Auditoria Sistemas Informticos

TPICOS PRINCIPAIS 1. 2. 3. 4. 5. 6. 7. 8. 9. Objectivos, Evoluo e Finalidades da Auditoria Organizao da Funo Auditoria Informtica Controlo e Segurana dos Sistemas de Informao Tcnicas de Anlise e de Controlo Metodologias de Auditoria de Sistemas de Informao Domnios da Auditoria Informtica Auditoria e Riscos de Segurana Auditoria, Controlo e Segurana na ptica da Gesto Estratgica Anlise de casos de Auditoria Informtica

UTANGA: Auditoria Sistemas Informticos

Chicapa, E. - 2013

Auditoria Sistemas Informticos

2

PROGRAMA: CAPTULO I AUDITORIA: EVOLUO E FINALIDADE Objectivos Motivos para auditar Lidar com a mudana das envolventes organizacionais Apreciao das tendncias de evoluo Optimizar o desempenho dos SI Principais Tipos de auditoria Auditoria externa Auditoria interna Auditoria operacional Auditoria financeira Auditoria de gesto Auditoria de qualidade Auditoria tecnolgica Auditoria de fraude Auditoria ambiental
UTANGA: Auditoria Sistemas Informticos Chicapa, E. - 2013

Auditoria Sistemas Informticos

3

PROGRAMA: CAPTULO I AUDITORIA: EVOLUO E FINALIDADES Tipos de auditoria (continuao) Auditoria estratgica Auditoria de marketing Auditoria de sistemas Auditoria informtica Auditoria nas TIC

___________________________________________________________________________________________ BIBLIOGRAFIA: Auditoria e Controlo de Sistemas de Informao de Alberto Carneiro ISBN: 978-972-722-407-4 Editora FCA Sistemas Informticos, Lda www.fca.pt
UTANGA: Auditoria Sistemas Informticos Chicapa, E. - 2013

Auditoria Sistemas Informticos

4

CONCEITOS BSICOS

Activos de Informao Ameaas Vulnerabilidade Incidente Probabilidade Impacto Risco

UTANGA: Auditoria Sistemas Informticos

Chicapa, E. - 2013

Auditoria Sistemas Informticos

5

CONCEITOS BSICOS

ACTIVOS DE INFORMAO A informao o elemento essencial para todos os processos de negcio da organizao, sendo por isso um bem ou activo de elevado valor.

DADOS

INFORMAO

CONHECIMENTO

A segurana da informao assenta em trs pilares fundamentais Confidencialidade Integridade Disponibilidade

UTANGA: Auditoria Sistemas Informticos

Chicapa, E. - 2013

Auditoria Sistemas Informticos

6

CONCEITOS BSICOS

Confidencialidade O principio da confidencialidade respeita ao facto de que apenas entidades expressamente autorizados podem ter acesso informao Integridade A integridade est presente quando a informao de que se tem acesso, est completa, sem alteraes e por conseguinte, confivel. Disponibilidade A disponibilidade respeita ao facto de que a informao esteja acessvel s entidades autorizadas, sempre que necessrio

UTANGA: Auditoria Sistemas Informticos

Chicapa, E. - 2013

Auditoria Sistemas Informticos

7

CONCEITOS BSICOS

Vulnerabilidade Conjunto de fraquezas que esto presentes nos activos de informao e que podem causar, intencionalmente ou no, a quebra de um ou mais, dos trs princpios de segurana da informao, atrs citados. Ameaa Entende-se por ameaa a um agente externo ao activo de informao, que aproveitando-se das vulnerabilidades desse activo, poder quebrar a confidencialidade, integridade ou disponibilidade da informao suportada ou utilizada por este activo Probabilidade a chance de uma falha de segurana ocorrer em funo do grau das vulnerabilidade existentes nos activos que sustentam o negcio e o grau de ameaas que possam sustentar estas vulnerabilidades
UTANGA: Auditoria Sistemas Informticos Chicapa, E. - 2013

Auditoria Sistemas Informticos

8

CONCEITOS BSICOS

Impacto O impacto de um incidente diz respeito s potenciais consequncias que este incidente pode provocar ao negcio da organizao Risco = Probabilidade * Impacto Risco O risco, pois, a relao entre a probabilidade e o impacto. Trata-se do principal suporte para identificao dos pontos que traduzem a necessidade de investimentos na segurana de informao.
UTANGA: Auditoria Sistemas Informticos Chicapa, E. - 2013

Auditoria Sistemas Informticos

9

CONCEITOS BSICOS

Incidente de Segurana da Informao

Quando uma ameaa explora vulnerabilidades de um activo de informao, violando uma das suas caractersticas de segurana, (confidencialidade, integridade, disponibilidade) estamos perante um incidente de segurana da informao. Este incidente tem uma probabilidade de acontecer e se tal ocorrer gera um determinado impacto ou prejuizo.

