Minicurso: Abordagens complementares para Auditoria de TI

1.791 visualizações

Publicada em

Minicurso ministrado por Renato Braga na 5º Governança Aplicada da ISACA Brasilia

Publicada em: Tecnologia
0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
1.791
No SlideShare
0
A partir de incorporações
0
Número de incorporações
123
Ações
Compartilhamentos
0
Downloads
86
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Minicurso: Abordagens complementares para Auditoria de TI

  1. 1. 5º Governança AplicadaMinicurso: Abordagens complementares para Auditoria de TI Renato Braga, CISA, CIA, CGAP Diretor de Educação Isaca Capítulo Brasília Brasília, 16 de setembro de 2011Renato Braga, CISA CIA, CGAP CISA, 1
  2. 2. “Um homem que trabalha com suas mãos é um operário; o que trabalha com suas mãos e o seu cérebro é um artesão, e o que trabalha com suas mãos, seu cérebro e seu coração é um artista”. Louis Nizer, Advogado Norte- Americano nascido na Inglaterra.Renato Braga, CISA CIA, CGAP CISA, 2
  3. 3. Público-alvo  Auditores e gestores focados na implantação de controles internos de TI.Renato Braga, CISA CIA, CGAP CISA, 3
  4. 4. Objetivo proposto  Conhecer as abordagens de auditoria de TI utilizadas pelo Tribunal de Contas da União (TCU) até o ponto de entender em que ocasiões a combinação dessas abordagens se faz necessária para atingir o objetivo de uma auditoria.Renato Braga, CISA CIA, CGAP CISA, 4
  5. 5. Questão preliminar: o que é a Sefti? Visite em: http://www.tcu.gov.br/fiscalizacaotiRenato Braga, CISA CIA, CGAP CISA, 5
  6. 6. Criação da Sefti  Em agosto de 2006 (Resolução TCU nº 193/2006)  A Secretaria de Fiscalização de Tecnologia da Informação tem por finalidade fiscalizar a gestão e o uso de recursos de tecnologia da informação pela Administração Pública Federal. (sublinhado do original)Renato Braga, CISA CIA, CGAP CISA, 6
  7. 7. Sefti Negócio Controle externo da governança de tecnologia da informação na Administração Pública Federal. Missão Assegurar que a tecnologia da informação agregue valor ao negócio da Administração Pública Federal em benefício da sociedade. Visão Ser unidade de excelência no controle e no aperfeiçoamento da governança de tecnologia da informação.Renato Braga, CISA CIA, CGAP CISA, 7
  8. 8. Agenda  Conceitos iniciais  Um método de auditoria  Abordagens de auditoria de TI  Abordagem: Governança de TI  Abordagem: Segurança da Informação  Abordagem: Dados  Por que combinar abordagens?Renato Braga, CISA CIA, CGAP CISA, 8
  9. 9. Definição de auditoria  Auditoria é o processo sistemático, documentado e independente de se avaliar objetivamente uma situação ou condição para determinar a extensão na qual critérios são atendidos, obter evidências quanto a esse atendimento e relatar os resultados dessa avaliação a um destinatário predeterminado. Fonte: Normas de Auditoria do TCU - NATRenato Braga, CISA CIA, CGAP CISA, 9
  10. 10. Definição de Auditoria Interna  A auditoria interna é uma atividade independente e objetiva de avaliação (assurance) e de consultoria, desenhada para adicionar valor e melhorar as operações de uma organização.  Ela auxilia uma organização a realizar seus objetivos a partir da aplicação de uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de gerenciamento de riscos, controle e governança. Fonte: International Professional Practices Framework - IPPFRenato Braga, CISA CIA, CGAP CISA, 10
  11. 11. Controle  2.2 Forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas, ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal. Fonte: ABNT NBR ISO/IEC 27002:2005Renato Braga, CISA CIA, CGAP CISA, 11
