SlideShare une entreprise Scribd logo

Auditoria de sistemas de informação

Silvino Neto
Silvino Neto

Auditoria de Sistemas de Informação Joshua Imoniana- resumo

Technologie
1  sur  30
Télécharger pour lire hors ligne
RESUMO 2ª EDIÇÃO (PG 15-89) – JOSHUA ONOME IMONIANA - IFBA
   ASI – Auditoria de Sistemas de Informação SI – Sistemas de Informação TAAC - Técnica de auditoria assistida por computador
      1. Fundamentos de Auditoria de Sistemas de Informações.......................................................4-8; 2. Padrões e código de ética para ASI................9-10; 3. Desenvolvimento de equipe de auditoria sistemas de informação.................................................11-12; 4. Controles internos e avaliações:...................13-19; 5. Ferramentas e Técnicas de Auditoria de TI...20-25; 6. Auditoria de Controles Organizacionais e Operacionais..................................................26-29;
 1.1 Histórico de Sistemas de Informação:  Cálculos no ano 5000 a.C ;  Invenção dos cartões perfurados(punch cards) por Herman Hollerith;  Construção do ENIAC durante a 2ª Guerra Mundial;  Mudanças provocadas durante o ano de 1950 em todos ambientes de negócios criaram uma grande complexidade que causou a adoção de sistemas de informação para o processamento de dados;
 1.2 Conceito de Sistemas:  Sistema é um conjunto de elementos inter- relacionados com um objetivo: produzir relatórios para ajudar na tomada de decisões;  1.3 Conceito de Auditoria de Tecnologia de Informação:  Tem objetivo de garantir que informações em forma eletrônica são confiáveis;
  1.4 Abordagem de Auditoria de Sistemas de Informações: 1.4.1 Abordagem ao redor do computador :  Baseia-se na confrontação de documentos-fonte com resultados esperados;  1.4.2 Abordagem através do computador:  O auditor acompanha o processamento por dentro do computador;  1.4.3 Abordagem com o computador:  Uma abordagem com o computador completamente assistida;
 1.5 Organização do Trabalho de Auditoria de Tecnologia de Informação:        Planejamento Escolher a equipe Programar a equipe Execução de trabalhos e supervisão Revisão de papéis e trabalhos Atualização do conhecimento permanente Avaliação da equipe
 1.6 Documentação dos papéis de trabalhos :  Papéis de trabalhos constituem conjunto de formulários preenchidos logicamente no processo de auditoria de sistemas.  Figuras que possuem acesso: ▪ Sócio: responsável pelo serviço de auditoria; ▪ Encarregado supervisor e gerente: chefe da equipe de auditoria que deve cadastrar identificação da auditoria; ▪ Preparador (assistente ou sênior de auditoria): capta informações e diretrizes de auditoria nos banco de dados central;
 2.1 Comitê de padrões da associação de controle e audit de tecnologia de informação: -Conforme padrões emitidos:        Responsabilidade, autoridade e prestação de contas; Independência profissional; Ética profissional e padrões; Competência; Planejamento; Emissão de relatório; Atividades de follow-up;
 2.2 Associação de auditores de sistemas e controles(ISACA): - código dos membros  1. apoiar a implementação e encorajar cumprimento de       padrões; 2. exercer suas funções com objetividade; 3. servir aos interesses dos stakeholders de forma legal e honesta; 4. manter privacidade e confidencialidade de informações; 5. manter competência nas respectivas especialidades; 6. informar as partes envolvidas 7. apoiar conscientização profissional dos stakeholders;
 3.1 problemática de desenvolvimento “...”:  Crescente complexidade de ambientes de TI e dificuldades e relutância de auditores com relação a adaptação para auditar estes ambientes;  3.1.1 Programa de desenvolvimento carreira de auditoria de TI: de  Programa utilizado por auditores independentes, que contratam formandos em áreas afins, e os treinam;  Treinamento dividido em duas partes:(i) categoria com pouca ou nenhuma experiência em TI; e (ii) aqueles que possuem experiência;
 Carreira de auditor de TI:  Nível 1- Básico: trainee;  Nível 2 – Fundação: assistentes;  Nível 3 – Focal: seniores e supervisores;  Nível 4 – Integração: gerentes;  Nível 5 – Aconselhamento: sócio de auditoria;
 4.1 Fundamentos de controle internos em SI:  Conforme Instituto Americano de Contadores Públicos: “planos organizacionais e conjuntos de métodos e medidas adotados numa empresa, a fim de salvaguardar o ativo, verificar a exatidão e veracidade registros contábeis, promover efetividade de SI e eficiência operacional ”;
