SlideShare une entreprise Scribd logo
1  sur  20
Télécharger pour lire hors ligne
Auditoria de Sistemas
    de Informação



Prof. Rodrigo Gomes
Auditoria de Sistemas de
Informação

 • Globalização => disseminação da informação;

 • É mais fácil interceptar a informação;



      Empresários deixam de tomar decisões




                                   Por não confiar na
    Por não ter informação
                                      informação
Auditoria de Sistemas de
Informação

 • Toda empresa deve utilizar sistemas de
   informação integrados;

 • Se o SI não for confiável a empresa poderá
   estar exposta a riscos.
Auditoria de Sistemas de
Informação

  “A informação desempenha papéis importantes
  tanto na definição quanto na execução de uma
  estratégia. Ela ajuda na identificação das
  ameaças e das oportunidades para a empresa
  e cria o cenário para uma resposta competitiva
  mais eficaz.”
                           Rezende e Abreu (2000)
Auditoria de Sistemas de
Informação

  “A informação é um ativo que, como qualquer
  outro ativo é importante para os negócios, tem
  um valor para a organização e,
  conseqüentemente, necessita ser
  adequadamente protegido.”
                       (NBR ISO/IEC 17799, 2003)
Auditoria de Sistemas de
Informação

 • Nem toda informação é crucial ou essencial a
   ponto de merecer cuidados especiais.

 • Por outro lado, uma determinada informação
   pode ser tão vital que o custo de sua
   integridade, será menor que o custo de não
   dispor dela dequadamente.
Auditoria de Sistemas de
Informação

 • Boran (1996) e Wadlow (2000) classificam a
   informação:
     Pública: podem vir a público sem maiores consequencias
      ao funcionamento da empresa.

     Interna: o acesso livre deve ser evitado, não é vital para o
      negócio mas sua integridade é importante.

     Confidencial: restrita aos limites da empresa, a divulgação
      ou perda pode levar a desequilibrio operacional, perda
      financeira ou quebra de confiança por parte do cliente;

     Secreta: critica para as operações da empresa, a
      integridade deve ser presenrvada a qualquer custo e o
      acesso deve ser restrito. A segurança dessa informação é
      vital para a companhia.
Auditoria de Sistemas de
Informação

 • Ativos da Informação:

 • Constituem basicamente os chamados Ativos de
   Informação:
     A informação (conceitualmente): mensagens, textos, dados de um
      sistema, informações de funcionários, programas de rádio e TV, etc.

     As tecnologias que suportam a informação: papel, correio eletrônico,
      editor de texto, sistemas de informação, rádio, TV, telefone,
      arquivos de aço, computadores, etc.

     As pessoas e processos que utilizam as informações: vendedores,
      gerentes, fornecedores, clientes, processo de compra, processo de
      venda, etc.

     Os ambientes: CPDs, salas de arquivos, depósitos de mídias e
      equipamentos, etc.
Auditoria de Sistemas de
Informação

 • Vulnerabilidade dos Ativos da Informação:

   Souza (2006) ressalta ainda que, na área de tecnologias
   podemos identificar as seguintes deficiências:
       computadores sem proteção contra vírus;
       arquivos de aço sem controle de acesso;
       equipamentos em locais públicos (impressoras, fax)
       cabos de redes expostos;
       redes locais com senha padrão ou pública;
       falta de controle a áreas críticas;
       problemas de manutenção em equipamentos;
       problemas com energia elétrica.
Auditoria de Sistemas de
Informação

 • Vulnerabilidade dos Ativos da Informação:

   Com relação às pessoas e processos os ativos da
   informação podem estar comprometidos no que diz
   respeito a:
     ausência de controle interno estruturado e bem aplicado;
     ausência de política institucional de segurança na
      organização;
     inexistência de especialistas em segurança na organização;
     inexistência de regulamentação para acesso às informações
      da organização;
     procedimentos ineficientes para análise e conferencia das
      informações;
     colaboradores não-treinados em segurança;
Auditoria de Sistemas de
Informação

