José Maria Pedro CISA CASO PRÁTICO 2: COBIT (STANDARDS UTILIZADOS EM AUDITORIA DE SISTEMAS DE INFORMAÇÃO)
Auditar Sistemas de Informação Auditoria de Sistemas de Informação, consiste num exame sistemático e independente de acordo com os Standards de Auditoria Geralmente Aceites (ver ISACA), cujo objectivo é averiguar se as actividades desenvolvidas e recursos aplicados em determinada organização estão de acordo com as disposições estabelecidas previamente ou com Standards e Boas Práticas relevantes para sistemas de informação O Trabalho do auditor desenvolve-se normalmente num ambiente desconhecido e destina-se especialmente a eliminar ou reduzir o risco de errar na emissão de opinião sobre os sistemas de informação auditados
CISA - Certified Information Systems Auditor (Áreas de Actuação) Processo de Auditoria de Sistemas de Informação Gestão, Planeamento e Organização dos SI Insfraestrutura Tecnológica e Práticas Operacionais Protecção de Activos de Informação Recuperação de Desastres e Continuidade de Negócio Desenvolvimento de Sistemas Aplicacionais, Aquisição, Implantação e Manutenção Avaliação de Processos de Negócio e Gestão de Risco
Os Riscos do Auditor de SI RA = RI * RCI * RD RA: Risco de Auditoria RI: Risco Inerente RCI: Risco de Controlo Interno RD: Risco de Detecção RCGTI: Risco dos Controlos Gerais das TI RCA: Risco dos Controlos Aplicacionais RCU: Risco dos Controlos de Utilização Instalações Hardware Software de Sistema Comunicações Continuidade Políticas RCGTI * RCA * RCU DADOS Aplicações Utilizadores Perfis
Novas Questões de Controlo Interno Controlos Aplicacionais Controlos Gerais DADOS Classificação e Controlo Hardware Controlos de Utilização Software Sistema Software Aplicacional Instalações, Ambiente, Seg. Física Utilizadores, acessos, autenticação Comunicações, WEB Políticas e Princípios de Gestão TIC, Segurança Organizacional Conformidade, Legalidade, Gestão de Risco
Normas (standards) internacionais a usar na auditoria de SI Standards de Controlo Interno e Boas Práticas Gestão de TIC Gestão de Informação Gestão de Segurança Gestão de Risco Planos de Continuidade de Negócio Gestão de Projectos Desenvolvimento de Software Gestão da Qualidade Standards Profissionais ISACA, IFAC, IIA
Gestão de TIC COBIT (patrocinado pela ISACA) ITIL - IT Infrastructure Library (itsmf) Microsoft Operations Framework ISO20000 (BS15000) Sistema de gestão de serviços IT Governance Implementing Guide AS8015-2005 australiano
Gestão de Informação ISO 15489 / NP 4438 Sarbanes Oxley (SOX)
Gestão de Segurança ISO27001 (anterior 17799 sobre segurança de Sistemas de Informação); ISO13335 (Orientações sobre aspectos da Gestão da Segurança de TIC); ISO13569 para serviços financeiros; ITBaseline Protection - Manual alemão; ACSI-33 australiano NIST americana (numerosos); COBIT Security Baseline; ENV12924 para Sistemas de Informação da Medicina; Information Security Fórum Standard of Good Pratice SEGNACs (Portugal).
Gestão de Risco COSO Internal Control Integrated Framework. AS/NZS4360 australiano; Risk Management Standard Institute; ISO/IEC Guide 73;
Planos de Continuidade de Negócio BS25999 (Guia para Disaster / Emergency Management & Business Continuity); NFPA 1600 (National Fire Protection Association, USA); HB221-2004 Australiano; NIST sp800-34 (U.S. Department of Commerce / Technology Administration / National Institute of Standards and Technology).
