SEGURANÇA DA INFORMAÇÃO
AUDITORIA
Banco de Dados
de Autorizações
Monitor de
Referência
Autenticação Controle de acesso
Usuário Objetos
Administrador
de Segurança
Auditoria
Política de segurança
SEGURANÇA DA INFORMAÇÃO
Estudar e analisar o ambiente
corporativo e assegurar que as metas e
objetivos de TI estão sendo alcançados
e os controles chaves estão sendo
aplicados.
O QUE QUEREMOS COM A AUDITORIA
SEGURANÇA DA INFORMAÇÃO
As diretrizes de gerenciamento descrevem e
sugerem atividades de avaliação para serem
executadas para cada controle de alto nível.
Entre os principais objetivos temos:
• Fornecer gerenciamento com segurança de que os
objetivos de controle estejam sendo alcançados;
• Onde existir pontos fracos de controle significantes,
será verificado os riscos resultantes;
• Aconselhar a administração em ações corretivas;
OBJETIVO DA AUDITORIA
SEGURANÇA DA INFORMAÇÃO
• Definição de Auditoria:
ISO/IEC 17799:2001
Verificação de Conformidade Técnica.
• Definição do Dicionário Aurélio:
Exame analítico e pericial que segue o desenvolvimento das
operações contábeis, desde o início até o balanço; auditagem.
• Não devemos utilizar o termo “Exame” pois este está mais
relacionado com o processo pericial ou de análise forense.
• O termo “Auditoria de Sistemas Comprometidos” ilustra a
confusão comum entre Auditoria e Perícia.
Auditoria = Verificação
DEFINIÇÃO DE SEGURANÇA
SEGURANÇA DA INFORMAÇÃO
CONCEITO
Função da auditoria de sistemas é promover
adequação, revisão, avaliação e recomendações
para o aprimoramento dos controles internos nos
sistemas de informação da empresa, bem como
avaliar e utilização do recursos humanos, materiais e
tecnológicos envolvidos no processamento dos
mesmos”
(Schimidt, 2006)
SEGURANÇA DA INFORMAÇÃO
O QUE AUDITAR?
“Não se pode controlar o que não se
pode medir”
a) Fidelidade da Informação
b) Segurança física e lógica da Informação
c) Conformidade legal
d) Conformidade com boas práticas
e) Eficiência e Eficácia dos Recursos e Resultados
f) Obediência às políticas
SEGURANÇA DA INFORMAÇÃO
Auditoria Pró-Ativa
• Ação pela qual uma situação é observada através
da coleta de informações para eventual comparação
com um estado anterior e/ou futuro. Pode ser
entendida como uma ação que visa identificar
possíveis falhas antes que uma ameaça potencial
seja concretizada.
SEGURANÇA DA INFORMAÇÃO
Auditoria Reativa
• Coleta de informações e evidências após a
identificação de uma violação.
É parte da atividade de análise forense, a qual
fornece informações sobre as ações ocorridas e que
serão utilizadas para prover as correções
necessárias assim como para o aumento do grau de
segurança.
SEGURANÇA DA INFORMAÇÃO
AMEAÇA
Ameaça: O termo ameaça foi muito bem definido por
Karen Olsen na seguinte publicação do NIST (National
Institute of Standards and Technology): “Security in
Open Systems SP 800-7”.
Ameaça é uma circunstância, condição, ou
evento que possui potencial para causar
estrago para o corpo técnico ou recursos de
rede na forma de destruição, divulgação,
modificação de dados, negação de serviço,
fraude, desperdício e/ou abuso.
SEGURANÇA DA INFORMAÇÃO
TIPOS DE AUDITORIA
• Auditoria Remota: Quando o processo de auditoria
é controlado e executado fora das instalações que são
alvo do processo.
• Auditoria Local: Realização da atividade dentro do
ambiente que está sendo auditado.
• Auditoria Física: Processo de verificação das
condições de segurança física de um sistema, como
por exemplo se a sala de servidores possui fechadura
e se esta realmente funciona.
SEGURANÇA DA INFORMAÇÃO
TIPOS DE AUDITORIA
• Auditoria Lógica: Auditoria que verifica as demais
condições não físicas que fazem parte do processo
e/ou sistema.
• Auditoria de Perímetro: Atividade de mapeamento
da infraestrutura de rede responsável pela delimitação
e/ou segmentação. A auditoria de perímetro permite
verificar externamente qual a parte visível da
infraestrutura.
