A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Auditoria e Segurança da Informação

PublicouGabrielhenrique Maria Alterado mais de 9 anos atrás

Apresentações semelhantes

Apresentação em tema: "Auditoria e Segurança da Informação"— Transcrição da apresentação:

1 Auditoria e Segurança da Informação
Prof. Agnaldo L Martins

2 O QUE É INFORMAÇÃO?

3 Auditoria É a avaliação realizada de forma imparcial, em seus procedimentos e resultados. É baseada em um conjunto específico de critérios e não depende diretamente dos conhecimentos do auditor. No caso da auditoria em segurança da informação, as normas estão definidas nos documentos BS7799, ISO e ISO 27002

4 Auditoria O sistema de segurança das informações, uma vez implementado, precisará ser auditado regularmente para garantir sua qualidade. (ex: todo início de ano)

5 Auditoria de 1ª. parte Realizada pela própria organização, conhecida como auditoria interna. É uma exigência na norma ISO que a instituição tenha uma equipe para auditoria interna.

6 Auditoria de 2ª. parte É a auditoria de um cliente em seu fornecedor, de maneira a garantir ou pré-qualificar bons fornecedores, os quais precisam também atender as normas

7 Auditoria de 3ª. parte É realizada por um órgão certificador na organização que deseja receber a certificação ISO

8 Princípios Ética: Sem comprometimentos pessoais entre os envolvidos
Princípios Ética: Sem comprometimentos pessoais entre os envolvidos. Independência: Imparcialidade nos resultados. Ex: um auditor não pode fazer parte de um setor que será auditado. Evidência: Todas as conclusões precisam ter evidências ou provas.

9 Atividades Antes de se iniciar o trabalho, deve-se fazer uma revisão na documentação: - Política de segurança da informação - Documento com o escopo do sistema de segurança - Dados sobre o risco - Planos para tratamento dos riscos - Declaração de aplicabilidade - Registro das responsabilidades - Registro de ações passadas - Registro das ações preventivas para não conformidades

10 Relatórios finais Qualquer que seja o resultado, o relatório precisa ser apresentado. As áreas auditadas precisam ser comunicadas da existência deste relatório.

11 Relatórios finais Cada não conformidade deverá estar exclusivamente restrita às recomendações da norma BS 7799 e ISO/IEC de Cada não conformidade deverá gerar uma lista de recomendações também conhecida como follow-up

12 Objetivo final da Auditoria Objetiva diminuir os riscos que os incidentes de segurança da informação possam representar para a organização. O risco é medido por: SUA PROBABILIDADE SEU IMPACTO

13 É uma atividade que engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada entidade, com o intuito de verificar sua conformidade com certos objetivos e políticas institucionais, orçamentos, regras, normas ou padrões. Fases da Auditoria: Planejamento Execução Relatório

14 CAMPO 1.1 Objeto. Pode ser uma entidade completa (instituição pública ou privada), uma parte selecionada ou uma função dessa entidade. 1.2 Período. Pode ser de um ano, um mês ou período de uma gestão. 1.3 Natureza. Serão apresentados em seguida os tipos mais comuns, classificados sob os aspectos: órgão fiscalizador, forma de abordagem do tema e tipo ou área envolvida.

15 Quanto ao Órgão Fiscalizador:
Auditoria Interna Auditoria Externa Auditoria Articulada Quanto à Forma de Abordagem do Tema: Auditoria Horizontal – Auditoria com tema específico realizada em várias entidades ou serviços paralelamente. Auditoria Orientada – Auditoria focada em uma atividade específica qualquer ou em atividade com fortes indícios de erros ou fraudes. Quanto ao Tipo ou Área Envolvida: Auditoria de programas de governo Auditoria de planejamento estratégico Auditorias administrativa, contábil, financeira, legalidade Auditoria operacional Auditoria de TI

16 AMBITO Constitui-se da amplitude e exaustão dos processos de auditoria, incluindo uma limitação racional dos trabalhos a serem executados. Define então até que ponto serão aprofundadas as tarefas de auditoria e seu grau de abrangência. ÁREA DE VERIFICAÇÃO É o conjunto formado por campo e âmbito da auditoria. Delimita de modo preciso os temas da auditoria, em função da entidade a ser fiscalizada e da natureza da auditoria.

17 Abrangência de Auditoria
Área de Verificação Âmbito Campo Objeto Período Natureza

18 Controles É a fiscalização exercida sobre as atividades de pessoas, órgãos, departamentos para que tais atividades, ou produtos, não se desviem das normas preestabelecidas. Tipos de Controle: Controle Preventivo - Usados para prevenir erros, omissões ou atos fraudulentos. Controle Detectivos - Usados para detectar erros, omissões ou atos fraudulentos e ainda relatar sua ocorrência Controles Corretivos - Usados para reduzir impactos ou corrigir erros uma vez detectados.

19 Procedimentos Achados de Auditoria
Outros Termos importantes: Objetivo de Controle São metas de controle a serem alcançadas, ou efeitos negativos a serem evitados, para cada tipo de transação, atividade ou função fiscalizada. Procedimentos Formam um conjunto de verificações necessárias à formulação da opinião do auditor. Em geral, são lista de pontos a serem verificados durante a auditoria. Achados de Auditoria São fatos significativos observados pelo auditor durante a execução da auditoria. Podem ser falhas ou irregularidades ou mesmo pontos fortes da instituição auditada.

