AUDITORIA E CONTROLES DE SEGURANÇA DA INFORMAÇÃO
|
|
- Estela Cíntia Martinho Prado
- 6 Há anos
- Visualizações:
Transcrição
1
2 AUDITORIA E CONTROLES DE SEGURANÇA DA INFORMAÇÃO O papel da área de Controles Internos nas organizações A necessidade constante de um excelente desempenho empresarial, leva à busca da qualidade e confiabilidade da informação para o auxílio à decisão. O mercado globalizado e o acesso fácil a todo tipo de informação tem formado clientes cada vez mais seletivos e criteriosos. Em função disso as empresas encontram-se levadas a desenvolver cada vez mais estratégias de melhoria contínua que assegurem a busca pela excelência de produtos e processos. As organizações necessitam assegurar que os processos internos executados pelos agentes humanos e computacionais não sofrerão desvios. Este elemento interno responsável pelo controle dos processos da organização é chamado de controle interno. O controle interno compreende todo o conjunto de controles, implementados sob responsabilidade da gestão da organização. Assim como a tecnologia evoluiu, ao longo do tempo o conceito de controles internos também evoluiu nas organizações. O que era antes conhecido como simplesmente procedimentos de controle modificou-se para uma estrutura de controles internos. A estrutura de controles internos de uma organização pode ser definida como os processos executados para apoiar e orientar a organização no cumprimento dos objetivos da instituição quanto à eficiência e eficácia nas operações e sua gestão.
3 Auditoria Fiscalização Orientação Controle Interno As funções principais do controle interno estão relacionadas ao cumprimento dos objetivos da entidade. Desta forma a existência de objetivos e metas é condição principal para a existência dos controles internos. Ele será efetivo quando as pessoas da organização souberem quais são suas responsabilidades, seus limites de autoridade e sua competência. Podemos então concluir que para a organização atingir seu objetivo deverá realizar a avaliação contínua dos controles internos com o objetivo de identificar e analisar os riscos associados ao não-cumprimento das metas e objetivos operacionais. A identificação e gerenciamento dos riscos é uma ação proativa, que permite evitar surpresas desagradáveis nas organizações. São os administradores que devem definir os níveis de riscos operacionais e de informação que estão dispostos a assumir. Aspectos de controle e Segurança Na sociedade da informação, ao mesmo tempo em que as informações são consideradas o principal patrimônio de uma organização, estão também sob constante risco, como nunca estiveram antes.
4 Com isso, a segurança da informação tornou-se um ponto crucial para a sobrevivência das instituições. Neste sentido um dos focos das fiscalizações de Tecnologia da Informação (TI), realizadas pelas organizações é a verificação da conformidade e do desempenho das ações organizacionais em aspectos de segurança de tecnologia da informação, utilizando critérios fundamentados com o objetivo de contribuir para o aperfeiçoamento da gestão organizacional, assegurando que a tecnologia da informação agregue valor ao negócio da organização. A auditoria de segurança da informação só tem sentido por permitir melhoria do tratamento da informação na organização. Ela cumpre basicamente as mesmas funções de uma auditoria de sistemas de informação, tais como descritos por Imoniana (2004) e por Schmidt, dos Santos e Arima (2005). A informação é produzida, identificada, armazenada, distribuída, usada e processada em todos os níveis da organização, visando o alcance dos objetivos de negócio,suas práticas definidas pelos sistemas de informação que apoiam os processos de trabalho na organização, sejam eles manuais ou automáticos. A gestão da informação tem fundamentos na administração, na contabilidade, na arquivologia, nas tecnologias da informação e da comunicação, nas ciências da informação e da computação, entre outras. Como ferramenta de segurança, a gestão da informação lança mão de elementos organizacionais, humanos, físicos e tecnológicos, integrados por meio de arquitetura e engenharia de sistemas, ou de forma mais geral através de uma abordagem cibernética.
5 Metodologia de auditoria em TI; A auditoria em ambiente de tecnologia da informação não muda a formação exigida para a profissão de auditor. A diferença está nas informações até então disponíveis em forma de papel são agora guardadas em forma eletrônica. O enfoque de auditoria teve que se modificar para assegurar que essas informações agora em formato eletrônica sejam confiáveis antes do auditor emitir seu relatório, já que ele está calcado na confiança e controle interno. Podemos então definir a auditoria como: Um exame sistemático e independente para determinar se as atividades e seus resultados estão de acordo com as disposições planejadas, se estas foram implementadas com a eficácia e se são adequadas à consecução dos objetivos. Desta forma, visam confirmar se os controles internos foram implementados e se existem e em caso afirmativo, se são efetivos. Neste contexto, as auditorias podem apresentar diferentes objetivos:
6 Conformidade com padrões Melhoria de Processo Melhoria do sistema de gestão Certificação Compliance Segundo Lyra, é possível pensarmos em uma metodologia de trabalho que seja flexível e aderente a todas as modalidades de auditoria em sistemas de informação. Esta metodologia é composta basicamente pelas seguintes fases: Planejamento e controle do projeto de auditoria Estabelece-se o planejamento inicial das ações e recursos necessários para a execução da auditoria. Nesta fase leva-se em consideração a abrangência das ações, o enfoque que se deseja, a definição dos procedimentos a serem utilizados durante o trabalho de auditoria, a escolha de alternativas para a realização dos trabalhos, acompanhamento e controle dos resultados obtidos. Devem ser utilizados ferramentas e métodos de planejamento, como por exemplo, o PMBOK e também deve ser formado o grupo de trabalho. Nesta fase deverá ser elaborado o plano da auditoria onde deve ficar claro: As expectativas de quem pediu a auditoria; Os critérios da auditoria: padrões e confidencialidade; As necessidades e interesses do auditado; A documentação que deve estar disponível; A agenda proposta para auditoria
7 Levantamento das informações Uma vez delimitado o escopo do trabalho, inicia-se o processo de levantamento das informações relevantes para a auditoria. Este levantamento deverá ocorrer de forma abrangente, mas que se tenha o entendimento do objeto da auditoria. Podemos nesta fase utilizar técnicas de entrevista e análise da documentação existente, colocando as informações de forma gráfica ou descritiva. O importante aqui é identificar claramente o escopo. Esta fase é essencial para evitar a possibilidade de execução de trabalho em áreas não pertencentes ao escopo. Identificação e inventário dos pontos de controles Nesta etapa busca-se identificar os diversos pontos de controles que merecem ser validados no contexto do escopo da auditoria. Cada ponto de controle deve ser relacionado, seus objetivos descritos, assim como as suas funções, parâmetros, fraquezas e técnicas de auditoria mais adequadas à sua validação. O resultado deste levantamento deve ser encaminhado ao grupo de coordenação da auditoria para uma validação quanto a sua pertinência para garantir que o objetivo da auditoria será atingido. Priorização e seleção dos pontos de controle Esta etapa consiste na seleção e priorização dos pontos de controle que foram inventariados na etapa anterior e que devem fazer parte da auditoria a ser realizada. Podem ser considerados os seguintes critérios: Grau de risco existente no ponto de controle Existência de ameaças Disponibilidade de recursos
8 Avaliação dos pontos de controles Esta etapa consiste na realização de testes de validação dos pontos de controle, Segundo as especificações e parâmetros determinados nas etapas anteriores. É a auditoria propriamente dita. Devem ser utilizadas técnicas de auditoria que evidenciem falhas ou fraquezas dos pontos de controles auditados. Normalmente existe uma técnica de auditoria e ferramenta mais eficiente para cada objetivo e característica do ponto de controle. Conclusão da auditoria Nesta etapa é realizada a elaboração do relatório de auditoria contendo o resultado encontrado, qualquer que seja ele. Este relatório deve conter o diagnóstico da situação atual, dos pontos de controle, caso existam, e as fraquezas dos controles, segundo as especificações das etapas anteriores. O fato de um ponto de controle apresentar uma fraqueza transforma-o em ponto de auditoria, e, portanto deve constar no relatório de auditoria recomendações para solução ou mitigação dessa fraqueza. Cada ponto de auditoria deverá sofrer revisão e avaliação, após um prazo dado para tomada de medidas corretivas. Nesta fase ocorre também o encerramento da auditoria com a apresentação do relatório. O auditor Líder deverá apresentar um breve resumo do processo e objetivo da auditoria. Deverá ser apresentado parecer por área auditada, assim como as recomendações. Neste momento deverão ser acordadas as datas para as ações corretivas e distribuídas cópias do relatório entre todos os participantes.