 • Vulnerabilidade dos Ativos da Informação:

 •   ausência de procedimentos disciplinares para o tratamento das
     violações da política de segurança;
 •   ausência de planos de contingência


     O ambiente no qual a empresa esta inserida também
     propicia algumas formas de “ataque” ao ativo da
     informação da empresa, conforme segue:

 •   ausência de mecanismos contra incêndio;
 •   inexistência de mecanismos de prevenção à enchente;
 •   inexistência de proteção contra poluentes diversos que possam
     prejudicar mídias e equipamentos.
Auditoria de Sistemas de
Informação

 • Implementando Políticas de Segurança:

 •   Elaborar, divulgar e manter atualizado documento que descreva
     a política de segurança de informações;

 •   A alta gerência deve estar comprometida com a política de
     segurança de informações, a qual deve ser implantada de
     acordo com o documento formal por ela aprovado;

 •   Definir uma estrutura organizacional responsável pela
     segurança, a qual deve aprovar e revisar as políticas de
     segurança, designar funções de segurança e coordenar a
     implantação da política;
Auditoria de Sistemas de
Informação

 • Implementando Políticas de Segurança:

 •   Estabelecer procedimentos de segurança de pessoal, com
     intuito de reduzir ou evitar erros humanos, mau uso dos
     recursos computacionais, fraude ou roubo, por meio de um
     processo rigoroso de recrutamento de pessoal e de controle
     sobre acessos a dados confidenciais;

 •   Todos os funcionários devem ter conhecimento dos riscos
     de segurança de informações e de suas responsabilidades
     com relação a esse assunto.

 •   É aconselhável que haja um treinamento de segurança para
     difusão de boas práticas e padrões de segurança,
     promovendo uma cultura de segurança na organização;
Auditoria de Sistemas de
Informação

 • Implementando Políticas de Segurança:

 •   Implantar controle de acesso lógico aos sistemas de
     forma a prevenir acessos não autorizados. Esse controle
     pode ser feito via processo seguro de logon, senhas
     fortemente seguras, registro formal de usuários.

 •    Definir procedimentos de backup e de restauração dos
     sistemas computacionais para garantir a integridade e a
     disponibilidade de dados e software.

 •   A freqüência de backup deve ser apropriada e pelo menos
     uma cópia do backup deve ser guardada em local seguro.
     Os procedimentos de restauração devem ser
     periodicamente testados para garantir sua efetividade
     quando forem necessários;
Auditoria de Sistemas de
Informação

 • Implementando Políticas de Segurança:

 •   Auditar regularmente todos os aspectos de segurança a fim de
     determinar se as políticas estão sendo efetivamente cumpridas
     ou se são necessárias modificações.
Auditoria de Sistemas de
Informação

 • Implementando Políticas de Segurança:

   Antigamente, a atenção sobre a segurança da informação
   estava focada na tecnologia. Hoje, o desafio é construir uma
   relação de confiabilidade com clientes e parceiros. Conforme
   Rezende e Abreu (2000), as empresas estão procurando dar
   mais atenção ao ser humano, pois é ele que faz com que as
   engrenagens empresariais funcionem perfeitas e
   harmonicamente, buscando um relacionamento cooperativo e
   satisfatório.
Auditoria de Sistemas de
Informação

 • Auditoria da Tecnologia da Informação:

     Auditoria da TI é uma auditoria operacional , analisa a
      gestão de recursos, com o foco nos aspectos de
      eficiência, eficácia, economia e efetividade.


        • Eficiência significa fazer um trabalho correto, sem erros e de boa
          qualidade.
        • Eficácia é fazer um trabalho que atinja totalmente o resultado esperado.
Auditoria de Sistemas de
Informação

 • Auditoria da Tecnologia da Informação:

     Itens a serem auditados:
       • Segurança física;
       • Segurança lógica;
       • Planejamento de contingências;
       • Políticas, padrões, procedimentos,
         responsabilidades organizacionais e gerência;
       • Banco de dados;
       • Redes de comunicação e computadores;
       • Controle sobre aplicativos:
Auditoria de Sistemas de
Informação

 • Auditoria da Tecnologia da Informação:

 • Pode-se observar que a auditoria de TI deve estar
   inserida na rotina de processos de qualquer empresa que
   busca tomar decisões baseando-se em relatórios gerados
   a partir de um sistema informatizado.




