Upload
internet
View
111
Download
0
Embed Size (px)
Citation preview
Auditoria eSegurança da Informação
Prof. Agnaldo L Martins
O QUE É INFORMAÇÃO?
Auditoria
É a avaliação realizada de forma imparcial, em seus procedimentos e resultados. É baseada em um conjunto específico de critérios e não depende diretamente dos conhecimentos do auditor. No caso da auditoria em segurança da informação, as normas estão definidas nos documentos BS7799, ISO 17799 e ISO 27002
Auditoria
O sistema de segurança das informações, uma vez implementado, precisará ser auditado regularmente para garantir sua qualidade. (ex: todo início de ano)
Auditoria de 1ª. parte
Realizada pela própria organização, conhecida como auditoria interna. É uma exigência na norma ISO-27002 que a instituição tenha uma equipe para auditoria interna.
Auditoria de 2ª. parte
É a auditoria de um cliente em seu fornecedor, de maneira a garantir ou pré-qualificar bons fornecedores, os quais precisam também atender as normas 27002.
Auditoria de 3ª. parte
É realizada por um órgão certificador na organização que deseja receber a certificação ISO 27002.
Princípios
Ética: Sem comprometimentos pessoais entre os envolvidos.
Independência: Imparcialidade nos resultados. Ex: um auditor não pode fazer parte de um setor que será auditado.
Evidência: Todas as conclusões precisam ter evidências ou provas.
Atividades
Antes de se iniciar o trabalho, deve-se fazer uma revisão na documentação:
- Política de segurança da informação- Documento com o escopo do sistema de segurança- Dados sobre o risco- Planos para tratamento dos riscos- Declaração de aplicabilidade- Registro das responsabilidades- Registro de ações passadas- Registro das ações preventivas para não conformidades
Relatórios finais
Qualquer que seja o resultado, o relatório precisa ser apresentado. As áreas auditadas precisam ser comunicadas da existência deste relatório.
Relatórios finais
Cada não conformidade deverá estar exclusivamente restrita às recomendações da norma BS 7799 e ISO/IEC 27002 de 2007.
Cada não conformidade deverá gerar uma lista de recomendações também conhecida como follow-up
Objetivo final da Auditoria
Objetiva diminuir os riscos que os incidentes de segurança da informação possam representar para a organização.
O risco é medido por:SUA PROBABILIDADESEU IMPACTO
13
É uma atividade que engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada entidade, com o intuito de verificar sua conformidade com certos objetivos e políticas institucionais, orçamentos, regras, normas ou padrões.
Fases da Auditoria:
• Planejamento
• Execução
• Relatório
CAMPO
• 1.1 Objeto. Pode ser uma entidade completa (instituição pública ou privada), uma parte selecionada ou uma função dessa entidade.
• 1.2 Período. Pode ser de um ano, um mês ou período de uma gestão.
• 1.3 Natureza. Serão apresentados em seguida os tipos mais comuns, classificados sob os aspectos: órgão fiscalizador, forma de abordagem do tema e tipo ou área envolvida.
14
15
Quanto ao Órgão Fiscalizador:
• Auditoria Interna
• Auditoria Externa
• Auditoria Articulada
Quanto à Forma de Abordagem do Tema:
• Auditoria Horizontal – Auditoria com tema específico realizada em várias entidades ou serviços paralelamente.
• Auditoria Orientada – Auditoria focada em uma atividade específica qualquer ou em atividade com fortes indícios de erros ou fraudes.
Quanto ao Tipo ou Área Envolvida:
• Auditoria de programas de governo
• Auditoria de planejamento estratégico
• Auditorias administrativa, contábil, financeira, legalidade
• Auditoria operacional
• Auditoria de TI
• AMBITOConstitui-se da amplitude e exaustão dos processos de auditoria, incluindo uma limitação racional dos trabalhos a serem executados. Define então até que ponto serão aprofundadas as tarefas de auditoria e seu grau de abrangência.
• ÁREA DE VERIFICAÇÃOÉ o conjunto formado por campo e âmbito da auditoria. Delimita de modo preciso os temas da auditoria, em função da entidade a ser fiscalizada e da natureza da auditoria.