  12. 12. Controles, auditoria e análise de riscos A escolha de quais controles devem ser implantados bem como do que deve ser auditado decorre de análise de riscos.Renato Braga, CISA CIA, CGAP CISA, 12
  13. 13. Controles gerais  Aplicam-se a todos os componentes do sistema, dos processos, e dos dados de uma organização ou ambiente. Controles gerais incluem, mas não estão limitados à políticas de segurança da informação, de administração, de acesso e de autenticação, de segregação de funções chaves de TI, de gestão de aquisição e implementação de sistemas, de gestão de mudanças, de cópias de segurança e de continuidade do negócio. Fonte: GTAG Information Technology Controls Auditing (tradução livre)Renato Braga, CISA CIA, CGAP CISA, 13
  14. 14. Controles de aplicação  São os que estão no escopo de processos de negócio ou sistemas de aplicação. Eles incluem controles como edição de dados, separação de funções de negócio (e.g., solicitações e autorizações), totalizações, registros de acesso, e relatos de erros de processamento. Fonte: GTAG Information Technology Controls Auditing (tradução livre)Renato Braga, CISA CIA, CGAP CISA, 14
  15. 15. Objetivo de controle  Declaração de um resultado desejado ou propósito a ser alcançado pela implementação de práticas de controle em um processo particular de TI. Fonte: IT Assurance Guide using Cobit (tradução livre)Renato Braga, CISA CIA, CGAP CISA, 15
  16. 16. Tipos de testes  a) testes de observância:visam à obtenção de razoável segurança de que os procedimentos de controle interno estabelecidos pela Administração estão em efetivo funcionamento e cumprimento.  b) testes substantivos: visam à obtenção de evidências quanto à suficiência, exatidão e validação dos dados produzidos pelos sistemas contábil e administrativos da entidade, ...” Fonte: IN – SFC 01/2006Renato Braga, CISA CIA, CGAP CISA, 16
  17. 17. Perfis de auditores  Auditores de negócio (ou de processo)  Auditores de TI  competências de um CISA  Auditores especialistas em TI Fonte: IntosaiRenato Braga, CISA CIA, CGAP CISA, 17
  18. 18. O IIA preconiza ...  Auditores internos devem ter conhecimento suficiente dos principais riscos e controles de TI e das técnicas de auditoria baseadas em tecnologia para realizar seus trabalhos. Porém, não é esperado que todos auditores tenham as habilidades de um auditor interno com a responsabilidade primária de auditar TI. Fonte: IIA, IPPF, 1210.A3 (tradução livre, sublinhado do original).Renato Braga, CISA CIA, CGAP CISA, 18
  19. 19. Avaliação de controles de TI  Auditores que não detenham conhecimentos específicos de TI podem (e devem) realizar uma avaliação limitada (menos profunda) dos controles gerais e de aplicativos, na extensão necessária para atendimento dos objetivos da auditoria.Renato Braga, CISA CIA, CGAP CISA, 19
  20. 20. Agenda  Conceitos iniciais  Um método de auditoria  Abordagens de auditoria  Abordagem: Governança de TI  Abordagem: Segurança da Informação  Abordagem: Dados  Por que combinar abordagens?Renato Braga, CISA CIA, CGAP CISA, 20
  21. 21. IPPF 2040 – Políticas e Procedimentos  O executivo chefe de auditoria deve estabelecer políticas e procedimentos para orientar a atividade de auditoria interna. Interpretação:  A forma e o conteúdo das políticas e procedimentos dependem do tamanho e da estrutura da atividade de auditoria interna, e da complexidade de seu trabalho.Renato Braga, CISA CIA, CGAP CISA, 21
  22. 22. Exemplos de políticas e procedimentos  CFC/CRC  http://www.cfc.org.br/uparq/Manual_auditoria_site.pdf  Conab  http://www.conab.gov.br/conabweb/download/nupin/Ma nualdeAuditoriaInterna.pdf  CGU  http://www.cgu.gov.br/Legislacao/Arquivos/InstrucoesN ormativas/IN01_06abr2001.pdf  TCU  http://portal2.tcu.gov.br/portal/page/portal/TCU/comunid ades/fiscalizacao_controle/normas_auditoriaRenato Braga, CISA CIA, CGAP CISA, 22