 4.1.1 Controles internos em PED, princípios e objetivos:  Supervisão;  Registro e comunicação;  Segregação de funções;  Classificação de informação;  Tempestividade;  Auditoriabilidade;
 4.1.1 Controles internos em PED, princípios e objetivos:(II)  Controle independente;  Monitoramento;  Implantação;  Contingência;  Custo efetivo;
 4.1.1.1 Tipos de controle:  Controles administrativos e gerências - controles que possuem a separação de funções ou responsabilidades;  Controles de segurança e privacidade; ▪ Propriedades: SIGILO, INTEGRIDADE, DISPONIBILIDADE, CONTABILIDADE e AUDITORIABILIDADE;
 4.1.1.1 Tipos de controle:(II)  Controles de preparação e captação de dados – controle que é exercido no começo de cada atividade de processamento de dados;  Controles de entrada de dados – controle de inputs (entrada) de dados, que visa reduzir dúvidas que possam existir no ponto de entrada;  Controles de processamento – são programados e construídos no computador de forma segura;
 4.1.1.1 Tipos de controle:(III)  Controles de saída e de emissão de relatórios – procedimentos de manuseio de output;  Controles de gravação e recuperação de dados – este controle certifica a integridade de dados recebidos dentro da data-base e qualquer indivíduo que pode acessá-lo com o mínimo esforço;
 4.2 Avaliação dos procedimentos controles internos e avaliações: de  Trabalho executado pelo auditor que tenha habilidade em TI  4.3 Análise de risco de avaliação de sistema de controle interno:  Metodologia adotada pelos auditores de TI para saber, com antecedência, quais ameaças puras ou prováveis em um ambiente de TI de uma organização;
 5.1 Ferramentas:  Auxiliam na extração, sorteio, seleção de dados e transações;  5.1.1 Software generalista de auditoria de TI:  ACL  IDEA  Audimation  Galileo  Pentana
 5.1.2 Softwares especializados de auditoria:  programa desenvolvido especificamente;  5.1.3 Programas utilitários:  Geralmente banco de dados: SQL, Dbase 2, etc.  5.2 Técnicas:  Variadas metodologias que são chamadas de técnicas, que proporcionam várias vantagens: produtividade, custo, qualidade assegurada, valor agregado, benefícios corporativos e benefícios para o auditor.
 5.2.1 Dados de teste:  Conhecido por test data ou test deck, envolve um conjunto de dados de entrada especialmente preparados com objetivos de testar os controles programados e controles de sistema aplicativo;  5.2.2 Facilidade de teste integrado:  Conhecida por Integrated Test Facility(ITF), ela usa dados de testes integrados aos ambientes reais de processamento utilizando-se versões correntes da produção.
 5.2.3 Simulação paralela:  Envolve o uso de um programa especialmente desenvolvido que atenda as lógicas necessárias para um aplicativo devidamente testado.  5.2.4 Lógica de auditoria embutida nos sistemas:  Envolve a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos.
 5.2.5 Rastreamento e mapeamento:  Envolve desenvolvimento e implementação de uma trilha de auditoria para acompanhar certos pontos da lógica de processamento de algumas transações;  5.2.6 Análise lógica de programação:  Técnica que envolve verificação da lógica de programação para certificar que instruções dadas ao computador são as mesmas já identificadas nas documentações dos sistemas e aplicativos;
  5.3 Aplicação de técnica de auditoria assistida por computador (TAAC): 5.4 Documentação dos papéis de trabalhos TAAC:  Deve conter informações suficientes para descrever testes e conclusões. São por exemplo: planejamento, execução e evidenciação;
 6.1 Introdução:  Controles organizacionais – são controles administrativos instalados nos processos de fluxo de transações econômicas;  6.2 Políticas Organizacionais:  Políticas de responsabilidades;  Política de continuidade de negócios (Business Continuity Plan - BCP);
 6.3 Descrição de Cargos:  Supervisão de infraestrutura de TI;  Administração de redes;  Administração de banco de dados;  Administração de dados;  Administração de segurança;  Análise, programação e manutenção de sistemas;  Design para WEB;
 6.3 Descrição de Cargos:(II)  Operador de console;  Operadores de conversão de dados;  Bibliotecários;  Suporte técnico;  Supervisão de Help desk;  Grupo de controle de dados;  Supervisão de Restart/Recovery;
 6.4 Objetivos de auditoria:  O principal objetivo de auditoria de controles organizacionais de área de informática é testar a grande essência de controle interno, promover eficiência das operações e fomentar maior adesão às políticas prescritas pela gerência com maios foco na responsabilidade;  6.5 Programa de auditoria – Controle Organizacionais e Operacionais;
Auditoria de sistemas de informação

