Auditoria eSegurança da Informação

Prof. Agnaldo L Martins

O QUE É INFORMAÇÃO?

Auditoria

É a avaliação realizada de forma imparcial, em seus procedimentos e resultados. É baseada em um conjunto específico de critérios e não depende diretamente dos conhecimentos do auditor. No caso da auditoria em segurança da informação, as normas estão definidas nos documentos BS7799, ISO 17799 e ISO 27002

Auditoria

O sistema de segurança das informações, uma vez implementado, precisará ser auditado regularmente para garantir sua qualidade. (ex: todo início de ano)

Auditoria de 1ª. parte

Realizada pela própria organização, conhecida como auditoria interna. É uma exigência na norma ISO-27002 que a instituição tenha uma equipe para auditoria interna.

Auditoria de 2ª. parte

É a auditoria de um cliente em seu fornecedor, de maneira a garantir ou pré-qualificar bons fornecedores, os quais precisam também atender as normas 27002.

Auditoria de 3ª. parte

É realizada por um órgão certificador na organização que deseja receber a certificação ISO 27002.

Princípios

Ética: Sem comprometimentos pessoais entre os envolvidos.

Independência: Imparcialidade nos resultados. Ex: um auditor não pode fazer parte de um setor que será auditado.

Evidência: Todas as conclusões precisam ter evidências ou provas.

Atividades

Antes de se iniciar o trabalho, deve-se fazer uma revisão na documentação:

- Política de segurança da informação- Documento com o escopo do sistema de segurança- Dados sobre o risco- Planos para tratamento dos riscos- Declaração de aplicabilidade- Registro das responsabilidades- Registro de ações passadas- Registro das ações preventivas para não conformidades

Relatórios finais

Qualquer que seja o resultado, o relatório precisa ser apresentado. As áreas auditadas precisam ser comunicadas da existência deste relatório.

Relatórios finais

Cada não conformidade deverá estar exclusivamente restrita às recomendações da norma BS 7799 e ISO/IEC 27002 de 2007.

Cada não conformidade deverá gerar uma lista de recomendações também conhecida como follow-up

Objetivo final da Auditoria

Objetiva diminuir os riscos que os incidentes de segurança da informação possam representar para a organização.

O risco é medido por:SUA PROBABILIDADESEU IMPACTO

13

É uma atividade que engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada entidade, com o intuito de verificar sua conformidade com certos objetivos e políticas institucionais, orçamentos, regras, normas ou padrões.

Fases da Auditoria:

• Planejamento

• Execução

• Relatório

CAMPO

• 1.1 Objeto. Pode ser uma entidade completa (instituição pública ou privada), uma parte selecionada ou uma função dessa entidade.

• 1.2 Período. Pode ser de um ano, um mês ou período de uma gestão.

• 1.3 Natureza. Serão apresentados em seguida os tipos mais comuns, classificados sob os aspectos: órgão fiscalizador, forma de abordagem do tema e tipo ou área envolvida.

14

15

Quanto ao Órgão Fiscalizador:

• Auditoria Interna

• Auditoria Externa

• Auditoria Articulada

Quanto à Forma de Abordagem do Tema:

• Auditoria Horizontal – Auditoria com tema específico realizada em várias entidades ou serviços paralelamente.

• Auditoria Orientada – Auditoria focada em uma atividade específica qualquer ou em atividade com fortes indícios de erros ou fraudes.

Quanto ao Tipo ou Área Envolvida:

• Auditoria de programas de governo

• Auditoria de planejamento estratégico

• Auditorias administrativa, contábil, financeira, legalidade

• Auditoria operacional

• Auditoria de TI

• AMBITOConstitui-se da amplitude e exaustão dos processos de auditoria, incluindo uma limitação racional dos trabalhos a serem executados. Define então até que ponto serão aprofundadas as tarefas de auditoria e seu grau de abrangência.

• ÁREA DE VERIFICAÇÃOÉ o conjunto formado por campo e âmbito da auditoria. Delimita de modo preciso os temas da auditoria, em função da entidade a ser fiscalizada e da natureza da auditoria.