9 Acompanhamento da auditoria O acompanhamento da auditoria (follow-up) deve ser efetuado até que todas as recomendações tenham sido executadas e as fraquezas tenham sido eliminadas ou atinjam um nível tolerável pela organização. Uma auditoria bem planejada aperfeiçoa a utilização do tempo da auditoria, tornando as auditorias mais significativas, além de mostrar ao auditado que o auditor está preparado e também demonstrar uma atitude profissional. Documentação: papéis de trabalho, Relatórios de Auditoria e Pareceres Os Papéis de Trabalho de auditoria constituem um registro permanente do trabalho efetuado pelo auditor, dos fatos e informações obtidos, bem como as conclusões sobre os exames. É com base nos papéis de trabalho que o auditor irá relatar suas opiniões, criticas e sugestões. Eles servem de suporte para a elaboração dos relatórios de auditoria. Os Papéis de trabalho auxiliam o auditor na execução de exames, evidenciando o trabalho feito e as conclusões emitidas. É através deste artefato que poderá ser verificado se o serviço de auditoria foi feito de forma adequada e eficaz, assim como a solidez das conclusões emitidas. É importante que apresentem os detalhes do trabalho realizado, tais como: os fatos e informações importantes, escopo do trabalho efetuado, fonte das informações obtidas, opiniões e conclusões. Devemos ter em mente que este será um material que poderá ser posteriormente consultado por outros auditores, portanto o quanto mais completos melhor será seu entendimento por outro auditor.
10 Relatório de fraquezas de controle interno Produtos gerados pela auditoria Manual de auditoria do ambiente a ser auditado Certificado de controle interno Pastas contendo a documentação obtida O Relatório de Fraquezas de controle interno apresenta o objetivo do projeto de auditoria, a lista dos pontos de controle auditados, a conclusão alcançada a cada ponto de controle, além das alternativas de solução propostas. O Certificado de Controle Interno indica se o ambiente está em boa, razoável ou má condição em relação aos parâmetros de controle interno e apresenta o parecer da auditoria em termos globais e sintéticos. O manual de auditoria do ambiente auditado armazena o planejamento da auditoria, os pontos de controle testados e serve como referência para futuras auditorias. É composto por toda a documentação anterior já citada. AS pastas contendo a documentação da auditoria de sistemas irão conter toda a documentação do ambiente e dos trabalhos realizados como: relação de programas, relação de arquivos do sistema, relação de relatórios e telas, fluxos, atas de reunião, etc.
11 Papéis e responsabilidades Existem diferentes papéis em um processo de auditoria. Auditor Cliente Auditado Auditor Líder O auditor é quem realiza as auditorias propriamente dita. Ele deve planejar e realizar suas atribuições de forma eficaz e com competência, comunicar aos clientes e esclarecer os requisitos da auditoria, quando necessário. É primordial que ele documente as observações durante a realização da auditoria, relate os resultados da auditoria e verifique a eficácia das ações corretivas, quando solicitado. É o cliente quem solicita a auditoria e determina o seu propósito. Ele deve informar aos colaboradores envolvidos no processo de auditoria os objetivos e escopo da auditoria, assim como indicar as pessoas guias responsáveis. É de sua responsabilidade também receber o relatório de auditoria, realizar análise crítica, determinar as ações de acompanhamento e informar ao auditado. O papel do auditado é informar aos funcionários sobre a auditoria, indicar acompanhantes e prover recursos à equipe de auditoria, assim como acesso aos meios e ao material comprobatório. Deve cooperar com os auditores e após a realização da auditoria deverá definir e iniciar ações corretivas. O auditor líder é responsável em última instância por todas as fases da auditoria. Participa da seleção da equipe e prepara o plano de auditoria. É ele quem representa a equipe frente à Administração do auditado e entregar o relatório de auditoria.
12 A auditoria na Tecnologia da Informação Com a dependência das organizações nos processos de Tecnologia da Informação e nas informações geradas, nos investimentos realizados na área de TI e na necessidade da garantia da segurança das informações críticas existe a necessidade da aplicação correta e gerenciada dos recursos, de forma que a TI atenda às necessidades de negócio de cada entidade, ou seja, que agregue valor às suas funções finalísticas. Assim, à medida que a tecnologia se confunde com os produtos da organização, a TI e as informações geradas por meio dela deixam de ser uma questão meramente operacional e administrativa para se tornar uma questão estratégica. Neste contexto, a Governança de TI é aplicada de forma a alinhar o uso da Tecnologia da informação aos objetivos de negócio de cada organização possibilitando que se garanta: continuidade dos serviços atendimento a marcos regulatórios definição clara do papel da TI dentro da organização alinhamento dos processos operacionais e de gestão a padrões que atendam a necessidade do negócio definição de regras claras acerca de responsabilidades sobre decisões e ações dentro da organização Planos Políticas Dirigir Avaliar Propostas Desempenho Conformidade Monitorar
13 Existem diversos modelos que podem ser implementados em diferentes níveis organizacionais de forma complementares: Cobit PMBOK ITIL CMMI /MPS- BR ISO Desenvolvido pela ISACA, o COBIT é um modelo abrangente aplicável para a auditoria e controle de processos de TI, desde o planejamento da tecnologia até a monitoração e auditoria de todos os processos. Fornece um modelo abrangente que auxilia as organizações a atingirem seus objetivos de governança e gestão de TI e na versão atual apresenta 5 princípios: Entre seus objetivos está a garantia de que, na organização, a informação é
14 protegida contra exposição indevida (confidencialidade), alterações impróprias (integridade) e impedimento de acesso (disponibilidade). É constituído por: 34 processos 4 Domínios 210 0bjetivos de controles PO Planejar e Organizar AI - Adquirir e Implementar DS Entregar e Suportar ME Monitorar e Avaliar COBIT O ITIL foi desenvolvido pelo atual OGC (Office of Government Commerce), órgão público que busca otimizar e melhorar os processos internos do governo britânico. O ITIL é uma biblioteca de melhores práticas voltada para a área de TI, mais especificamente para a ares de infraestrutra. O ITIL surgiu em 1986 com o desenvolvimento do conjunto de mais de 40livros que abordavam uma variedade de melhores práticas de TI. A partir de 1999, foram acrescentados sete livros principais que tratamos processos amplamente aceitos como um framework de melhores práticas para Gerenciamento de Serviços de TI (IT Service Management - ITSM). Em 2007, transcorridos 21 anos, em sua Versão 3, foi reorganizado para cinco livros principais e um livro oficial de introdução.
15 O PMBOK (Project Management Body of Knowledge) é um conjunto de conhecimentos gerenciado pela organização Project Management Institute (PMI). Tornou-se um padrão, de fato, em diversas indústrias. Não se trata de uma metodologia de gerenciamento de projetos, e sim, de uma padronização que identifica e nomeia processos, áreas de conhecimento, técnicas, regras e métodos. Áreas de conhecimento do PMBOK: Integração Escopo Tempo Custo Qualidade Recursos humanos Riscos Aquisição Partes Interessadas O CMMI é um modelo internacional desenvolvido pelo Software Engineering Institute-SEI em O modelo utiliza o conceito de constelação e são apresentados três constelações: Diretrizes para monitorar, mensurar e gerenciar processos de desenvolvimento Diretrizes para Suportar as decisões relacionadas à aquisição de produtos e serviços Diretrizes para entrega de serviços dentro das organizações e para clientes externos. Uma constelação é um conjunto de componentes CMMI utilizados para construir modelos, materiais de treinamento e documentos de avaliação relacionados a uma área de interesse.