Recommandé

Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
Rodrigo Gomes da Silva
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemas
Capitu Tel
 
Aula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemasAula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemas
sorayaNadja
 
Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...
Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...
Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...
Adriano Martins Antonio
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
Carlos Henrique Martins da Silva
 
Sistemas de Informação
Sistemas de InformaçãoSistemas de Informação
Sistemas de Informação
Mauricio Uriona Maldonado PhD
 
Aula 01 - Introdução ao Sistema de Informação
Aula 01 - Introdução ao Sistema de InformaçãoAula 01 - Introdução ao Sistema de Informação
Aula 01 - Introdução ao Sistema de Informação
Daniel Brandão
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002
Cleber Fonseca
 

Recommandé

Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
Rodrigo Gomes da Silva
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemas
Capitu Tel
 
Aula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemasAula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemas
sorayaNadja
 
Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...
Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...
Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...
Adriano Martins Antonio
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
Carlos Henrique Martins da Silva
 
Sistemas de Informação
Sistemas de InformaçãoSistemas de Informação
Sistemas de Informação
Mauricio Uriona Maldonado PhD
 
Aula 01 - Introdução ao Sistema de Informação
Aula 01 - Introdução ao Sistema de InformaçãoAula 01 - Introdução ao Sistema de Informação
Aula 01 - Introdução ao Sistema de Informação
Daniel Brandão
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002
Cleber Fonseca
 
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de SistemasSegurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Cleber Fonseca
 
UFCD 0781 - Análise de Sistemas de Informação.pptx
UFCD 0781 - Análise de Sistemas de Informação.pptxUFCD 0781 - Análise de Sistemas de Informação.pptx
UFCD 0781 - Análise de Sistemas de Informação.pptx
Escola Básica e Secundária da Povoação
 
ISO 38500 Visão Geral
ISO 38500 Visão GeralISO 38500 Visão Geral
ISO 38500 Visão Geral
Blue Hawk - B&IT Management
 
Sistema de Informação na Empresa
Sistema de Informação na EmpresaSistema de Informação na Empresa
Sistema de Informação na Empresa
Adeildo Telles
 
Governança de TI - Aula01 Apresentação da disciplina
Governança de TI - Aula01 Apresentação da disciplinaGovernança de TI - Aula01 Apresentação da disciplina
Governança de TI - Aula01 Apresentação da disciplina
CEULJI/ULBRA Centro Universitário Luterano de Ji-Paraná
 
Gestão Estratégica da TI - Apresentação
Gestão Estratégica da TI - ApresentaçãoGestão Estratégica da TI - Apresentação
Gestão Estratégica da TI - Apresentação
Mauricio Uriona Maldonado PhD
 
Gestão Da Informação
Gestão Da InformaçãoGestão Da Informação
Gestão Da Informação
Felipe Goulart
 
Analise de Requisitos
Analise de RequisitosAnalise de Requisitos
Analise de Requisitos
elliando dias
 
Sistemas Computacionais - Aula 01 - Apresentação
Sistemas Computacionais - Aula 01 - ApresentaçãoSistemas Computacionais - Aula 01 - Apresentação
Sistemas Computacionais - Aula 01 - Apresentação
Leinylson Fontinele
 
Conceitos de Sistemas de Informação
Conceitos de Sistemas de InformaçãoConceitos de Sistemas de Informação
Conceitos de Sistemas de Informação
luanrjesus
 
Modelagem de Sistema de Informação 02
Modelagem de Sistema de Informação 02Modelagem de Sistema de Informação 02
Modelagem de Sistema de Informação 02
Danielle Ballester, PMP,PSM,SFC,SDC,SMC,SPOC,SCT
 
Governança de TI - Aula04 - Planejamento Estratégico, Governança de TI e alin...
Governança de TI - Aula04 - Planejamento Estratégico, Governança de TI e alin...Governança de TI - Aula04 - Planejamento Estratégico, Governança de TI e alin...
Governança de TI - Aula04 - Planejamento Estratégico, Governança de TI e alin...
CEULJI/ULBRA Centro Universitário Luterano de Ji-Paraná
 
Introdução à Análise de Sistemas
Introdução à Análise de SistemasIntrodução à Análise de Sistemas
Introdução à Análise de Sistemas
Nécio de Lima Veras
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
Rafael Maia
 
Aula 5 Governança de TI
Aula 5 Governança de TIAula 5 Governança de TI
Aula 5 Governança de TI
Alexandre Afonso
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da Informação
Jean Israel B. Feijó
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001
William Martins
 
Lista de exercicios de sig (respondida) 1bimestre 2013
Lista de exercicios de sig (respondida) 1bimestre 2013Lista de exercicios de sig (respondida) 1bimestre 2013
Lista de exercicios de sig (respondida) 1bimestre 2013
José Nascimento
 
Introdução à Sistemas de Informação
Introdução à Sistemas de InformaçãoIntrodução à Sistemas de Informação
Introdução à Sistemas de Informação
Álvaro Farias Pinheiro
 
