Pedro Cupertino de Miranda, CISM, CISA

Documentos relacionados
José Maria Pedro CISA CASO PRÁTICO 2: COBIT (STANDARDS UTILIZADOS EM AUDITORIA DE SISTEMAS DE INFORMAÇÃO)

Auditoria de Qualidade de Serviço à REN. Março de 2012

Qualidade e Auditoria de SW. Prof. Dr. Luis Fernando GARCIA

CARACTERIZAÇÃO DA ORGANIZAÇÃO. Designação: Instituto do Emprego e Formação Profissional, I.P. (IEFP, I.P.) Área de Negócio: Enquadramento:

EMENDAS EM OUTRAS ISA

Segurança da Informação

Gestão do Risco Operacional no Banco de Portugal

Roadmap para Implementação e Certificação ISO Mário Rui Costa

5.3. Em relação aos controles adotados pelo emissor para assegurar a elaboração de demonstrações financeiras confiáveis, indicar:

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

PROCEDIMENTO DE MONITORIZAÇÃO DO PLANO DE GESTÃO FLORESTAL SGF

Este documento é propriedade exclusiva da Santa Casa da Misericórdia do Porto. Data: 01/06/18 - v01 ; Classificação Doc.: Pública

STANDARD CHARTERED BANK ANGOLA, S.A. (O SCBA ) REGULAMENTO DA COMISSÃO DE RISCO E DE CONTROLO INTERNO ( BRC )

REGULAMENTO GERAL SOBRE A PROTEÇÃO DE DADOS EPDSI CATÁLOGO DE CURSOS E MANUAIS

Claranet. Política de Segurança da Informação. Versão 3.0

Sistema de Gestão Integrado SEGURANÇA DE INFORMAÇÃO COMO PILAR ESTRATÉGICO

Relatório Anual de Execução Plano de Gestão de Riscos de Corrupção e Infrações Conexas 2017

Secretaria-Geral. Ministério da Economia e da Inovação. Secretaria-Geral

Gerenciamento de Crises e Continuidade do Negócio

POLÍTICA. TÍTULO: PLT-SGR Política do SGSI - SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO CONTROLE DE APROVAÇÃO ELABORADO REVISADO APROVADO

Nelson Mota Gaspar USF Dafundo ACES Lisboa Ocidental e Oeiras

PLANO DE ENSINO. Disciplina: Segurança em Sistemas de Informação Carga Horária: 60h Período: 6º. Ementa

2.2.2 Fases da Implementação de um Plano de Segurança Global

Segurança da Informação ISO/IEC ISO/IEC 27002

Formadores AMBIENTE EMPRESARIAL

OBJECTIVO ÂMBITO DA CERTIFICAÇÃO INTRODUÇÃO

Comissão Vitivinícola Regional Alentejana

Como implementar os requisitos dos Manuais das Repostas Sociais do ISS (níveis A, B e C)

Segurança da Informação Política Versão 8.0

Auditoria e Segurança em S.I.

Os desafios. do Regulamento Geral da Proteção de Dados (RGPD) da General Data Protection Regulation (GDPR) João Paulo M. Ribeiro 28 junho 2017

RELATÓRIO DE AUTO-AVALIAÇÃO

DIRETRIZES DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

RELATÓRIO DE AUDITORIA

WEBINAR Resolução 4658 BACEN

CONFERÊNCIA. Segurança nos cuidados de saúde pilar essencial da qualidade

Gerir Processos e Implementar a Qualidade Eficácia e Competitividade

Política de Segurança da Informação da Unidade Local de Saúde de Matosinhos, E.P.E.

