 – Experiência adquirida;

5 – Treinamentos realizados.


48/92

P r o

f e s s o r

A n d r é

C a m p o s


Monitorando o programa

A própria implementação do programaprecisa ser monitorada . Pode parecerestranho, já que o programa criado paraauditar precisa também ser auditado.

As informações obtidas nestemonitoramente devem ser estruturadasde maneira didática e repassadas para aAlta Direção.


49/92

P r o

f e s s o r

A n d r é

C a m p o s



Mas como monitorar a implantação deum programa de auditoria?

O acompanhamento do cronograma deimplantação é uma bom começo. Osresultados obtidos em termos dedocumentos gerados, procedimentosescritos, e implementados, devem serconsiderados.


50/92

P r o

f e s s o r

A n d r é

C a m p o s



No entanto, um método efetivo é criarindicadores de desempenho quepossam monitorar características taiscomo:

A habilidade da equipe de auditoria emimplementar o plano de auditoria;

A conformidade com o programa de

auditoria e as programações;A realimentação dos clientes de auditoria,auditados e auditores.


51/92

P r o

f e s s o r

A n d r é

C a m p o s


Melhorando o programa

O objetivo da análise crítica doprograma de auditoria é considerartodas as informações possíveis arespeito do programa, de modo que sejapossível avaliar a situação atual, definiruma situação futura desejada, e propormelhorias que garantam opreenchimento da lacuna entre asituação atual e a desejada.


52/92

P r o

f e s s o r

A n d r é

C a m p o s


Melhorando o programa

A análise crítica deve considerar, porexemplo:1 - resultados e tendências apresentadaspelo monitoramento;2 - A conformidade com osprocedimentos;3 - A evolução de necessidades eexpectativas das partes interessadas;4 - Os registros do programa de auditoria(já mencionados);5 - A consistência no desempenho entreequipes de auditoria.


53/92

P r o

f e s s o r

A n d r é

C a m p o s



Uma visão mais ampla sobre segurança da informação poderáser obtida no livro Sis tem a d e Seg urança d a In fo rm ação –Controlando os r iscos , de André Campos, Editora VisualBooks.


54/92

P r o

f e s s o r

A n d r é

C a m p o s


PROJETOS DE AUDITORIA DE TI

Elaborado pelo professor André Campos

Uma visão mais ampla sobre segurança da informação poderáser obtida no livro Sis tem a d e Seg uran ça d a In fo rm ação –Controlando os r iscos , de André Campos, Editora Visual

Books.


55/92

P r o

f e s s o r

A n d r é

C a m p o s


PROJETOS DE AUDITORIA DE TI

Este material foi produzido como apoio didático para disciplinas degraduação e pós-graduação relacionadas com Tecnologia da Informação.

O uso é permitido a todo e qualquer docente ou discente das referidasdisciplinas, ou correlatas, desde que sejam respeitados os direitos autorais,ou seja, que os créditos sejam mantidos.

Este material não pode ser vendido. Seu uso é permitido sem qualquercusto.

Diversas figuras foram obtidas a partir do acesso em sites de imagens.Estas imagens foram utilizadas em seu estado original, com 72DPI.

Algumas imagens foram obtidas da obra "Sistema de Segurança daInformação Controlando Riscos".

Todas as imagens são utilizadas para fins exclusivamente acadêmicos e nãovisam a obtenção de lucro.

Informações específicas sobre segurança da informação podem ser obtidasna obra Sistemas de segurança da informação Controlando Riscos;Campos, André; Editora Visual Books, 2007 .


56/92

P r o

f e s s o r

A n d r é

C a m p o s


Iniciando a auditoria

A auditoria é conduzida por um líder, ouauditor líder , que é designado pelo gerenteresponsável pelo programa de auditoria.

Quando acontecem auditorias conjuntas é

importante que as organizações envolvidas naauditoria cheguem a um consenso quanto aque será o auditor líder e qual será suaautoridade sobre a equipe de auditoria, queneste caso será mista.

Não podem haver dois auditores líderes para amesma auditoria.


57/92

P r o

f e s s o r

A n d r é

C a m p o s



Cada auditoria deve possuir uma definição dosobjetivos , escopo e critério de auditoria,documentados. Os objetivos podem ser:

1 – Avaliação de conformidade (compliance );

2 – Avaliação da capacidade do Sistema deGestão;

3 – Avaliação da eficácia do Sistema de

Gestão;4 – Identificação de áreas do Sistema deGestão para potencial melhoria.


58/92

P r o

f e s s o r

A n d r é

C a m p o s



O escopo da auditoria determina aabrangência e os limites da auditoria,envolvendo inclusive os limites físicos, daestrutura hierárquica formal ou informal, dosprocessos, e do período de auditoria.