16 Possui representação: estágios (5 níveis) ou contínua (6 níveis). Na representação contínua a organização escolhe uma determinada área de processo e trabalha na melhoria desses processos. Já na representação por estágio é utilizado conjuntos predefinidos de área de processo para estabelecer um caminho de melhoria para a organização. O processo de auditoria de Tecnologia da Informação deverá tomar como referência os padrões e modelos já adotados pelas organizações. Existem diversos modelos e padrões, como vimos acima, que podem ser utilizados em diferentes momentos e área tecnológica. No caso da inexistência de tal modelo na organização, deverá ser adotado modelos de referência já utilizados no mercado de TI. A auditoria de tecnologia da informação como já estudaos anteriormente é um exame sistêmico dos controles internos dentro do ambiente computacional da organização. O objetivo de uma auditoria de TI é levantar e documentar "evidências" das práticas e operações no âmbito da tecnologia da informação e realizar uma avaliação sobre a conformidade destas ações. Ela verifica se estas operações e ações da organização estão sendo realizadas de forma eficaz e eficiente para alcançar os objetivos de negócio da organização. São utilizadas para avaliar a capacidade da organização para proteger seus ativos de informação e dispensar corretamente as informações para as partes autorizadas. Desta forma, a auditoria poderá avaliar o risco das informações mais valiosas para as organizações e estabelecer métodos de minimizar os riscos. Neste caso a auditoria de TI tem como objetivo avaliar: Se os sistemas de computador da organização estão disponíveis para o negócio em todos os momentos, quando necessário. (Disponibilidade) Que as informações da organização estão sendo divulgadas apenas para usuários autorizados. (Confidencialidade)
17 Se as informações fornecidas estão exatas, confiáveis e em tempo oportuno. (Integridade) Controles organizacionais e operacionais Aquisição, Desenvolvimento, Manutenção e Documentação de sistemas Controles de hardware Controles de acesso Auditoria Operação e computador Suporte técnico Sistemas Aplicativo Plano de contingência e de recuperação de desastres Redes de computadores Auditoria de sistemas O Objetivo da auditoria de sistemas é proporcionar através da inspeção e elaboração de relatório de auditoria a adequação, revisão, avaliação e
18 recomendação para o aprimoramento dos controles internos nos sistemas de informação das organizações. Neste contexto são avaliados a utilização dos recursos humanos, materiais e tecnológicos envolvidos nos processamento dos mesmos e desta forma devem ocorrer em todos os sistemas da organização seja no nível estratégico, tático ou operacional. Para a realização desta verificação é necessário um processo sistêmico que envolve os seguintes passos: Metodologia Planejamento Levantamento do sistema Identificação e inventário dos pontos de controle Priorização e seleção dos pontos de controle Avaliação dos pontos de controle Conclusão da auditoria Acompanhamento Devido à complexidade dos sistemas informatizados, existem diferentes momentos para a realização das auditorias de sistemas: Auditoria durante o desenvolvimento de sistemas Auditoria Sistemas de Informação Auditoria de sistemas em produção Auditoria no ambiente tecnológico Auditoria em eventos específicos A auditoria durante o desenvolvimento de sistemas compreende auditar todo o processo de construção do sistema: fase de requisitos até a sua implantação, assim como o processo e metodologia. Já a auditoria de sistemas em produção preocupa-se com os procedimentos e resultados dos sistemas já implantados: segurança, corretude e tolerância a falhas.
19 A Auditoria no ambiente tecnológico preocupa-se com a estrutura organizacional, contratos, normas técnicas, custos, nível de utilização dos equipamentos e planos de segurança e contingência. A auditoria em eventos específicos tem como foco a análise das causas, consequências e ações corretivas cabíveis em eventos não cobertos pelas auditorias anteriores. Técnicas de auditoria de sistemas As técnicas de auditoria tem como objetivo auxiliar os auditores em seus processos de trabalho de forma a diminuir os custos envolvido no processo de auditoria, melhorar a qualidade do trabalho realizado, além de melhorar a produtividade. Existem diferentes técnicas que podem ser utilizadas juntas ou separadas. Test deck Conjunto de dados de entrada especialmente preparado com o objetivo de testar os controles programados e os controles dos sistemas aplicativos Simulação paralela Elaboração de massa de teste a ser submetida ao programa ou rotina Questionários à distância Verifica a adequação do ponto de controle aos parâmetros de controle interno (segurança física, lógica, eficácia, eficiência, etc). Visita in loco Consiste na atuação do equipe de auditoria junto ao pessoal de sistemas e instalações
20 Rastreamento e mapeamento Desenvolvimento e implementação de trilha de auditoria para acompanhar certos pontos da lógica do processamento de algumas transações Análise da lógica de programação Verificação da lógica de programação para certificar que as instruções dadas ao computador são as mesmas já identificadas nas documentações dos sistemas aplicativos. Lógica de auditoria embutida no sistema Inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos. Periodicamente, os relatórios de auditoria são emitidos para a revisão e o acompanhamento dos procedimentos operacionais. Rastreamento de programas Possibilita seguir o caminho de uma transação durante o processamento do programa. Objetiva identificar as inadequações e ineficiência na lógica de um programa. Entrevistas no ambiente computacional Realização de reuniões entre o auditor e o auditado. Existem diversas técnicas que podemos utilizar para a realização de entrevistas como por exemplo, 5W+1H (What, Who, Where,When, Why e How). Análise de relatórios / telas Analise de relatórios e tela no que se refere ao nível de utilização pelo usuário, ao grau de confidencialidade, forma de utilização de integração com outras telas / relatórios, padronização dos layouts e distribuição das informações.
21 Análise de log / accounting Permite verifica a utilização de todos os ativos de TI envolvidos no objeto da auditoria. Análise do programa fonte Consiste na análise visual do programa e na comparação da versão do objeto que está sendo executado com o objeto resultante da última versão do programa fonte compilado. Exibição parcial da memória snap shot Técnica que fornece uma listagem ou gravação do conteúdo do programa (acumuladores, chaves, áreas de armazenamento), quando determinado registro está sendo processado (dump parcial de memória). Ferramentas de auditoria Dentro do contexto tecnológico atual é necessário que o auditor utilize ferramentas. Em todo e qualquer trabalho de auditoria seja interna ou externa, é importante que o auditor utilize instrumentos que auxilie e agilize o desenvolvimento dos trabalhos. Neste sentido existem ferramentas que apoiam os auditores a conseguir alcançar suas metas, tal como elas foram definidas no planejamento prévio da auditoria. Existem diferentes modalidades de ferramentas assistidas por computador com objetivo e funcionalidades diferentes e que podem ser utilizadas em conjunto ou separadas.
22 Especializadas Generalista Utilidade geral Ferramentas de Auditoria Uma ferramenta generalista envolve o uso de software aplicativo ou um conjunto de programas e podem realizar as seguintes funções: Simulação paralela Extração de dados de amostra Testes globais Geração de dados estatísticos Sumarização Composição de arquivo Apontamento de duplicidade de registro Sequência incorreta de registro São ferramentas com capacidade de processar, analisar e simular amostras, sumarizar, apontar possíveis duplicidades, gerar dados estatísticos, e diversas outras funções.