 • No entanto, nota-se que o elo mais fraco de um processo
   de segurança é a pessoa (ou grupos de pessoas), que por
   sua vez, é a responsável por garantir a fidelidade da
   informação.
Auditoria de Sistemas de
Informação

 • Auditoria da Tecnologia da Informação:

 • Assim, a melhor forma de garantir a segurança da
   informação estratégica é atuar junto às pessoas que de
   alguma forma manipulam a informação com políticas de
   treinamento, prevenção e auditoria dos processos
   relacionados.




 • Enfim, as práticas da Segurança da Informação garantem
   que a informação certa, esteja disponível na hora certa,
   para que os responsáveis possam tomar a decisão
   estrategicamente adequada em tempo hábil.

Contenu connexe

Tendances

Aula 3 Sistemas de Informação - Tipos de SI
Aula 3 Sistemas de Informação - Tipos de SIAula 3 Sistemas de Informação - Tipos de SI
Aula 3 Sistemas de Informação - Tipos de SIDaniel Brandão
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Módulo Security Solutions
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoEfrain Saavedra
 
3 - Modelo Entidade Relacionamento
3 - Modelo Entidade Relacionamento3 - Modelo Entidade Relacionamento
3 - Modelo Entidade RelacionamentoCris Fidelix
 
Conceitos essenciais de bases de dados
Conceitos essenciais de bases de dadosConceitos essenciais de bases de dados
Conceitos essenciais de bases de dadosPatrícia Morais
 
Aula 4 - Diagrama Entidade Relacionamento (com exercício no final)
Aula 4  - Diagrama Entidade Relacionamento (com exercício no final)Aula 4  - Diagrama Entidade Relacionamento (com exercício no final)
Aula 4 - Diagrama Entidade Relacionamento (com exercício no final)Janynne Gomes
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoSamantha Nunes
 
Enterprise resource planning (ERP)
Enterprise resource planning (ERP)Enterprise resource planning (ERP)
Enterprise resource planning (ERP)Alexsandro Prado
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoMarco Mendes
 
Introdução à Sistemas de Informação
Introdução à Sistemas de InformaçãoIntrodução à Sistemas de Informação
Introdução à Sistemas de InformaçãoÁlvaro Farias Pinheiro
 
Banco de Dados II: Conversão do Modelo Conceitual para o Modelo Lógico (aula 6)
Banco de Dados II: Conversão do Modelo Conceitual para o Modelo Lógico (aula 6)Banco de Dados II: Conversão do Modelo Conceitual para o Modelo Lógico (aula 6)
Banco de Dados II: Conversão do Modelo Conceitual para o Modelo Lógico (aula 6)Gustavo Zimmermann
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoLuiz Arthur
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoFernando Palma
 

Tendances (20)

Aula 3 Sistemas de Informação - Tipos de SI
Aula 3 Sistemas de Informação - Tipos de SIAula 3 Sistemas de Informação - Tipos de SI
Aula 3 Sistemas de Informação - Tipos de SI
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da Informação
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Fundamentos TI
Fundamentos TIFundamentos TI
Fundamentos TI
 
3 - Modelo Entidade Relacionamento
3 - Modelo Entidade Relacionamento3 - Modelo Entidade Relacionamento
3 - Modelo Entidade Relacionamento
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
Conceitos essenciais de bases de dados
Conceitos essenciais de bases de dadosConceitos essenciais de bases de dados
Conceitos essenciais de bases de dados
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
 
