segurança da informação - fundamentos em auditoria
DESCRIPTION
Uma primeira abordagem sobre auditoria em segurança da informação.TRANSCRIPT
![Page 1: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/1.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Fundamentos em auditoria
Professor André Campos
Uma visão mais ampla sobre segurança da informação poderá
ser obtida no livro Sistema de Segurança da Informação –
Controlando os riscos, de André Campos, Editora Visual
Books.
![Page 2: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/2.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Fundamentos em auditoria
Este material foi produzido como apoio didático para disciplinas de graduação e pós-graduação relacionadas com Tecnologia da Informação.
O uso é permitido a todo e qualquer docente ou discente das referidas disciplinas, ou correlatas, desde que sejam respeitados os direitos autorais, ou seja, que os créditos sejam mantidos.
Este material não pode ser vendido. Seu uso é permitido sem qualquer custo.
Diversas figuras foram obtidas a partir do acesso em sites de imagens. Estas imagens foram utilizadas em seu estado original, com 72DPI.
Algumas imagens foram obtidas da obra "Sistema de Segurança da Informação Controlando Riscos".
Todas as imagens são utilizadas para fins exclusivamente acadêmicos e não visam a obtenção de lucro.
Informações específicas sobre segurança da informação podem ser obtidas na obra Sistemas de segurança da informação Controlando Riscos; Campos, André; Editora Visual Books, 2007.
![Page 3: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/3.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
A auditoria
O objetivo de uma auditoria é garantir a
efetividade dos processos e ativos de uma
determinada organização.
A auditoria poderá dedicar-se a comprovar a
eficácia, a comprovar a eficiência, ou a
comprovar a efetividade.
![Page 4: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/4.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
A auditoria
Consiste basicamente da comparação do
estado dos processos e dos ativos contra um
critério de auditoria.
Desta comparação, são possíveis os
seguintes resultados:
• Conforme
• Não conforme (Oportunidade de Melhoria)
Em ambos os casos, é possível haver
observações.
![Page 5: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/5.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
A auditoria
As conformidades e não conformidades são
aplicadas com base nas evidências de
auditoria, ou seja, em registros, apresentação
de fatos ou outras informações que
corroborem as evidências.
A auditoria não pode ser baseada em opiniões
ou avaliações pessoais dos indivíduos
envolvidos na auditoria.
![Page 6: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/6.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
A auditoria
Os personagens de uma auditoria são o
auditado, que é a organização que recebe a
auditoria, os auditores, que são os que
realizam a auditoria, os especialistas, que são
as pessoas que fornecem conhecimento ou
experiência específicos para a equipe de
auditoria, e o cliente de auditoria, que nem
sempre é o auditado; muito comum em caso
de qualificação de fornecedores.
![Page 7: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/7.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
A auditoria
Para a realização de uma auditoria, é
importante haver um programa de auditoria
que preveja a realização de diversas
auditorias, integradas ou não a outros
sistemas auditores, e para cada auditoria um
plano de auditoria. A equipe de auditores
precisa ter a competência adequada para a
auditoria.
![Page 8: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/8.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
A auditoria
Existem basicamente 3 tipos de auditoria;
Auditoria de primeira parte é a auditoria
interna, que objetiva garantir a implementação
correta de controles.
Auditoria de segunda parte é a auditoria
contratada para verificar se a auditoria interna
foi realizada adequadamente.
Auditoria de terceira parte é a auditoria
contrata para aferir certificação com base em
determinado critério de auditoria.
![Page 9: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/9.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
A auditoria
Uma auditoria deve basear-se em alguns
elementos essenciais, que proporcionarão
confiabilidade a todo o processo.
É importante que a auditoria seja pautada pela
ética, pela justiça, pelo zêlo profissional, pela
imparcialidade, e por uma abordagem
baseada em evidências.
![Page 10: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/10.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
A auditoria
A conduta ética do profissional de auditoria
fará com que ele seja uma pessoa confiável,
íntegra, discreta e que mantém a
confidencialidade das informações as quais
tem acesso.
![Page 11: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/11.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
A auditoria
A apresentação justa refere-se a obrigação
de informar verazmente e precisamente a
respeito das constatações de auditoria, dos
relatórios e das conclusões. Mesmo as
divergências entre a equipe de auditoria e o
auditado que não forem resolvidas, devem ser
claramente relatadas.