O critério de auditoria é a referência contra aqual a conformidade será determinada,podendo ser políticas, normas, procedimentos,leis, regulamentos, requisitos do Sistema deGestão, requisitos contratuais, entre outros.

d d


59/92

P r o

f e s s o r

A n d r é

C a m p o s



Os objetivos da auditoria são definidos pelocliente, e o escopo e critério de auditoria sãoacordados entre o cliente e o auditor líder.

Qualquer eventual mudança de objetivos,

escopo ou critério após o início da auditoria,deve ser devidamente documentado eassinado pelo cliente e pelo auditor líder.

Nos casos de auditorias combinadas éespecialmente importante que o auditor lídergaranta que os objetivos, escopo e critériosejam adequados para a auditoria emquestão.

I i i d di i


60/92

P r o

f e s s o r

A n d r é

C a m p o s



É importante, antes de executar um projeto deauditoria, determinar a viabilidade desteprojeto.

Existem informações suficientes para suportar

a auditoria? O auditado está disposto acooperar ou é resistente ao processo? Otempo e os recursos planejados são realmentesuficientes?

Não vale a pena começar um projeto que nãopoderá ser concluído. O cliente, o auditado e oauditor líder devem garantir a viabilidade.

I i i d di i


61/92

P r o

f e s s o r

A n d r é

C a m p o s



Após o estudo de viabilidade, o próximo passoé definir a equipe de auditores. É importanteque a equipe, coletivamente, possua osconhecimentos e as habilidades necessáriaspara conduzir a auditoria em questão. Devem

ser considerados aspectos tais como: a)objetivos, escopo e critério da auditoria; b) sea auditoria é simples, combinada ou conjunta;c) requisitos legais, regulamentares,certificações, etc; d) a garantia deindependência e imparcialidade; e) bomrelacionamento inter-pessoal do grupo); f) oidioma da auditoria, se for o caso.

I i i d dit i


62/92

P r o

f e s s o r

A n d r é

C a m p o s



Se a equipe de auditores não for suficientepara garantir o conjunto de conhecimentos ehabilidades necessárias, será necessárioconvidar (contratar)especialistas queatendam a esta demanda.

Membros da equipe poderão ser substituídosa pedido do cliente ou do auditado, caso hajaconflito de interesses ou relato de condutainapropriada de um dos auditores ouespecialistas.

I i i d dit i


63/92

P r o

f e s s o r

A n d r é

C a m p o s



No início da auditoria, é adequado que ocontato inicial com o cliente sejaestabelecido de maneira formal (apesar de nãoser obrigatório), onde são definidos:

a) Canais de comunicação;b) Confirmar a autoridade;c) Detalhamento do projeto de auditoria;d) Solicitação de acessos a informação;

e) Definição das regras de segurança física elógica pertinentes;f) Explicitar se haverão observadores e e guias.

Análise crítica de documentos


64/92

P r o

f e s s o r

A n d r é

C a m p o s



Na fase de execução da auditoria, antes dasatividades no local, é importante fazer umaanálise crítica dos documentos , que podemincluir documentos e registros específicos doSistema de Gestão e relatórios de auditorias

anteriores.No caso da ISO 27.001 é importante avaliar odocumento de definição de escopo e adeclaração de aplicabilidade, além do registrode incidentes de segurança da informação.



65/92

P r o

f e s s o r

A n d r é

C a m p o s



Caso a documentação não se encontre nascondições mínimas necessárias para o inícioda auditoria, é provável que a auditoria sejainterrompida até que a documentação sejaprovidenciada.

Esta decisão deve ser tomada entre o auditorlíder e o cliente da auditoria.

Preparando atividades no local


66/92

P r o

f e s s o r

A n d r é

C a m p o s



O auditor líder deve apresentar para o clientee para o auditado um plano de auditoria , quesirva de base central para a comunicaçãoentre todos os participantes e interessados noprojeto.

Este plano deve ser detalhado e dar uma idéiaclara do escopo, do tempo, dos recursos e dosresultados esperados par ao projeto. Umaprática adequada é construir um cronogramado projeto que inclua todas estas informações.

Uma ferramenta muito utilizada é o MSProject.



67/92

P r o

f e s s o r

A n d r é

C a m p o s



O plano de auditoria deve conter pelo menosas seguintes informações:

1 – Os objetivos da auditoria;

2 – O critério de auditoria selecionado;

3 – O escopo da auditoria;

4 – As datas e locais onde ocorrerão asatividades de auditoria;

5 –

O tempo estimado das atividades;6 – As funções e responsabilidades dosenvolvidos;



68/92

P r o

f e s s o r

A n d r é

C a m p o s



Continuação...

