EMENTA. Agenda. Disciplina. Agenda. Dado 06/02/2017. Auditoria e Segurança em Sistemas de Informação. Conceitos Básicos. O Conceitos básicos

Transcrição

1 Auditoria e Segurança em Sistemas de Informação Conceitos Básicos Prof.ª. Janaide Nogueira Conceitos básicos de auditoria; Auditoria de sistemas de informação; EMENTA Controles em sistemas de informação gerencial e de aplicações. Técnicas de auditoria em sistemas de informação. Estrutura da função de auditoria de sistemas de informação nas organizações. Os conceitos e os tipos de ameaças, riscos e vulnerabilidades dos sistemas de informação. Avaliação de integridade e segurança de dados, efetividade e de eficiência. Sistemas de auditoria. Funções de auditoria e segurança em sistemas de informação. Segurança na Internet. Levantamento e análise de risco. Criar plano de contingência organizacional. Conhecer e usar softwares para auditoria de sistemas. Políticas e normas de segurança em ambiente de TI. Pentest. 2 80hrs Disciplina Referências Bibliográficas: O STALLINGS, WILLIAM. Criptografia e Segurança de Redes princípios e práticas 4 edição. O ALEXANDRE GUEDES GUIMARÃES, RAFAEL DUEIRE LINS, RAIMUNDO CORRÊA DE OLIVEIRA,Segurança Com Redes Privadas Virtuais Vpns. Editora Brasport, 2006 O LAUDON, KENNETH C.; LAUDON, JANE PRICE. Sistemas de Informação Gerenciais administrando a empresa digital 5 edição. O THE HONEYNET PROJECT. Conheça o seu Inimigo o Projeto Honeynet revelando as ferramentas de segurança táticas e motivos da comunidade hacker. O LAUDON, KENNETH C.; LAUDON, JANE PRICE. Sistemas de Informação Gerenciais 7 edição. O ROSINI, Alessandro Marco. Administração de Sistemas de Informação e Gestão do. Pioneira Thomson. 3 Agenda O Conceitos básicos O Dado; O Informação; O O O O que é auditoria? O Objetivos; O Classificação de auditoria; O Envolvidos; O Elementos essenciais; 4 Agenda O Conceitos básicos O Dado; O Informação; O O O O que é auditoria? O Objetivos; O Classificação de auditoria; O Envolvidos; O Elementos essenciais; Dado O É um conjunto de letras, números ou dígitos que colocado isoladamente, não agrega nenhum conhecimento, não possui significado claro

2 Dado O É um conjunto de letras, números ou dígitos que colocado isoladamente, não agrega nenhum conhecimento, não possui significado claro. Informação O conceito de informação vem ser o dado trabalhado ou tratado agregado com sentido natural e lógico para quem usa a informação. Define-se como algo útil. 2,4,6,8,10; xyz; Maria Dado 7 8 Informação O conceito de informação vem ser o dado trabalhado ou tratado agregado com sentido natural e lógico para quem usa a informação. Define-se como algo útil. Quando a informação é trabalhada por pessoas e pelos recursos computacionais, possibilitando geração de cenários, simulações e oportunidades, pode ser chamada de 2,4,6,8,10 São Múltiplos de dois. x,y,z - São coordenadas cartesianas. Maria - Nome de uma pessoa Quando a informação é trabalhada por pessoas e pelos recursos computacionais, possibilitando geração de cenários, simulações e oportunidades, pode ser chamada de O Exemplo: O Percepção da dificuldade; Quando a informação é trabalhada por pessoas e pelos recursos computacionais, possibilitando geração de cenários, simulações e oportunidades, pode ser chamada de O Exemplo: O Percepção da dificuldade; O Uso de experiências semelhantes;

3 Quando a informação é trabalhada por pessoas e pelos recursos computacionais, possibilitando geração de cenários, simulações e oportunidades, pode ser chamada de O Exemplo: O Percepção da dificuldade; O Uso de experiências semelhantes; O Concepção de equipamentos, pessoas, materiais e pessoas, que são vitais para um serviço; 13 Quando a informação é trabalhada por pessoas e pelos recursos computacionais, possibilitando geração de cenários, simulações e oportunidades, pode ser chamada de O Exemplo: O Percepção da dificuldade; O Uso de experiências semelhantes; O Concepção de equipamentos, pessoas, materiais e pessoas, que são vitais para um serviço; O Entendimento de contratos que podem ser negociados, visando à adequação à realidade de uma atividade. 14 Dado, Informação e Dado, Informação e Dados: estão nos arquivos, nas mídias eletrônicas Informação: pode ser extraída de um memorando, de uma tela, etc. existe dentro das pessoas, tem origem e é aplicado na mente das pessoas 15 CONHECIMENTO INFORMAÇÃO DADO 16 O Para a geração do conhecimento;

4 O Para a geração do conhecimento; O Para a tomada de decisões; O Para a geração do conhecimento; O Para a tomada de decisões; O Representa efetivamente valor para o negócio, dentro de cada um dos seus processos O que é auditoria? O Para a geração do conhecimento; O Para a tomada de decisões; O Representa efetivamente valor para o negócio, dentro de cada um dos seus processos. O A importância da informação é tamanha nos tempos atuais que se diz que vivemos a era da informação. O Uma auditoria consiste basicamente na comparação do estado dos processos de negócio, dos seus serviços e ativos de informação, contra um critério de auditoria O que é auditoria? Objetivos da auditoria O Uma auditoria consiste basicamente na comparação do estado dos processos de negócio, dos seus serviços e ativos de informação, contra um critério de auditoria. O Os possíveis resultados são: O Conforme; O Não conforme(com eventual oportunidade de melhoria). O Garantir a efetividade dos processos e ativos de uma determinada organização; O A auditoria poderá dedicar-se a comprovar a eficácia, a eficiência ou a efetividade do sistema