![Page 12: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/12.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
A auditoria
O cuidado profissional refere-se ao trabalho
zeloso e a aplicação do julgamento correto na
atividade de auditoria, considerando a
relevância e a responsabilidade que um
auditor tem.
![Page 13: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/13.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
A auditoria
A independência refere-se ao trabalho
imparcial que deve ser realizado pela equipe
de auditoria. Para tanto, os auditores não
podem ser subordinados ou dependentes do
auditado direto.
Os auditores precisam manter a mente aberta
e estarem livres da tendência de conflito de
interesses.
![Page 14: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/14.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
A auditoria
A abordagem baseada em evidências
refere-se ao método científico para gerar as
conclusões de auditoria, de modo que estas
sejam confiáveis e reproduzíveis.
A utilização de amostragem é aceitável para
reduzir o tempo de auditoria, mas deve
garantir a confiabilidade necessária aos
resultados obtidos.
![Page 15: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/15.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Critérios de auditoria
Existem diversos critérios de auditoria,
dependendo do tipo da auditoria e dos
resultados esperados.
Um critério de auditoria é um conjunto de
políticas, procedimentos ou requisitos.
Vejamos alguns destes critérios e seus
principais objetivos.
![Page 16: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/16.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Critérios de auditoria
Existem diversos critérios de auditoria,
dependendo do tipo da auditoria e dos
resultados esperados.
Um critério de auditoria é um conjunto de
políticas, procedimentos ou requisitos.
Vejamos alguns destes critérios e seus
principais objetivos.
![Page 17: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/17.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Critérios de auditoria
A ISO 27.001 é um critério específico para
auditorias de segurança da informação.
O objetivo deste critério é garantir que a
informação na organização esteja preservada
quanto a sua confidencialidade,
disponibilidade e integridade.
Ela aborda temas tais como Política de
Segurança, Classificação da Informação,
Segurança Física, Segurança de Acesso
Lógico, Segurança em Sistemas, entre outros.
![Page 18: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/18.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Critérios de auditoria
A Sarbanes-Oxley (SARBOX / SOX) é um
critério específico para auditorias de
segurança relacionadas com as atividades
financeiras da organização.
Trata-se de uma lei americana criada por Paul
Sarbanes e Michael Oxley com o objetivo de
garantir transparência das operações
financeiras altamente baseadas em sistemas
de informação. Ela estabelece regras de
segurança e auditoria, que inclui a criação de
comitês e comissões de supervisão.
![Page 19: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/19.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Critérios de auditoria
Seção Seção 302 Seção 404 Seção 409
Requisitos A seção Corporate Responsibility for Financial Reports determina que CEOs e CFOs devem assinar documentos trimestralmente e anualmente certificando que seus relatórios financeiros estão corretos e precisos.
A seção management assessment of internal controls determina que a organização documente, teste e relatorie sua estrutrua interna de controles;Auditories externos devem atestar a qualidade destes controles.
A seção real-time issuer disclosures determina que a organização elabore um relatório claro sobre material changes to the financial condition or operations em no máximo 48 horas.
Aspectos principais
Garante que os executivos tenham avaliado a efetivadade dos controles internos 90 dias antes do relatório atual.
Garante a existência de controles internos para os sistemas finaceiros existentes e outros grandes sistemas corporativos.
Garante que o monitoramento financeiro está altamente automatizado e suportado por um grande número de diferentes sistemas.
Principais preocupaçoes dos executivos
Quem na organização é responsável por garantir a integridade e a disponibilidade dos sistemas financeiros?
Entre os controles internos, estão inclusos o Plano de Continuidade de Negócio e as respectivas considerações de recuperação de desastres?
Quanto será a material changes monitorada quando os sistemas de monitoramento estiverem for a do ar para manutenção ou upgrade?