Aula 4 - Diagrama Entidade Relacionamento (com exercício no final)
Aula 4  - Diagrama Entidade Relacionamento (com exercício no final)Aula 4  - Diagrama Entidade Relacionamento (com exercício no final)
Aula 4 - Diagrama Entidade Relacionamento (com exercício no final)
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Enterprise resource planning (ERP)
Enterprise resource planning (ERP)Enterprise resource planning (ERP)
Enterprise resource planning (ERP)
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Introdução à Sistemas de Informação
Introdução à Sistemas de InformaçãoIntrodução à Sistemas de Informação
Introdução à Sistemas de Informação
 
Banco de Dados II: Conversão do Modelo Conceitual para o Modelo Lógico (aula 6)
Banco de Dados II: Conversão do Modelo Conceitual para o Modelo Lógico (aula 6)Banco de Dados II: Conversão do Modelo Conceitual para o Modelo Lógico (aula 6)
Banco de Dados II: Conversão do Modelo Conceitual para o Modelo Lógico (aula 6)
 
Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação -
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - Novo
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informação
 
Introdução a Bancos de Dados
Introdução a Bancos de DadosIntrodução a Bancos de Dados
Introdução a Bancos de Dados
 

En vedette

Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informaçãoSilvino Neto
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasAllan Piter Pressi
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasCapitu Tel
 
Como fazer uma boa auditoria
Como fazer uma  boa auditoriaComo fazer uma  boa auditoria
Como fazer uma boa auditoriaFabio Cristiano
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasivanv40
 
Audit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-siAudit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-siAlves Albert
 
Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dadosArthur Azevedo
 
ITIL Security - Uma Visão de Segurança por Processos
ITIL Security - Uma Visão de Segurança por ProcessosITIL Security - Uma Visão de Segurança por Processos
ITIL Security - Uma Visão de Segurança por ProcessosRafael Maia
 
Auditoria mau necessário ou bem maior [impressão]
Auditoria   mau necessário ou bem maior [impressão]Auditoria   mau necessário ou bem maior [impressão]
Auditoria mau necessário ou bem maior [impressão]filipevillar
 
Forense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e TécnicasForense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e TécnicasLuiz Sales Rabelo
 
Palestra Forense Digital
Palestra Forense DigitalPalestra Forense Digital
Palestra Forense DigitalNadaObvio!
 
Excel as a potent forensic accounting tool
Excel as a potent forensic accounting toolExcel as a potent forensic accounting tool
Excel as a potent forensic accounting toolDhruv Seth
 
Logs, Monitoramento e Estatísticas - Uma Abordagem sobre Ferramentas
Logs, Monitoramento e Estatísticas - Uma Abordagem sobre FerramentasLogs, Monitoramento e Estatísticas - Uma Abordagem sobre Ferramentas
Logs, Monitoramento e Estatísticas - Uma Abordagem sobre FerramentasFabíola Fernandes
 
GESTÃO DE ATIVOS DE ENERGIA
GESTÃO DE ATIVOS DE ENERGIAGESTÃO DE ATIVOS DE ENERGIA
GESTÃO DE ATIVOS DE ENERGIAGabriela Silva
 

En vedette (20)

Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de Sistemas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemas
 
Como fazer uma boa auditoria
Como fazer uma  boa auditoriaComo fazer uma  boa auditoria
Como fazer uma boa auditoria
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Audit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-siAudit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-si
 
Aula 2 - 1 Conceitos e objetivos da Auditoria.
Aula 2 - 1 Conceitos e objetivos da Auditoria.Aula 2 - 1 Conceitos e objetivos da Auditoria.
Aula 2 - 1 Conceitos e objetivos da Auditoria.
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dados
 
ITIL Security - Uma Visão de Segurança por Processos
ITIL Security - Uma Visão de Segurança por ProcessosITIL Security - Uma Visão de Segurança por Processos
ITIL Security - Uma Visão de Segurança por Processos
 
Auditoria mau necessário ou bem maior [impressão]
Auditoria   mau necessário ou bem maior [impressão]Auditoria   mau necessário ou bem maior [impressão]
Auditoria mau necessário ou bem maior [impressão]
 
Forense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e TécnicasForense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e Técnicas
 
Trabalho SASI
Trabalho SASITrabalho SASI
Trabalho SASI
 
Palestra Forense Digital
Palestra Forense DigitalPalestra Forense Digital
Palestra Forense Digital
 
Excel as a potent forensic accounting tool
Excel as a potent forensic accounting toolExcel as a potent forensic accounting tool
Excel as a potent forensic accounting tool
 
Logs, Monitoramento e Estatísticas - Uma Abordagem sobre Ferramentas
Logs, Monitoramento e Estatísticas - Uma Abordagem sobre FerramentasLogs, Monitoramento e Estatísticas - Uma Abordagem sobre Ferramentas
Logs, Monitoramento e Estatísticas - Uma Abordagem sobre Ferramentas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
GESTÃO DE ATIVOS DE ENERGIA
GESTÃO DE ATIVOS DE ENERGIAGESTÃO DE ATIVOS DE ENERGIA
GESTÃO DE ATIVOS DE ENERGIA
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 

Similaire à Auditoria de sistemas de informação

Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TIWagner Silva
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02asbgrodrigo
 
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra MartinsArquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra MartinsiMasters
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurançatrindade7
 
Segurança, ética e privacidade da informação
Segurança, ética e privacidade da informaçãoSegurança, ética e privacidade da informação
Segurança, ética e privacidade da informaçãoDaiana de Ávila
 
Política de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoPolítica de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoDiego Souza
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoNeemias Lopes
 
Introdução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteçãoIntrodução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteçãoNeemias Lopes
 
Você está preparado para o GDPR?
Você está preparado para o GDPR?Você está preparado para o GDPR?
Você está preparado para o GDPR?Centus Consultoria
 
A importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizaçõesA importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizaçõesIsraelCunha
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosBruno Oliveira
 
Aula01 introdução à segurança
Aula01   introdução à segurançaAula01   introdução à segurança
Aula01 introdução à segurançaCarlos Veiga
 
Segurança da informação - Aula 01
Segurança da informação  - Aula 01Segurança da informação  - Aula 01
Segurança da informação - Aula 01profandreson
 
Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dadosCIJUN
 

Similaire à Auditoria de sistemas de informação (20)

Segurança da Informação Corporativa
Segurança da Informação CorporativaSegurança da Informação Corporativa
Segurança da Informação Corporativa
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TI
 
Segurança da Informação e Governança em TI
Segurança da Informação e Governança em TISegurança da Informação e Governança em TI
Segurança da Informação e Governança em TI
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
 
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra MartinsArquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurança
 
Segurança, ética e privacidade da informação
Segurança, ética e privacidade da informaçãoSegurança, ética e privacidade da informação
Segurança, ética e privacidade da informação
 
Política de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoPolítica de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao Desenvolvimento
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de Proteção
 
Introdução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteçãoIntrodução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteção
 
Asi aula1
Asi aula1Asi aula1
Asi aula1
 
Você está preparado para o GDPR?
Você está preparado para o GDPR?Você está preparado para o GDPR?
Você está preparado para o GDPR?
 
Conceitos TI
Conceitos TIConceitos TI
Conceitos TI
 
Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)
 
A importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizaçõesA importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizações
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
 
Aula01 introdução à segurança
Aula01   introdução à segurançaAula01   introdução à segurança
Aula01 introdução à segurança
 
Segurança da informação - Aula 01
Segurança da informação  - Aula 01Segurança da informação  - Aula 01
Segurança da informação - Aula 01
 
Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dados
 

Plus de Rodrigo Gomes da Silva

Gerenciamento de Requisitos de Software
Gerenciamento de Requisitos de SoftwareGerenciamento de Requisitos de Software
Gerenciamento de Requisitos de SoftwareRodrigo Gomes da Silva
 
Es 04 desenvolvimento de software dirigido por casos de uso - parte iii
Es 04   desenvolvimento de software dirigido por casos de uso - parte iiiEs 04   desenvolvimento de software dirigido por casos de uso - parte iii
Es 04 desenvolvimento de software dirigido por casos de uso - parte iiiRodrigo Gomes da Silva
 
