AUDITORIA DE SISTEMAS Uma forma de mitigar risco Pedro Cupertino de Miranda, CISM, CISA
2 Criação da função de Auditoria de Sistemas de Informação 2001... PROJECTO Consultor Arthur Andersen Desenho da função Elaboração do Organigrama g Modelo de Reporting Competências e responsabilidades
1 CONHECER O NEGÓCIO DO RETALHO
4 A aproximação Realização de entrevistas t e workshops kh com as várias DIRECÇÕES
5 A metodologia Levantamento dos principais processos de negócio Organigrama, funções e responsabilidades Aplicações fluxos de dados Arquitectura sistemas de informação
6 ANÁLISE DE RISCO
7 Riscos Informáticos Confidencialidade Risco da informação privilegiada il i poder ser acedida por pessoas não autorizadas. Disponibilidade Risco de indisponibilidade ibilid d de informação importante ou relevante quando necessária. Integridade d Risco de existência de informação inadequada ou processamento incompleto ou incorrecto
8 Processo de avaliaçãodo Risco BIA Processo Activos Ameaças Vulnerabili dades Valor (Impacto) Probabilid bilid ade Nível de Risco
9 PrincipaisRiscos Informáticos Cultura de segurança pouco enraizada Classificação e dados não encriptados Configurações por defeito Incumprimento de requisitos legais e das normas internas Bugs Aplicacionais Passwords triviais Perfis de acesso excessivos e/ou deficitários Nível de patching desactualizado Inexistência de audit trails Inconsistência de dados Redes Wired/Wireless semprotecção Acessos remotos Regras de firewall desajustadas Antivírusinexistente inexistente ou desactualizado Inexistência de redundância de equipamentos Inexistência i de backups Inexistência de um BCP e DRP
10 AO LONGO DO TEMPO QUAL O CONTRIBUTO DO AUDITOR DE SISTEMAS DE INFORMAÇÃO
11 Funções e responsabilidades Suporte Auditoria Sistemas de Informação Consultor Auditor
12 Mitigaçãodo Risco SENSIBILIZAÇÃO GESTÃODE RISCO IDENTIFICAÇÃO FALHAS RECOMENDAÇÃO DE CONTROLOS MONITORIZAÇÃO DE INDICADORES FERRAMENTAS AUTOMÁTICAS
13 Ferramentas
14 Ferramentas de suporte à actividade ASA Tablet SIGA AI Auto Audit SIGA GR ASA Gestão de Risco ASI Gestão Procedim. DAGR Registo Incidentes CRSA ACL IntelliQ
15 Computer Aided Automated Tools (CAATs)
16 Arquitectura Aplicacional Extractos Procediment. Findings Std. 440 60 450 ASA Extractos Procediment. 79 311 Findings Std. 645 Extractos 55 Procediment. n/a Findings Std. 196 SIGA AI SIGA GR Intranet t Hierarquia Comercial Hierarquia Operacional e Locais Legislação ISO 17799 144 Cobit V4.0 Findings Std. 215 449 ASI Mapa de Riscos Extractos 50 Perguntas 50 CRSA Findings Std. 50
17 Fluxodo processo de auditoria ASI ASA/SIGA/CRSA/ASI Insite Intranet Auditorias Trabalho de de Campo Campo Legislação ISO ISO 27001 27001 Relatório Relatório Word Word Standards Internacionais Cobit Cobit V4.0 V4.0 Procedimentos Legislação ção Internos Portuguesa Portuguesa Findings/ Recom. Recom. Standard Auditorias Mapa Mapa de de Findings Findings Mapa Mapa de de Acções Acções Find 1 Rec. 1 Resp. Data Impl. Acção Status Find 2 Rec. 2 Resp. Data Impl. Acção Status Acção do Auditado
18 Standards Internacionais ISO/IEC 27001 COBIT V4.1 Foco na Segurança da Informação Foco nos Controlos de IT
19 Standard ISO /IEC 27001 Organizacional Política de Segurança Organização de Segurança da Informação Gestão de Activos Conformidade Controlo de Acessos Operacional Aquisição, Desenvolvimento e Manutenção de Sistemas Segurança dos Recursos Humanos Operações e Comunicações Segurança Física Gestão da Continuidade do Negócio Gestão de Incidentes de Segurança Legenda Técnica Gestão Física
20 Standard COBIT V4.1doISACA
21 NOVAS OPORTUNIDADES E DESAFIOS