23 As ferramentas especialistas, são programas desenvolvidos especificamente para executar certas tarefas numa circunstância definida. Já os programas especializados são utilizados para executar algumas funções muito comuns de processamento,como por exemplo, ordenar sumarizar, concatenar e gerar relatório. A grande vantagem desse tipo de ferramenta é que o auditor pode desenvolver um software especializado, em uma área muito complexa, utilizando isso como uma vantagem competitiva As ferramentas de utilidade geral podem ser classificadas com softwares utilitários, próprios para a execução de funções muito comuns de processamento, como sortear arquivos, concatenar, sumarizar e gerar relatórios. Sua grande vantagem está na capacidade que possuem de servir como substitutos na ausência de recursos mais completos. Controles de Segurança da Informação A Norma ABNT NBR ISO é uma norma de segurança que oferece um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Informação (SGSI). Oferece um anexo com controles de segurança baseados e definidos na norma ISO (norma de melhores práticas em segurança da informação): Política de segurança Organizando a segurança da informação Gestão de ativos Segurança em recursos humanos Segurança física e do ambiente Segurança nas operações e comunicações Controle de acessos
24 Aquis., desenv. e manut. de sistemas Gestão de incidentes de segurança da informação Gestão da cont. do negócio Conformidade O COBIT apresenta orientações sobre como manter os riscos das organizações em níveis aceitáveis, a disponibilidade de sistemas e serviços e ainda estar em conformidade com a regulamentação vigente. Com a sua implementação garante que, na organização, a informação será protegida contra exposição indevida (confidencialidade), alterações impróprias (integridade) e impedimento de acesso (disponibilidade). Apresenta 12 princípios : Foco no negócio Entregar qualidade e valor às partes interessadas Estar em conformidade com os requisitos legais e regulatórios relevantes Prover informação tempestiva e precisa sobre o desempenho da segurança da Informação Avaliar ameaças atuais e futuras à informação Promover melhorias contínuas na informação Promover melhorias contínuas na informação Adotar uma abordagem baseada em risco Proteger informação classificada Concentrar-se em aplicações críticas de negócio Desenvolver sistemas de forma segura Atuar de uma maneira profissional e ética Promover uma cultura de Segurança da Informação positiva
25 APO 13 Gerenciar a Segurança DSS 05 Gerenciar Serviços de Segurança O Processo APO 13 Gerenciar a segurança, pertence ao domínio Alinhar, planejar e Organizar. Tem como objetivo definir, operar e monitorar um sistema de gestão de segurança da informação (SI). Manter o impacto e ocorrências de incidentes de SI dentro dos níveis aceitáveis de risco na organização. Define as seguintes ações: Estabelecer e manter um ISMS Definir e gerenciar um plano de tratamento para o risco de SI Monitorar e revisar o ISMS O processo DSS - 05 Gerenciar Serviços de Segurança, pertence ao domínio Monitorar, Avaliar e Analisar. Tem como objetivo proteger as informações da organização para manter o nível de risco aceitável para a segurança da informação da organização, de acordo com a política de segurança. Ele estabelece e mantém as funções de segurança da informação, os privilégios de acesso e realiza o monitoramento. São ações definidas pelo processo DSS 05:
26 Proteger contra malware Gerenciar segurança de rede e conectividade Gerenciar segurança de endpoints Gerenciar identidade e acesso lógico e de usuários Gerenciar acesso físico a ativos de TI Gerenciar documentos e dispositivos de saída sensíveis Monitorar a infraestrutura quanto a eventos relacionados a segurança O SANS Institute, mantém uma lista com os 20 controles de segurança mais críticos para as organizações. O objetivo é apresentar os principais controles que todas as empresas e entidades devem priorizar no momento de criar e investir em sua infraestrutura de segurança: Controles de Segurança críticos Inventário de dispositivos autorizados e não autorizados Inventário de Software autorizados e não autorizados Configurações de segurança para hardware e software Avaliação e correção contínuas de vulnerabilidades Defesas contra Malware Segurança de software de aplicação Controle de acesso Wireless Recurso de recuperação de dados Avaliação de habilidades de segurança e treinamento adequado para corrigir falhas Configurações seguras para dispositivos de rede Limitação e controle de portas de rede, protocolos e serviços Uso controlado de privilégios administrativos
27 Defesa de limites Manutenção, monitoramento e análise de registros de auditoria Acesso controlado com base na necessidade de saber Monitoramento e Controle de Conta Proteção de dados Resposta a incidentes e gerenciamento Engenharia de rede segura Testes de Penetração e Exercícios da equipe vermelha Matriz RACI No contexto da segurança da informação e do controle é essencial que as atribuições e responsabilidades estejam formalizadas e documentadas a fim de evitar dúvidas e posteriores conflitos entre os membros das equipes envolvidas. Pessoas Quem faz o quê Quem decide o quê Neste sentido a matriz de responsabilidades ou matriz de designação de responsabilidades, também conhecida como Matriz RACI é um eficiente instrumento cujo principal objetivo é a atribuição de funções e responsabilidades dentro de um determinado processo, projeto, serviço ou departamento/função.
28 A sigla RACI significa: R A C I Responsible - Responsável por executar uma atividade (o executor); Accountable - Quem deve responder pela atividade, o dono (apenas uma autoridade pode ser atribuída por atividade); Consult - quem deve ser consultado e participar da decisão ou atividade no momento que for executada; Inform - quem deve receber a informação de que uma atividade ou ação foi executada. Na construção de uma tabela RACI devemos atribuir às responsabilidades R, A, C e I em tarefas de um processo, serviço ou departamento. Desta forma devemos criar uma tabela, onde as linhas correspondem as atividades e as colunas os responsáveis envolvidos. Cada célula desta tabela deverá ser preenchida com um ou mais letras (R, A, C e/ou I) associando cada atividade da linha com os responsáveis descritos em cada coluna, conforme a tabela abaixo: Dono do Processo Usuário1 Usuário2 Área A Atividade 1 A/R C I C Atividade 2 A R I C Atividade 3 A R I I Atividade 4 A C I R Matriz RACI de um processo de segurança qualquer. Existem duas regras básicas que devem ser seguidas na construção de qualquer tabela RACI: Para toda atividade, deve existir pelo menos 01 um responsável em executá-la (R) e um dono (A); Não pode existir mais de um dono para uma mesma atividade (A).
29 Referências: SCHMIDT, Paulo; Santos, Jose Luiz dos; Arima, Carlos Hideo. Fundamentos de Auditoria de Sistemas. Rio de Janeiro, Atlas, 2006 FERREIRA, Fernando N. Freitas ; ARAÚJO, Márcio T. Política de Segurança da Informação. Ciência Moderna, PEIXOTO, Mario Cesar Pintaudi. Engenharia Social e Segurança da Informação. Brasport, CAMPOS, Andre L.N. Sistema de Segurança da Informação: Controlando os Riscos. São Paulo, Visual Books, Cobit for assurancce: última consulta em 24/10/2015. COBIT 5 for security: Product-Page.aspx, última consulta em 24/10/2015. Daychoum, Merhi ferramentas e técnicas de gerenciamento / Merhi Daycoum; prefácio Ana Cláudia Baumotte. 4. Ed. Rio de Janeiro: Barsport, DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. Rio de Janeiro, Axcel Books, GIL, Antonio de Loureiro. Auditoria de Computadores. SAO PAULO: ATLAS, CISA, Review Manual. Edição 2014, ed. ISACA Imoniana, Joshua Onome, Auditoria e Sistemas de Informação, 2. Ed. São Paulo: atlas, 2008.
30 Lyra, Maurício Rocha Segurança e Auditoria em Sistemas de Informação Rio de Janeiro: Editora Ciência Moderna Ltda., MARTINS, José Carlos Cordeiro. Gestão de Projetos de segurança da Informação. Brasport Matriz RAcI: acessado em 20/11/2015. Portal de Auditoria: última consulta em 24/10/2015 San institute: poster.pdf?utm_medium=social&utm_source=twitter&utm_content=sansinstit ute+poster+20+critical+controls&utm_campaign=sans+20+critical+securit y+controls+, última consulta em 24/10/2015
Auditoria e Segurança em S.I.