Gestão de Projectos PMBOK (Project Management Body of Knowledge) PRINCE2 (PRojects IN Controlled Environments)
Desenvolvimento de Software TickIT (Sistemas de Gestão da Qualidade para Desenvolvimento de Software e Critérios de Certificação) Capability Maturity Model (Avalia a maturidade dos Sistemas de Informação)
Gestão da Qualidade ISO9001 SixSIGMA EFQM (European Foundation for Quality Management) Baldrige National Quality Plan CAF (Common Access Framework)
COBIT Control OBjectives for Information and Related Technology www.isaca.org
Relacionamento entre a empresa e as TI gestão da empresa actividades da empresa linhas de orientação e precisam de alinhamento estratégico informação das gestão das TI actividades das TI
Controlo da empresa dirige Objectivos controlo Actividades da empresa recursos relatam usam
A lógica COBIT Negócio Informação Recursos TIC Planeamento e Organização Monitorização Aquisição e Implementação Disponibilização e Suporte
Princípios Processos IT
Árvore dos Domínios COBIT Domínios (4) Agrupamento natural de processos, em geral de acordo com um domínio de responsabilidade da organização. Processos (34) Processo um conjunto de actividades ou tarefas com um agrupamento natural Actividades (316) Tarefas Acções necessárias para se atingir um resultado mensurável. As atividades têm um ciclo de vida, as tarefas são pontuais.
Os 4 Domínios no COBIT Planeamento e Organização: Estratégia; Identificação do modo como a função IT vai contribuir para os objectivos do negocio Aquisição e Implementação: A realização da estratégia. Identificação das soluções IT adequadas, aquisição ou desenvolvimento e integração nos processos de negócio. Disponibilização e Suporte: Preocupa-se com a continuidade das operações, a sua segurança e o treino das equipas de TIC Monitorização: Todos os processos IT necessitam de avaliação regular da sua qualidade e conformidade com os requisitos de controlo e de negócio
Os 7 Critérios da Informação Eficácia: Relevante, pertinente, entregue a tempo, correcta, utilizável e consistente Eficiência: Recursos aproveitados de modo óptimo para a sua produção Confidencialidade: Protegida de acessos não-autorizados Integridade: Completa e correcta Disponibilidade: Disponível quando necessário. Recursos que garantam a continuidade da disponibilidade Conformidade: Respeita as exigências legais, ou contratuais do negócio Fiabilidade: Necessária à gestão para satisfazer as suas obrigações legais ou contratuais de reporting e de tomada de decisão
Os 5 Recursos TI no COBIT Dados - Sentido amplo (estruturados, não-estruturados, vídeo, som, gráficos, ) Aplicações - Procedimentos manuais e automáticos Tecnologia - Hardware, Comunicações, Sistemas Operativos, Rede, SGBD... Instalações - Recursos necessários para alojar e suportar os SI, edifícios, ar condicionado, energia, Pessoas - Competências necessárias para motivar, planear, organizar, adquirir, entregar, suportar e monitorar os SI e serviços associados
Família actual de produtos COBIT
Benchmark COBIT Referencial de métricas com Maturidade dos processos (CMM) www.isaca.org
Benchmark COBIT PO1 - Define a Strategic IT Plan Your geography: Europe, Middle East and Africa Your industry: Public Sector Your size: >$50M turnover or < 150 staff
Benchmark COBIT PO1 - Define a Strategic IT Plan Your geography: Europe, Middle East and Africa Your industry: Public Sector Your size: >$50M turnover or < 150 staff
Conclusões A auditoria de sistemas de informação precisa muito de standards e de referenciais para basear as opiniões emitidas pelos auditores e retirar a subjectividade; O ITIL é um instrumento cada vez mais útil na auditoria por várias razões: O outsourcing de sistemas de informação tende a aumentar e tem de ser controlado; A orientação das organizações para o cliente obriga a estruturar a produção em processos; A desmaterialização dos relacionamentos organizacionais exige clareza e métricas adequadas nos níveis de serviço.
OBRIGADO PELA ATENÇÃO
Bibliografia www.isaca.org Information Systems Audit itsmf International The IT Service Management Forum; Foundations of IT Service Management; VHP; 2006; ISBN-13 978-90-77212-69-1 itsmf International The IT Service Management Forum; METRICS for IT Service Management; VHP; 2006; ISBN-13 978-90-77212-69-1