Sistemas Operacionais - Aula 01 (Conceitos básicos de so)
Sistemas Operacionais - Aula 01 (Conceitos básicos de so)Sistemas Operacionais - Aula 01 (Conceitos básicos de so)
Sistemas Operacionais - Aula 01 (Conceitos básicos de so)
Leinylson Fontinele
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de Sistemas
Allan Piter Pressi
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informação
Fernando Palma
 

Contenu connexe

Tendances

Sistema de Informação na Empresa
Sistema de Informação na EmpresaSistema de Informação na Empresa
Sistema de Informação na Empresa
Adeildo Telles
 
Analise de Requisitos
Analise de RequisitosAnalise de Requisitos
Analise de Requisitos
elliando dias
 
Conceitos de Sistemas de Informação
Conceitos de Sistemas de InformaçãoConceitos de Sistemas de Informação
Conceitos de Sistemas de Informação
luanrjesus
 
Introdução à Análise de Sistemas
Introdução à Análise de SistemasIntrodução à Análise de Sistemas
Introdução à Análise de Sistemas
Nécio de Lima Veras
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da Informação
Jean Israel B. Feijó
 

Tendances (20)

Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de SistemasSegurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
 
UFCD 0781 - Análise de Sistemas de Informação.pptx
UFCD 0781 - Análise de Sistemas de Informação.pptxUFCD 0781 - Análise de Sistemas de Informação.pptx
UFCD 0781 - Análise de Sistemas de Informação.pptx
 
ISO 38500 Visão Geral
ISO 38500 Visão GeralISO 38500 Visão Geral
ISO 38500 Visão Geral
 
Sistema de Informação na Empresa
Sistema de Informação na EmpresaSistema de Informação na Empresa
Sistema de Informação na Empresa
 
Governança de TI - Aula01 Apresentação da disciplina
Governança de TI - Aula01 Apresentação da disciplinaGovernança de TI - Aula01 Apresentação da disciplina
Governança de TI - Aula01 Apresentação da disciplina
 
Gestão Estratégica da TI - Apresentação
Gestão Estratégica da TI - ApresentaçãoGestão Estratégica da TI - Apresentação
Gestão Estratégica da TI - Apresentação
 
Gestão Da Informação
Gestão Da InformaçãoGestão Da Informação
Gestão Da Informação
 
Analise de Requisitos
Analise de RequisitosAnalise de Requisitos
Analise de Requisitos
 
Sistemas Computacionais - Aula 01 - Apresentação
Sistemas Computacionais - Aula 01 - ApresentaçãoSistemas Computacionais - Aula 01 - Apresentação
Sistemas Computacionais - Aula 01 - Apresentação
 
Conceitos de Sistemas de Informação
Conceitos de Sistemas de InformaçãoConceitos de Sistemas de Informação
Conceitos de Sistemas de Informação
 
Modelagem de Sistema de Informação 02
Modelagem de Sistema de Informação 02Modelagem de Sistema de Informação 02
Modelagem de Sistema de Informação 02
 
Governança de TI - Aula04 - Planejamento Estratégico, Governança de TI e alin...
Governança de TI - Aula04 - Planejamento Estratégico, Governança de TI e alin...Governança de TI - Aula04 - Planejamento Estratégico, Governança de TI e alin...
Governança de TI - Aula04 - Planejamento Estratégico, Governança de TI e alin...
 
Introdução à Análise de Sistemas
Introdução à Análise de SistemasIntrodução à Análise de Sistemas
Introdução à Análise de Sistemas
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Aula 5 Governança de TI
Aula 5 Governança de TIAula 5 Governança de TI
Aula 5 Governança de TI
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da Informação
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001
 
Lista de exercicios de sig (respondida) 1bimestre 2013
Lista de exercicios de sig (respondida) 1bimestre 2013Lista de exercicios de sig (respondida) 1bimestre 2013
Lista de exercicios de sig (respondida) 1bimestre 2013
 
Introdução à Sistemas de Informação
Introdução à Sistemas de InformaçãoIntrodução à Sistemas de Informação
Introdução à Sistemas de Informação
 
Sistemas Operacionais - Aula 01 (Conceitos básicos de so)
Sistemas Operacionais - Aula 01 (Conceitos básicos de so)Sistemas Operacionais - Aula 01 (Conceitos básicos de so)
Sistemas Operacionais - Aula 01 (Conceitos básicos de so)
 

En vedette

Introdução ao OWASP
Introdução ao OWASPIntrodução ao OWASP
Introdução ao OWASP
Carlos Serrao
 
Audit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-siAudit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-si
Alves Albert
 
Coletanea Segurança e Auditoria (Esaf) - Walter Cunha
Coletanea Segurança e Auditoria (Esaf) - Walter CunhaColetanea Segurança e Auditoria (Esaf) - Walter Cunha
Coletanea Segurança e Auditoria (Esaf) - Walter Cunha
Walter Cunha
 
Fluxos Comunicacionais e Cultura Organizacional, por Priscyla Caldas
Fluxos Comunicacionais e Cultura Organizacional, por Priscyla CaldasFluxos Comunicacionais e Cultura Organizacional, por Priscyla Caldas
Fluxos Comunicacionais e Cultura Organizacional, por Priscyla Caldas
Priscyla Caldas
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, Covilhã
Carlos Serrao
 

En vedette (20)

Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de Sistemas
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informação
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Introdução ao OWASP
Introdução ao OWASPIntrodução ao OWASP
Introdução ao OWASP
 
OWASP: O que, Por que e Como
OWASP: O que, Por que e ComoOWASP: O que, Por que e Como
OWASP: O que, Por que e Como
 
Audit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-siAudit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-si
 
Coletanea Segurança e Auditoria (Esaf) - Walter Cunha
Coletanea Segurança e Auditoria (Esaf) - Walter CunhaColetanea Segurança e Auditoria (Esaf) - Walter Cunha
Coletanea Segurança e Auditoria (Esaf) - Walter Cunha
 
20091 apost topic_v_-_control
20091 apost topic_v_-_control20091 apost topic_v_-_control
20091 apost topic_v_-_control
 
Introdução ao owasp zap aula-01
Introdução ao owasp zap aula-01 Introdução ao owasp zap aula-01
Introdução ao owasp zap aula-01
 
ITIL Security - Uma Visão de Segurança por Processos
ITIL Security - Uma Visão de Segurança por ProcessosITIL Security - Uma Visão de Segurança por Processos
ITIL Security - Uma Visão de Segurança por Processos
 
2ª edição da pós-graduação em Auditoria, Risco e controlo de sistemas de info...
2ª edição da pós-graduação em Auditoria, Risco e controlo de sistemas de info...2ª edição da pós-graduação em Auditoria, Risco e controlo de sistemas de info...
2ª edição da pós-graduação em Auditoria, Risco e controlo de sistemas de info...
 
Fluxos Comunicacionais e Cultura Organizacional, por Priscyla Caldas
Fluxos Comunicacionais e Cultura Organizacional, por Priscyla CaldasFluxos Comunicacionais e Cultura Organizacional, por Priscyla Caldas
Fluxos Comunicacionais e Cultura Organizacional, por Priscyla Caldas
 
Normas de auditoria reduzida
Normas de auditoria reduzidaNormas de auditoria reduzida
Normas de auditoria reduzida
 
Logs, Monitoramento e Estatísticas - Uma Abordagem sobre Ferramentas
Logs, Monitoramento e Estatísticas - Uma Abordagem sobre FerramentasLogs, Monitoramento e Estatísticas - Uma Abordagem sobre Ferramentas
Logs, Monitoramento e Estatísticas - Uma Abordagem sobre Ferramentas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Os 5 Níveis de Reuso
Os 5 Níveis de ReusoOs 5 Níveis de Reuso
Os 5 Níveis de Reuso
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
 
OWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHPOWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHP
 
OWASP - Ferramentas
OWASP - FerramentasOWASP - Ferramentas
OWASP - Ferramentas
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, Covilhã
 

Similaire à Auditoria de sistemas de informação

Simulado cobit em português
Simulado cobit em portuguêsSimulado cobit em português
Simulado cobit em português
Fernando Palma
 
plano_de_projeto_controlart_rascunho
plano_de_projeto_controlart_rascunhoplano_de_projeto_controlart_rascunho
plano_de_projeto_controlart_rascunho
userrx
 
Aula 1 - Gestão de Infraestrutura
Aula 1 - Gestão de InfraestruturaAula 1 - Gestão de Infraestrutura
Aula 1 - Gestão de Infraestrutura
Paulo Nascimento
 
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...
TECSI FEA USP
 
Visão geral da engenharia de software qualidade de software
Visão geral da engenharia de software qualidade de softwareVisão geral da engenharia de software qualidade de software
Visão geral da engenharia de software qualidade de software
jordanavy
 
Cobit 4.0 visão geral
Cobit 4.0 visão geralCobit 4.0 visão geral
Cobit 4.0 visão geral
Tiago Andrade
 
Visão geral da engenharia de software qualidade de software
Visão geral da engenharia de software qualidade de softwareVisão geral da engenharia de software qualidade de software
Visão geral da engenharia de software qualidade de software
jordanavy
 

Similaire à Auditoria de sistemas de informação (20)

01 introducaocaats
01 introducaocaats01 introducaocaats
01 introducaocaats
 
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
 
Simulado cobit em português
Simulado cobit em portuguêsSimulado cobit em português
Simulado cobit em português
 