Auditoria e Segurança em S.I. Critérios de auditoria O Boa parte da estabilidade e dos resultados obtidos pela atividade de auditoria depende da competência do grupo de auditores. O O auditor precisa ter
Leia maisPOLÍTICA DE SEGURANÇA DA INFORMAÇÃO PÚBLICA
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PÚBLICA ÍNDICE 1. OBJETIVO... 3 2. ABRANGÊNCIA... 3 3. DIRETRIZES... 3 3.1. TREINAMENTO E CONSCIENTIZAÇÃO... 3 3.2. COOPERAÇÃO ENTRE ORGANIZAÇÕES... 3 3.3. CONDUTAS
Leia maisGerenciamento e Interoperabilidade de Redes. Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt
Gerenciamento e Interoperabilidade de Redes Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt Como a SI pode ser obtida? Implementando CONTROLES, para garantir que os objetivos de segurança
Leia maisConceitos de Auditoria de Sistemas
Conceitos de Auditoria de Sistemas IFPR Campus Paranavaí TADS Seg. e Auditoria de Sistemas Prof. Rafael H. D. Zottesso Material produzido por: Prof. Gledston Carneiro 28/09/16 1 CONCEITOS IMPORTANTES:
Leia maisPOLÍTICA DE RISCO OPERACIONAL DOS FUNDOS E CARTEIRAS GERIDOS PELO SICREDI
POLÍTICA DE RISCO OPERACIONAL DOS FUNDOS E CARTEIRAS GERIDOS PELO SICREDI Versão: outubro/2016 1. OBJETIVO Em concordância com as diretrizes da Política de Gerenciamento de Riscos dos Fundos e Carteiras
Leia maisSegurança da Informação
INF-108 Segurança da Informação Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt Segurança da Informação Preservação de: Confidencialidade Integridade Disponibilidade Como a SI pode ser
Leia maisGerencial Industrial ISO 9000
Gerencial Industrial ISO 9000 Objetivo: TER UMA VISÃO GERAL DO UM SISTEMA DE GESTÃO DA QUALIDADE: PADRÃO ISO 9000 Qualidade de Processo Qualidade do produto não se atinge de forma espontânea. A qualidade
Leia maisAULA 02 Qualidade em TI
Bacharelado em Sistema de Informação Qualidade em TI Prof. Aderson Castro, Me. AULA 02 Qualidade em TI Prof. Adm. Aderson Castro, Me. Contatos: adersoneto@yahoo.com.br 1 Qualidade de Processo A Série ISO
Leia maisGerenciamento e Interoperabilidade de Redes
EN3610 Gerenciamento e Interoperabilidade de Redes Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt Santo André, abril de 2011 Como a SI pode ser obtida? Implementando CONTROLES, para
Leia maisAUDITORIAS AUDITORIAS
OBJETIVO DA AUDITORIA PROCEDIMENTOS VERIFICAR, ATESTAR SE AS ATIVIDADES E OS RESULTADOS A ELA RELACIONADOS, DE UM SISTEMA DE GESTÃO FORMAL, ESTÃO IMPLEMENTADOS EFICAZMENTE. DEFINIÇÕES: AUDITORIA: UM EXAME,
Leia maisADMINISTRAÇÃO DE SISTEMAS DE INFORMAÇÃO. Unidade VI Planejamento Estratégico de TI. Luiz Leão
Luiz Leão luizleao@gmail.com http://www.luizleao.com Conteúdo Programático 6.1 Governança de tecnologia da Informação 6.2 Planejamento e Controle da TI 6.3 O Papel Estratégico da TI para os Negócios 6.4
Leia maisSegurança da Informação ISO/IEC ISO/IEC 27002
Segurança da Informação ISO/IEC 27001 ISO/IEC 27002 ISO/IEC 27001 Prover um modelo para estabelecer, implantar, operar, monitorar, rever, manter e melhorar um Sistema de Gestão da Segurança da Informação.
Leia mais3) Qual é o foco da Governança de TI?
1) O que é Governança em TI? Governança de TI é um conjunto de práticas, padrões e relacionamentos estruturados, assumidos por executivos, gestores, técnicos e usuários de TI de uma organização, com a
Leia maisPolítica Controles Internos
Política Controles 1. Objetivo Esta política estabelece diretrizes e responsabilidades para a implementação e manutenção do Sistema de Controles integrado ao Gerenciamento de Risco Operacional aplicável
Leia maisSegurança da Informação Aula 9 Políticas de Segurança. Prof. Dr. Eng. Fred Sauer
Segurança da Aula 9 Políticas de Segurança Prof. Dr. Eng. Fred Sauer http://www.fredsauer.com.br fsauer@gmail.com Política de Segurança de Informações É um documento que serve como mecanismo preventivo
Leia maisProf. Victor Dalton COMPARATIVO. PMBOK x ITIL x COBIT
COMPARATIVO PMBOK x ITIL x COBIT 2019 Sumário SUMÁRIO...2 SEMELHANÇAS ENTRE PMBOK, ITIL E COBIT... 3 QUESTÕES COMENTADAS PELO PROFESSOR... 6 CONSIDERAÇÕES FINAIS... 10 Olá pessoal! Preparei GRATUITAMENTE
Leia maisSegurança de Redes. Gestão de Segurança da Informação. Prof. João Henrique Kleinschmidt
Segurança de Redes Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt Segurança da Informação Preservação de: Confidencialidade Integridade Disponibilidade Como a SI pode ser obtida? Implementando
Leia maisGERENCIAMENTO INTEGRADO DE RISCOS CORPORATIVOS, CONTROLES INTERNOS E COMPLIANCE. Histórico de Revisões. Elaboração do Documento.
Histórico de Revisões Versão: 01 Data de Revisão: Histórico: Elaboração do Documento. Índice I. Objetivo... 1 II. Abrangência... 1 III. Documentação Complementar... 1 IV. Conceitos e Siglas... 2 V. Responsabilidades...
Leia maisMódulo Contexto da organização 5. Liderança 6. Planejamento do sistema de gestão da qualidade 7. Suporte
Módulo 3 4. Contexto da organização 5. Liderança 6. Planejamento do sistema de gestão da qualidade 7. Suporte Sistemas de gestão da qualidade Requisitos 4 Contexto da organização 4.1 Entendendo a organização
Leia maisAuditoria de controles organizacionais. Prof. Dr. Joshua Onome Imoniana
Auditoria de controles organizacionais Prof. Dr. Joshua Onome Imoniana Definição de controles organizacionais Os controles organizacionais e operacionais são os controles administrativos instalados nos
Leia maisFORMAÇÃO DE AUDITORES INTERNOS DA QUALIDADE ISO 19011:2012 PROF. NELSON CANABARRO
FORMAÇÃO DE AUDITORES INTERNOS DA QUALIDADE ISO 19011:2012 PROF. NELSON CANABARRO PRINCÍPIOS ISO 9001:2015 1. Foco no cliente 2. Liderança 3. Engajamento das pessoas 4. Abordagem de processo 5. Melhoria
Leia maisGestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e- Learning Sistema de
Curso e- Learning Sistema de Gestão de Segurança da Informação Interpretação da norma NBR ISO/IEC 27001:2006 Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste
Leia maisQualidade e Auditoria de SW. Prof. Dr. Luis Fernando GARCIA
Qualidade e Auditoria de SW Prof. Dr. Luis Fernando GARCIA luis@garcia.pro.br www.garcia.pro.br Auditoria de TI Fontes Questão Importante Auditor? Por que Auditar 7 Por que auditar? TI está em todos os
Leia maisPROCEDIMENTO OPERACIONAL PADRÃO
PROCEDIMENTO OPERACIONAL PADRÃO TÍTULO: PLANEJAMENTO E EXECUÇÃO DE AUDITORIA Revisão/Ano: 01/2018 Classificação SIGDA: SUMÁRIO 01. OBJETIVO 02. CAMPO DE APLICAÇÃO 03. RESPONSABILIDADES 04. DEFINIÇÕES 05.
Leia maisAuditoria de Operações e Suporte Tecnico. Prof. Dr. Joshua Onome Imoniana
Auditoria de Operações e Suporte Tecnico Prof. Dr. Joshua Onome Imoniana Auditoria de Operações de Computador Compreensão do controle de operação A operação do computador compreende função da área de informática
Leia maisCHECK-LIST ISO 14001:
Data da Auditoria: Nome da empresa Auditada: Auditores: Auditados: Como usar este documento: Não é obrigatório o uso de um check-list para o Sistema de Gestão. O Check-list é um guia que pode ser usado
Leia maisDESENHO DE CARGOS E TAREFAS
Faculdade de Tecnologia SENAC GO Gestão de Pessoas Professor: Itair Pereira da Silva Grupo: Luís Miguel Nogueira de Resende, Valdivino de Carvalho, Rodrigo Neres Magalhães e Venicyus Venceslencio da Paz.