Gerenciamento e Interoperabilidade de Redes. Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt

Relatório de Revisão do Sistema da Qualidade 2015

Relatório Anual de execução Plano de Gestão de Riscos de Corrupção e Infrações ConexaS 2017

PISTAS PARA IMPLEMENTAR ISO 14001:1996

Controles de acordo com o Anexo A da norma ISO/IEC 27001

Política de Segurança da Informação

Ficha de Unidade Curricular (FUC) de Auditoria Informática

ABNT NBR ISO/IEC 17799:2005

Conceitos e terminologia de segurança quanto à disponibilidade

Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e- Learning Sistema de

Definição de procedimentos a serem observados com vista à tomada de decisão

POLÍTICA SEGURANÇA CIBERNÉTICA COMPUTAÇÃO EM NUVEM

Clientes A RUMOS EM NÚMEROS

Segurança da Informação. Alberto Felipe Friderichs Barros

Mitos e Riscos de Fraude em Segregações de Funções no Perfil SAP

RELATÓRIO ANUAL DAS AUDITORIAS INTERNAS DE 2009

RELATÓRIO DE AUTO-AVALIAÇÃO

FAÇA A GESTÃO DO SEU NEGÓCIO. NÃO DAS SUAS IMPRESSORAS.

Também conhecidos como programas. Conjunto de instruções organizadas que o processador irá executar. É o software que torna o computador útil.

Academia das Ciências de Lisboa M I N I S T É R I O D A E D U C A Ç Ã O E C I Ê N C I A

Congresso SICAD. Programa Nacional de Acreditação em Saúde PNAS. Certificação de unidades de saúde no âmbito do. 12 de Dezembro de 2013

Gestão da Segurança da Informação

CONTROLE DE APROVAÇÃO REVISADO PELO ÓRGÃO NORMATIVO. Paulo Queiroz Luiza M. Prestrêlo de Lima Diretoria Executiva HISTÓRICO DA ÚLTIMA MODIFICAÇÃO


Política Geral de Segurança da Informação da Assembleia da República

SIADAP E A GESTÃO AUTÁRQUICA

MISSÃO VISÃO VALORES

Portaria da Presidência

Soluções de cibersegurança para sistemas de segurança electrónica

CATÁLOGO DE FORMAÇÃO ESTRATEGOR

Terminologia portuguesa relativa a Gestão de Energia (Comissão Técnica Gestão de Energia)

Usuários: Gestores de informações: Administradores dos ativos de TI:... 3 POLÍTICA CORPORATIVA

Área de Intervenção. - Região Norte Porto e Vila Real. - Região Centro Coimbra e Castelo Branco. - Região Alentejo Évora e Beja

Rabobank Segurança Cibernética

Segurança da Informação

Normas Normas (Cont.)

PROGRAMA NACIONAL de ACREDITAÇÃO em SAÚDE (PNAS)

+ ACESSÍVEL MELHORES PRÁTICAS ORGANIZACIONAIS PRONTAS A UTILIZAR C OLECÇÃO DE P ROCESSOS C OLECÇÃO IPSS % GRATUITO % ALTERÁVEL

TOCI08 Segurança em Redes de Computadores Módulo 03: Fundamentos e Normas

Auditoria e Segurança de Sistemas. Prof.: Mauricio Pitangueira Instituto Federal da Bahia

DRAI 3 SNC Congresso OROC Slide 2

Gestão da continuidade do negócio

GESTÃO E CONTROLO DA QUALIDADE NA OBRA 1. INTRODUÇÃO GESTÃO DA QUALIDADE. Como obter a qualidade ao custo mínimo? PLANO DE QUALIDADE

PG 05. Identificação de Perigos e Avaliação de Riscos 1 / 11

Gestão de Riscos no Banco Central do Brasil

Ficha de Unidade Curricular (FUC) de Auditoria Informática

Academia das Ciências de Lisboa M I N I S T É R I O D A E D U C A Ç Ã O E C I Ê N C I A

Manual de Procedimentos. Volume 9.4 Área Para a Qualidade e Auditoria Interna

Anexo III Plano de negócios. Plano de negócios da instituição financeira

Segurança e Auditoria de Sistemas. Prof. Alessandra Bussador

OTES07 Segurança da Informação Módulo 03: Fundamentos e Normas

Transcrição:

AUDITORIA DE SISTEMAS Uma forma de mitigar risco Pedro Cupertino de Miranda, CISM, CISA

2 Criação da função de Auditoria de Sistemas de Informação 2001... PROJECTO Consultor Arthur Andersen Desenho da função Elaboração do Organigrama g Modelo de Reporting Competências e responsabilidades