11SMTF050922T03
11SMTF050922T0311SMTF050922T03
11SMTF050922T03
 
Auditoria de Processo
Auditoria de ProcessoAuditoria de Processo
Auditoria de Processo
 
Simulado cobit em português
Simulado cobit em portuguêsSimulado cobit em português
Simulado cobit em português
 
Consultoria Implantacao
Consultoria ImplantacaoConsultoria Implantacao
Consultoria Implantacao
 
ISO17799 2005
ISO17799 2005ISO17799 2005
ISO17799 2005
 
plano_de_projeto_controlart_rascunho
plano_de_projeto_controlart_rascunhoplano_de_projeto_controlart_rascunho
plano_de_projeto_controlart_rascunho
 
Os Desafios da Implementação da Auditoria com Foco em Riscos do Sistema Fiep
Os Desafios da Implementação da Auditoria com Foco em Riscos do Sistema FiepOs Desafios da Implementação da Auditoria com Foco em Riscos do Sistema Fiep
Os Desafios da Implementação da Auditoria com Foco em Riscos do Sistema Fiep
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
 
Estudo RTCA DO-330 Software Tool Qualification
Estudo RTCA DO-330 Software Tool QualificationEstudo RTCA DO-330 Software Tool Qualification
Estudo RTCA DO-330 Software Tool Qualification
 
Aula 1 - Gestão de Infraestrutura
Aula 1 - Gestão de InfraestruturaAula 1 - Gestão de Infraestrutura
Aula 1 - Gestão de Infraestrutura
 
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...
 
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize
 
Auditoria interna de ti 2
Auditoria interna de ti 2Auditoria interna de ti 2
Auditoria interna de ti 2
 
Visão geral da engenharia de software qualidade de software
Visão geral da engenharia de software qualidade de softwareVisão geral da engenharia de software qualidade de software
Visão geral da engenharia de software qualidade de software
 
Cobit 4.0 visão geral
Cobit 4.0 visão geralCobit 4.0 visão geral
Cobit 4.0 visão geral
 
Visão geral da engenharia de software qualidade de software
Visão geral da engenharia de software qualidade de softwareVisão geral da engenharia de software qualidade de software
Visão geral da engenharia de software qualidade de software
 

Plus de Silvino Neto

Implantando a governança de ti
Implantando a governança de tiImplantando a governança de ti
Implantando a governança de ti
Silvino Neto
 
Conteúdos, Identidade Cultural e O Governo ao Alcance de Todos
Conteúdos, Identidade Cultural e O Governo ao Alcance de TodosConteúdos, Identidade Cultural e O Governo ao Alcance de Todos
Conteúdos, Identidade Cultural e O Governo ao Alcance de Todos
Silvino Neto
 
Processos e threads
Processos e threadsProcessos e threads
Processos e threads
Silvino Neto
 
Apresentação java io
Apresentação java ioApresentação java io
Apresentação java io
Silvino Neto
 

Plus de Silvino Neto (7)

Lei 811290
Lei 811290Lei 811290
Lei 811290
 
Implantando a governança de ti
Implantando a governança de tiImplantando a governança de ti
Implantando a governança de ti
 
Gateway de linha de dados
Gateway de linha de dadosGateway de linha de dados
Gateway de linha de dados
 
Servidor proxy
Servidor proxy Servidor proxy
Servidor proxy
 
Conteúdos, Identidade Cultural e O Governo ao Alcance de Todos
Conteúdos, Identidade Cultural e O Governo ao Alcance de TodosConteúdos, Identidade Cultural e O Governo ao Alcance de Todos
Conteúdos, Identidade Cultural e O Governo ao Alcance de Todos
 
Processos e threads
Processos e threadsProcessos e threads
Processos e threads
 
Apresentação java io
Apresentação java ioApresentação java io
Apresentação java io
 

Dernier

ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docxATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
2m Assessoria
 
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
2m Assessoria
 
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
2m Assessoria
 

Dernier (8)

ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docxATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
 
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
 
ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx
ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docxATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx
ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx
 
Padrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemploPadrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemplo
 
Boas práticas de programação com Object Calisthenics
Boas práticas de programação com Object CalisthenicsBoas práticas de programação com Object Calisthenics
Boas práticas de programação com Object Calisthenics
 
Luís Kitota AWS Discovery Day Ka Solution.pdf
Luís Kitota AWS Discovery Day Ka Solution.pdfLuís Kitota AWS Discovery Day Ka Solution.pdf
Luís Kitota AWS Discovery Day Ka Solution.pdf
 
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
 
Programação Orientada a Objetos - 4 Pilares.pdf
Programação Orientada a Objetos - 4 Pilares.pdfProgramação Orientada a Objetos - 4 Pilares.pdf
Programação Orientada a Objetos - 4 Pilares.pdf
 