Leia maisPor Carolina de Moura 1
O desenvolvimento sistemático para a gestão de risco na empresa envolve um processo evolutivo. Nos últimos anos tenho testemunhado um forte interesse entre organizações, e as suas partes interessadas,
Leia maisCurso e- Learning. Formação de Auditores Internos do Meio Ambiente NBR ISO 14001, com base na NBR ISO 19011
Curso e- Learning Formação de Auditores Internos do Meio Ambiente NBR ISO 14001, com base na NBR ISO 19011 Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste
Leia maisOs processos de segurança da informação devem assegurar a integridade, a disponibilidade e a confidencialidade dos ativos de informação da Apex.
1 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Disposições Gerais Os sistemas de informação, a infraestrutura tecnológica, os arquivos de dados e as informações internas ou externas, são considerados importantes
Leia maisGestão da Tecnologia da Informação
TLCne-051027-P0 Gestão da Tecnologia da Informação Disciplina: Governança de TI São Paulo, Setembro de 2012 0 Sumário TLCne-051027-P1 Conteúdo desta Aula Conclusão do Domínio de Processos PO (PO7 e PO8)
Leia maisAtuar no planejamento e execução das Auditorias da Qualidade. Estabelecer lista de verificação para auditoria;
Página 1 de 9 AUDITORIAS DA QUALIDADE ETAPA 1. Objetivo geral: Atuar no planejamento e execução das Auditorias da Qualidade. Desempenho esperado: Estabelecer programa anual de auditorias; Elaborar agenda
Leia maisInterpretação da norma NBR ISO/IEC 27001:2006
Curso e Learning Sistema de Gestão de Segurança da Informação Interpretação da norma NBR ISO/IEC 27001:2006 Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste
Leia mais2. Gerenciamento do Serviço de Auditoria
2. Gerenciamento do Serviço de Auditoria Introdução 2.1. Todo o serviço de auditoria deve ser adequadamente planejado, supervisionado e gerenciado para assegurar que o serviço seja eficaz, eficiente e
Leia maisSistemas de Informação. Governança de TI
Sistemas de Informação Governança de TI . SUMÁRIO CAPÍTULO 6 Os frameworks utilizados e seus relacionamentos Introdução COBIT ITIL PMBoK CMMI Boas práticas de governança de TI Existem diversas estruturas,
Leia maisAUDITORIA INTERNA. A Auditoria Interna é exercida nas pessoas jurídicas de direito público, interno ou externo, e de direito privado.
A Auditoria Interna é exercida nas pessoas jurídicas de direito público, interno ou externo, e de direito privado. A Auditoria Interna compreende os exames, análises, avaliações, levantamentos e comprovações,
Leia maisGestão da Tecnologia da Informação
TLCne-051027-P0 Gestão da Tecnologia da Informação Disciplina: Governança de TI São Paulo, Novembro de 2012 0 Sumário TLCne-051027-P1 Conteúdo desta Aula Finalizar o conteúdo da Disciplina Governança de
Leia maisDesenvolvido pelo Software Engineering Institute-SEI em 1992 Possui representação por estágios (5 níveis)e contínua (6 níveis)
CMMI / MPS.BR Modelos de Maturidade de Qualidade de Software Aplicações criteriosas de conceitos de gerenciamento de processos e de melhoria da qualidade ao desenvolvimento e manutenção de software CMMI
Leia maisProcesso de gerenciamento da disponibilidade
Processo de gerenciamento da disponibilidade Devido ao ritmo de crescimento da tecnologia, as organizações têm dificuldade em manter um ambiente padronizado no que diz respeito a hardware e software necessários
Leia maisUma abordagem de gerência de configuração em ambiente de TI com as melhores práticas em I.T.I.L
Uma abordagem de gerência de configuração em ambiente de TI com as melhores práticas em I.T.I.L MARCELO CLÁUDIO DANTAS SALLES RIBEIRO JUNIOR MARIA DE JESUS RODRIGUES DA SILVA OBJETIVO Avaliar processos
Leia maisGestão de Pessoas Revisão: 02 Página 1 de 6
PROCEDIMENTO PR 6.01 Gestão de Pessoas Revisão: 02 Página 1 de 6 CÓPIA CONTROLADA 1. HISTÓRICO DE REVISÕES DATA REVISÃO RESUMO DE ALTERAÇÕES 20/08/2013 00 Emissão inicial 29/07/2014 01 03/12/2015 02 Adequações
Leia maisPOLÍTICA DE GERENCIAMENTO DO RISCO DE LIQUIDEZ Junho de 2013
POLÍTICA DE GERENCIAMENTO DO RISCO DE LIQUIDEZ Junho de 2013 Elaboração: Gerencia de Riscos Revisão: Compliance Classificação do Documento: Público ÍNDICE 1. OBJETIVO E ABRANGÊNCIA... 3 2. DEFINIÇÕES...
Leia maisPOLÍTICA PCT 007 GERENCIAMENTO DE RISCOS E CONTROLES INTERNOS
POLÍTICA PCT 007 GERENCIAMENTO DE RISCOS E CONTROLES INTERNOS Data: 29/10/2018 Página 1 de 6 1. OBJETIVO Disseminar a cultura de gestão de riscos e o ambiente de controle em todos níveis da organização,
Leia maisAuditoria de TIC aula 2
ULBRA Universidade Luterana do Brasil Faculdade de Informática Prof. Luís Fernando Garcia Disciplina de Qualidade e Auditoria de Software Controle Interno Função administrativa exercida pelo auditor de
Leia maisEMENTA. Agenda. Disciplina. Agenda. Dado 06/02/2017. Auditoria e Segurança em Sistemas de Informação. Conceitos Básicos. O Conceitos básicos
Auditoria e Segurança em Sistemas de Informação Conceitos Básicos Prof.ª. Janaide Nogueira 2017.1 Conceitos básicos de auditoria; Auditoria de sistemas de informação; EMENTA Controles em sistemas de informação
Leia maisEtapa 6 - Elaboração da documentação da qualidade
Módulo 3 Etapa 6 Elaboração dos documentos do sistema de gestão da qualidade, Etapa 7 Implementação dos requisitos planejados, Etapa 8 Palestras de sensibilização em relação à gestão da qualidade e outros
Leia maisREGULAMENTO DA AUDITORIA INTERNA CORPORATIVA
REGULAMENTO DA AUDITORIA INTERNA CORPORATIVA 15/05/2018 1. Definição da atividade de auditoria A Auditoria Interna da TOTVS é uma atividade independente e objetiva que presta serviços de avaliação e de
Leia maisBINS Indústria de Artefatos de Borracha Ltda. Questionário de Seleção e Homologação de Fornecedores
BINS Indústria de Artefatos de Borracha Ltda. Questionário de Seleção e Homologação de Fornecedores ESCOPO Este questionário de auto-avaliação tem como objetivo proporcionar um conhecimento geral do fornecedor,
Leia maisGestão da Tecnologia da Informação
TLCne-051027-P0 Gestão da Tecnologia da Informação Disciplina: Governança de TI São Paulo, Agosto de 2012 0 Sumário TLCne-051027-P1 Conteúdo desta Aula Continuação do Domínio de Processos PO (PO4, PO5
Leia maisDIRETRIZES DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
DIRETRIZES DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO ÍNDICE 1. OBJETIVO... 2 2. APLICAÇÃO... 2 3. REFERÊNCIA... 2 4. CONCEITOS... 2 5. RESPONSABILIDADES... 3 6. PRINCÍPIOS E DIRETRIZES... 3 6.1. Disposições
Leia maisMódulo 7. NBR ISO Interpretação dos requisitos: 4.3.3, 4.4, 4.4.1, 4.4.2, 4.4.3, 4.4.4, Exercícios
Módulo 7 NBR ISO 14001 - Interpretação dos requisitos: 4.3.3, 4.4, 4.4.1, 4.4.2, 4.4.3, 4.4.4, 4.4.5 Exercícios 4.3 Planejamento 4.3.3 Objetivos e metas e programa de gestão ambiental A organização deve
Leia maisGerência de Projetos e Qualidade de Software. Prof. Walter Gima
Gerência de Projetos e Qualidade de Software Prof. Walter Gima 1 OBJETIVOS O que é Qualidade Entender o ciclo PDCA Apresentar técnicas para garantir a qualidade de software Apresentar ferramentas para
Leia maisESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL
ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL A Um Investimentos S.A. CTVM atendendo às disposições da Resolução CMN nº 4.557/17 demonstra através deste relatório a sua estrutura do gerenciamento de
Leia maisLista de Verificação de Auditorias Internas do SGI - MA - SST
4.1 Requisitos Gerais 4.2 Política: Ambiental e de SST A empresa possui uma Política Ambiental e de SST? A Política é apropriada a natureza, escala, impactos ambientais e perigos e riscos das suas atividades,
Leia maisSegurança e Auditoria de Sistemas
Segurança e Auditoria de Sistemas ABNT NBR ISO/IEC 27002 0. Introdução 1 Roteiro Definição Justificativa Fontes de Requisitos Análise/Avaliação de Riscos Seleção de Controles Ponto de Partida Fatores Críticos
Leia maisControle de Qualidade da Auditoria de Demonstrações. Contábeis
Controle de Qualidade da Auditoria de Demonstrações Contábeis ABORDAGEM DO TEMA Contexto Documentação Objetivo Controle de Qualidade Elementos do CQ Definição Prática Exigências CONTEXTO Contexto Documentação
Leia maisCurso EAD. Formação de Auditores com base na norma NBR ISO 19011: /12/18
Curso EAD Formação de Auditores com base na norma NBR ISO 19011:2018 20/12/18 Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste material sem a permissão expressa
Leia maisIDENTIFICAÇÃO DO CANDIDATO INSTRUÇÕES
INSTRUÇÕES - Esta prova é SEM CONSULTA. - Inicie a prova colocando o seu nome em todas as páginas. - Todas as respostas às questões devem ser preenchidas a caneta. - Todas as informações necessárias estão
Leia maisPOLÍTICA DE TECNOLOGIA DA INFORMAÇÃO
POLÍTICA DE TECNOLOGIA DA INFORMAÇÃO 01/06/2018 INFORMAÇÃO PÚBLICA SUMÁRIO 1 OBJETIVO... 3 2 ABRANGÊNCIA... 3 3 REFERÊNCIAS... 3 4 REGRAS GERAIS... 3 5 RESPONSABILIDADES... 7 6 DISPOSIÇÕES FINAIS... 7
Leia maisPolítica de Controles Internos
Política de Controles Internos JURISDIÇÃO GEOGRÁFICA AND BAH BRA ESP USA ISR LUX MEX MON PAN SUI URU X A informação contida neste documento é de uso interno e propriedade do Grupo Andbank sendo proibida
Leia maisPOLÍTICA. TÍTULO: PLT-SGR Política do SGSI - SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO CONTROLE DE APROVAÇÃO ELABORADO REVISADO APROVADO
1/5 CONTROLE DE APROVAÇÃO ELABORADO REVISADO APROVADO 0000536 - André Delgado- SEGURANCA Danielle Souza; Oscar Zuccarelli; HISTÓRICO DE REVISÕES REVISÃO DATA REV. ALTERAÇÕES Atualização do item 2.2 - Solicitar
Leia maisSP v1 POLÍTICA DE CONTROLES INTERNOS
POLÍTICA DE CONTROLES INTERNOS 1 ÍNDICE 1. Objetivo... 3 2. Responsabilidade... 3 3. Referência... 3 4. Definições... 3 5. Papéis e Responsabilidades... 4 6. Documentação de Controles Internos...5 7. Auto
Leia maisCB.POL a. 1 / 7
CB.POL-.01 4 a. 1 / 7 1. CONTEÚDO DESTE DOCUMENTO Esta política estabelece diretrizes e responsabilidades para a implementação e manutenção do Sistema de Controles Internos integrado ao Gerenciamento de
Leia maisGestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e Learning Sistema de
Curso e Learning Sistema de Gestão de Segurança da Informação Interpretação da norma NBR ISO/IEC 27001:2006 Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste
Leia maisÍNDICE 1. OBJETIVO ABRANGÊNCIA DEFINIÇÕES GESTÃO DE RISCOS ETAPAS DA GESTÃO DE RISCOS E CONTROLES INTERNOS...
GESTÃO DE RISCOS Folha 1/10 ÍNDICE 1. OBJETIVO... 2 2. ABRANGÊNCIA... 2 3. DEFINIÇÕES... 2 4. GESTÃO DE RISCOS... 3 5. ETAPAS DA GESTÃO DE RISCOS E CONTROLES INTERNOS... 4 5.1. Identificação dos Riscos:...
Leia maisCampus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /
Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com / andre.belini@ifsp.edu.br MATÉRIA: SEGURANÇA DA INFORMAÇÃO Aula N : 11 Tema:
Leia mais1. Introdução PUBLIC - 1
1. Introdução Este documento fornece um resumo das atividades e diretrizes de Segurança da Informação e Cibernética estabelecidos na estrutura de Governança de Riscos do HSBC Brasil, instituídos por intermédio
Leia maisESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL
ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL A Um Investimentos S/A CTVM atendendo às disposições da Resolução CMN 3.380/06 demonstra através deste relatório a sua estrutura do gerenciamento de risco
Leia mais1. Esta Política Institucional de Gerenciamento de Capital:
1. Esta Política Institucional de Gerenciamento de Capital: Política Institucional de Gerenciamento de Capital a) é elaborada por proposta da área de Controles Internos e Riscos da Confederação Nacional
Leia maisRiscos e Controles Internos
Riscos e Controles Internos Ouvidoria: 0800-724-4010 ouvidoria@spinelli.com.br 1 Índice 1. Introdução 3 2. Objetivo 3 3. Estrutura de gerenciamento do risco operacional 4 4. Agentes da Estrutura de GRO
Leia maisData de Publicação 23/02/2017. Prazo de Validade 23/02/2018. Política de Controles Internos e Risco Operacional
Política de Controles Internos e Risco Operacional Sumário 1. Objetivo... 3 2. Controle Internos... 3 3. Risco Operacional... 4 4. Estrutura de controles internos... 5 5. Papéis e Responsabilidades...
Leia maisOHSAS 18001:2007 SAÚDE E SEGURANÇA OCUPACIONAL
OHSAS 18001:2007 SAÚDE E SEGURANÇA OCUPACIONAL Requisitos gerais, política para SSO, identificação de perigos, análise de riscos, determinação de controles. CICLO DE PDCA (OHSAS 18001:2007) 4.6 ANÁLISE
Leia maisSIMULADO 01 Governança de TI
SIMULADO 01 Governança de TI 1 - Qual das seguintes é a preocupação mais importante do gerenciamento de TI? a. Manter a TI funcionando b. Fazer com que a tecnologia funcione corretamente c. Manter-se atualizado
Leia maisISO/IEC 12207: Manutenção
ISO/IEC 12207: Manutenção O desenvolvimento de um sistema termina quando o produto é liberado para o cliente e o software é instalado para uso operacional Daí em diante, deve-se garantir que esse sistema
Leia maisLISTA DE VERIFICAÇÃO
LISTA DE VERIFICAÇÃO Tipo de Auditoria: AUDITORIA DO SISTEMA DE GESTÃO DA QUALIDADE Auditados Data Realização: Responsável: Norma de Referência: NBR ISO 9001:2008 Auditores: 4 SISTEMA DE GESTÃO DA QUALIDADE
Leia maisPLANEJAMENTO CICLO PDCA PLANEJAMENTO CICLO PDCA PLANO DO PROJETO UNIVERSIDADE FEDERAL DO PARANÁ 28/03/2016. PROFª MSc. HELOISA F.