  23. 23. Manual de auditoria de sistemas do TCU (http://www.facape.br/cynara/sas/Manual_TCU_Audit_Sistemas.pdf) De 1998, e em breve será publicado o manual de auditoria de TI!Renato Braga, CISA CIA, CGAP CISA, 23
  24. 24. Padrões de auditoria de conformidade do TCU Matriz de Matriz de Matriz de Planejamento Achados Responsabilização PORTARIA-SEGECEX Nº 26, DE 19 DE OUTUBRO DE 2009Renato Braga, CISA CIA, CGAP CISA, 24
  25. 25. Padrões de auditoria de conformidade do TCU Matriz de Matriz de Matriz de Planejamento Achados Responsabilização  Questão de auditoria  Objeto  Informações necessárias  Membro  Fontes de informação  Período  Procedimentos  Possíveis achados  Detalhamento do procedimentoRenato Braga, CISA CIA, CGAP CISA, 25
  26. 26. Padrões de auditoria de conformidade do TCU Matriz de Matriz de Matriz de Planejamento Achados Responsabilização  Descrição  Situação encontrada  Objetos  Critérios  Evidências  Causas  Efeitos  EncaminhamentoRenato Braga, CISA CIA, CGAP CISA, 26
  27. 27. Padrões de auditoria de conformidade do TCU Matriz de Matriz de Matriz de Planejamento Achados Responsabilização  Achado  Responsável  Período de exercício  Conduta  Nexo de causalidade  CulpabilidadeRenato Braga, CISA CIA, CGAP CISA, 27
  28. 28. Agenda  Conceitos iniciais  Um método de auditoria  Abordagens de auditoria de TI  Abordagem: Governança de TI  Abordagem: Segurança da Informação  Abordagem: Dados  Por que combinar abordagens?Renato Braga, CISA CIA, CGAP CISA, 28
  29. 29. Áreas de atuação Governança Segurança Sistemas Fiscalização Dados operacional ou Infraestrutura de conformidade Contratações Programas e políticas Fonte: TCU/SeftiRenato Braga, CISA CIA, CGAP CISA, 29
  30. 30. Abordagens de auditorias de TI Políticas e programas Governança de TI (direção, mecanismos e controle) Segurança da Informação Dados Contratações (SLA, OLA, UC) Sistemas Fonte: TCU/SeftiRenato Braga, CISA CIA, CGAP CISA, 30
  31. 31. Agenda  Conceitos iniciais  Um método de auditoria  Abordagens de auditoria de TI  Abordagem: Governança de TI  Abordagem: Segurança da Informação  Abordagem: Dados  Por que combinar abordagens?Renato Braga, CISA CIA, CGAP CISA, 31
  32. 32. Abordagem: Governança de TI  Objetivo  Avaliar a estrutura de governança de TI da organização.  Principal fonte de critérios  Cobit  Tem-se mostrado a causa-raiz da maioria das deficiências encontradas nas auditoriasRenato Braga, CISA CIA, CGAP CISA, 32
  33. 33. e.g., Política de Segurança da Informação O que é o controle?  NC 3/IN01/DSIC/GSIPR - 4.4 Política de Segurança da Informação e Comunicações (POSIC): documento aprovado pela autoridade responsável do órgão ou entidade da APF, com o objetivo de fornecer diretrizes, critérios e suporte administrativo suficientes à implementação da segurança da informação e comunicações; Critérios  IN-GSI/PR 1/2008, art. 5º, inciso VII c/c NC 3/IN01/DSIC/GSI/PR.  Resolução-CNJ 90/2009, art. 13.  NBR ABNT ISO/IEC 27.002, item 5.1.Renato Braga, CISA CIA, CGAP CISA, 33
  34. 34. e.g., Política de Segurança da Informação Por que o gestor deve implantar?  NC 3/IN01/DSIC/GSI/PR: 2.1 A Política de Segurança da Informação e Comunicações declara o comprometimento da alta direção organizacional com vistas a prover diretrizes estratégicas, responsabilidades, competências e o apoio para implementar a gestão de segurança da informação e comunicações nos órgãos ou entidades da Administração Pública Federal, direta e indireta; Aspectos que o auditor deve analisar  formalização, conteúdo, divulgação, atualização, recursos para implantaçãoRenato Braga, CISA CIA, CGAP CISA, 34