1 CONHECER O NEGÓCIO DO RETALHO

4 A aproximação Realização de entrevistas t e workshops kh com as várias DIRECÇÕES

5 A metodologia Levantamento dos principais processos de negócio Organigrama, funções e responsabilidades Aplicações fluxos de dados Arquitectura sistemas de informação

6 ANÁLISE DE RISCO

7 Riscos Informáticos Confidencialidade Risco da informação privilegiada il i poder ser acedida por pessoas não autorizadas. Disponibilidade Risco de indisponibilidade ibilid d de informação importante ou relevante quando necessária. Integridade d Risco de existência de informação inadequada ou processamento incompleto ou incorrecto

8 Processo de avaliaçãodo Risco BIA Processo Activos Ameaças Vulnerabili dades Valor (Impacto) Probabilid bilid ade Nível de Risco

9 PrincipaisRiscos Informáticos Cultura de segurança pouco enraizada Classificação e dados não encriptados Configurações por defeito Incumprimento de requisitos legais e das normas internas Bugs Aplicacionais Passwords triviais Perfis de acesso excessivos e/ou deficitários Nível de patching desactualizado Inexistência de audit trails Inconsistência de dados Redes Wired/Wireless semprotecção Acessos remotos Regras de firewall desajustadas Antivírusinexistente inexistente ou desactualizado Inexistência de redundância de equipamentos Inexistência i de backups Inexistência de um BCP e DRP

10 AO LONGO DO TEMPO QUAL O CONTRIBUTO DO AUDITOR DE SISTEMAS DE INFORMAÇÃO

11 Funções e responsabilidades Suporte Auditoria Sistemas de Informação Consultor Auditor

12 Mitigaçãodo Risco SENSIBILIZAÇÃO GESTÃODE RISCO IDENTIFICAÇÃO FALHAS RECOMENDAÇÃO DE CONTROLOS MONITORIZAÇÃO DE INDICADORES FERRAMENTAS AUTOMÁTICAS

13 Ferramentas

14 Ferramentas de suporte à actividade ASA Tablet SIGA AI Auto Audit SIGA GR ASA Gestão de Risco ASI Gestão Procedim. DAGR Registo Incidentes CRSA ACL IntelliQ

15 Computer Aided Automated Tools (CAATs)

16 Arquitectura Aplicacional Extractos Procediment. Findings Std. 440 60 450 ASA Extractos Procediment. 79 311 Findings Std. 645 Extractos 55 Procediment. n/a Findings Std. 196 SIGA AI SIGA GR Intranet t Hierarquia Comercial Hierarquia Operacional e Locais Legislação ISO 17799 144 Cobit V4.0 Findings Std. 215 449 ASI Mapa de Riscos Extractos 50 Perguntas 50 CRSA Findings Std. 50

17 Fluxodo processo de auditoria ASI ASA/SIGA/CRSA/ASI Insite Intranet Auditorias Trabalho de de Campo Campo Legislação ISO ISO 27001 27001 Relatório Relatório Word Word Standards Internacionais Cobit Cobit V4.0 V4.0 Procedimentos Legislação ção Internos Portuguesa Portuguesa Findings/ Recom. Recom. Standard Auditorias Mapa Mapa de de Findings Findings Mapa Mapa de de Acções Acções Find 1 Rec. 1 Resp. Data Impl. Acção Status Find 2 Rec. 2 Resp. Data Impl. Acção Status Acção do Auditado

18 Standards Internacionais ISO/IEC 27001 COBIT V4.1 Foco na Segurança da Informação Foco nos Controlos de IT

19 Standard ISO /IEC 27001 Organizacional Política de Segurança Organização de Segurança da Informação Gestão de Activos Conformidade Controlo de Acessos Operacional Aquisição, Desenvolvimento e Manutenção de Sistemas Segurança dos Recursos Humanos Operações e Comunicações Segurança Física Gestão da Continuidade do Negócio Gestão de Incidentes de Segurança Legenda Técnica Gestão Física

20 Standard COBIT V4.1doISACA

21 NOVAS OPORTUNIDADES E DESAFIOS

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback