José Maria Pedro CISA CASO PRÁTICO 2: COBIT (STANDARDS UTILIZADOS EM AUDITORIA DE SISTEMAS DE INFORMAÇÃO)

Documentos relacionados
Governança em TI PROFA. DRA. ELISA YUMI NAKAGAWA. SSC 531 Gestão de Sistemas de Informação. 2. Semestre de 2016

GOVERNANÇA EM TIC TECNOLOGIAS DA INFORMAÇÃO E COMUNICAÇÃO. Escrito por Alexandre Luna Thaysa Paiva

Normas Normas (Cont.)

Sistemas de Informação. Governança de TI

ADMINISTRAÇÃO DE SISTEMAS DE INFORMAÇÃO. Unidade VI Planejamento Estratégico de TI. Luiz Leão

OTES07 Segurança da Informação Módulo 03: Fundamentos e Normas

Governança de TI Prof. Carlos Henrique Santos da Silva, MSc

GRC e Continuidade de Negócios. Claudio Basso

3) Qual é o foco da Governança de TI?

efagundes com GOVERNANÇA DE TIC Eduardo Mayer Fagundes Aula 3/4

Gestão da continuidade do negócio

POLÍTICA DE TECNOLOGIA DA INFORMAÇÃO

Introdução. Governança de TI. José Humberto Cruvinel. Contato: Site:

WORKSHOP DE COBIT 2019

Fundamentos em auditoria

Gestão de Segurança da Informação

Cloud Computing O papel da auditoria interna no equilíbrio entre o risco e a oportunidade 16 novembro 2017

Governança de TI. Mestrado em Gestão estratégicas de Organizações Disciplina: Sistemas de Informação e Novas Tecnologias Organizacionais

Encontro IPQ RGPD Presente e Futuro

Auditoria Interna Séc. XXI

ADMINISTRAÇÃO DE SISTEMAS DE INFORMAÇÃO. Lista de Exercícios 06. Luiz Leão

Governança. Sistemas de Informação 8º Período Prof: Mafran Oliveira

GTI Governança de TI

TOCI08 Segurança em Redes de Computadores Módulo 03: Fundamentos e Normas

A Certificação no setor das TIC

Política de Segurança da Informação da Unidade Local de Saúde de Matosinhos, E.P.E.

PROJECTO ÂNCORA QUALIFICAÇÃO E CERTIFICAÇÃO NO SECTOR DAS TICE. Qualificação e Certificação em Gestão de Serviços de TI

Auditoria Interna e Governo das Sociedades

Director de Auditoria Interna e Controlo de Risco - ÁGUAS DE PORTUGAL, SGPS, SA. 3. Qual é a relação entre a Gestão de Risco e a Auditoria Interna?

Governança de TI. Disciplina: Gestão da Tecnologia de Sistemas. Professor: Thiago Silva Prates

Administração de Redes. Prof. Marcos Argachoy

SIMULADO 01 Governança de TI

Sistema de Gestão Integrado SEGURANÇA DE INFORMAÇÃO COMO PILAR ESTRATÉGICO

Governança de TI. O que realmente importa? Clayton Soares

Padrões que auxiliam no gerenciamento da qualidade e segurança da informação de uma organização, a figura do profissional qualificado neste contexto

Roadmap para Implementação e Certificação ISO Mário Rui Costa

MODELOS DE MELHORES GOVERNANÇA DE T.I. PRÁTICAS DA. Prof. Angelo Augusto Frozza, M.Sc.

Por Constantino W. Nassel

Como optimizar o Controlo Interno?

IIA ENQUADRAMENTO INTERNACIONAL DE PRÁTICAS PROFISSIONAIS DE AUDITORIA INTERNA

SERVIÇOS PROFISSIONAIS

Sector das TI s em Portugal e Projectos de

Indicadores Ambiente Computacional de Infraestrutura e Suporte

PROJECTO ÂNCORA QUALIFICAÇÃO E CERTIFICAÇÃO NO SECTOR DAS TICE

Gerenciamento e Administração de Redes

Evandro Deliberal Aula 08

Rhino Get Contact. Página 1. Excelência de TI pela Gestão de Serviços. Excelência de serviços de TI.

