O documento discute os fundamentos e técnicas de auditoria de sistemas de informação, incluindo a história dos sistemas de informação, conceitos chave, padrões éticos, desenvolvimento de equipes de auditoria, controles internos, ferramentas e técnicas de auditoria, e auditoria de controles organizacionais e operacionais.
Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...Adriano Martins Antonio
Material Oficial do CobiT 5 Foundation - Preparatório para o Exame de Certificação.
Quer o curso completo, conteúdo + simulados + dicas de exames? Acesse a nossa loja: http://www.pmgacademy.com/pt/products/curso-online-cobit5-foundation
Conceitos básicos que fundamentam os estudos sobre SI, Diferentes categorias de ativos existentes em uma empresa, Conceitos de vulnerabilidades e ameaças dos ativos, integridade, confidencialidade e disponibilidade, análise de riscos (AR), etc.
Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...Adriano Martins Antonio
Material Oficial do CobiT 5 Foundation - Preparatório para o Exame de Certificação.
Quer o curso completo, conteúdo + simulados + dicas de exames? Acesse a nossa loja: http://www.pmgacademy.com/pt/products/curso-online-cobit5-foundation
Conceitos básicos que fundamentam os estudos sobre SI, Diferentes categorias de ativos existentes em uma empresa, Conceitos de vulnerabilidades e ameaças dos ativos, integridade, confidencialidade e disponibilidade, análise de riscos (AR), etc.
Palestra apresentada pelo Prof. Rodrigo Santa Maria sobre Boas Práticas em Segurança da Informação, durante a Semana de Empreendedorismo da UNIFEOB, em parceria com o SEBRAE SP, no dia 30/09/2014.
Esse slide mostra a necessidade do processo de teste de software nos projetos de desenvolvimento de softwares, vamos demostrar as técnicas, tipos, fases, ferramentas, modelos e normas envolvidas na execução dos testes de software com o intuito de obter um ótimo nível de qualidade dos softwares gerados.
Modelos de Processos de Software, Modelo Cascata (waterfall), Desenvolvimento incremental, Engenharia de Software Orientada a Reuso, Atividades do Processo, Especificação, Prototipação
Resposta a Incidentes de Segurança com ferramentas SIEMSpark Security
Conheça alguns dos desafios atuais da segurança da informação, os conceitos por trás de uma ferramenta SIEM e como ela pode apoiar a resposta a incidentes de segurança.
Apostila sobre Auditoria em tecnologia da informação, elaborada pelo professor André Campos. Encontre outros materiais no portal GSTI: www.portalgsti.com.br
Palestra apresentada pelo Prof. Rodrigo Santa Maria sobre Boas Práticas em Segurança da Informação, durante a Semana de Empreendedorismo da UNIFEOB, em parceria com o SEBRAE SP, no dia 30/09/2014.
Esse slide mostra a necessidade do processo de teste de software nos projetos de desenvolvimento de softwares, vamos demostrar as técnicas, tipos, fases, ferramentas, modelos e normas envolvidas na execução dos testes de software com o intuito de obter um ótimo nível de qualidade dos softwares gerados.
Modelos de Processos de Software, Modelo Cascata (waterfall), Desenvolvimento incremental, Engenharia de Software Orientada a Reuso, Atividades do Processo, Especificação, Prototipação
Resposta a Incidentes de Segurança com ferramentas SIEMSpark Security
Conheça alguns dos desafios atuais da segurança da informação, os conceitos por trás de uma ferramenta SIEM e como ela pode apoiar a resposta a incidentes de segurança.
Apostila sobre Auditoria em tecnologia da informação, elaborada pelo professor André Campos. Encontre outros materiais no portal GSTI: www.portalgsti.com.br
Uma apresentação do que é o OWASP (Open Web Application Security Project), por que ele é relevante para o mercado e como ele pode beneficiar empresas, produtos e desenvolvedores.
ITIL Security - Uma Visão de Segurança por ProcessosRafael Maia
Demonstrar como o processo de gerenciamento de segurança da informação(SI) da(o) ITIL, pode ser utilizado como melhor prática, somando a outras, para trazer SI às organizações.
Apresentação realizado no Sábado com TIC Masters da Sucesu Ceará
Dos objetos aos frameworks na plataforma Java. Slides apresentados no evento Wire2010 na USP/SP/Brasil realizado no dia 28/Jun/2010 das 13:10 às 14:00.
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Symantec Brasil
Be Aware Webinar Symantec
Alinhando a Estratégia de Segurança: Visibilidade e
Conformidade
Be Aware Webinar acontece todas as quartas às 10h30. Siga nossa página no Facebook e acompanhe a programação.
27.01.2016
Baixe mais arquivos em http://pastadomau.wikidot.com.
Trabalho sobre auditoria de processo de desenvolvimento de software. Para cada fase do desenvolvimento (Planejamento, Análise, Projeto, Construção e Revisão) o texto apresenta um roteiro contendo as atividades de cada fase (“O quê?”) e os
indicativos de qualidade (“Recomendado:”) que devem estar presentes.
Os Desafios da Implementação da Auditoria com Foco em Riscos do Sistema FiepVIXTEAM
Palestra ministrada no Conbrai 2016 sobre os desafios da implementação da auditoria com foco em riscos no sistema da indústria do Paraná, incluindo as organizações do Sesi e Senai
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...TECSI FEA USP
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do uso de ferramentas de análise de dados. Provê relevante ganho de performance na execução e abrangência de análise. Nos referimos aos testes automatizados como CAATs.
•Auditoria Contínua: Avaliação de risco de forma perene ao longo do tempo através do uso de indicadores ou de técnicas de monitoramento como participação em fóruns, leitura de relatórios, reuniões periódicas, acompanhamento do mercado, dentre outras atividades.
•Análise de Dados / Datamining: Uso de técnicas estatísticas para identificação de comportamentos ou tendências atreladas ao risco da área ou processo.
•Big Data: Acesso a grande volume de dados, tanto de origem endógena como exógena, com processamento rápido em função de sua característica de replicação de dados. Aliado ao uso de técnicas estatísticas e cruzamento de informações permite a identificação de comportamentos, padrões, tendências, etc.
Este certificado confirma que Gabriel de Mattos Faustino concluiu com sucesso um curso de 42 horas de Gestão Estratégica de TI - ITIL na Escola Virtual entre 19 de fevereiro de 2014 a 20 de fevereiro de 2014.
As classes de modelagem podem ser comparadas a moldes ou
formas que definem as características e os comportamentos dos
objetos criados a partir delas. Vale traçar um paralelo com o projeto de
um automóvel. Os engenheiros definem as medidas, a quantidade de
portas, a potência do motor, a localização do estepe, dentre outras
descrições necessárias para a fabricação de um veículo
Em um mundo cada vez mais digital, a segurança da informação tornou-se essencial para proteger dados pessoais e empresariais contra ameaças cibernéticas. Nesta apresentação, abordaremos os principais conceitos e práticas de segurança digital, incluindo o reconhecimento de ameaças comuns, como malware e phishing, e a implementação de medidas de proteção e mitigação para vazamento de senhas.
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...Faga1939
Este artigo tem por objetivo apresentar como ocorreu a evolução do consumo e da produção de energia desde a pré-história até os tempos atuais, bem como propor o futuro da energia requerido para o mundo. Da pré-história até o século XVIII predominou o uso de fontes renováveis de energia como a madeira, o vento e a energia hidráulica. Do século XVIII até a era contemporânea, os combustíveis fósseis predominaram com o carvão e o petróleo, mas seu uso chegará ao fim provavelmente a partir do século XXI para evitar a mudança climática catastrófica global resultante de sua utilização ao emitir gases do efeito estufa responsáveis pelo aquecimento global. Com o fim da era dos combustíveis fósseis virá a era das fontes renováveis de energia quando prevalecerá a utilização da energia hidrelétrica, energia solar, energia eólica, energia das marés, energia das ondas, energia geotérmica, energia da biomassa e energia do hidrogênio. Não existem dúvidas de que as atividades humanas sobre a Terra provocam alterações no meio ambiente em que vivemos. Muitos destes impactos ambientais são provenientes da geração, manuseio e uso da energia com o uso de combustíveis fósseis. A principal razão para a existência desses impactos ambientais reside no fato de que o consumo mundial de energia primária proveniente de fontes não renováveis (petróleo, carvão, gás natural e nuclear) corresponde a aproximadamente 88% do total, cabendo apenas 12% às fontes renováveis. Independentemente das várias soluções que venham a ser adotadas para eliminar ou mitigar as causas do efeito estufa, a mais importante ação é, sem dúvidas, a adoção de medidas que contribuam para a eliminação ou redução do consumo de combustíveis fósseis na produção de energia, bem como para seu uso mais eficiente nos transportes, na indústria, na agropecuária e nas cidades (residências e comércio), haja vista que o uso e a produção de energia são responsáveis por 57% dos gases de estufa emitidos pela atividade humana. Neste sentido, é imprescindível a implantação de um sistema de energia sustentável no mundo. Em um sistema de energia sustentável, a matriz energética mundial só deveria contar com fontes de energia limpa e renováveis (hidroelétrica, solar, eólica, hidrogênio, geotérmica, das marés, das ondas e biomassa), não devendo contar, portanto, com o uso dos combustíveis fósseis (petróleo, carvão e gás natural).