20 Relatório de Auditoria
Papéis de Trabalho São registros que evidenciam atos e fatos observados pelo auditor. Podem estar na forma de documentos, arquivos informatizados, etc... Estes papéis dão suporte ao relatório final da auditoria, pois registram a metodologia adotada, procedimentos, verificações, fontes, etc.. Relatório de Auditoria Onde são feitas as recomendações ou determinações da auditoria, para corrigir eventuais falhas detectadas, além de apontar responsáveis, quando for o caso.

21 Auditoria da Tecnologia da Informação
É um tipo de auditoria operacional, que analisa a gestão de recursos, enfocando os aspectos de eficiência, eficácia, economia e efetividade. Pode abranger: O ambiente de informática como um todo. A organização do departamento de informática Controles sobre BD´s Redes Diversos aplicativos Sub-Áreas de auditoria em ambientes informatizados : Auditoria da segurança de informações Auditoria da tecnologia da informação Auditoria de aplicativos

22 Auditoria da segurança de informações
Determina a postura da organização com relação à segurança das suas informações. Faz parte da auditoria de TI. Escopo: Avaliação da política de segurança Controles de acesso lógico Controles de acesso físico Controles ambientais Planos de contingências e continuidade dos serviços

23 Auditoria da tecnologia da informação
Abrange todos os aspectos relacionados com a auditoria da segurança das informações além de outros controles que podem influenciar a segurança de informações e o bom funcionamento dos sistemas da organização. Controles: Organizacionais De mudanças De operação dos sistemas Sobre bancos de dados Sobre microcomputadores Sobre ambientes cliente-servidor

24 Auditoria de aplicativos
Voltada para a segurança e o controle de aplicativos específicos. Controles: Desenvolvimento de sistemas aplicativos Entrada, processamento e saída de dados Sobre conteúdo e funcionamento do aplicativo, com relação a área por ele atendida

25 Exercícios 1. Definir AUDITORIA.
2. Quais as principais FASES de uma Auditoria? Comente sobre cada uma. 3. Definir CONTROLE. 4. A Auditoria é uma atividade de controle? 5. Como pode ser classificado os Controles? Fale sobre cada um. 6. O que são OBJETIVOS DE CONTROLE? 7. O que são PROCEDIMENTOS DE AUDITORIA? Exemplifique. 8. Falar da relação Objetivos de Controle X Procedimentos de Auditoria. 9. Citar os tipos mais comuns (NATUREZA) de Auditoria. 10. Definir AUDITORIA DA TECNOLOGIA DA INFORMAÇÃO. 11. Quais as 3 grandes áreas da Auditoria da Tecnologia da Informação? Fale sobre cada uma delas. 12. Quais as sub-áreas da Auditoria da Segurança da Informação? 13. Quais as sub-áreas da Auditoria da Tecnologia da Informação? 14. Quais as sub-áreas da Auditoria de Aplicativos?

Carregar ppt "Auditoria e Segurança da Informação"

Apresentações semelhantes

Auditoria de Processo Marcelo Waihrich Souza

Auditoria de Processo Marcelo Waihrich Souza
Conceitos, âmbito e objetivo

Conceitos, âmbito e objetivo
Engenharia de Software Qualidade de Software Uma abordagem conceitual André Luis Zanon São Carlos SP – UFSCAR 2010 Engenharia de Software – UFSCAR.

Engenharia de Software Qualidade de Software Uma abordagem conceitual André Luis Zanon São Carlos SP – UFSCAR 2010 Engenharia de Software – UFSCAR.
Professor: Eduardo Teles Análise e Desenvolvimento de Sistemas

Professor: Eduardo Teles Análise e Desenvolvimento de Sistemas
Administração e segurança de redes

Administração e segurança de redes
GERENCIAMENTO DE INTEGRAÇÃO DO PROJETO

GERENCIAMENTO DE INTEGRAÇÃO DO PROJETO
Auditoria de Sistemas de Informação

Auditoria de Sistemas de Informação
1. 2 Tecnologias de Informação e Risco O que esperamos das tecnologias de informação? Como atingir os objectivos das tecnologias de informação? Segurança.

1. 2 Tecnologias de Informação e Risco O que esperamos das tecnologias de informação? Como atingir os objectivos das tecnologias de informação? Segurança.
Prof. Dra. Maria Virginia Llatas

Prof. Dra. Maria Virginia Llatas
Sistemas de Gestão Integrada

Sistemas de Gestão Integrada
Gerenciamento do escopo do projeto

Gerenciamento do escopo do projeto
11. Gerenciamento de riscos do projeto

11. Gerenciamento de riscos do projeto
SEGURANÇA E AUDITORIA DE SISTEMAS

SEGURANÇA E AUDITORIA DE SISTEMAS
Gerenciamento da Integração

Gerenciamento da Integração
Controle de Recursos Públicos

Controle de Recursos Públicos
Planejamento do gerenciamento de riscos

Planejamento do gerenciamento de riscos
Implementação de Sistemas

Implementação de Sistemas
VERIFICAÇÃO Estabelecer procedimentos de comprovação para confirmar que um sistema ou programa funciona eficazmente.

VERIFICAÇÃO Estabelecer procedimentos de comprovação para confirmar que um sistema ou programa funciona eficazmente.
Infraestrutura de tecnologia da informação

Infraestrutura de tecnologia da informação
NBR ISO Diretrizes para auditorias de sistema de

NBR ISO Diretrizes para auditorias de sistema de

Apresentações semelhantes

Anúncios Google