Visão holística do COBIT em relação a outros modelos de melhores práticas para governança de TI

O Valor da Auditoria Interna

Utilização da Normalização na Regulação das Comunicações Eletrónicas

ISQC1 Norma Internacional sobre Controlo de Qualidade 1. Encontro na Ordem

PLANO DE ENSINO. Disciplina: Segurança em Sistemas de Informação Carga Horária: 60h Período: 6º. Ementa

RECOMENDAÇÕES SOBRE O USO DA VIRTUALIZAÇÃO ALINHADA AO COBIT 4.1

Gerência de Projetos de Software Modelos de gerência. CMM: Capability Maturity Model ITIL: Information Technology Infrastructure Library MPS BR

SSC531 Gestão de Sistemas de Informação Gerenciamento de Serviços de TI ITIL e CobIT

CONVERGÊNCIA DE MODELOS DE GESTÃO

Universidade de São Paulo. Faculdade de Economia, Administração e Contabilidade Departamento de Contabilidade e Atuária EAC FEA - USP

CAF COMMON ASSESSMENT FRAMEWORK. Modelo de auto-avaliação para a melhoria da qualidade dos serviços públicos

COMUNIDADE PARA O DESENVOLVIMENTO DA ÁFRICA AUSTRAL FUNDO EUROPEU DE DESENVOLVIMENTO PROGRAMA DE DESENVOLVIMENTO DA CAPACIDADE INSTITUCIONAL.

Gestão Pública. 13 de Julho de

GERENCIAMENTO E PROCESSO Porque adotá-los? Onivaldo Roncatti e Leonardo Noshi

Carlos Henrique Santos da Silva

Segurança da Informação

Governança de TI. O desafio de gerenciar recursos de TI no Século XXI. Mauricio Lyra, PMP

Indicadores Ambiente Computacional de Infraestrutura e Suporte

Proposta. COBIT Fundamentos. Apresentação Executiva. COBIT - Fundamentos

MBA EM GESTÃO DE TECNOLOGIA DA INFORMAÇÃO. Curso de Pós-Graduação Lato-Sensu. Coordenador Profº Dr. William Sampaio Francini

Norma Portuguesa. Sistemas de gestão da segurança e saúde do trabalho Requisitos NP

Segurança da Informação Aula 9 Políticas de Segurança. Prof. Dr. Eng. Fred Sauer

Fundamentos de Gestão de TI

ISO 27001:2013 Quais os impactos e O que muda para as organizações?

Alessandro Almeida 20/02/ Semestre de 2014 SIN-NA8

Segurança da Informação

Gestão da qualidade Satisfação dos clientes Linhas de orientação para tratamento de reclamações nas organizações (ISO 10002:2004)

Pedro Cupertino de Miranda, CISM, CISA

Uma abordagem de gerência de configuração em ambiente de TI com as melhores práticas em I.T.I.L

Workshop. Maturidade da Governação e Gestão de TI em Portugal. Inquérito Nacional Mário Lavado itsmf Portugal

Leverage on BCBS239 to improve your information

A Eurotux S.A foi criada em 2000 por professores da Universidade do Minho.

A relação da Governança de TI (COBIT), Gerenciamento de Serviços (ITIL) e Gerenciamento de Projetos (PMI)

Gerenciamento e Interoperabilidade de Redes. Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt

O que é? Prof. Ms. Ricardo J Marques

2º Encontro Sistemas de Gestão de Energia Benefícios e impactos. Comissão Técnica 184 Normalização no domínio da gestão de energia

MBA GESTÃO DA TECNOLOGIA DE INFORMAÇÃO INSCRIÇÕES ABERTAS: Dias e horários das aulas: Terças e Quintas-feiras das 18h45 às 22h45

SEG Consulting. apresentação corporativa

Segurança de Redes. Gestão de Segurança da Informação. Prof. João Henrique Kleinschmidt

Transcrição:

José Maria Pedro CISA CASO PRÁTICO 2: COBIT (STANDARDS UTILIZADOS EM AUDITORIA DE SISTEMAS DE INFORMAÇÃO)

Auditar Sistemas de Informação Auditoria de Sistemas de Informação, consiste num exame sistemático e independente de acordo com os Standards de Auditoria Geralmente Aceites (ver ISACA), cujo objectivo é averiguar se as actividades desenvolvidas e recursos aplicados em determinada organização estão de acordo com as disposições estabelecidas previamente ou com Standards e Boas Práticas relevantes para sistemas de informação O Trabalho do auditor desenvolve-se normalmente num ambiente desconhecido e destina-se especialmente a eliminar ou reduzir o risco de errar na emissão de opinião sobre os sistemas de informação auditados

CISA - Certified Information Systems Auditor (Áreas de Actuação) Processo de Auditoria de Sistemas de Informação Gestão, Planeamento e Organização dos SI Insfraestrutura Tecnológica e Práticas Operacionais Protecção de Activos de Informação Recuperação de Desastres e Continuidade de Negócio Desenvolvimento de Sistemas Aplicacionais, Aquisição, Implantação e Manutenção Avaliação de Processos de Negócio e Gestão de Risco

Os Riscos do Auditor de SI RA = RI * RCI * RD RA: Risco de Auditoria RI: Risco Inerente RCI: Risco de Controlo Interno RD: Risco de Detecção RCGTI: Risco dos Controlos Gerais das TI RCA: Risco dos Controlos Aplicacionais RCU: Risco dos Controlos de Utilização Instalações Hardware Software de Sistema Comunicações Continuidade Políticas RCGTI * RCA * RCU DADOS Aplicações Utilizadores Perfis

Novas Questões de Controlo Interno Controlos Aplicacionais Controlos Gerais DADOS Classificação e Controlo Hardware Controlos de Utilização Software Sistema Software Aplicacional Instalações, Ambiente, Seg. Física Utilizadores, acessos, autenticação Comunicações, WEB Políticas e Princípios de Gestão TIC, Segurança Organizacional Conformidade, Legalidade, Gestão de Risco

Normas (standards) internacionais a usar na auditoria de SI Standards de Controlo Interno e Boas Práticas Gestão de TIC Gestão de Informação Gestão de Segurança Gestão de Risco Planos de Continuidade de Negócio Gestão de Projectos Desenvolvimento de Software Gestão da Qualidade Standards Profissionais ISACA, IFAC, IIA

Gestão de TIC COBIT (patrocinado pela ISACA) ITIL - IT Infrastructure Library (itsmf) Microsoft Operations Framework ISO20000 (BS15000) Sistema de gestão de serviços IT Governance Implementing Guide AS8015-2005 australiano

Gestão de Informação ISO 15489 / NP 4438 Sarbanes Oxley (SOX)

Gestão de Segurança ISO27001 (anterior 17799 sobre segurança de Sistemas de Informação); ISO13335 (Orientações sobre aspectos da Gestão da Segurança de TIC); ISO13569 para serviços financeiros; ITBaseline Protection - Manual alemão; ACSI-33 australiano NIST americana (numerosos); COBIT Security Baseline; ENV12924 para Sistemas de Informação da Medicina; Information Security Fórum Standard of Good Pratice SEGNACs (Portugal).

Gestão de Risco COSO Internal Control Integrated Framework. AS/NZS4360 australiano; Risk Management Standard Institute; ISO/IEC Guide 73;

Planos de Continuidade de Negócio BS25999 (Guia para Disaster / Emergency Management & Business Continuity); NFPA 1600 (National Fire Protection Association, USA); HB221-2004 Australiano; NIST sp800-34 (U.S. Department of Commerce / Technology Administration / National Institute of Standards and Technology).