Sarbanes-Oxley (SARBOX / SOX)
![Page 20: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/20.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Critérios de auditoria
A metodologia ITIL é um critério específico
itSMF, ou simplesmente, Gerenciamento de
serviços de TI. Contém os seguintes livros:
Service Delivery, Service Support, The Business
Perspective - the IS View of Delivering Services to the
Business, Planning to Implement IT Service
Management, Software Asset Management, Security
Management, ITIL Small-scale Implementation,
Applications Management, ICT Infrastructure
Management, Gerenciamento de Serviços de TI na
Prática - Uma abordagem com base na ITIL
![Page 21: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/21.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Critérios de auditoria
A metodologia COBIT é um critério específico
para gestão de TI.
Grande foco no alinhamento estratégico, no
planejamento e acompanhamento dos planos
e retorno sobre os investimentos em
Tecnologia da Informação.
![Page 22: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/22.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Critérios de auditoria
A norma ISO 12.207 é um critério específico
sobre o ciclo de vida do software.
A norma se preocupa com a aquisição ou
desenvolvimento do software, seu suporte
durante o período de uso, e os processos de
gestão e melhoria contínua.
Há ainda foco na questão dos treinamentos e
infra necessários para utilização adequada do
software.
![Page 23: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/23.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Critérios de auditoria
A norma ISO 9.126 é um critério específico
sobre a qualidade do software.
A norma se preocupa com aspectos tais como
funcionalidade adequada, confiabilidade,
usabilidade, eficiência, manutenibilidade, e
portabilidade.
A ISO 14.598 é uma norma de apoio a
avaliação da qualidade de software.
![Page 24: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/24.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Critérios de auditoria
O modelo CMMI é um critério específico para
a melhoria contínua do processo de
desenvolvimento de software.
Trata-se de um modelo de maturidade, ou
seja, que permite a organização evoluir ao
passo que implementa os procedimentos
propostos.
![Page 25: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/25.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Critérios de auditoria
Naturalmente existem outras normas e
metodologias que podem ser adotadas como
critério de uma auditoria. As normas e
metodologias apresentadas neste documento
são meramente ilustrativos.
![Page 26: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/26.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Competência dos auditores
Boa parte da estabilidade e dos resultados
obtidos pela atividade de auditoria dependem
da competência do auditor.
Esta competência é uma composição entre os
atributos pessoais, os conhecimentos e
habilidades, e a educação e experiência
profissional.
O auditor precisa ter competência em
auditoria, e competência específica para o tipo
de auditoria que pretende conduzir.
![Page 27: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/27.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Competência dos auditores
Os atributos pessoais estão muito
relacionados com os princípios essenciais de
uma auditoria, que já foi visto.
Portanto, o auditor precisa ser ético, ter a
mente aberto, ser diplomático, observador,
perceptivo, versátil, persistente, racional, e
auto confiante.
Estes atributos não são todos facilmente
encontrados em uma só pessoa, mas podem
ser desenvolvidos.
![Page 28: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/28.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Competência dos auditores
Quanto aos conhecimentos e habilidades,
isto tem a ver com uma grande diversidade de
aspectos.
É importante possuir conhecimentos gerais,
tais como técnicas de auditoria, sistema de
gestão, conhecimento de negócio, leis e
regulamentos.
Competência para liderar equipes de auditoria
é necessário.
Conhecer o critério de auditoria específico é
fundamental.
![Page 29: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/29.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Competência dos auditores
A educação e experiência profissional, se
relacionam com a competência para cada
autor da auditoria.
O auditor precisa ter treinamento em auditoria
e conhecer bem o critério de auditoria.
O auditor líder precisa ter uma competência
superior a dos demais auditores, em
conhecimento e em experiência.
![Page 30: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/30.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Competência dos auditores
Parâmetro Auditor Auditor Líder
Educação Mínimo: nível médio.
Idem.
Experiência total
5 anos para NM e 1 ano para NS.
Idem.
Experiência específica
Mínimo de 2 anos.
Idem.
Treinamento em auditoria
40h. Idem.
Experiência em auditoria
4 auditorias, mínimo 20 dias.
3 auditorias, mínimo 15 dias, como líder.
![Page 31: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/31.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Competência dos auditores
A competência do auditor precisa ser sempre
melhorada, e que mesmo as competências
existentes sejam mantidas através da
participação regular em auditorias.
Os auditores pode se certificar pelo RAC (Registro de Auditores Certificados). Visite o site http://www.cic.org.br.
