O papel da Auditoria quanto a. Seminário Regional Norte de Auditoria Interna AUDIBRA 27 de agosto de Belém (PA)

Transcrição

1 1 O papel da Auditoria quanto a Segurança da Informação Seminário Regional Norte de Auditoria Interna AUDIBRA 27 de agosto de Belém (PA)

2 Sistema Financeiro Nacional 2 Fonte: Banco Central do Brasil

3 Onde direcionar o foco da Auditoria? 3 Exemplo: Gestão do Conhecimento CPD Dados $ Segurança Física Tecnologia da Informação Informação $$$ Segurança da Informação Conhecimento $$$$$$ Proteção do Conhecimento = Propriedade Intelectual

4 4 Quadrantes técnica do consultor Stephen Covey, autor do livro "Os 7 Hábitos das Pessoas Altamente Eficazes" 4 IMPORTANTE e URGENTE Quadrante I Atividades que exigem atenção imediata. Não podem ser postergadas. Vão de crises a projetos com datas marcadas. IMPORTANTE e NÃO URGENTE Quadrante II Atividades de longo prazo. Incluem identificação de novas oportunidades, desenvolvimento e planejamento. 90% Ideal NÃO IMPORTANTE e URGENTE Quadrante III Acabam requerendo uma ação, mas não são atividades fundamentais. São as interrupções de um telefonema ou uma reunião marcada desnecessariamente. NÃO IMPORTANTE e NÃO URGENTE Quadrante IV Basicamente atividades onde se perde tempo. Vão desde a preocupação com um detalhe sem 10% importância em um relatório até abrir os spams que chegam por .

5 Alinhamento dos processos e projetos críticos 5 Negócio Legislação Auditoria Interna Tecnologia Cultura

6 Definições de processos que devem ser alinhados com a área de Tecnologia 6 A Auditoria de TI têm que aprender a reconhecer fatores humanos e políticos, além dos técnicos, para conseguir colaborar efetivamente com a proteção de todas as áreas de negócios da organização, afetadas constantemente por novas ameaças. Interagir com as demais área de controle da organização.

7 7 A U Pilares da Segurança e Controle G E S T C O N T R S E G U C O $ $ $ $ U D I T O R I A T Ã O D E R I S C O R O L E I N T E R N O U R A N Ç A D E T I O M P L I A N C E

8 Os deveres da Auditoria... 8 Avaliação do entorno tecnológico dos negócios da organização Promoção de ação corretiva para irregularidades Promoção de ação preventiva de riscos potenciais Identificação e eliminação de fragilidades Solidificação da cultura de segurança de TI Preservação do investimento em tecnologia Avaliação da Governança de TI

9 Governança de TI? 9 Alinhamento Estratégico Manter a razão entre as soluções de TI e o negócio da empresa. Valor de TI Otimizar os custos dos investimentos de TI e o retorno dos mesmos. Gerenciamento de Risco Assegurar a proteção dos ativos de TI, possibilitando a recuperação de informações em caso de desastres e manter a continuidade da operação dos serviços de TI. Gerenciamento de Recursos Otimizar o conhecimento e a infraestrutura de TI. Medidas de Performance Acompanhar a entrega dos projetos e monitorar os serviços de TI. IT GOVERNANCE INSTITUTE

10 Framework COBIT 10

11 Cubo COBIT 11

12 Integração: Cobit X Coso X SOx 12 COBIT - The Control Objectives for Information and related Technology COSO - Committee of Sponsoring Organizations of the Treadway Commission SOx - The Sarbanes-Oxley Act

13 Como a Auditoria precisa atuar atualmente? 13 A atividade de auditor interno agrega novo contexto nas empresas. O foco dos trabalhos de auditoria interna está se deslocando das atividades operacionais para as estratégicas. Dos auditores internos é esperado a avaliação e antecipação da noção de probabilidade e impacto dos RISCOS.

14 Grau de criticidade do Risco Probabi ilidade Alto Méd dio Baixo Risco Médio Risco Baixo Risco Irrelevante Baixo Risco Alto Risco Médio Risco Baixo Médio Impacto Risco Crítico Risco Alto Risco Médio Alto Importante: Descrever critérios objetivos sobre o que é [alto], [médio] e [baixo] para o negócio da sua empresa, tanto para impacto como para probabiliade. Estipular equação matemática que represente o peso real da cada componente da fórmula de risco. Reportar/divulgar adequadamente o grau de cada ponto de auditoria. 14

15 Camadas do Controle nas Organizações 15 A Auditoria Interna é a responsável pelos controles da organização? 4ª Camada : Auditoria Externa 3 ª Camada : Auditoria Interna 2 ª Camada : Gestão de Risco 1ª Camada: Área Gestora

16 Alguns exemplos práticos: 16

17 Qual o Universo Auditável? 17 Processos... Atividades... Componentes... Atentar para a rotação de ênfase... Atualização constante!

18 Formalização dos Processos Críticos 18 Não é possível determinar o risco real de um processo, sem que antes ele esteja formalizado. Cuidado para não formalizar o caos...

19 Classificação das Informações 19 É muito mais difícil proteger adequadamente as informações corporativas quando não se tem implementado um programa de classificação das informações.

20 Controle das Informações 20 Quais são as ameaças ao seu negócio? Sigilo Bancário? Propriedade Intelectual? Risco de Imagem? É necessário uma Política de Segurança dos Bens de Informação, divulgada e disseminada em toda organização. Ações práticas devem ser implementadas. A cultura da segurança deve ser sempre aperfeiçoada. A AUDITORIA DEVE CONSIDERAR ISSO NAS SUAS AVALIAÇÕES

21 Certificados Digitais 21 Uso cada vez mais adotado, em diversos serviços digitais: FGTS Receita Federal e-cpf e-cnpj Portais muitos outros... Medida Provisória nº de 24 de agosto de 2001 Quem é o responsável pelos certificados digitais da empresa? Onde ficam armazenadas as chaves privadas? Existem controles de prazo de renovação e continuidade? A Auditoria participa dos cerimoniais?

22 Continuidade dos Negócios 22 Não basta depositar toda a confiança da continuidade da organização, em profissionais qualificados. Eles próprios podem não estar disponíveis durante uma contingência. Participação da Auditoria em avaliações pontuais e nos simulados.

23 Mensagem final 23 É importante fazer sempre o diagnóstico da situação antes de agir, entretanto, até mesmo para atividades como a de AUDITORIA, só fazer o diagnóstico não resolve. Atualmente é de vital importância apresentar alternativas de SOLUÇÕES para os problemas levantados, fazendo parte ativa do processo de melhoria.

24 Dúvidas Obrigado pela atenção! Francisco Fernandes Banco Safra Superintendente de Auditoria de TI FEBRABAN Coordenador da Subcomissão de Auditoria de TI Tel: +55 (11)