UTANGA: Auditoria Sistemas Informticos

Chicapa, E. - 2013

Auditoria Sistemas Informticos

10

CONCEITOS BSICOS

A implantao ou implementao de um sistema de segurana, faz mediante o princpio baseado na melhoria contnua da qualidade: PDCA (Gesto Qualidade, Normas ISO 9000)

A planificao a primeira tarefa, que destaca a anlise do risco.

UTANGA: Auditoria Sistemas Informticos

Chicapa, E. - 2013

Auditoria Sistemas Informticos

11

CONCEITOS BSICOS

Anlise de Risco Faz-se sob as seguintes perspectivas: Processos Tecnolgica Ambiental Pessoas

Os processos, tecnologias, ambiente e pessoas, so, na verdade, activos de informao, sendo que as pessoas ocupam a posio central entre as categorias citadas.

UTANGA: Auditoria Sistemas Informticos

Chicapa, E. - 2013

Auditoria Sistemas Informticos

12

CONCEITOS BSICOS

Uma vez identificado o risco, este pode ser tratado, decidindo o que fazer com ele Evitar Controlar Transferir Aceitar

Concluda a etapa da planificao, segue-se a implementao, isto , Execuo e o Controlo

UTANGA: Auditoria Sistemas Informticos

Chicapa, E. - 2013

Auditoria Sistemas Informticos

13

CONCEITOS BSICOS

O Controlo e Monitorizao do Sistema de Segurana

UTANGA: Auditoria Sistemas Informticos

Chicapa, E. - 2013

Auditoria Sistemas Informticos

14

CONCEITOS BSICOS

O Controlo e Monitorizao do Sistema de Segurana O Controlo ou a monitorizao da segurana do sistema, implica avaliar sistematicamente se as normas e directivas (controles) implementadas, atendem s expectativas para as quais foram inicialmente projectadas Assim, os processos constantes do diagrama ao lado, precisam ser executados (reavaliados) com regularidade.

UTANGA: Auditoria Sistemas Informticos

Chicapa, E. - 2013

Auditoria Sistemas Informticos

15

CONCEITOS BSICOS

Controles de Segurana de Informao Poltica de Segurana da Informao Estrutura Organizacional Controlo de Acessos Pessoas Segurana Fsica Segurana Lgica Operao de Sistemas Desenvolvimento de Sistemas Continuidade de Negcio Incidentes de Segurana Aspectos Legais

UTANGA: Auditoria Sistemas Informticos

Chicapa, E. - 2013

Auditoria Sistemas Informticos

16

CONCEITOS BSICOS

Trabalho Investigativo AUDITORIA INTERNA

Dada uma organizao (empresa) hipottica de mdia dimenso, dedicada a actividade no necessariamente informtica, elabore um estudo de auditoria interna, focalizada nos seguintes itens: Quadro Departamental: 5 Departamentos, incluindo reas de gesto financeira, contabilidade, recursos humanos, rea tcnica, manuteno, etc Recursos Humanos: 200 trabalhadores ( 20 administrativos, 30 auxiliares, 50 tcnicos distribudos nas diversas reas Equipamentos Rede Estruturada com VOIP, 50 estaes de trabalho Servidores (Sistema e Dados) Aplicaes: Base de Dados de suporte gesto comercial e financeira, gesto imobilizado Sistema backup precrio
UTANGA: Auditoria Sistemas Informticos Chicapa, E. - 2013

Auditoria Sistemas Informticos

17

Trabalho Investigativo AUDITORIA INTERNA

CONCEITOS BSICOS

Monitoramento de logs precrio Decorridos 12 meses de funcionamento (irregular) da empresa, devido a uma falha detectada ao nvel dos dados de processamento de salrios, a administrao da empresa viu-se obrigada a mover um processo conducente a averiguao das causas da perda de toda a informao destinada a alimentar o processamento acima referido. Por existir apenas uma nica base de dados, a falha detectada deu lugar a um efeito domin, tendo assim afectado todas as reas. Com base no exposto, na condio de auditor da rea de sistemas, faa uma composio, ainda que emprica, que esplane o quadro de resoluo preventiva que deveria ser levado a cabo para evitar o descalabro
UTANGA: Auditoria Sistemas Informticos Chicapa, E. - 2013