Níveis de certificação:•Auditor •Auditor Aspirante •Auditor Interno •Auditor Líder
![Page 32: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/32.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Programa de auditoria
Um programa de auditoria pode envolver
uma ou mais auditorias, e estas auditorias
pode ser combinadas ou em conjunto.
Quando diferentes sistemas de gestão
(qualidade, segurança da informação,
ambiente) são auditados juntos, isto é
chamado de auditoria combinada.
Quando duas ou mais organizações de
auditoria cooperam para auditar um único
auditado, isto é chamado de auditoria
conjunta.
![Page 33: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/33.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Programa de auditoria
A ações fundamentais que contribuem para o
êxito das estratégias de negócio da
organização devem ser fortemente apoiadas e
patrocinadas pela Alta Direção.
Não é diferente no caso do programa de
auditoria em Tecnologia da Informação,
Segurança da Informação, Governança em TI,
Gestão de Serviços em TI, ou qualquer outra
considerada estratégica.
![Page 34: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/34.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Programa de auditoria
De fato, os programas de auditoria precisam
ser geridos, e para tal, a organização deve
estabelecer um processo contínuo para este
fim.
Como todos os processos de qualidade, o de
auditoria também precisa garantir a melhoria
contínua, e para tanto, um ciclo P-D-C-A,
demonstrado no próximo slide.
![Page 35: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/35.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Programa de auditoria
Existe uma norma específica que estabelece
uma proposta de P-D-C-A para o programa de
auditoria.
Esta mesma norma propõe uma metodologia
para as atividades de auditoria, e para as
competências dos auditores.
Esta norma é a NBR ISO 19.011 – Diretrizes
para auditorias.
![Page 36: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/36.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Programa de auditoria
CH
EC
KD
OP
LA
NA
CT
Estabelecendo o programa
- Objetivos e abrangência
- Responsabilidades
- Recursos
- Procedimentos
Implementando o programa
- Programando auditorias
- Avaliando auditores
- Selecionando equipes
- Dirigindo auditorias
- Mantendo registros
Melhorando o programa de
auditoria
Monitorando e analisando
- Monitoração e análise crítica
- Necessidade de ações corretivas
- Necessidade de ações
preventivas
- Oportunidades de melhoria
![Page 37: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/37.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Estabelecendo o programa
Um primeiro passo é definir o objetivo do programa de auditoria, que pode estar relacionado com questões estratégicas, aspectos comerciais, requisitos do próprio SGSI, dos clientes, ou das leis e regulamentos, entre outros.
Por exemplo, “Satisfazer requisitos da norma X”, “Conformidade com contratos”, e “Ober confiança do cliente” seriam objetivos válidos.
![Page 38: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/38.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Estabelecendo o programa
Em seguida deve-se definir a abrangência deste programa, que será influenciado pelo tamanho e complexidade da organização, frequência das auditorias, requisitos normativos, preocupações das partes interessadas, mudanças significativas na organização, entre outros.
![Page 39: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/39.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Estabelecendo o programa
O próximo passo é definir as responsabilidades do programa de auditoria.
O programa de auditoria deve ser gerenciado por um ou mais colaboradores que compreendam os princípios de auditoria, que possam avaliar os auditores, e que tenham compreensão técnica e capacidade gerencial, especialmente da gestão de projetos.
![Page 40: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/40.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Estabelecendo o programa
Os recursos necessários para o programa de auditoria precisam ser reservados.
É importante lembrar que os recursos se referem não apenas aos aspectos financeiros, mas também aos recursos técnicos, ao processo de obtenção manutenção das competências dos auditores, recursos humanos (disponibilidade), tempo e dinheiro para viagens, hospedagens e coisas do gênero.
![Page 41: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/41.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Estabelecendo o programa
Os procedimentos de auditoria deve ser definidos, e podem fazer parte da Política de Segurança da Informação (PSI).
Devem abranger o planejamento das auditorias, a manutenção das competências, a seleção das equipes, a realização das auditorias, as ações de acompanhamento, o registro, a monitoramento do programa, e o processo de comunicação com a Alta Direção a respeito dos resultados.
![Page 42: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/42.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Implementando o programa
Implementar o programa é, de fato, fazer acontecer tudo o que foi planejado.
Isto envolve comunicar as partes interessadas, coordenar as auditorias, avaliar continuamente a competênciados auditores, selecionar e monitorar as equipes, garantir os recursos, gerenciar o cronograma de auditoria, analisar os riscos, e manter a qualidade do programa.
![Page 43: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/43.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Implementando o programa
Em qualquer processo de auditoria, os registros são de fundamental importância. São a evidência de que o programa existe.
Sendo assim, são três as principais categorias de registro:
1 – Relativos a auditoria;
2 – Relativos a análise crítica do programa;
3 – Relativos ao pessoal de auditoria.
![Page 44: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/44.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Implementando o programa
Os registros relativos as auditoriasincluem:
1 - Planos de auditoria;
2 - Relatórios de auditoria;
3 - Relatórios de não conformidade;
4 - Relatórios de ação corretiva;
5 - Relatórios de acompanhamento.
![Page 45: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/45.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Implementando o programa
Os registros relativos as análise crítica incluem:
1 – Atas de reunião;
2 – Registro de informações consideradas;
3 – Relatório de propostas.
![Page 46: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/46.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Implementando o programa
Os registros relativos a equipe de auditoria incluem:
1 – Competência do auditor;
2 – Avaliação de desempenho;
3 – Seleção das equipes;
4 – Experiência adquirida;
5 – Treinamentos realizados.
![Page 47: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/47.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Monitorando o programa
A própria implementação do programa precisa ser monitorada. Pode parecer estranho, já que o programa criado para auditar precisa também ser auditado.
As informações obtidas neste monitoramente devem ser estruturadas de maneira didática e repassadas para a Alta Direção.
![Page 48: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/48.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Monitorando o programa
Mas como monitorar a implantação de um programa de auditoria?
O acompanhamento do cronograma de implantação é uma bom começo. Os resultados obtidos em termos de documentos gerados, procedimentos escritos, e implementados, devem ser considerados.
![Page 49: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/49.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Monitorando o programa
No entanto, um método efetivo é criar indicadores de desempenho que possam monitorar características tais como:
A habilidade da equipe de auditoria em implementar o plano de auditoria;
A conformidade com o programa de auditoria e as programações;
A realimentação dos clientes de auditoria, auditados e auditores.
![Page 50: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/50.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Melhorando o programa
O objetivo da análise crítica do programa de auditoria é considerar todas as informações possíveis a respeito do programa, de modo que seja possível avaliar a situação atual, definir uma situação futura desejada, e propor melhorias que garantam o preenchimento da lacuna entre a situação atual e a desejada.
![Page 51: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/51.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Melhorando o programa
A análise crítica deve considerar, por exemplo:1 - resultados e tendências apresentadas pelo monitoramento;
2 - A conformidade com os procedimentos;
3 - A evolução de necessidades e expectativas das partes interessadas;
4 - Os registros do programa de auditoria (já mencionados);
5 - A consistência no desempenho entre equipes de auditoria.
![Page 52: Segurança da Informação - Fundamentos em Auditoria](https://reader034.vdocuments.pub/reader034/viewer/2022052206/5571f7d149795991698c0ff3/html5/thumbnails/52.jpg)
Pro
fe
sso
r A
nd
ré
C
am
po
s
BIBLIOGRAFIA
ABNT. Norma ABNT NBR ISO/IEC 17799:2005 – Tecnologia da informação –Técnicas de segurança – Código de práticas para a gestão da segurança da informação; Associação Brasileira de Normas Técnicas (ABNT), Brasil, 2005.
ABNT. Norma ABNT NBR ISO/IEC 17799:2005 – Tecnologia da informação –Técnicas de segurança – Código de práticas para a gestão da segurança da informação; Associação Brasileira de Normas Técnicas (ABNT), Brasil, 2005.
Campos, André. Sistema de Segurança da Informação – Controlando o Risco; Editora Visual Books, Brasil, 2005.
Hansche, Susan; Berti, John; Hare, Chris. Official (ISC2) Guide to the CISSP Exam; Estados Unidos, 2003.
NIST. An Introduction to Computer Security: The NIST handbook; National Institute of Standards and Technology; Estados Unidos, 2003.
PMI. Project Management Book of Knowledge – PMBOK; Project Management Institute, Estados Unidos, 2005.