  35. 35. Exercício 1Renato Braga, CISA CIA, CGAP CISA, 35
  36. 36. Detalhando os padrões ... Matriz de Matriz de Matriz de Planejamento Achados Responsabilização  Questão de auditoria  Objeto  Informações necessárias  Membro  Fontes de informação  Período  Procedimentos  Possíveis achados  Detalhamento do procedimentoRenato Braga, CISA CIA, CGAP CISA, 36
  37. 37. Exercício 1  Elaborar uma linha da matriz de planejamento para avaliar o seguinte objetivo de controle: “Traduzir os requisitos de negócio, de risco e conformidade, em um plano abrangente de segurança de TI, que leve em consideração a infraestrutura de TI e a cultura de segurança. O plano deve ser implementado em políticas e procedimentos de segurança, juntamente com investimentos adequados em serviços, pessoal, software e hardware. Políticas e procedimentos de segurança devem ser comunicados aos usuários e partes interessadas.” Fonte: Cobit 4.1, DS5.2 Plano de Segurança de TIRenato Braga, CISA CIA, CGAP CISA, 37
  38. 38. Agenda  Conceitos iniciais  Um método de auditoria  Abordagens de auditoria de TI  Abordagem: Governança de TI  Abordagem: Segurança da Informação  Abordagem: Dados  Por que combinar abordagens?Renato Braga, CISA CIA, CGAP CISA, 38
  39. 39. Abordagem: Segurança da Informação  Objetivo  Avaliar como a organização trata os aspectos de gestão de segurança da informação.  Principal fonte de critérios  ABNT NBR ISO/IEC 27.002:2005Renato Braga, CISA CIA, CGAP CISA, 39
  40. 40. e.g., Gerenciamento de Usuários O que é o controle?  NC 7/IN01/DSIC/GSIPR: 5.1.6 Os órgãos ou entidades da APF, em suas áreas de competência, estabelecem regras para credenciamento, bloqueio e exclusão de contas de acesso de seus usuários, bem como para o ambiente de desenvolvimento. Critérios  IN-GSI/PR 1/2008, art. 5º, inciso VII c/c NC 7/IN01/DSIC/GSI/PR.  Resolução-CNJ 90/2009, art. 10.  NBR ABNT ISO/IEC 27002, item 11.2.Renato Braga, CISA CIA, CGAP CISA, 40
  41. 41. e.g., Gerenciamento de Usuários Por que o gestor deve implantar?  NC 7/IN01/DSIC/GSI/PR: 2.1.O objetivo do controle é sistematizar a concessão de acesso, a fim de evitar a quebra de segurança da informação e comunicações. Aspectos que o auditor deve analisar  Registro do usuário, gerenciamento de privilégios, gerenciamento de senhas, análise crítica de direitos de acessoRenato Braga, CISA CIA, CGAP CISA, 41
  42. 42. Exercício 2Renato Braga, CISA CIA, CGAP CISA, 42
  43. 43. Detalhando os padrões ... Matriz de Matriz de Matriz de Planejamento Achados Responsabilização  Descrição  Situação encontrada  Objetos  Critérios  Evidências  Causas  Efeitos  EncaminhamentoRenato Braga, CISA CIA, CGAP CISA, 43
  44. 44. Exercício 2  Ler individualmente a situação encontrada descrita e identificar:  Critérios  Evidências  Causas  Efeitos (reais ou potenciais)  Que proposta de encaminhamento pode ser feita?Renato Braga, CISA CIA, CGAP CISA, 44
  45. 45. Agenda  Conceitos iniciais  Um método de auditoria  Abordagens de auditoria de TI  Abordagem: Governança de TI  Abordagem: Segurança da Informação  Abordagem: Dados  Por que combinar abordagens?Renato Braga, CISA CIA, CGAP CISA, 45
  46. 46. Abordagem: Dados  Objetivo  Verificar os atributos de segurança (integridade, confidencialidade e disponibilidade) dos dados dos sistemas, em especial se estão em conformidade com as regras que regem o negócio.  Principal fonte de critério  Regras de negócioRenato Braga, CISA CIA, CGAP CISA, 46