16

17

Objeto Período Natureza

CampoÂmbito

Área de Verificação

Abrangência de Auditoria

18

Controles

É a fiscalização exercida sobre as atividades de pessoas, órgãos, departamentos para que tais atividades, ou produtos, não se desviem das normas preestabelecidas.Tipos de Controle:

Controle Preventivo - Usados para prevenir erros, omissões ou atos fraudulentos.Controle Detectivos - Usados para detectar erros, omissões ou atos fraudulentos e ainda relatar sua ocorrência Controles Corretivos - Usados para reduzir impactos ou corrigir erros uma vez detectados.

São metas de controle a serem alcançadas, ou efeitos negativos a serem

evitados, para cada tipo de transação, atividade ou função fiscalizada.

19

Outros Termos importantes:

Objetivo de Controle

Procedimentos

Formam um conjunto de verificações necessárias à formulação da opinião do auditor. Em geral, são lista de pontos a serem verificados durante a auditoria.

Achados de Auditoria

São fatos significativos observados pelo auditor durante a execução da auditoria. Podem ser falhas ou irregularidades ou mesmo pontos fortes da instituição auditada.

20

Papéis de Trabalho

São registros que evidenciam atos e fatos observados pelo auditor. Podem estar na forma de documentos, arquivos informatizados, etc... Estes papéis dão suporte ao relatório final da auditoria, pois registram a metodologia adotada, procedimentos, verificações, fontes, etc..

Relatório de Auditoria

Onde são feitas as recomendações ou determinações da auditoria, para corrigir eventuais falhas detectadas, além de apontar responsáveis, quando for o caso.

21

Auditoria da Tecnologia da Informação

É um tipo de auditoria operacional, que analisa a gestão de recursos, enfocando os aspectos de eficiência, eficácia, economia e efetividade.

Pode abranger:

• O ambiente de informática como um todo.

• A organização do departamento de informática

• Controles sobre BD´s

• Redes

• Diversos aplicativos

Sub-Áreas de auditoria em ambientes informatizados :

• Auditoria da segurança de informações

• Auditoria da tecnologia da informação

• Auditoria de aplicativos

22

Auditoria da segurança de informações

Determina a postura da organização com relação à segurança das suas informações. Faz parte da auditoria de TI.

Escopo:

• Avaliação da política de segurança

• Controles de acesso lógico

• Controles de acesso físico

• Controles ambientais

• Planos de contingências e continuidade dos serviços

23

Auditoria da tecnologia da informação

Abrange todos os aspectos relacionados com a auditoria da segurança das informações além de outros controles que podem influenciar a segurança de informações e o bom funcionamento dos sistemas da organização.

Controles:

• Organizacionais

• De mudanças

• De operação dos sistemas

• Sobre bancos de dados

• Sobre microcomputadores

• Sobre ambientes cliente-servidor

24

Auditoria de aplicativos

Voltada para a segurança e o controle de aplicativos específicos.

Controles:

• Desenvolvimento de sistemas aplicativos

• Entrada, processamento e saída de dados

• Sobre conteúdo e funcionamento do aplicativo, com relação a área por ele atendida

Exercícios• 1. Definir AUDITORIA.• 2. Quais as principais FASES de uma Auditoria? Comente sobre cada

uma.• 3. Definir CONTROLE.• 4. A Auditoria é uma atividade de controle? • 5. Como pode ser classificado os Controles? Fale sobre cada um.• 6. O que são OBJETIVOS DE CONTROLE? • 7. O que são PROCEDIMENTOS DE AUDITORIA? Exemplifique.• 8. Falar da relação Objetivos de Controle X Procedimentos de Auditoria.• 9. Citar os tipos mais comuns (NATUREZA) de Auditoria.• 10. Definir AUDITORIA DA TECNOLOGIA DA INFORMAÇÃO.• 11. Quais as 3 grandes áreas da Auditoria da Tecnologia da Informação?

Fale sobre cada uma delas.• 12. Quais as sub-áreas da Auditoria da Segurança da Informação?• 13. Quais as sub-áreas da Auditoria da Tecnologia da Informação?• 14. Quais as sub-áreas da Auditoria de Aplicativos?

25