2.
ASI – Auditoria de Sistemas de Informação
SI – Sistemas de Informação
TAAC - Técnica de auditoria assistida por
computador
3.
1. Fundamentos de Auditoria de Sistemas de
Informações.......................................................4-8;
2. Padrões e código de ética para ASI................9-10;
3. Desenvolvimento de equipe de auditoria sistemas
de informação.................................................11-12;
4. Controles internos e avaliações:...................13-19;
5. Ferramentas e Técnicas de Auditoria de TI...20-25;
6. Auditoria de Controles Organizacionais e
Operacionais..................................................26-29;
4.
1.1 Histórico de Sistemas de Informação:
Cálculos no ano 5000 a.C ;
Invenção dos cartões perfurados(punch cards) por
Herman Hollerith;
Construção do ENIAC durante a 2ª Guerra
Mundial;
Mudanças provocadas durante o ano de 1950 em
todos ambientes de negócios criaram uma grande
complexidade que causou a adoção de sistemas
de informação para o processamento de dados;
5.
1.2 Conceito de Sistemas:
Sistema é um conjunto de elementos inter-
relacionados com um objetivo: produzir relatórios
para ajudar na tomada de decisões;
1.3 Conceito de Auditoria de Tecnologia de
Informação:
Tem objetivo de garantir que informações em
forma eletrônica são confiáveis;
6.
1.4 Abordagem de Auditoria de Sistemas de
Informações:
1.4.1 Abordagem ao redor do computador :
Baseia-se na confrontação de documentos-fonte com
resultados esperados;
1.4.2 Abordagem através do computador:
O auditor acompanha o processamento por dentro do
computador;
1.4.3 Abordagem com o computador:
Uma abordagem com o computador completamente
assistida;
7.
1.5 Organização do Trabalho de Auditoria
de Tecnologia de Informação:
Planejamento
Escolher a equipe
Programar a equipe
Execução de trabalhos e supervisão
Revisão de papéis e trabalhos
Atualização do conhecimento permanente
Avaliação da equipe
8.
1.6 Documentação dos papéis de trabalhos :
Papéis
de trabalhos constituem conjunto de
formulários preenchidos logicamente no processo de
auditoria de sistemas.
Figuras que possuem acesso:
▪ Sócio: responsável pelo serviço de auditoria;
▪ Encarregado supervisor e gerente: chefe da equipe de
auditoria que deve cadastrar identificação da auditoria;
▪ Preparador (assistente ou sênior de auditoria): capta
informações e diretrizes de auditoria nos banco de dados
central;
9.
2.1 Comitê de padrões da associação de
controle e audit de tecnologia de informação:
-Conforme padrões emitidos:
Responsabilidade, autoridade e prestação de contas;
Independência profissional;
Ética profissional e padrões;
Competência;
Planejamento;
Emissão de relatório;
Atividades de follow-up;
10.
2.2 Associação de auditores de sistemas e
controles(ISACA): - código dos membros 1. apoiar a implementação e encorajar cumprimento de
padrões;
2. exercer suas funções com objetividade;
3. servir aos interesses dos stakeholders de forma legal e
honesta;
4. manter privacidade e confidencialidade de informações;
5. manter competência nas respectivas especialidades;
6. informar as partes envolvidas
7. apoiar conscientização profissional dos stakeholders;
11.
3.1 problemática de desenvolvimento “...”:
Crescente complexidade de ambientes de TI e
dificuldades e relutância de auditores com relação a
adaptação para auditar estes ambientes;
3.1.1 Programa de desenvolvimento
carreira de auditoria de TI:
de
Programa utilizado por auditores independentes, que
contratam formandos em áreas afins, e os treinam;
Treinamento dividido em duas partes:(i) categoria
com pouca ou nenhuma experiência em TI; e (ii)
aqueles que possuem experiência;
12.
Carreira de auditor de TI:
Nível 1- Básico: trainee;
Nível 2 – Fundação: assistentes;
Nível 3 – Focal: seniores e supervisores;
Nível 4 – Integração: gerentes;
Nível 5 – Aconselhamento: sócio de auditoria;
13.
4.1 Fundamentos de controle internos em
SI:
Conforme Instituto Americano de Contadores
Públicos: “planos organizacionais e conjuntos de
métodos e medidas adotados numa empresa, a
fim de salvaguardar o ativo, verificar a exatidão e
veracidade registros contábeis, promover
efetividade de SI e eficiência operacional ”;
14.
4.1.1 Controles internos em PED, princípios
e objetivos:
Supervisão;
Registro e comunicação;
Segregação de funções;
Classificação de informação;
Tempestividade;
Auditoriabilidade;
16.