• Auditoria de Conformidade: Permite avaliar e/ou
validar uma situação frente a uma norma ou
requisitos.
SEGURANÇA DA INFORMAÇÃO
PASSOS DE UMA AUDITORIA
• O processo de auditoria deve sempre ser autorizado
e seguir as normas e/ou legislação pertinente.
• A auditoria fornece uma fotografia instantânea da
situação encontrada.
• As informações geradas pela auditoria devem ser
armazenadas conforme a política da empresa.
• Deve-se manter um histórico de todas as atividades
realizadas no processo de auditoria, incluindo horários
de realização, duração dos eventos e métodos
utilizados no processo.
SEGURANÇA DA INFORMAÇÃO
PERGUNTA
1-) A auditoria de sistemas computacionais deve ser
vista como um projeto? Justifique
2-) Quais as dificuldades enfrentadas pela auditoria na
empresa?
SEGURANÇA DA INFORMAÇÃO
FASES DA AUDITORIA
– Levantamento
– Planejamento
– Execução
– Elaboração do Relatório
– Monitoramento
SEGURANÇA DA INFORMAÇÃO
LEVANTAMENTO
• Informações iniciais
– Objetivos institucionais
– Legislação aplicável
– Estrutura organizacional
• Avaliação dos Controles Internos
– O auditor, para determinar a extensão e o alcance
da fiscalização, deve examinar e avaliar o grau de
confiabilidade dos controles internos.
SEGURANÇA DA INFORMAÇÃO
AVALIAÇÃO DOS CONTROLES DE TI
• Avaliação limitada: avaliação menos profunda dos
controles gerais e de aplicativos, que pode ser
realizada por equipes compostas somente por
auditores que não detenham conhecimentos
específicos de TI. Os controles pertinentes são
examinados na extensão necessária para o
atendimento dos objetivos da auditoria.
SEGURANÇA DA INFORMAÇÃO
AVALIAÇÃO DOS CONTROLES DE TI
• Controles Gerais
• Controles de Aplicativos
• Análise de Dados
SEGURANÇA DA INFORMAÇÃO
CONTROLES GERAIS
• Políticas e padrões organizacionais, especialmente
relacionados à TI
• Organização e administração da TI
• Segregação de funções
• Procedimentos de Segurança
• Controles físicos (de acesso e de ambiente)
• Controles lógicos de acesso
• Desenvolvimento de sistema e alterações de
programas
• Plano de Continuidade de Negócios
• Computação de usuário final
SEGURANÇA DA INFORMAÇÃO
CONTROLES DE APLICATIVOS
• Controles e procedimentos que garantem que
apenas as transações válidas são processadas e
registradas
• Controle no(a):
– Entrada de Dados
– Processamento de Dados
– Saída de Dados
SEGURANÇA DA INFORMAÇÃO
CONTROLES DE APLICATIVOS
• São específicos dos sistemas e são implementados
para prevenir, detectar e corrigir erros e
irregularidades em transações durante a entrada,
processamento e saída de dados.
• Possui como objetivo garantir um processamento
confiável e exato, a partir de controles incorporados
diretamente em programas aplicativos, nas três áreas
de operação: entrada, processamento e saída de
dados.
SEGURANÇA DA INFORMAÇÃO
ANALISE DE DADOS
• Segundo princípios geralmente aceitos de auditoria,
quanto menor a confiabilidade dos controles gerais ou
de aplicativo (ou se esses não forem avaliados), maior
a extensão dos testes necessários para determinar a
confiabilidade dos dados.
• Papel da evidência:
– Única evidência para fundamentar um achado
– Evidência auxiliar ou de ratificação
– Informação geral (histórico, descrições etc.)
SEGURANÇA DA INFORMAÇÃO
PLANEJAMENTO
• Nesta fase, deve ser definido:
– Objetivo da auditoria
– Objeto da auditoria
– Universo a ser auditado (escopo)
– Técnicas e procedimentos a serem utilizados
– Critérios de auditoria
– Etapas e cronogramas
– Recursos humanos e materiais
SEGURANÇA DA INFORMAÇÃO
ETAPAS DO PLANEJAMENTO
• Visão geral
• Avaliação dos Controles Internos
• Elaboração da Matriz de Planejamento
– A Avaliação dos Controles Internos deve ser feita
caso não tenha sido realizada a fase de
Levantamento.