Lecture based on results of a private research over the information security professional's profile which I ran during June 2011 for its first time. Those are some paramount conclusions.
2. Quem é o palestrante?
• Graduado em Segurança da Informação
• Especialização em Gestão de TI
• +6 anos de experiência em Segurança da
Informação
• Auditor Líder ISO27001, CompTIA
Security+, ITIL
• Coautor do Curso de Formação de
Analistas de Segurança
• Colunista do blog SegInfo
• Membro do Capítulo Brasil do CSA
3. • Quais os objetivos?
• Por que se audita?
• Como se audita?
• Como me beneficiar?
9. Para que serve uma empresa?
Produzir algo
Prestar algum serviço
Desenvolver um produto Quem se interessa pela empresa?
Funcionários da empresa
Público em geral
Sócios da empresa
Investidores em geral
17. Auditoria
Presidência
Auditoria SI
Financeiro RH TI Produto Marketing
18.
19. Determinar
Identificar
extensão de
melhorias
conformidade
Avaliar a
Avaliar a
eficácia da
capacidade de
abordagem
garantir a
para
conformidade
conformidade
20. Leis
OBRIGATÓRIAS PARA TODOS!
Normas
Resoluções
OBRIGATÓRIAS POR NICHO
Regulamentações
Boas práticas de mercado
27. Conhecer o negócio
O que a empresa faz?
Balizar
Quais normas seguir?
Identificar os processos
Entrevistas com as áreas
Avaliar os riscos
O que acontece se...
Definir um plano
O “quê”, “por quê” e “como”
30. Evidências objetivas
Lorem ipsum dolor sit
Lorem ipsum dolor sit
amet, consectetur
Lorem ipsum dolor sit
amet, consectetur
adipiscing
amet, elit. consectetur
Sed
pretium faucibus elit. Sed
adipiscing
adipiscing
elit.nibh,
Sed
et pretium arcu laoreetnibh,
iaculis faucibus nibh,
et pretiumurna enim,
faucibus
iaculis arcu laoreet
eget.et Ut
eget. iaculis urna enim,
Ut arcu laoreet
congue ac tempor nec,
eget. ac tempor nec,
congue Ut urna enim,
ultrices sit amettempor nec,
congue ac augue.
ultrices nullaamet erat,
sit augue.
Namultrices sit amet augue.
bibendum id nulla erat,
Nam
Nam
nullasemper
erat,
non, bibendum id iddiam.
bibendum
vulputate a semper semper
non, vulputate a diam.
Maecenas vulputate a diam.
sollicitudin
non,
Maecenas sollicitudin
ornare a
Maecenas sollicitudin
ornare a
ornare a
Critérios
Relatórios de auditoria
31. Acurácia
Redução
Normas
de riscos
Auditoria
Combate
Independ.
a fraude
Evidências
33. • Não espere ser cobrado por algo
Antecipe-se que já deveria estar sendo feito
Conheça o • O que a empresa faz (objetivos)?
negócio
Participe da • Demonstre interesse em
auditoria compreender
Documente • Teoria do macaco da NASA
tudo
Aproveite o • Avalie e use como base auditorias
histórico anteriores