Auditoria e Segurança da
Informação– GSI536
Prof. Rodrigo Sanches Miani – FACOM/UFU
Aula passada
Pergunta
É possível saber se as normas, políticas, procedimentos,
processos e controles adotados estão funcionando de
acordo?
Como?
Resposta: investigando criteriosamente tais controles! Ou
seja, realizando auditorias.
Definição
“A auditoria de segurança de informação é uma atividade
devidamente estruturada para examinar criteriosamente a
situação de controles que se aplicam à segurança da
informação. A atividade deve ser feita por um profissional
devidamente qualificado, que irá expressar sua opinião acerca
de uma determinada situação, e ao final do processo irá criar
um relatório ou parecer.”
Características
O auditor deve:
empregar práticas geralmente aceitas, baseadas em um método
racional;
lidar com responsabilidade e princípios éticos perante os clientes;
agir com independência no que se refere à investigação e produção
do relato.
Exemplos de auditoria de segurança da informação:
Testes de invasão;
Investigações de ataques (perícias forense).
Objetivos
1.
Atestar que os controles de segurança em prática são
eficientes;
2.
Evitar a exposição da organização a riscos que podem
provocar danos, se concretizados.
No caso de sistemas expostos à Internet, os controles evitam que a organização
esteja sujeita a ataques de hackers.
Metodologia de Auditoria
Tópicos
Metodologia de Auditoria de Sistemas de Informação;
Metodologia de Auditoria de Segurança da Informação.
Metodologia de Auditoria de
Sistemas de Informação
Tipos de Auditoria
1.
2.
3.
4.
Auditoria durante o desenvolvimento de sistemas;
Auditoria de sistemas em produção;
Auditoria no ambiente tecnológico.
Auditoria em eventos específicos.
Auditoria durante o desenvolvimento de
sistemas
Consiste em:
Auditar todo o processo de construção de sistemas de
informação;
Requisitos até a implantação;
Auditar também o próprio processo ou metodologia de
desenvolvimento.
Auditoria de sistemas em produção
Consiste em auditar:
Procedimentos e resultados dos sistemas
implantados;
Segurança, corretude e tolerância a falhas.
já
Auditoria no ambiente tecnológico
Consiste em analisar o ambiente de informática em termos
de:
Estrutura organizacional;
Contratos;
Normas técnicas;
Custos;
Nível de utilização de equipamentos;
Políticas de segurança;
Planos de contingência.
Auditoria em eventos específicos
Compreende a análise das causas, conseqüências e
ações corretivas cabíveis em eventos não cobertos por
auditorias anteriores;
Dois tipos de eventos:
Eventos detectados por outros órgãos e entidades externas;
Evento específico e localizado.
Metodologia de Auditoria de Sistemas de
Informação
Maurício Rocha Lyra (2008) propõe a seguinte
metodologia, flexível e aderente aos quatro tipos de
modalidades de auditoria:
1.
2.
3.
4.
5.
6.
7.
Planejamento e controle do projeto de auditoria de sistemas de
informação;
Levantamento do sistema de informação a ser auditado;
Identificação e inventário dos pontos de controle;
Priorização e seleção dos pontos de controle do sistema auditado;
Avaliação dos pontos de controle;
Conclusão da auditoria;
Acompanhamento da auditoria.
1) Planejamento e controle do projeto de
auditoria de sistemas de informação
Estabelecimento do planejamento inicial das ações e
recursos necessários para a auditoria;
Delimitar o escopo da auditoria e os sistemas a serem
auditados;
Recomenda-se formar uma equipe de trabalho com
dois grupos: coordenação e execução;
Métodos de planejamento consagrados, como o
PMBOK, podem ser utilizados para auxiliar no
planejamento das atividades.
2) Levantamento do sistema de informação
a ser auditado
Investigação das informações relevantes sobre o
sistema alvo da auditoria;
Iniciar o levantamento usando uma abordagem
abrangente para fornecer uma visão global do sistema;
Realizar entrevistas;
Analisar a documentação existente:
Diagramas MER;
Dicionário de dados;
Diagramas de classe;
Normas e políticas.
3) Identificação e inventário dos pontos de
controle
Identificar os diversos pontos de controle que merecem
ser validados no contexto do sistema escolhido;
Cada ponto de controle deve ser relacionado, e seus
objetivos, descritos, assim como as funções que eles
exercem no sistema;
Pontos de controle - situações do ambiente
computacional considerada pelo auditor como sendo de
interesse para validação e avaliação – instalações
físicas a senhas de acesso aos sistemas.
3) Identificação e inventário dos pontos de
controle - Exemplos
Suponha que uma auditoria sobre um ataque de negação de
serviço do site da um organização esteja em curso. Após o
planejamento e o levantamento de informações, os pontos
de controle devem ser identificados. Nesse caso, alguns
pontos de controle incluem:
1.
2.
3.
4.
5.
Código do site da organização;
Datacenter;
Política de segurança referente aos controles de acesso;
Empresa que desenvolveu o site da organização;