7 – A alocação de recursos;8 – A identificação dos stakeholders (partesinteressadas);9 – O idioma vigente para auditoria, se fordiferente do idioma nativo;10 – As principais entregas, a seremapresentadas no relatório de auditoria;11 – Questões de logística (viajens, etc);12 – Termos de sigilo e confidencilidade;13 – Termos sobre ações deacompanhamento.



69/92

P r o

f e s s o r

A n d r é

C a m p o s



É essencial que o plano de auditoria sejaavaliado pelos principais envolvidos, ou seja,a equipe de auditoria, o cliente e o auditado.

O cliente deverá expressar formalmente suaaprovação para o plano de auditoria, atravésde um documento assinado por ele.

Eventuais alterações no plano de auditoria

deverão ser aprovadas novamente, tambémde maneira formal.



70/92

P r o

f e s s o r

A n d r é

C a m p o s



O auditor líder, conhecendo melhor o auditado,tendo analisado os documentos daorganização ou área, tendo avaliado aviabilidade da auditoria, e tendo elaborado oplano de auditoria, agora tem totais condições

de dividir o trabalho da auditoria para suaequipe.

Ele considerará a competência de cadaauditor frente à demanda de cada tarefa, alémde observar a questão da independência dosauditores.


71/92

Conduzindo projeto de auditoria


72/92

P r o

f e s s o r

A n

d r é

C a m p o s



A reunião de abertura é importante, e deveser conduzida com a alta direção daorganização auditado e envolver as liderançasdas áreas, funções e processos a seremauditados. Esta reunião tem os seguintes

objetivos:1 – Confirmar o plano de auditoria;

2 – Fornecer informações sobre como seráconduzida a auditoria;

3 – Confirmar os canais de comunicação;

4 – Abrir espaço para perguntas.



73/92

P r o

f e s s o r

A n

d r é

C a m p o s


A comunicação durante a auditoria é um fatorchave de sucesso, e deve ser feitaadequadamente. É impressionante o fato deque todos os envolvidos em projetos, dequalquer espécie, estão cientes da

importância da comunicação. No entanto, umgrande número de problemas ocorrem duranteo projeto exatamente em decorrência defalhas ligadas a comunicação.

p j



74/92

P r o

f e s s o r A n

d r é

C a m p o s


Um plano formal de comunicação precisa serelaborado. Os stakeholders são identificados ecomunicados do andamento da auditoria, tantono que se refere aos resultados positivosquanto aos resultados negativos.

Problemas que estejam inviabilizando ouprejudicando a auditoria precisam ser levadasao cliente imediatamente, para que as devidasprovidências sejam tomadas. Caso contrário, o

inteiro projeto de auditoria poderá fracassar.

p j


75/92



76/92

P r o

f e s s o r A n

d r é

C a m p o s


É comum que as auditorias contem comobservadores e guias . Estes indivíduos nãodevem interferir de maneira alguma naauditoria.

O guia pode ser designado pelo auditado paracumprir as seguintes responsabilidades:1 – Estabelecer contados e programar visitas;2 – Organizar as visitas;

3 – Garantir o respeito às normas e regras;4 – Testemunhar a auditoria;5 – Ajudar na coleta de informações.

p j



77/92

P r o

f e s s o r A n

d r é

C a m p o s


De acordo com os objetivos,escopo e critério da auditoria,serão coletadas informaçõespor amostragem.

Isto inclui informações sobrefunções, processos eatividades. Apenasinformações verificáveis sãoválidas.

Informaçõesdisponíveis

Coletar poramostragem

Evidênciasda auditoria

Avaliar contracritério

Constataçõesda auditoria

Analisarcriticamente

Conclusõesda auditoria



78/92

P r o

f e s s o r A n

d r é

C a m p o s


Os métodos mais utilizados paraa coleta de informações são:

1 – Entrevistas;

2 – Observação das atividades;

3 – Análise de documentos.










79/92

P r o

f e s s o r A n

d r é

C a m p o s


As evidências da auditoria serãoavaliadas contra o critério deauditoria.

Esta avaliação demonstrará

conformidade ou nãoconformidade com o critério.

As não conformidades serãooportunidades de melhoria .










80/92

P r o

f e s s o r A n

d r é

C a m p o s


A identificação dasconformidades, nãoconformidades, e oportunidadesde melhoria são chamadas deconstatações da auditoria .

A equipe de auditoria, durante oprojeto, deverá se reunir paraavaliar as constatações deauditoria.










81/92

P r o

f e s s o r A n

d r é

C a m p o s


Se for objeto da auditoria, todasa conformidades individuaisserão registradas, e com elas, oregistro da evidência(verificável) que a suporta.

