Auditoria de sistemas

3.530 visualizações

Publicada em

material do primeiro dia do curso de pós em auditoria de sistemas

0 comentários
4 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
3.530
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
187
Comentários
0
Gostaram
4
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Auditoria de sistemas

  1. 1. Tecnologia da InformaçãoParte 1
  2. 2. Auditoria de sistemasNoções de Tecnologia da InformaçãoGerencial. Noções de auditoria desistemas. Segurança de sistemas.Análise de riscos em sistemas deinformação contábeis. Plano decontingência. Técnicas de avaliaçãode sistemas. Situações deVulnerabilidade: Virus, Fraudes,Criptografia, Acesso nãoautorizados, riscos de segurança emgeral.
  3. 3. Auditoria de sistemas Aula 1Noções de Tecnologia da InformaçãoGerencial. Noções de auditoria desistemas. Segurança de sistemas.Análise de riscos em sistemas deinformação contábeis. Plano decontingência. Técnicas de avaliaçãode sistemas. Situações deVulnerabilidade: Vírus, Fraudes,Criptografia, Acesso nãoautorizados, riscos de segurança emgeral.
  4. 4. Tecnologia da Informação eComunicaçãoO que é TI?O termo Tecnologia daInformação (TI) serve paradesignar o conjunto derecursos tecnológicos ecomputacionais para geraçãoe uso da informação. (wiki)
  5. 5. Dado X InformaçãoDADO – Nome, cargo, idade, sexo...INFORMAÇÃO – Maria é filha deJoana.Dados  informações
  6. 6. Dado X InformaçãoDADO – Nome, cargo, idade, sexo...INFORMAÇÃO – Maria é filha deJoana. Maria está sem namorado!Uso no marketing, vendas, naengenharia social e na comunicação.Dados  informações  conhecimento
  7. 7. Tecnologia da Informação eComunicaçãoTIC é um conjunto de recursostecnológicos que, seestiverem integrados entre si,podem proporcionar aautomação e/ou acomunicação de vários tiposde processos existentes nosnegócios, no ensino e napesquisa científica, na áreabancária e financeira, etc.
  8. 8. Tecnologia da Informação eComunicaçãosão tecnologias usadaspara reunir, distribuir ecompartilharinformações, comoexemplo: sites da Web,equipamentos deinformática (hardware esoftware), telefonia,quiosques de informaçãoe balcões de serviçosautomatizados.
  9. 9. Sistema de informaçãoUm Sistema de Informação(SI) é um sistema cujoelemento principal é ainformação. Seu objetivo éarmazenar, tratar e fornecerinformações de tal modo aapoiar as funções ouprocessos de umaorganização.
  10. 10. Tipos de Sistema de informação1.Sistemas de Informação Rotineiros ou Transacionais - sofware simples, os mais usados, como folha de pagamento, cadastros de clientes...(operacional)2.Sistemas de Gestão de Suprimentos: estoque (operacional)3. Sistemas de Gestão Empresarial Integrada - ERP (Enterprise Resource Planning) : responsáveis por administrar, automatizar ou apoiar todos os processos de uma organização de forma integrada. (tático)4. Sistemas de Informações Gerenciais (SIG’s ou MIS – Management Information Systems): (estratégico)5.Sistemas de Apoio à Decisão (SAD’s ou DSS – Decision Support Systems) (estratégico)6.Sistemas Especialistas: Objetivo: tomar decisões
  11. 11. Tipos de Sistema de informaçãoSistemas de SimulaçãoSistemas de Informações DistribuídasSistemas de AutomaçãoSistemas de Informações Geográficas (GIS)Sistemas de Hipertextos, Hipermídia e MultimídiaSistemas de Gestão Eletrônica de Documentos (GED)Sistemas de Informações Textuais (Indexação e Recuperação deInformações)Sistemas de WorkflowSistemas de Data Warehouse (Armazém de Dados)Sistemas de Database MarketingSistemas de CRM (Customer Relationship Management)
  12. 12. Tipos de Sistema de informaçãoSistemas de Data Mining (Mineração de Dados ou Descoberta deConhecimento)Sistemas de Text MiningSistemas de Web MiningSistemas de GroupwareSistemas de IntranetSistemas de ExtranetSistemas de Portais CorporativosSistemas de E-businessSistemas de Comércio Eletrônico (e-commerce)Sistemas de Informações Pervasivos e UbíquosSistemas de Business IntelligenceSistemas de Inteligência CompetitivaSistemas de Gestão do Conhecimento
  13. 13. O Poder da InformaçãoNa sociedade de infomação,informação é poder!Poder é desejado!Se a informação pode ser roubada,o poder pode ser conquistado!
  14. 14. Vulnerabilidade da informaçãodevido aos modernos meios dedisponibilização da mesma...Antigamente (meio papel) cofregarantia as informaçõesAtualmente (computadores eredes)
  15. 15. Vulnerabilidade da informação 1. Tecnologias: a) computadores sem proteção contra vírus; b) arquivos de aço sem controle de acesso; c) equipamentos em locais públicos (impressoras, fax) d) cabos de redes expostos; e) celulares sem senha; f) redes locais com senha padrão ou pública; g) sistemas sem controle de acesso lógico; h) falta de controle a áreas críticas; i) problemas de manutenção em equipamentos; j) problemas com energia elétrica.