5 Curiosidades! Curiosidades! O A eficácia refere-se a obtenção dos resultados, independente se estão sendo obtidos de melhor maneira ou não; O A eficácia refere-se a obtenção dos resultados, independente se estão sendo obtidos de melhor maneira ou não; O A eficiência preocupa-se com que os controles de segurança da informação estejam sendo implementados e utilizados da melhor forma possível, com a melhor qualidade e o menor custo, independentemente de os resultados esperados estarem sendo atingidos; Curiosidades! O A efetividade é a junção das duas e se preocupa em garantir os melhores resultados da melhor forma possível; Classificação de auditoria CLASSIFICAÇÃO DAS AUDITORIAS QUANTO AO TIPO: Auditoria de Primeira Parte - auditoria interna Auditoria de Segunda Parte - cliente/fornecedor Auditoria de Terceira Parte - auditoria de certificação CLASSIFICAÇÃO DAS AUDITORIAS QUANTO AO PROPÓSITO: Auditoria de Adequação - analisa a adequação do programa de qualidade através da documentação(política/procedimentos). Auditoria de Conformidade - analisa a documentação e sua efetividade nos locais de uso (implementação). 5

6 CLASSIFICAÇÃO DAS AUDITORIAS DE ACORDO COM O OBJETO: Auditoria do Sistema da Qualidade -documentação e organização; Auditoria de Processo -instruções e procedimentos operacionais; Auditoria de Produto -produto com suas especificações. CLASSIFICAÇÃO DAS AUDITORIAS CONFORME O ESCOPO: Auditoria Completa - todas as funções e atividades pertinentes ao sistema da qualidade; Auditoria Parcial - determinada função, área, linha de produto ou atividade de interesse; Auditoria de Acompanhamento - verifica a implantação e eficácia de ações corretivas previamente acordadas. AS AUDITORIAS AINDA PODEM SER... PROGRAMADAS: Que respondem a um planejamento de auditoria. POR SOLICITAÇÃO: não programadas realizadas para obter uma informação específica. AS AUDITORIAS AINDA PODEM SER... SEM AVISO: São realizadas quando há suspeita de graves desvios no Sistema de Gestão da Qualidade da organização. PRÉ-AUDITORIA: Utilizadas para decidir se é viável realizar uma auditoria de segunda ou de terceira parte. EQUIPE DE AUDITORES É aconselhável uma equipe com no mínimo dois auditores; EQUIPE DE AUDITORES É aconselhável uma equipe com no mínimo dois auditores; Os auditores deverão ser determinados com antecedência, de acordo com o que descreve o procedimento de auditorias internas; 6

7 EQUIPE DE AUDITORES É aconselhável uma equipe com no mínimo dois auditores; Os auditores deverão ser determinados com antecedência, de acordo com o que descreve o procedimento de auditorias internas; Os auditores devem estar habilitados para realizar a auditoria (curso de auditor interno). EQUIPE DE AUDITORES Poderá ser determinado um auditor líder para cada auditoria, que deverá: Ser responsável por todas as etapas da auditoria; Ter autoridade para tomar decisões finais; Participar da seleção da equipe de auditores; Atuar como representante da equipe de auditores; Apresentar o relatório final de auditoria. AS SETE OBRIGAÇÕES DO AUDITOR Verifique se estas coincidem com o enunciado da Política da Qualidade e o escopo da certificação; Verifique se as metas são conhecidas pelos colaboradores da empresa; AS SETE OBRIGAÇÕES DO AUDITOR Verifique se os indicadores da qualidades são avaliados através de métodos objetivos de medição; Avalie a adequação dos métodos estabelecidos utilizando o mapa de processo; Comprove quais são os meios que foram disponibilizados para implementar as metas; AS SETE OBRIGAÇÕES DO AUDITOR Estabeleça quais são as evidencias que permitem evidenciar o atendimento ou não atendimento dos requisitos da norma; Identifique quais processos fornecem e não fornecem valor agregado. Ser aberto; O AUDITOR DEVE: Ter a maturidade necessária; Ter uma boa capacidade de avaliação; Ter capacidade de coordenar e dirigir; Ser perseverante; Ser atento; Poder reagir eficientemente em situações de estresse; Não permitir que questões pessoais interfiram na auditoria; Tratar o auditado de modo adequado para que se alcance o objetivo da auditoria. 7

8 O AUDITOR QUANDO FOR CRITICAR DEVE SER: de maneira moderada criticar o fato e não a pessoa DEVE TER: Paciência Escuta ativa (deixar terminar de falar) DEVE MANTER: Contato visual Postura ereta da cabeça O Exercícios: 1ª) Diferencie Dado, Informação e. 2ª) O que é auditoria? Quais os objetivos da auditoria? 3ª) Como podemos classificar as auditorias? 4ª) Quais as características que você considera mais importante para um auditor de sistemas de informação? Por quê?