Auditoria de sistemas de informação

  • 1. RESUMO 2ª EDIÇÃO (PG 15-89) – JOSHUA ONOME IMONIANA - IFBA
  • 2.    ASI – Auditoria de Sistemas de Informação SI – Sistemas de Informação TAAC - Técnica de auditoria assistida por computador
  • 3.       1. Fundamentos de Auditoria de Sistemas de Informações.......................................................4-8; 2. Padrões e código de ética para ASI................9-10; 3. Desenvolvimento de equipe de auditoria sistemas de informação.................................................11-12; 4. Controles internos e avaliações:...................13-19; 5. Ferramentas e Técnicas de Auditoria de TI...20-25; 6. Auditoria de Controles Organizacionais e Operacionais..................................................26-29;
  • 4.  1.1 Histórico de Sistemas de Informação:  Cálculos no ano 5000 a.C ;  Invenção dos cartões perfurados(punch cards) por Herman Hollerith;  Construção do ENIAC durante a 2ª Guerra Mundial;  Mudanças provocadas durante o ano de 1950 em todos ambientes de negócios criaram uma grande complexidade que causou a adoção de sistemas de informação para o processamento de dados;
  • 5.  1.2 Conceito de Sistemas:  Sistema é um conjunto de elementos inter- relacionados com um objetivo: produzir relatórios para ajudar na tomada de decisões;  1.3 Conceito de Auditoria de Tecnologia de Informação:  Tem objetivo de garantir que informações em forma eletrônica são confiáveis;
  • 6.   1.4 Abordagem de Auditoria de Sistemas de Informações: 1.4.1 Abordagem ao redor do computador :  Baseia-se na confrontação de documentos-fonte com resultados esperados;  1.4.2 Abordagem através do computador:  O auditor acompanha o processamento por dentro do computador;  1.4.3 Abordagem com o computador:  Uma abordagem com o computador completamente assistida;
  • 7.  1.5 Organização do Trabalho de Auditoria de Tecnologia de Informação:        Planejamento Escolher a equipe Programar a equipe Execução de trabalhos e supervisão Revisão de papéis e trabalhos Atualização do conhecimento permanente Avaliação da equipe
  • 8.  1.6 Documentação dos papéis de trabalhos :  Papéis de trabalhos constituem conjunto de formulários preenchidos logicamente no processo de auditoria de sistemas.  Figuras que possuem acesso: ▪ Sócio: responsável pelo serviço de auditoria; ▪ Encarregado supervisor e gerente: chefe da equipe de auditoria que deve cadastrar identificação da auditoria; ▪ Preparador (assistente ou sênior de auditoria): capta informações e diretrizes de auditoria nos banco de dados central;
  • 9.  2.1 Comitê de padrões da associação de controle e audit de tecnologia de informação: -Conforme padrões emitidos:        Responsabilidade, autoridade e prestação de contas; Independência profissional; Ética profissional e padrões; Competência; Planejamento; Emissão de relatório; Atividades de follow-up;
  • 10.  2.2 Associação de auditores de sistemas e controles(ISACA): - código dos membros  1. apoiar a implementação e encorajar cumprimento de       padrões; 2. exercer suas funções com objetividade; 3. servir aos interesses dos stakeholders de forma legal e honesta; 4. manter privacidade e confidencialidade de informações; 5. manter competência nas respectivas especialidades; 6. informar as partes envolvidas 7. apoiar conscientização profissional dos stakeholders;
  • 11.  3.1 problemática de desenvolvimento “...”:  Crescente complexidade de ambientes de TI e dificuldades e relutância de auditores com relação a adaptação para auditar estes ambientes;  3.1.1 Programa de desenvolvimento carreira de auditoria de TI: de  Programa utilizado por auditores independentes, que contratam formandos em áreas afins, e os treinam;  Treinamento dividido em duas partes:(i) categoria com pouca ou nenhuma experiência em TI; e (ii) aqueles que possuem experiência;
  • 12.  Carreira de auditor de TI:  Nível 1- Básico: trainee;  Nível 2 – Fundação: assistentes;  Nível 3 – Focal: seniores e supervisores;  Nível 4 – Integração: gerentes;  Nível 5 – Aconselhamento: sócio de auditoria;
  • 13.  4.1 Fundamentos de controle internos em SI:  Conforme Instituto Americano de Contadores Públicos: “planos organizacionais e conjuntos de métodos e medidas adotados numa empresa, a fim de salvaguardar o ativo, verificar a exatidão e veracidade registros contábeis, promover efetividade de SI e eficiência operacional ”;
  • 14.  4.1.1 Controles internos em PED, princípios e objetivos:  Supervisão;  Registro e comunicação;  Segregação de funções;  Classificação de informação;  Tempestividade;  Auditoriabilidade;