  47. 47. e.g., Gerenciamento de usuários  Se o controle geral de TI não estiver implantado ou for deficiente, o que se pode esperar como conseqüências?  A NC 7/IN01/DSIC/GSI/PR preconiza que:  2.2.A identificação, a autorização, a autenticação, o interesse do serviço e a necessidade de conhecer são condicionantes prévias para concessão de acesso nos órgãos ou entidades da APF.  Vamos nos ater a dois aspectos:  segregação de funções  análise crítica de direitos de acessoRenato Braga, CISA CIA, CGAP CISA, 47
  48. 48. Exercício 3Renato Braga, CISA CIA, CGAP CISA, 48
  49. 49. Cadastro de usuários CPF Nome Cargo Inicio Fim 444444 Michael Terceirizado 22/03/2004 22/09/2009 777777 Platão Terceirizado 01/02/2009 02/02/2009 Chefe de 666666 Madona compras 20/05/2010 * Auxiliar 555555 Renato contabilidade 22/01/2003 * Gestor de 888888 Ammy compras 01/02/2000 31/01/2002 999999 Lula Presidente 01/02/2001 *Renato Braga, CISA CIA, CGAP CISA, 49
  50. 50. Cadastro de permissões de acesso Usuário - Administrador Gestor Usuário - Homologa Usuário - CPF (do sistema) (do sistema) Registra Pedido pedido paga 666666 - - - x - 888888 - - x - - 999999 x - - - - 444444 - - - - - 555555 - - - x x 777777 x - - - -Renato Braga, CISA CIA, CGAP CISA, 50
  51. 51. Exercício 3.1 – Aquecendo...  A) Dados os cadastros de usuários e de permissões no sistema de compras, verificar se as permissões de acesso estão adequadas.  B) E se fossem milhares de registros, como fazer?Renato Braga, CISA CIA, CGAP CISA, 51
  52. 52. Exercício 3.2 – Este é o modelo de dadosTB_Usuario TB_Usu_Perf TB_Perfil TB_Perf_Ope TB_Operacao#Id_Usuario #Id_Usuario #Id_Perfil #Id_Perfil #Id_OperacaoNome_Usu #Id_Perfil Nome_Perf #Id_Operacao Nome_OpRamal_Usu Id_CriadorUnidade_UsuStatus_Usu... ... ... ... ...Renato Braga, CISA CIA, CGAP CISA, 52
  53. 53. Exercício 3.2  Descrever um procedimento para avaliar se há contas de usuários ativos com permissões simultâneas para registrar um pedido e efetuar um pagamento.  É possível prever outro procedimento? Qual?  Este fica como dever de casa ...  ;-)Renato Braga, CISA CIA, CGAP CISA, 53
  54. 54. Exercício 3.3  Refletir individualmente sobre o teste que foi simulado e responder a seguinte pergunta: “Trata-se de um teste substantivo ou de observância?”Renato Braga, CISA CIA, CGAP CISA, 54
  55. 55. Agenda  Conceitos iniciais  Um método de auditoria  Abordagens de auditoria de TI  Abordagem: Governança de TI  Abordagem: Segurança da Informação  Abordagem: Dados  Por que combinar abordagens?Renato Braga, CISA CIA, CGAP CISA, 55
  56. 56. Acórdão 71/2007-Plenário  Objetivo da auditoria:  “ ...avaliar aspectos relacionados com a segurança e a consistência das informações gerenciadas pelo sistema Infoseg (Sistema Nacional de Integração de Informações em Justiça e Segurança Pública), em cumprimento ao disposto no item 9.4 do Acórdão 724/2005- TCU-Plenário.”Renato Braga, CISA CIA, CGAP CISA, 56
  57. 57. Infoseg – Sistema Nacional de Integração de Informações em Justiça e Segurança Pública  Integração das informações dos órgãos de segurança pública, justiça e fiscalização da União, dos Estados e do Distrito Federal. (Ilustração cedida pela Senasp/MJ)Renato Braga, CISA CIA, CGAP CISA, 57
  58. 58. Finalidade do Infoseg  Disponibilização dessas informações para os agentes públicos federais, estaduais, distritais e municipais cadastrados no sistema por meio ...  da Internet (páginas Web);  do telefone celular (mensagem SMS);  da Intranet (via Web Services);  ...Renato Braga, CISA CIA, CGAP CISA, 58