  16. 16. Vulnerabilidade da informação2. Pessoas e processos: a) ausência de política institucional de segurança na organização; b) inexistência de especialistas em segurança na organização; c) inexistência de regulamentação para acesso às informações da organização; d) procedimentos ineficientes para análise e conferência das informações; e) colaboradores não-treinados em segurança; f) ausência de procedimentos disciplinares para o tratamento das violações da política de segurança; g) ausência de planos de contingência;
  17. 17. Vulnerabilidade da informação3. Ambiente: a) ausência de mecanismos contra incêndio; b) inexistência de mecanismos de prevenção à enchente; c) inexistência de proteção contra poluentes diversos que possam prejudicar mídias e equipamentos;
  18. 18. AmeaçasA ameaça é um agente externo aoativo de informação, que,aproveitando-se das vulnerabilidadesdesse ativo, poderá quebrar aconfidencialidade, integridade oudisponibilidade da informaçãosuportada ou utilizada pelo agente.FraudesEspiõesSabotadoresVândalosSobrecargas no sistema elétricoTempestadesVírus, etc.
  19. 19. Probabilidade de uma falha desegurançaocorrer levando-se em conta o grau devulnerabilidade presente nos ativosque sustentam o negócio e o grau dasameaças que possam explorar essasvulnerabilidades.O impacto de um incidente são aspotenciais conseqüências que esteincidente possa causar ao negócio daorganização.O impacto de um mesmo incidentepode repercutir de maneira diferenteem organizações distintas.Um site fora do ar? SUBMARINO X FMBQuanto maior for a relevância do ativomaior será o impacto de um incidentede segurança.
  20. 20. Política de Segurança da InformaçãoServe como base ao Para atender as principaisestabelecimento de normas e necessidades da empresa, umaprocedimentos que garantem a Política de Segurança da Informaçãosegurança da informação, bem deve ser:como determina asresponsabilidades relativas à Clara e concisasegurança dentro da empresa. De fácil compreensão Coerente com as ações daA elaboração de uma Política de empresaSegurança da Informação deve ser oponto de partida para o Amplamente divulgadagerenciamento dos riscos Revisada periodicamenteassociados aos sistemas deinformação.
  21. 21. Política de SegurançaA Política de Segurança daInformação visa preservar aconfidencialidade, integridade edisponibilidade das informações.Descrevendo a conduta adequadapara o seu manuseio, controle,proteção e descarte.
  22. 22. Política de SegurançaDiretrizes de Segurança daInformaçãoNormas de segurançaProcedimentos OperacionaisInstruções TécnicasTermo de Sigilo e Responsabilidade
  23. 23. Política de Segurança - Benefícios •Comprometimento da alta direção, com a continuidade dos negócios; •Aumento da conscientização da empresa quanto a segurança das informações; •Padronização nos processos organizacionais; •Definição das responsabilidades pelos ativos da empresa; •Conformidade com a Legislação e obrigações contratuais.
  24. 24. Agentes envolvidos na Segurança daInformação  GESTOR DA INFORMAÇÃO: O indivíduo responsável para fazer decisões em nome da organização no que diz respeito ao uso, à identificação, à classificação, e à proteção de um recurso específico da informação.  CUSTODIANTE:Agente responsável pelo processamento, organização e guarda da informação.  USUÁRIO: Alguma pessoa que interage diretamente com o sistema computadorizado. Um usuário autorizado com poderes de adicionar ou atualizar a informação. Em alguns ambientes, o usuário pode ser o proprietário da informação.
  25. 25. Classificação de Informações  Classificar todas as informações críticas segundo o seu grau de criticidade e teor crítico:  Informações Confidenciais: Devem ser disseminadas somente para empregados nomeados  Informações Corporativas: Devem ser disseminadas somente dentro da Empresa  Informações Públicas: Podem ser disseminadas dentro e fora da Empresa
  26. 26. Política de acessos externos àInstituição  Definição de Convênios para acesso às bases corporativas  Criptografia  Certificação  Log de acessos  Configuração de Firewall
  27. 27. Definição das PolíticasPolítica de acessos externos àInstituição  Criptografia  Configuração de FirewallPolítica de uso da Intranet  Padrão de Gerenciamento de Rede  Padrão de distribuição de versões de software  Modelo de identificação de piratariaPolítica de uso da InternetPolítica de BackupPolítica de Acesso físicoPolítica de Acesso Lógico
  28. 28. Falhas comunsDe forma global, as ocorrências defalha mais comuns são: Vírus, perdade disco rígido, perda de um servidorda rede ou de uma ligação de rede,alteração/atualização de software,falha de sistema de suporte (arcondicionado e/ou de energia, porexemplo), avarias mecânicas dohardware, etc.
  29. 29. Auditoria de sistemas Aula 2Noções de Tecnologia da InformaçãoGerencial. Noções de auditoria desistemas. Segurança de sistemas.Análise de riscos em sistemas deinformação contábeis. Plano decontingência. Técnicas de avaliaçãode sistemas. Situações deVulnerabilidade: Vírus, Fraudes,Criptografia, Acesso nãoautorizados, riscos de segurança emgeral.

×