Es 02 desenvolvimento de software dirigido por casos de uso - parte i
Es 02   desenvolvimento de software dirigido por casos de uso - parte iEs 02   desenvolvimento de software dirigido por casos de uso - parte i
Es 02 desenvolvimento de software dirigido por casos de uso - parte iRodrigo Gomes da Silva
 
Segurança dos sistemas de informação parte 2
Segurança dos sistemas de informação   parte 2Segurança dos sistemas de informação   parte 2
Segurança dos sistemas de informação parte 2Rodrigo Gomes da Silva
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informaçãoRodrigo Gomes da Silva
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informaçãoRodrigo Gomes da Silva
 
Asi na 01_conquistando_vantagem_competitiva_com_os_sistemas_de_informacao
Asi na 01_conquistando_vantagem_competitiva_com_os_sistemas_de_informacaoAsi na 01_conquistando_vantagem_competitiva_com_os_sistemas_de_informacao
Asi na 01_conquistando_vantagem_competitiva_com_os_sistemas_de_informacaoRodrigo Gomes da Silva
 

Plus de Rodrigo Gomes da Silva (16)

BABOK - Visão Geral
BABOK - Visão GeralBABOK - Visão Geral
BABOK - Visão Geral
 
Análise de negócios para curiosos
Análise de negócios para curiososAnálise de negócios para curiosos
Análise de negócios para curiosos
 
Gerenciamento de Requisitos de Software
Gerenciamento de Requisitos de SoftwareGerenciamento de Requisitos de Software
Gerenciamento de Requisitos de Software
 
Es 04 desenvolvimento de software dirigido por casos de uso - parte iii
Es 04   desenvolvimento de software dirigido por casos de uso - parte iiiEs 04   desenvolvimento de software dirigido por casos de uso - parte iii
Es 04 desenvolvimento de software dirigido por casos de uso - parte iii
 
Es 02 desenvolvimento de software dirigido por casos de uso - parte i
Es 02   desenvolvimento de software dirigido por casos de uso - parte iEs 02   desenvolvimento de software dirigido por casos de uso - parte i
Es 02 desenvolvimento de software dirigido por casos de uso - parte i
 
PHP Orientado a Objetos
PHP Orientado a ObjetosPHP Orientado a Objetos
PHP Orientado a Objetos
 
Introdução ao RUP
Introdução ao RUPIntrodução ao RUP
Introdução ao RUP
 
Introdução à UML com Casos de Uso
Introdução à UML com Casos de UsoIntrodução à UML com Casos de Uso
Introdução à UML com Casos de Uso
 
Computacao na 01_introdução
Computacao na 01_introduçãoComputacao na 01_introdução
Computacao na 01_introdução
 
Aula inaugural computação
Aula inaugural computaçãoAula inaugural computação
Aula inaugural computação
 
Comércio eletrônico
Comércio eletrônicoComércio eletrônico
Comércio eletrônico
 
Pirataria de software
Pirataria de softwarePirataria de software
Pirataria de software
 
Segurança dos sistemas de informação parte 2
Segurança dos sistemas de informação   parte 2Segurança dos sistemas de informação   parte 2
Segurança dos sistemas de informação parte 2
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informação
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informação
 
Asi na 01_conquistando_vantagem_competitiva_com_os_sistemas_de_informacao
Asi na 01_conquistando_vantagem_competitiva_com_os_sistemas_de_informacaoAsi na 01_conquistando_vantagem_competitiva_com_os_sistemas_de_informacao
Asi na 01_conquistando_vantagem_competitiva_com_os_sistemas_de_informacao
 

