Auditoria e Segurança da Informação Prof. Agnaldo L Martins
O QUE É INFORMAÇÃO?
Auditoria É a avaliação realizada de forma imparcial, em seus procedimentos e resultados. É baseada em um conjunto específico de critérios e não depende diretamente dos conhecimentos do auditor. No caso da auditoria em segurança da informação, as normas estão definidas nos documentos BS7799, ISO 17799 e ISO 27002
Auditoria O sistema de segurança das informações, uma vez implementado, precisará ser auditado regularmente para garantir sua qualidade. (ex: todo início de ano)
Auditoria de 1ª. parte Realizada pela própria organização, conhecida como auditoria interna. É uma exigência na norma ISO-27002 que a instituição tenha uma equipe para auditoria interna.
Auditoria de 2ª. parte É a auditoria de um cliente em seu fornecedor, de maneira a garantir ou pré-qualificar bons fornecedores, os quais precisam também atender as normas 27002.
Auditoria de 3ª. parte É realizada por um órgão certificador na organização que deseja receber a certificação ISO 27002.
Princípios Ética: Sem comprometimentos pessoais entre os envolvidos Princípios Ética: Sem comprometimentos pessoais entre os envolvidos. Independência: Imparcialidade nos resultados. Ex: um auditor não pode fazer parte de um setor que será auditado. Evidência: Todas as conclusões precisam ter evidências ou provas.
Atividades Antes de se iniciar o trabalho, deve-se fazer uma revisão na documentação: - Política de segurança da informação - Documento com o escopo do sistema de segurança - Dados sobre o risco - Planos para tratamento dos riscos - Declaração de aplicabilidade - Registro das responsabilidades - Registro de ações passadas - Registro das ações preventivas para não conformidades
Relatórios finais Qualquer que seja o resultado, o relatório precisa ser apresentado. As áreas auditadas precisam ser comunicadas da existência deste relatório.
Relatórios finais Cada não conformidade deverá estar exclusivamente restrita às recomendações da norma BS 7799 e ISO/IEC 27002 de 2007. Cada não conformidade deverá gerar uma lista de recomendações também conhecida como follow-up
Objetivo final da Auditoria Objetiva diminuir os riscos que os incidentes de segurança da informação possam representar para a organização. O risco é medido por: SUA PROBABILIDADE SEU IMPACTO
É uma atividade que engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada entidade, com o intuito de verificar sua conformidade com certos objetivos e políticas institucionais, orçamentos, regras, normas ou padrões. Fases da Auditoria: Planejamento Execução Relatório
CAMPO 1.1 Objeto. Pode ser uma entidade completa (instituição pública ou privada), uma parte selecionada ou uma função dessa entidade. 1.2 Período. Pode ser de um ano, um mês ou período de uma gestão. 1.3 Natureza. Serão apresentados em seguida os tipos mais comuns, classificados sob os aspectos: órgão fiscalizador, forma de abordagem do tema e tipo ou área envolvida.
Quanto ao Órgão Fiscalizador: Auditoria Interna Auditoria Externa Auditoria Articulada Quanto à Forma de Abordagem do Tema: Auditoria Horizontal – Auditoria com tema específico realizada em várias entidades ou serviços paralelamente. Auditoria Orientada – Auditoria focada em uma atividade específica qualquer ou em atividade com fortes indícios de erros ou fraudes. Quanto ao Tipo ou Área Envolvida: Auditoria de programas de governo Auditoria de planejamento estratégico Auditorias administrativa, contábil, financeira, legalidade Auditoria operacional Auditoria de TI
AMBITO Constitui-se da amplitude e exaustão dos processos de auditoria, incluindo uma limitação racional dos trabalhos a serem executados. Define então até que ponto serão aprofundadas as tarefas de auditoria e seu grau de abrangência. ÁREA DE VERIFICAÇÃO É o conjunto formado por campo e âmbito da auditoria. Delimita de modo preciso os temas da auditoria, em função da entidade a ser fiscalizada e da natureza da auditoria.