  • 15.  4.1.1 Controles internos em PED, princípios e objetivos:(II)  Controle independente;  Monitoramento;  Implantação;  Contingência;  Custo efetivo;
  • 16.  4.1.1.1 Tipos de controle:  Controles administrativos e gerências - controles que possuem a separação de funções ou responsabilidades;  Controles de segurança e privacidade; ▪ Propriedades: SIGILO, INTEGRIDADE, DISPONIBILIDADE, CONTABILIDADE e AUDITORIABILIDADE;
  • 17.  4.1.1.1 Tipos de controle:(II)  Controles de preparação e captação de dados – controle que é exercido no começo de cada atividade de processamento de dados;  Controles de entrada de dados – controle de inputs (entrada) de dados, que visa reduzir dúvidas que possam existir no ponto de entrada;  Controles de processamento – são programados e construídos no computador de forma segura;
  • 18.  4.1.1.1 Tipos de controle:(III)  Controles de saída e de emissão de relatórios – procedimentos de manuseio de output;  Controles de gravação e recuperação de dados – este controle certifica a integridade de dados recebidos dentro da data-base e qualquer indivíduo que pode acessá-lo com o mínimo esforço;
  • 19.  4.2 Avaliação dos procedimentos controles internos e avaliações: de  Trabalho executado pelo auditor que tenha habilidade em TI  4.3 Análise de risco de avaliação de sistema de controle interno:  Metodologia adotada pelos auditores de TI para saber, com antecedência, quais ameaças puras ou prováveis em um ambiente de TI de uma organização;
  • 20.  5.1 Ferramentas:  Auxiliam na extração, sorteio, seleção de dados e transações;  5.1.1 Software generalista de auditoria de TI:  ACL  IDEA  Audimation  Galileo  Pentana
  • 21.  5.1.2 Softwares especializados de auditoria:  programa desenvolvido especificamente;  5.1.3 Programas utilitários:  Geralmente banco de dados: SQL, Dbase 2, etc.  5.2 Técnicas:  Variadas metodologias que são chamadas de técnicas, que proporcionam várias vantagens: produtividade, custo, qualidade assegurada, valor agregado, benefícios corporativos e benefícios para o auditor.
  • 22.  5.2.1 Dados de teste:  Conhecido por test data ou test deck, envolve um conjunto de dados de entrada especialmente preparados com objetivos de testar os controles programados e controles de sistema aplicativo;  5.2.2 Facilidade de teste integrado:  Conhecida por Integrated Test Facility(ITF), ela usa dados de testes integrados aos ambientes reais de processamento utilizando-se versões correntes da produção.
  • 23.  5.2.3 Simulação paralela:  Envolve o uso de um programa especialmente desenvolvido que atenda as lógicas necessárias para um aplicativo devidamente testado.  5.2.4 Lógica de auditoria embutida nos sistemas:  Envolve a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos.
  • 24.  5.2.5 Rastreamento e mapeamento:  Envolve desenvolvimento e implementação de uma trilha de auditoria para acompanhar certos pontos da lógica de processamento de algumas transações;  5.2.6 Análise lógica de programação:  Técnica que envolve verificação da lógica de programação para certificar que instruções dadas ao computador são as mesmas já identificadas nas documentações dos sistemas e aplicativos;
  • 25.   5.3 Aplicação de técnica de auditoria assistida por computador (TAAC): 5.4 Documentação dos papéis de trabalhos TAAC:  Deve conter informações suficientes para descrever testes e conclusões. São por exemplo: planejamento, execução e evidenciação;
  • 26.  6.1 Introdução:  Controles organizacionais – são controles administrativos instalados nos processos de fluxo de transações econômicas;  6.2 Políticas Organizacionais:  Políticas de responsabilidades;  Política de continuidade de negócios (Business Continuity Plan - BCP);
  • 27.  6.3 Descrição de Cargos:  Supervisão de infraestrutura de TI;  Administração de redes;  Administração de banco de dados;  Administração de dados;  Administração de segurança;  Análise, programação e manutenção de sistemas;  Design para WEB;
  • 28.  6.3 Descrição de Cargos:(II)  Operador de console;  Operadores de conversão de dados;  Bibliotecários;  Suporte técnico;  Supervisão de Help desk;  Grupo de controle de dados;  Supervisão de Restart/Recovery;
  • 29.  6.4 Objetivos de auditoria:  O principal objetivo de auditoria de controles organizacionais de área de informática é testar a grande essência de controle interno, promover eficiência das operações e fomentar maior adesão às políticas prescritas pela gerência com maios foco na responsabilidade;  6.5 Programa de auditoria – Controle Organizacionais e Operacionais;