Auditoria de sistemas de informação

  • 1. Auditoria de Sistemas de Informação Prof. Rodrigo Gomes
  • 2. Auditoria de Sistemas de Informação • Globalização => disseminação da informação; • É mais fácil interceptar a informação; Empresários deixam de tomar decisões Por não confiar na Por não ter informação informação
  • 3. Auditoria de Sistemas de Informação • Toda empresa deve utilizar sistemas de informação integrados; • Se o SI não for confiável a empresa poderá estar exposta a riscos.
  • 4. Auditoria de Sistemas de Informação “A informação desempenha papéis importantes tanto na definição quanto na execução de uma estratégia. Ela ajuda na identificação das ameaças e das oportunidades para a empresa e cria o cenário para uma resposta competitiva mais eficaz.” Rezende e Abreu (2000)
  • 5. Auditoria de Sistemas de Informação “A informação é um ativo que, como qualquer outro ativo é importante para os negócios, tem um valor para a organização e, conseqüentemente, necessita ser adequadamente protegido.” (NBR ISO/IEC 17799, 2003)
  • 6. Auditoria de Sistemas de Informação • Nem toda informação é crucial ou essencial a ponto de merecer cuidados especiais. • Por outro lado, uma determinada informação pode ser tão vital que o custo de sua integridade, será menor que o custo de não dispor dela dequadamente.
  • 7. Auditoria de Sistemas de Informação • Boran (1996) e Wadlow (2000) classificam a informação:  Pública: podem vir a público sem maiores consequencias ao funcionamento da empresa.  Interna: o acesso livre deve ser evitado, não é vital para o negócio mas sua integridade é importante.  Confidencial: restrita aos limites da empresa, a divulgação ou perda pode levar a desequilibrio operacional, perda financeira ou quebra de confiança por parte do cliente;  Secreta: critica para as operações da empresa, a integridade deve ser presenrvada a qualquer custo e o acesso deve ser restrito. A segurança dessa informação é vital para a companhia.
  • 8. Auditoria de Sistemas de Informação • Ativos da Informação: • Constituem basicamente os chamados Ativos de Informação:  A informação (conceitualmente): mensagens, textos, dados de um sistema, informações de funcionários, programas de rádio e TV, etc.  As tecnologias que suportam a informação: papel, correio eletrônico, editor de texto, sistemas de informação, rádio, TV, telefone, arquivos de aço, computadores, etc.  As pessoas e processos que utilizam as informações: vendedores, gerentes, fornecedores, clientes, processo de compra, processo de venda, etc.  Os ambientes: CPDs, salas de arquivos, depósitos de mídias e equipamentos, etc.
  • 9. Auditoria de Sistemas de Informação • Vulnerabilidade dos Ativos da Informação: Souza (2006) ressalta ainda que, na área de tecnologias podemos identificar as seguintes deficiências:  computadores sem proteção contra vírus;  arquivos de aço sem controle de acesso;  equipamentos em locais públicos (impressoras, fax)  cabos de redes expostos;  redes locais com senha padrão ou pública;  falta de controle a áreas críticas;  problemas de manutenção em equipamentos;  problemas com energia elétrica.
  • 10. Auditoria de Sistemas de Informação • Vulnerabilidade dos Ativos da Informação: Com relação às pessoas e processos os ativos da informação podem estar comprometidos no que diz respeito a:  ausência de controle interno estruturado e bem aplicado;  ausência de política institucional de segurança na organização;  inexistência de especialistas em segurança na organização;  inexistência de regulamentação para acesso às informações da organização;  procedimentos ineficientes para análise e conferencia das informações;  colaboradores não-treinados em segurança;
  • 11. Auditoria de Sistemas de Informação • Vulnerabilidade dos Ativos da Informação: • ausência de procedimentos disciplinares para o tratamento das violações da política de segurança; • ausência de planos de contingência O ambiente no qual a empresa esta inserida também propicia algumas formas de “ataque” ao ativo da informação da empresa, conforme segue: • ausência de mecanismos contra incêndio; • inexistência de mecanismos de prevenção à enchente; • inexistência de proteção contra poluentes diversos que possam prejudicar mídias e equipamentos.