Abrangência de Auditoria Área de Verificação Âmbito Campo Objeto Período Natureza
Controles É a fiscalização exercida sobre as atividades de pessoas, órgãos, departamentos para que tais atividades, ou produtos, não se desviem das normas preestabelecidas. Tipos de Controle: Controle Preventivo - Usados para prevenir erros, omissões ou atos fraudulentos. Controle Detectivos - Usados para detectar erros, omissões ou atos fraudulentos e ainda relatar sua ocorrência Controles Corretivos - Usados para reduzir impactos ou corrigir erros uma vez detectados.
Procedimentos Achados de Auditoria Outros Termos importantes: Objetivo de Controle São metas de controle a serem alcançadas, ou efeitos negativos a serem evitados, para cada tipo de transação, atividade ou função fiscalizada. Procedimentos Formam um conjunto de verificações necessárias à formulação da opinião do auditor. Em geral, são lista de pontos a serem verificados durante a auditoria. Achados de Auditoria São fatos significativos observados pelo auditor durante a execução da auditoria. Podem ser falhas ou irregularidades ou mesmo pontos fortes da instituição auditada.
Relatório de Auditoria Papéis de Trabalho São registros que evidenciam atos e fatos observados pelo auditor. Podem estar na forma de documentos, arquivos informatizados, etc... Estes papéis dão suporte ao relatório final da auditoria, pois registram a metodologia adotada, procedimentos, verificações, fontes, etc.. Relatório de Auditoria Onde são feitas as recomendações ou determinações da auditoria, para corrigir eventuais falhas detectadas, além de apontar responsáveis, quando for o caso.
Auditoria da Tecnologia da Informação É um tipo de auditoria operacional, que analisa a gestão de recursos, enfocando os aspectos de eficiência, eficácia, economia e efetividade. Pode abranger: O ambiente de informática como um todo. A organização do departamento de informática Controles sobre BD´s Redes Diversos aplicativos Sub-Áreas de auditoria em ambientes informatizados : Auditoria da segurança de informações Auditoria da tecnologia da informação Auditoria de aplicativos
Auditoria da segurança de informações Determina a postura da organização com relação à segurança das suas informações. Faz parte da auditoria de TI. Escopo: Avaliação da política de segurança Controles de acesso lógico Controles de acesso físico Controles ambientais Planos de contingências e continuidade dos serviços
Auditoria da tecnologia da informação Abrange todos os aspectos relacionados com a auditoria da segurança das informações além de outros controles que podem influenciar a segurança de informações e o bom funcionamento dos sistemas da organização. Controles: Organizacionais De mudanças De operação dos sistemas Sobre bancos de dados Sobre microcomputadores Sobre ambientes cliente-servidor
Auditoria de aplicativos Voltada para a segurança e o controle de aplicativos específicos. Controles: Desenvolvimento de sistemas aplicativos Entrada, processamento e saída de dados Sobre conteúdo e funcionamento do aplicativo, com relação a área por ele atendida
Exercícios 1. Definir AUDITORIA. 2. Quais as principais FASES de uma Auditoria? Comente sobre cada uma. 3. Definir CONTROLE. 4. A Auditoria é uma atividade de controle? 5. Como pode ser classificado os Controles? Fale sobre cada um. 6. O que são OBJETIVOS DE CONTROLE? 7. O que são PROCEDIMENTOS DE AUDITORIA? Exemplifique. 8. Falar da relação Objetivos de Controle X Procedimentos de Auditoria. 9. Citar os tipos mais comuns (NATUREZA) de Auditoria. 10. Definir AUDITORIA DA TECNOLOGIA DA INFORMAÇÃO. 11. Quais as 3 grandes áreas da Auditoria da Tecnologia da Informação? Fale sobre cada uma delas. 12. Quais as sub-áreas da Auditoria da Segurança da Informação? 13. Quais as sub-áreas da Auditoria da Tecnologia da Informação? 14. Quais as sub-áreas da Auditoria de Aplicativos?