16
17
Objeto Período Natureza
CampoÂmbito
Área de Verificação
Abrangência de Auditoria
18
Controles
É a fiscalização exercida sobre as atividades de pessoas, órgãos, departamentos para que tais atividades, ou produtos, não se desviem das normas preestabelecidas.Tipos de Controle:
Controle Preventivo - Usados para prevenir erros, omissões ou atos fraudulentos.Controle Detectivos - Usados para detectar erros, omissões ou atos fraudulentos e ainda relatar sua ocorrência Controles Corretivos - Usados para reduzir impactos ou corrigir erros uma vez detectados.
São metas de controle a serem alcançadas, ou efeitos negativos a serem
evitados, para cada tipo de transação, atividade ou função fiscalizada.
19
Outros Termos importantes:
Objetivo de Controle
Procedimentos
Formam um conjunto de verificações necessárias à formulação da opinião do auditor. Em geral, são lista de pontos a serem verificados durante a auditoria.
Achados de Auditoria
São fatos significativos observados pelo auditor durante a execução da auditoria. Podem ser falhas ou irregularidades ou mesmo pontos fortes da instituição auditada.
20
Papéis de Trabalho
São registros que evidenciam atos e fatos observados pelo auditor. Podem estar na forma de documentos, arquivos informatizados, etc... Estes papéis dão suporte ao relatório final da auditoria, pois registram a metodologia adotada, procedimentos, verificações, fontes, etc..
Relatório de Auditoria
Onde são feitas as recomendações ou determinações da auditoria, para corrigir eventuais falhas detectadas, além de apontar responsáveis, quando for o caso.
21
Auditoria da Tecnologia da Informação
É um tipo de auditoria operacional, que analisa a gestão de recursos, enfocando os aspectos de eficiência, eficácia, economia e efetividade.
Pode abranger:
• O ambiente de informática como um todo.
• A organização do departamento de informática
• Controles sobre BD´s
• Redes
• Diversos aplicativos
Sub-Áreas de auditoria em ambientes informatizados :
• Auditoria da segurança de informações
• Auditoria da tecnologia da informação
• Auditoria de aplicativos
22
Auditoria da segurança de informações
Determina a postura da organização com relação à segurança das suas informações. Faz parte da auditoria de TI.
Escopo:
• Avaliação da política de segurança
• Controles de acesso lógico
• Controles de acesso físico
• Controles ambientais
• Planos de contingências e continuidade dos serviços
23
Auditoria da tecnologia da informação
Abrange todos os aspectos relacionados com a auditoria da segurança das informações além de outros controles que podem influenciar a segurança de informações e o bom funcionamento dos sistemas da organização.
Controles:
• Organizacionais
• De mudanças
• De operação dos sistemas
• Sobre bancos de dados
• Sobre microcomputadores
• Sobre ambientes cliente-servidor
24
Auditoria de aplicativos
Voltada para a segurança e o controle de aplicativos específicos.
Controles:
• Desenvolvimento de sistemas aplicativos
• Entrada, processamento e saída de dados
• Sobre conteúdo e funcionamento do aplicativo, com relação a área por ele atendida
Exercícios• 1. Definir AUDITORIA.• 2. Quais as principais FASES de uma Auditoria? Comente sobre cada
uma.• 3. Definir CONTROLE.• 4. A Auditoria é uma atividade de controle? • 5. Como pode ser classificado os Controles? Fale sobre cada um.• 6. O que são OBJETIVOS DE CONTROLE? • 7. O que são PROCEDIMENTOS DE AUDITORIA? Exemplifique.• 8. Falar da relação Objetivos de Controle X Procedimentos de Auditoria.• 9. Citar os tipos mais comuns (NATUREZA) de Auditoria.• 10. Definir AUDITORIA DA TECNOLOGIA DA INFORMAÇÃO.• 11. Quais as 3 grandes áreas da Auditoria da Tecnologia da Informação?
Fale sobre cada uma delas.• 12. Quais as sub-áreas da Auditoria da Segurança da Informação?• 13. Quais as sub-áreas da Auditoria da Tecnologia da Informação?• 14. Quais as sub-áreas da Auditoria de Aplicativos?
25