  • 12. Auditoria de Sistemas de Informação • Implementando Políticas de Segurança: • Elaborar, divulgar e manter atualizado documento que descreva a política de segurança de informações; • A alta gerência deve estar comprometida com a política de segurança de informações, a qual deve ser implantada de acordo com o documento formal por ela aprovado; • Definir uma estrutura organizacional responsável pela segurança, a qual deve aprovar e revisar as políticas de segurança, designar funções de segurança e coordenar a implantação da política;
  • 13. Auditoria de Sistemas de Informação • Implementando Políticas de Segurança: • Estabelecer procedimentos de segurança de pessoal, com intuito de reduzir ou evitar erros humanos, mau uso dos recursos computacionais, fraude ou roubo, por meio de um processo rigoroso de recrutamento de pessoal e de controle sobre acessos a dados confidenciais; • Todos os funcionários devem ter conhecimento dos riscos de segurança de informações e de suas responsabilidades com relação a esse assunto. • É aconselhável que haja um treinamento de segurança para difusão de boas práticas e padrões de segurança, promovendo uma cultura de segurança na organização;
  • 14. Auditoria de Sistemas de Informação • Implementando Políticas de Segurança: • Implantar controle de acesso lógico aos sistemas de forma a prevenir acessos não autorizados. Esse controle pode ser feito via processo seguro de logon, senhas fortemente seguras, registro formal de usuários. • Definir procedimentos de backup e de restauração dos sistemas computacionais para garantir a integridade e a disponibilidade de dados e software. • A freqüência de backup deve ser apropriada e pelo menos uma cópia do backup deve ser guardada em local seguro. Os procedimentos de restauração devem ser periodicamente testados para garantir sua efetividade quando forem necessários;
  • 15. Auditoria de Sistemas de Informação • Implementando Políticas de Segurança: • Auditar regularmente todos os aspectos de segurança a fim de determinar se as políticas estão sendo efetivamente cumpridas ou se são necessárias modificações.
  • 16. Auditoria de Sistemas de Informação • Implementando Políticas de Segurança: Antigamente, a atenção sobre a segurança da informação estava focada na tecnologia. Hoje, o desafio é construir uma relação de confiabilidade com clientes e parceiros. Conforme Rezende e Abreu (2000), as empresas estão procurando dar mais atenção ao ser humano, pois é ele que faz com que as engrenagens empresariais funcionem perfeitas e harmonicamente, buscando um relacionamento cooperativo e satisfatório.
  • 17. Auditoria de Sistemas de Informação • Auditoria da Tecnologia da Informação:  Auditoria da TI é uma auditoria operacional , analisa a gestão de recursos, com o foco nos aspectos de eficiência, eficácia, economia e efetividade. • Eficiência significa fazer um trabalho correto, sem erros e de boa qualidade. • Eficácia é fazer um trabalho que atinja totalmente o resultado esperado.
  • 18. Auditoria de Sistemas de Informação • Auditoria da Tecnologia da Informação:  Itens a serem auditados: • Segurança física; • Segurança lógica; • Planejamento de contingências; • Políticas, padrões, procedimentos, responsabilidades organizacionais e gerência; • Banco de dados; • Redes de comunicação e computadores; • Controle sobre aplicativos:
  • 19. Auditoria de Sistemas de Informação • Auditoria da Tecnologia da Informação: • Pode-se observar que a auditoria de TI deve estar inserida na rotina de processos de qualquer empresa que busca tomar decisões baseando-se em relatórios gerados a partir de um sistema informatizado. • No entanto, nota-se que o elo mais fraco de um processo de segurança é a pessoa (ou grupos de pessoas), que por sua vez, é a responsável por garantir a fidelidade da informação.
  • 20. Auditoria de Sistemas de Informação • Auditoria da Tecnologia da Informação: • Assim, a melhor forma de garantir a segurança da informação estratégica é atuar junto às pessoas que de alguma forma manipulam a informação com políticas de treinamento, prevenção e auditoria dos processos relacionados. • Enfim, as práticas da Segurança da Informação garantem que a informação certa, esteja disponível na hora certa, para que os responsáveis possam tomar a decisão estrategicamente adequada em tempo hábil.