SETOR DE TECNOLOGIA UNIVERSIDADE FEDERAL DO DEPARTAMENTO DE CONSTRUÇÃO CIVIL GESTÃO DE Prof.ª: MSc.: Heloisa Fuganti Campos 2 SUBMETIDA E APROVADA A PROPOSTA DO PROJETO PLANEJAMENTO PROCESSO DE PLANEJAMENTO
Leia maisCICLO PDCA CICLO PDCA UNIVERSIDADE FEDERAL DO PARANA DEPARTAMENTO DE CONSTRUC A O CIVIL GERENCIAMENTO DE PROJETOS. PROFª MSc. HELOISA F.
SETOR DE TECNOLOGIA UNIVERSIDADE FEDERAL DO PARANÁ DEPARTAMENTO DE CONSTRUÇÃO CIVIL GESTÃO DE Prof.ª: MSc.: Heloisa Fuganti Campos 2 SUBMETIDA E APROVADA A PROPOSTA DO PROJETO PLANEJAMENTO PROCESSO DE
Leia maisPadrões que auxiliam no gerenciamento da qualidade e segurança da informação de uma organização, a figura do profissional qualificado neste contexto
Padrões que auxiliam no gerenciamento da qualidade e segurança da informação de uma organização, a figura do profissional qualificado neste contexto e como obter a qualificação para atender esta demanda.
Leia maisEstrutura da Gestão de Risco Operacional
Conceito No Brasil a Resolução n.º 3380, emitida pelo BACEN em 29 de junho de 2006, seguindo as diretrizes estabelecidas pelo Conselho Monetário Nacional, definiu como: A possibilidade de ocorrência de
Leia maisFormação Técnica em Administração. Modulo de Padronização e Qualidade
Formação Técnica em Administração Modulo de Padronização e Qualidade Competências a serem trabalhadas ENTENDER OS REQUISITOS DA NORMA ISO 9001:2008 E OS SEUS PROCEDIMENTOS OBRIGATÓRIOS SISTEMA DE GESTÃO
Leia maisPolítica de Controles Internos
Política de Controles Internos Indice 1. OBJETIVO... 3 2. PÚBLICO ALVO E VIGÊNCIA... 3 3. REGULAMENTAÇÕES APLICÁVEIS... 3 4. DIRETRIZES... 3 4.1. FINALIDADE... 3 4.2. AMBIENTE DE CONTROLE... 3 4.3. AVALIAÇÃO
Leia maisInstrumento Organizacional. Política Institucional GESTÃO DE RISCOS CORPORATIVOS PI0028 V.2
Instrumento Organizacional Tipo: Política Institucional Fase: Vigente Título: Número e Versão: GESTÃO DE RISCOS CORPORATIVOS PI0028 V.2 Área Emitente: Aprovador: Vigência da 1ª versão: Vigência desta versão:
Leia maisInstitui a Política de Gestão de Riscos - PGR do Ministério da Transparência, Fiscalização e Controladoria-Geral da União - CGU.
CONTEÚDO CAPÍTULO I - DISPOSIÇÕES GERAIS CAPÍTULO II - DOS PRINCÍPIOS CAPÍTULO III - DOS OBJETIVOS CAPÍTULO IV - DA OPERACIONALIZAÇÃO CAPÍTULO V - DAS COMPETÊNCIAS CAPÍTULO VI - DAS DISPOSIÇÕES FINAIS
Leia maisQUALIDADE DE SOFTWARE ISO/IEC Segunda Edição Prof. Edison A M Morais
QUALIDADE DE SOFTWARE ISO/IEC 12207 Segunda Edição 13.03.2009 Prof. Edison A M Morais http://www.edison.eti.br prof@edison.eti.br 1 Descrever o objetivo da Norma ISO 12207. Mostrar a estrutura da norma.
Leia maisESTRUTURA DE GERENCIAMENTO DO RISCO OPERACIONAL
ESTRUTURA DE GERENCIAMENTO DO RISCO OPERACIONAL I. INTRODUÇÃO: O Risco Operacional pode ser entendido como a possibilidade de ocorrência de perdas resultantes de falhas, deficiência ou inadequação de processos
Leia maisMódulo 5 Requisito 8 Validação, verificação e melhoria do Sistema de Gestão da Segurança de Alimentos Etapas para implementação do APPCC e da ISO
Módulo 5 Requisito 8 Validação, verificação e melhoria do Sistema de Gestão da Segurança de Alimentos Etapas para implementação do APPCC e da ISO 22000 Processo de Certificação 8 Validação, verificação
Leia maisPortaria nº 966 de 26 de março de O Vice-Reitor da Universidade Federal de São Paulo, no uso de suas atribuições legais e regimentais,
Portaria nº 966 de 26 de março de 2018. Dispõe sobre a Política de Gestão de Riscos da Universidade Federal de são Paulo - Unifesp O Vice-Reitor da, no uso de suas atribuições legais e regimentais, Considerando
Leia maisPor Constantino W. Nassel
NORMA ISO 9000 SISTEMA DE GESTÃO DA QUALIDADE ISO 9001:2000 REQUISITOS E LINHAS DE ORIENTAÇÃO PARA IMPLEMENTAÇÃO Por Constantino W. Nassel CONTEÚDOS O que é a ISO? O que é a ISO 9000? Histórico Normas
Leia maisGUIMAR ENGENHARIA LTDA
Certificação de Sistema de Gestão 2015-mar-02 to 2015-mar-03 Escopo da Certificação: Auditor Líder: Auditor Membro: GERENCIAMENTO DE EMPREENDIMENTOS ABRANGENDO PRESTAÇÃO DE SERVIÇOS DE ENGENHARIA CONSULTIVA
Leia maisPROCEDIMENTO DA QUALIDADE
Pág.: 1 de 6 1. OBJETIVO Estabelecer procedimentos para identificação de não-conformidades, assim como a implantação de ação corretiva e ação preventiva, a fim de eliminar as causas das não-conformidades
Leia maisPOLÍTICA DE GESTÃO DE RISCOS
POLÍTICA DE GESTÃO DE RISCOS OBJETO A Política de Gestão de Riscos ( Política ) da Companhia de Engenharia de Tráfego ( CET ) tem o propósito de estabelecer as regras de estruturas e práticas de gestão
Leia maisGrupo de Extensão em Sistemas de Gestão Ambiental. Sistema de Gestão Ambiental
Grupo de Extensão em Sistemas de Gestão Ambiental Sistema de Gestão Ambiental 10 SIGA 25 de agosto de 2013 PANGeA O grupo iniciou suas atividades em 2005. Constituído por alunos da ESALQ Projetos internos
Leia maisMódulo 7 Estrutura da norma ISO 9001:2008 Sistemas de Gestão da Qualidade - Requisitos Requisitos 8.1, 8.2 e 8.3
Módulo 7 Estrutura da norma ISO 9001:2008 Sistemas de Gestão da Qualidade - Requisitos Requisitos 8.1, 8.2 e 8.3 Estrutura da norma Sistema de Gestão da Qualidade 4 C L I E N R E Q U I S 5 Responsabilidade
Leia maisAção Preventiva Ação para eliminar a causa de um potencial não-conformidade ou outra situação potencialmente indesejável.
A Ação Corretiva Ação para eliminar a causa de uma não-conformidade identificada ou outra situação indesejável. Ação Preventiva Ação para eliminar a causa de um potencial não-conformidade ou outra situação
Leia maisEste documento está dividido nas seguintes seções:
Assunto Política de Riscos Operacional Rio Bravo Investimentos DTVM Data 02 de março de 2017 Páginas. 6 De Rodrigo Gatti e Eros Henriques Dalhe Telefone 3509-6000 Área Diretoria de Operações Para Área
Leia mais