Firewall da organização.
4) Priorização e seleção dos pontos de
controle do sistema auditado
Priorizar os pontos que foram selecionados na etapa
anterior com base em:
Grau de risco existente no ponto;
Existência de ameaças;
Disponibilidade dos recursos;
A priorização deverá ser revisada ao longo do trabalho.
5) Avaliação dos pontos de controle
Auditoria propriamente dita;
Realizar testes de validação dos pontos de controle
seguindo
as
especificações
determinadas
anteriormente;
Aplicar técnicas de auditoria que evidenciem falhas ou
fraquezas do controle interno.
6) Conclusão da auditoria
Após a execução dos testes de validação dos pontos
de controle, deve-se elaborar um relatório de auditoria;
O relatório deve conter o diagnóstico da situação atual
dos pontos de controle;
Cada ponto de controle deverá sofrer revisão e
avaliação, após um prazo dado para tomada de
medidas corretivas.
7) Acompanhamento da auditoria
Também chamada de follow-up;
O acompanhamento da auditoria deve ser efetuado até
que todas as recomendações tenham sido executadas
ou até um nível tolerável pela organização.
Metodologia de Auditoria de
Segurança da Informação
Metodologia de Auditoria de Segurança da
Informação
Rodrigues e Fernandes (2009) propõem o seguinte
processo simplificado para auditoria de segurança da
informação:
1.
2.
3.
4.
5.
6.
7.
8.
9.
Gestão do projeto ou do programa de auditoria;
Decisão sobre o propósito da auditoria;
Identificação de objetos e pontos de controle;
Definição de técnicas para obter evidências e procedimentos de
controle;
Montagem da roteirização de auditoria;
Coleta e registro de evidências em papéis de trabalho;
Verificação, validação e avaliação de evidências;
Produção de pareceres e outros entregáveis;
Acompanhamento pós-auditoria.
Diferenças entre as metodologias
1.
2.
3.
4.
5.
6.
7.
8.
9.
Gestão do projeto ou do programa de auditoria;
Decisão sobre o propósito da auditoria;
Identificação de objetos e pontos de controle;
Definição de técnicas para obter evidências e procedimentos de
controle;
Montagem da roteirização de auditoria;
Coleta e registro de evidências em papéis de trabalho;
Verificação, validação e avaliação de evidências;
Produção de pareceres e outros entregáveis;
Acompanhamento pós-auditoria.
4) Definição de técnicas para obter
evidências e procedimentos de controle
Exemplos de técnicas gerais para a obtenção de
evidências numa auditoria:
1.
2.
3.
4.
5.
6.
7.
Entrevista e questionário;
Análise documental;
Conferência de cálculos;
Cruzamento ou correlação de informações;
Exame ou inspeção física;
Observação direta da atividade/sistema;
Corte das operações e o rastreamento.
4) Definição de técnicas para obter
evidências e procedimentos de controle
Procedimentos de controle são conjuntos de
verificações que permitem obter evidências para
analisar as informações;
Dois tipos de procedimentos de controle (testes):
Testes de controle (observância) - executados por meio de
observação do funcionamento dos controles existentes, e
visam obter razoável confiança de que os controles estão em
efetivo funcionamento e cumprimento;
Testes substantivos - demandam mais criatividade e esforço
do auditor e são aplicados quando há dúvidas acerca da
adequação do controle já testado.
5) Montagem da roteirização da auditoria
Roteiro dos procedimentos e testes que serão ou
poderão ser executados pelo auditor;
A roteirização
é
montada
para
uniformizar
procedimentos e usar de forma eficiente o tempo em
que estará no ambiente do auditado;
A roteirização descreve a seqüência de passos a
seguir, e deve ser sucinta e objetiva, para facilitar a
execução pelo auditor.
6) Coleta e registro de evidências em papéis
de trabalho
A coleta é feita no ambiente auditado;
A roteirização detalhada orienta as ações dos auditores
em campo durante a coleta e análise de evidências;
Papeis de trabalho: constituem os registros das
evidências, ações e decisões realizadas pelo auditor.
São preparados no ambiente do auditado, mas são de
propriedade do auditor. Exemplos:
Formulários preenchidos com a execução da roteirização;
Registros de análises e testes de controle e outras anotações
de interesse.
Exemplo de relatório de auditoria
Exemplo
Relatório de auditoria interna produzido pelo DTIC do
IFSC:
http://www.ifsc.edu.br/arquivos/sic/RelatorioFinal_TI.pdf
Download
  1. No category

Tópico 8 - Metodologia de Auditoria

Marcio Fernandes – Coordenador de Auditoria UHY

Marcio Fernandes – Coordenador de Auditoria UHY

quest_mestrado_no_7jun2012_1339155387

quest_mestrado_no_7jun2012_1339155387

Auditoria dos Procedimentos de Registros

Auditoria dos Procedimentos de Registros

Luis Wagner Mazzaro Almeida Santos

Luis Wagner Mazzaro Almeida Santos

Ana Maria de Almeida Niemeyer

Ana Maria de Almeida Niemeyer

6.1 Auditoria FAU

6.1 Auditoria FAU

Uso Racional

Uso Racional

e-DSA - place.com.br

e-DSA - place.com.br