  59. 59. Módulos de consulta  Indivíduos  Índice Nacional (IN) de inquéritos, processos, mandados de prisão, registro de armas, ...  Consultas detalhadas.  Armas  Consulta à base do Sistema Sinarm - Sistema Nacional de Armas - mantido pelo Departamento de Polícia Federal.  Veículos  Consulta à base do Sistema Renavam - Registro Nacional de Veículos Automotores - mantido pelo Denatran.  Condutores  Consulta à base do Sistema Renach - Registro Nacional de Carteiras de Habilitação - mantido pelo Denatran.Renato Braga, CISA CIA, CGAP CISA, 59
  60. 60. Ambientes heterogêneos Ente SGBD Linguagem participante 1 Oracle Delphi 2 Oracle Java 3 SQL Server Java 4 DMS/2 Cobol 5 MySQL Java 6 Adabas NaturalRenato Braga, CISA CIA, CGAP CISA, 61
  61. 61. Abordagem: dados  “As inconsistências encontradas evidenciam controles de processamento insuficientes (item 12.2.2, da NBR ISO/IEC 17799:2005), e podemos dividi-las em três grupos:  registros constantes do IN sem correspondência nas bases do ente;  registros constantes das bases do ente sem correspondência no IN;  registros constantes das bases do ente e do IN, porém com conteúdos divergentes”Renato Braga, CISA CIA, CGAP CISA, 62
  62. 62. Abordagem: dados  9.2.2. adote as providências necessárias para resolver as inconsistências entre as bases de dados estaduais e o Índice Nacional, constantes dos arquivos do CD-ROM em anexo;  9.2.3. institua mecanismos que garantam a consistência entre o Índice Nacional - IN - e as bases dos entes que alimentam o IN, verificando periodicamente a eficácia dos mecanismos implementados, de acordo com o previsto no item 12.2.2, da NBR ISO/IEC 17799:2005;Renato Braga, CISA CIA, CGAP CISA, 63
  63. 63. Abordagem: segurança da informação  9.2.5. estabeleça e identifique formalmente responsabilidades relativas às questões de segurança das informações do Infoseg, de acordo com o previsto no item 6.1.3 da NBR ISO/IEC 17799:2005;  9.2.8. conduza, a intervalos regulares, a análise crítica dos direitos de acesso dos usuários do Infoseg, por meio de um processo formal, de acordo com o previsto no item 11.2.4 da NBR ISO/IEC 17799:2005;Renato Braga, CISA CIA, CGAP CISA, 64
  64. 64. Abordagem: segurança da informação  9.2.15. formalize política de geração de cópias de segurança para o Infoseg, de acordo com o previsto no item 10.5.1 da NBR ISO/IEC 17799:2005;  9.2.16. armazene as mídias contendo cópias de segurança do Infoseg em local diverso da operação do sistema, de acordo com a diretriz “d” do item 10.5.1 da NBR ISO/IEC 17799:2005;  9.2.17. estabeleça um perímetro de segurança nas instalações da gerência do Infoseg (barreiras tais como paredes, portões de entrada controlados por cartão ou balcão com recepcionista), em conformidade com o item 9.1.1 da NBR ISO/IEC 17799:2005;Renato Braga, CISA CIA, CGAP CISA, 65
  65. 65. Abordagem: governança de TI  9.1.1. ...estude a viabilidade de apresentar à Casa Civil da Presidência da República anteprojeto de lei que regulamente o § 7º, do art. 144, da Constituição Federal, de forma a institucionalizar o sistema Infoseg, contendo, entre outros, dispositivos que contemplem atribuições e responsabilidades para os entes que detêm as informações de interesse do sistema;  9.2.1. ...crie dispositivos que melhor regulamentem o Infoseg, estabelecendo atribuições e responsabilidades para os entes participantes do sistema, ainda que por meio do aperfeiçoamento dos termos de convênio firmados no âmbito do Fundo Único de Segurança Pública - FUSP;Renato Braga, CISA CIA, CGAP CISA, 66
  66. 66. Abordagem: governança de TI  9.2.6. defina formalmente uma Política de Segurança da Informação - PSI - para o Infoseg, que forneça orientação e apoio para a segurança da informação da rede, promovendo-se ampla divulgação do documento para todos os usuários, de acordo com o previsto no item 5.1.1 da NBR ISO/IEC 17799:2005;  9.2.7. defina formalmente uma Política de Controle de Acesso - PCA - para o Infoseg, contemplando usuários Web, “host de atualização” e da rede interna da gerência do Infoseg, de acordo com o previsto no item 11.1.1 da NBR ISO/IEC 17799:2005;Renato Braga, CISA CIA, CGAP CISA, 67