4.1.1.1 Tipos de controle:
Controles administrativos e gerências - controles
que possuem a separação de funções ou
responsabilidades;
Controles de segurança e privacidade;
▪ Propriedades:
SIGILO,
INTEGRIDADE,
DISPONIBILIDADE,
CONTABILIDADE
e
AUDITORIABILIDADE;
17.
4.1.1.1 Tipos de controle:(II)
Controles de preparação e captação de dados –
controle que é exercido no começo de cada
atividade de processamento de dados;
Controles de entrada de dados – controle de
inputs (entrada) de dados, que visa reduzir
dúvidas que possam existir no ponto de entrada;
Controles de processamento – são programados e
construídos no computador de forma segura;
18.
4.1.1.1 Tipos de controle:(III)
Controles de saída e de emissão de relatórios –
procedimentos de manuseio de output;
Controles de gravação e recuperação de dados –
este controle certifica a integridade de dados
recebidos dentro da data-base e qualquer
indivíduo que pode acessá-lo com o mínimo
esforço;
19.
4.2 Avaliação dos procedimentos
controles internos e avaliações:
de
Trabalho executado pelo auditor que tenha
habilidade em TI
4.3 Análise de risco de avaliação de sistema
de controle interno:
Metodologia adotada pelos auditores de TI para
saber, com antecedência, quais ameaças puras ou
prováveis em um ambiente de TI de uma
organização;
20.
5.1 Ferramentas:
Auxiliam na extração, sorteio, seleção de dados e
transações;
5.1.1 Software generalista de auditoria de TI:
ACL
IDEA
Audimation
Galileo
Pentana
21.
5.1.2 Softwares especializados de auditoria:
programa desenvolvido especificamente;
5.1.3 Programas utilitários:
Geralmente banco de dados: SQL, Dbase 2, etc.
5.2 Técnicas:
Variadas metodologias que são chamadas de
técnicas, que proporcionam várias vantagens:
produtividade, custo, qualidade assegurada, valor
agregado, benefícios corporativos e benefícios
para o auditor.
22.
5.2.1 Dados de teste:
Conhecido por test data ou test deck, envolve um
conjunto de dados de entrada especialmente
preparados com objetivos de testar os controles
programados e controles de sistema aplicativo;
5.2.2 Facilidade de teste integrado:
Conhecida por Integrated Test Facility(ITF), ela usa
dados de testes integrados aos ambientes reais de
processamento utilizando-se versões correntes da
produção.
23.
5.2.3 Simulação paralela:
Envolve o uso de um programa especialmente
desenvolvido que atenda as lógicas necessárias
para um aplicativo devidamente testado.
5.2.4 Lógica de auditoria embutida nos
sistemas:
Envolve a inclusão de lógicas de auditoria nos
sistemas quando são desenvolvidos.
24.
5.2.5 Rastreamento e mapeamento:
Envolve desenvolvimento e implementação de
uma trilha de auditoria para acompanhar certos
pontos da lógica de processamento de algumas
transações;
5.2.6 Análise lógica de programação:
Técnica que envolve verificação da lógica de
programação para certificar que instruções dadas
ao computador são as mesmas já identificadas
nas documentações dos sistemas e aplicativos;
25.
5.3 Aplicação de técnica de auditoria
assistida por computador (TAAC):
5.4 Documentação dos papéis de trabalhos
TAAC:
Deve
conter informações suficientes para
descrever testes e conclusões. São por exemplo:
planejamento, execução e evidenciação;
26.
6.1 Introdução:
Controles
organizacionais – são controles
administrativos instalados nos processos de fluxo
de transações econômicas;
6.2 Políticas Organizacionais:
Políticas de responsabilidades;
Política de continuidade de negócios (Business
Continuity Plan - BCP);
27.
6.3 Descrição de Cargos:
Supervisão de infraestrutura de TI;
Administração de redes;
Administração de banco de dados;
Administração de dados;
Administração de segurança;
Análise, programação e manutenção de sistemas;
Design para WEB;
28.
6.3 Descrição de Cargos:(II)
Operador de console;
Operadores de conversão de dados;
Bibliotecários;
Suporte técnico;
Supervisão de Help desk;
Grupo de controle de dados;
Supervisão de Restart/Recovery;
29.
6.4 Objetivos de auditoria:
O principal objetivo de auditoria de controles
organizacionais de área de informática é testar a
grande essência de controle interno, promover
eficiência das operações e fomentar maior adesão
às políticas prescritas pela gerência com maios
foco na responsabilidade;
6.5 Programa de auditoria – Controle
Organizacionais e Operacionais;