Deve estar claro em que local,ativo, função, ou processo aconformidade foi encontrada.










82/92

P r o

f e s s o r A n

d r é

C a m p o s


Do mesmo modo, eprincipalmente, as nãoconformidades devem serregistradas. Estas nãoconformidades podem ser

graduadas , se for o caso.O auditado deve estar ciente econcordar com a constataçãoda auditoria.










83/92

P r o

f e s s o r A n

d r é

C a m p o s


Caso haja qualquer divergênciaentre o auditado e a equipe deauditoria, deve ser feito todo oesforço possível para se chegara um consenso .

Não sendo possível, um registrodetalhado da divergência deveráfazer parte dos registros daauditoria.










84/92

P r o

f e s s o r A n

d r é

C a m p o s


Após toda a atividade de coletade informações e avaliação dasevidências, é a hora de analisartodo este material e gerar asconclusões da auditoria .

Geralmente, isto é feito em umalonga reunião com todos osmembros da equipe de auditoria.










85/92

P r o

f e s s o r A n

d r é

C a m p o s


O objetivo da reunião é:

1 – Analisar todas asconstatações da auditoria, equalquer informação adicional;2 – Acordar sobre as conclusões

da auditoria;3 – Preparar recomendações (sefor o caso);4 – Discutir eventuais ações deacompanhamento.










86/92

P r o

f e s s o r A n

d r é

C a m p o s


Ao final da auditoria o auditor líder conduziráuma reunião de encerramento , ondeparticiparão a equipe de auditoria, o auditado,o cliente, e eventualmente outrosstakeholders .

O objetivo é deixar claro todas asconstatações da auditoria e eventualmentedefinir prazos para que o auditado alcance aconformidade.

Estes prazos não devem ser definidos sem apresença e concordância do auditado.



87/92

P r o

f e s s o r A n

d r é

C a m p o s


Este é o momento para que as divergênciasentre a equipe de auditoria e o auditado sejamtrazidas à tona, e que haja um esforçoconjunto no sentido de resolver estasdivergências.

Se constar dos objetivos da auditoria, asrecomendações de melhoria poderão serapresentadas também neste momento, bemcomo a proposta de ações de

acompanhamento .

O relatório de auditoria


88/92

P r o

f e s s o r A n

d r é

C a m p o s


Ao final da auditoria o auditor líderprovidenciará a elaboração do relatório deauditoria .

Não há um modelo oficial para este tipo de

relatório, mas é importante que ele garanta umregistro completo , preciso , conciso e claroda auditoria.

No entanto, é importante que pelo menos

alguns elementos fundamentais componhameste relatório.



89/92

P r o

f e s s o r A n

d r é

C a m p o s


Entre estes elementos podemos citar:1 – Os objetivos da auditoria;2 – O escopo da auditoria;3 – A identificação do cliente;

4 – A identificação do auditor líder;5 – As datas e locais onde as atividades foramrealizadas;6 – O critério de auditoria;7 – As constatações da auditoria;8 – As conclusões da auditoria.



90/92

P r o

f e s s o r A n

d r é

C a m p o s


Outras informações opcionais:1 – O plano de auditoria;2 – Lista de representantes do auditado;3 – Resumo do processo de auditoria;

4 –

Retorno sobre o atendimento dos objetivos;5 – Áreas planejadas mas não cobertas;6 – Divergências não resolvidas;7 – Recomendações para melhoria;8 – Plano de ação para acompanhamentos;9 – Lista de distribuição do relatório.



91/92

P r o

f e s s o r A n

d r é

C a m p o s


Geralmente, o relatório de auditoria éentregue em uma data posterior à conclusãoda mesma. Caso haja qualquer tipo deatraso, isto deve ser informado ao cliente eao auditado e também constar como registrono próprio relatório.

Este relatório é de propriedade do cliente, e aconfidencialidade dele deve ser amplamenterespeitada.

Qualquer registro ou documento referente aauditoria deve ser devolvido ou destruídocompletamente.

Concluindo a auditoria


92/92

P r o

f e s s o r A n

d r é

C a m p o s


Quando todas estas atividades foram realizadas

e o plano de auditoria seguido até o fim, aauditoria é data por encerrada.

Caso tenham havido contratações de qualquertipo ou o estabelecimento de acordos paraviabilizar a realização da auditoria, este é omomento para encerrar estes contratos eacordos de maneira formal.

Todos os envolvidos, incluindo terceiros,deverão assinar termos de sigilo econfidencialidade a fim de preservar o cliente eo auditado.

Documents

Curso Auditoria em Segurança da Informação.pdf