  67. 67. Abordagem: governança de TI  9.2.22. envide esforços no sentido de dotar a gerência do Infoseg dos recursos humanos especializados e treinados, necessários à garantia da continuação do desenvolvimento, manutenção e operação do sistema, à semelhança das orientações contidas no item PO 4.12 do COBIT 4.0;  9.2.23. avalie a situação de terceirização de pessoal na gerência do Infoseg, de modo a dotar aquela gerência de servidores ocupantes de cargos efetivos suficientes, capacitados e treinados para exercer as atividades estratégicas e sensíveis, sobretudo as de gestão do sistema (planejamento, coordenação, organização, supervisão e controle);Renato Braga, CISA CIA, CGAP CISA, 68
  68. 68. Abordagem: contratações  A gerência do Infoseg vem efetuando uma fiscalização eficiente do Contrato nº 111/2005 (anexo1, v.1, fls.304/319) firmado com a Empresa Brasileira de Telecomunicações S/A - Embratel - para o fornecimento dos serviços de comunicação de dados da rede Infoseg. (boa prática registrada no relatório)  9.4. determinar ... que nos contratos de serviços relativos à área de TI, defina claramente, tanto nos editais de licitação como nos contratos, cláusulas contemplando requisitos de segurança da informação como os previstos no item 6.2.3 da NBR ISO/IEC 17799:2005;Renato Braga, CISA CIA, CGAP CISA, 69
  69. 69. Abordagem: Sistemas 9.1.2. estude, em atenção ao Princípio da Eficiência contido no caput, do art. 37, da Constituição Federal, a viabilidade de virem a integrar diretamente à rede Infoseg todos os órgãos que possam fornecer informações ao Índice Nacional, em especial os Tribunais de Justiça das unidades da federação, órgãos responsáveis pelas informações sobre mandados de prisão e andamento de processos; 9.1.5. em atenção ao Princípio da Eficiência contido no caput, do art. 37, da Constituição Federal, avalie os resultados da pesquisa realizada com os usuários do Infoseg no curso deste trabalho (CD-ROM em anexo), visando a implementar melhorias no sistema que minimizem os pontos frágeis apontados, em especial quanto à facilidade de busca das informações;Renato Braga, CISA CIA, CGAP CISA, 70
  70. 70. Abordagem: Infraestutura  9.1.4. estude a viabilidade de trafegar os dados pela rede Infoseg em formato mais compacto que o formato XML usado atualmente, como por exemplo no formato TXT, em atendimento ao Princípio da Eficiência constante do art. 37, caput, da Constituição Federal; (achado não decorrente da investigação de questão de auditoria)Renato Braga, CISA CIA, CGAP CISA, 71
  71. 71. Resumo  Conceitos iniciais  Um método de auditoria  Abordagens de auditoria de TI  Abordagem: Governança de TI  Abordagem: Segurança da Informação  Abordagem: Dados  Por que combinar abordagens?Renato Braga, CISA CIA, CGAP CISA, 72
  72. 72. Atingimos o objetivo proposto?  Conhecer as abordagens de auditoria de TI utilizadas pelo Tribunal de Contas da União (TCU) até o ponto de entender em que ocasiões a combinação dessas abordagens se faz necessária para atingir o objetivo de uma auditoria.Renato Braga, CISA CIA, CGAP CISA, 73
  73. 73. “A única coisa necessária para o triunfo do mal é que os homens bons não façam nada” Edmund Burke, estadista e filósofo britânico.Renato Braga, CISA CIA, CGAP CISA, 74
  74. 74. Grato pela atenção. http://www.isaca-brasilia.org diretor.educacao@isaca-brasilia.org falecomigo@renatobraga.netRenato Braga, CISA CIA, CGAP CISA, 75

×