Gestão de Projectos PMBOK (Project Management Body of Knowledge) PRINCE2 (PRojects IN Controlled Environments)

Desenvolvimento de Software TickIT (Sistemas de Gestão da Qualidade para Desenvolvimento de Software e Critérios de Certificação) Capability Maturity Model (Avalia a maturidade dos Sistemas de Informação)

Gestão da Qualidade ISO9001 SixSIGMA EFQM (European Foundation for Quality Management) Baldrige National Quality Plan CAF (Common Access Framework)

COBIT Control OBjectives for Information and Related Technology www.isaca.org

Relacionamento entre a empresa e as TI gestão da empresa actividades da empresa linhas de orientação e precisam de alinhamento estratégico informação das gestão das TI actividades das TI

Controlo da empresa dirige Objectivos controlo Actividades da empresa recursos relatam usam

A lógica COBIT Negócio Informação Recursos TIC Planeamento e Organização Monitorização Aquisição e Implementação Disponibilização e Suporte

Princípios Processos IT

Árvore dos Domínios COBIT Domínios (4) Agrupamento natural de processos, em geral de acordo com um domínio de responsabilidade da organização. Processos (34) Processo um conjunto de actividades ou tarefas com um agrupamento natural Actividades (316) Tarefas Acções necessárias para se atingir um resultado mensurável. As atividades têm um ciclo de vida, as tarefas são pontuais.

Os 4 Domínios no COBIT Planeamento e Organização: Estratégia; Identificação do modo como a função IT vai contribuir para os objectivos do negocio Aquisição e Implementação: A realização da estratégia. Identificação das soluções IT adequadas, aquisição ou desenvolvimento e integração nos processos de negócio. Disponibilização e Suporte: Preocupa-se com a continuidade das operações, a sua segurança e o treino das equipas de TIC Monitorização: Todos os processos IT necessitam de avaliação regular da sua qualidade e conformidade com os requisitos de controlo e de negócio

Os 7 Critérios da Informação Eficácia: Relevante, pertinente, entregue a tempo, correcta, utilizável e consistente Eficiência: Recursos aproveitados de modo óptimo para a sua produção Confidencialidade: Protegida de acessos não-autorizados Integridade: Completa e correcta Disponibilidade: Disponível quando necessário. Recursos que garantam a continuidade da disponibilidade Conformidade: Respeita as exigências legais, ou contratuais do negócio Fiabilidade: Necessária à gestão para satisfazer as suas obrigações legais ou contratuais de reporting e de tomada de decisão

Os 5 Recursos TI no COBIT Dados - Sentido amplo (estruturados, não-estruturados, vídeo, som, gráficos, ) Aplicações - Procedimentos manuais e automáticos Tecnologia - Hardware, Comunicações, Sistemas Operativos, Rede, SGBD... Instalações - Recursos necessários para alojar e suportar os SI, edifícios, ar condicionado, energia, Pessoas - Competências necessárias para motivar, planear, organizar, adquirir, entregar, suportar e monitorar os SI e serviços associados

Família actual de produtos COBIT

Benchmark COBIT Referencial de métricas com Maturidade dos processos (CMM) www.isaca.org

Benchmark COBIT PO1 - Define a Strategic IT Plan Your geography: Europe, Middle East and Africa Your industry: Public Sector Your size: >$50M turnover or < 150 staff

Benchmark COBIT PO1 - Define a Strategic IT Plan Your geography: Europe, Middle East and Africa Your industry: Public Sector Your size: >$50M turnover or < 150 staff

Conclusões A auditoria de sistemas de informação precisa muito de standards e de referenciais para basear as opiniões emitidas pelos auditores e retirar a subjectividade; O ITIL é um instrumento cada vez mais útil na auditoria por várias razões: O outsourcing de sistemas de informação tende a aumentar e tem de ser controlado; A orientação das organizações para o cliente obriga a estruturar a produção em processos; A desmaterialização dos relacionamentos organizacionais exige clareza e métricas adequadas nos níveis de serviço.

OBRIGADO PELA ATENÇÃO

Bibliografia www.isaca.org Information Systems Audit itsmf International The IT Service Management Forum; Foundations of IT Service Management; VHP; 2006; ISBN-13 978-90-77212-69-1 itsmf International The IT Service Management Forum; METRICS for IT Service Management; VHP; 2006; ISBN-13 978-90-77212-69-1

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback