SlideShare uma empresa Scribd logo
Auditoria de Sistemas
    de Informação



Prof. Rodrigo Gomes
Auditoria de Sistemas de
Informação

 • Globalização => disseminação da informação;

 • É mais fácil interceptar a informação;



      Empresários deixam de tomar decisões




                                   Por não confiar na
    Por não ter informação
                                      informação
Auditoria de Sistemas de
Informação

 • Toda empresa deve utilizar sistemas de
   informação integrados;

 • Se o SI não for confiável a empresa poderá
   estar exposta a riscos.
Auditoria de Sistemas de
Informação

  “A informação desempenha papéis importantes
  tanto na definição quanto na execução de uma
  estratégia. Ela ajuda na identificação das
  ameaças e das oportunidades para a empresa
  e cria o cenário para uma resposta competitiva
  mais eficaz.”
                           Rezende e Abreu (2000)
Auditoria de Sistemas de
Informação

  “A informação é um ativo que, como qualquer
  outro ativo é importante para os negócios, tem
  um valor para a organização e,
  conseqüentemente, necessita ser
  adequadamente protegido.”
                       (NBR ISO/IEC 17799, 2003)
Auditoria de Sistemas de
Informação

 • Nem toda informação é crucial ou essencial a
   ponto de merecer cuidados especiais.

 • Por outro lado, uma determinada informação
   pode ser tão vital que o custo de sua
   integridade, será menor que o custo de não
   dispor dela dequadamente.
Auditoria de Sistemas de
Informação

 • Boran (1996) e Wadlow (2000) classificam a
   informação:
     Pública: podem vir a público sem maiores consequencias
      ao funcionamento da empresa.

     Interna: o acesso livre deve ser evitado, não é vital para o
      negócio mas sua integridade é importante.

     Confidencial: restrita aos limites da empresa, a divulgação
      ou perda pode levar a desequilibrio operacional, perda
      financeira ou quebra de confiança por parte do cliente;

     Secreta: critica para as operações da empresa, a
      integridade deve ser presenrvada a qualquer custo e o
      acesso deve ser restrito. A segurança dessa informação é
      vital para a companhia.
Auditoria de Sistemas de
Informação

 • Ativos da Informação:

 • Constituem basicamente os chamados Ativos de
   Informação:
     A informação (conceitualmente): mensagens, textos, dados de um
      sistema, informações de funcionários, programas de rádio e TV, etc.

     As tecnologias que suportam a informação: papel, correio eletrônico,
      editor de texto, sistemas de informação, rádio, TV, telefone,
      arquivos de aço, computadores, etc.

     As pessoas e processos que utilizam as informações: vendedores,
      gerentes, fornecedores, clientes, processo de compra, processo de
      venda, etc.

     Os ambientes: CPDs, salas de arquivos, depósitos de mídias e
      equipamentos, etc.
Auditoria de Sistemas de
Informação

 • Vulnerabilidade dos Ativos da Informação:

   Souza (2006) ressalta ainda que, na área de tecnologias
   podemos identificar as seguintes deficiências:
       computadores sem proteção contra vírus;
       arquivos de aço sem controle de acesso;
       equipamentos em locais públicos (impressoras, fax)
       cabos de redes expostos;
       redes locais com senha padrão ou pública;
       falta de controle a áreas críticas;
       problemas de manutenção em equipamentos;
       problemas com energia elétrica.
Auditoria de Sistemas de
Informação

 • Vulnerabilidade dos Ativos da Informação:

   Com relação às pessoas e processos os ativos da
   informação podem estar comprometidos no que diz
   respeito a:
     ausência de controle interno estruturado e bem aplicado;
     ausência de política institucional de segurança na
      organização;
     inexistência de especialistas em segurança na organização;
     inexistência de regulamentação para acesso às informações
      da organização;
     procedimentos ineficientes para análise e conferencia das
      informações;
     colaboradores não-treinados em segurança;
Auditoria de Sistemas de
Informação

 • Vulnerabilidade dos Ativos da Informação:

 •   ausência de procedimentos disciplinares para o tratamento das
     violações da política de segurança;
 •   ausência de planos de contingência


     O ambiente no qual a empresa esta inserida também
     propicia algumas formas de “ataque” ao ativo da
     informação da empresa, conforme segue:

 •   ausência de mecanismos contra incêndio;
 •   inexistência de mecanismos de prevenção à enchente;
 •   inexistência de proteção contra poluentes diversos que possam
     prejudicar mídias e equipamentos.
Auditoria de Sistemas de
Informação

 • Implementando Políticas de Segurança:

 •   Elaborar, divulgar e manter atualizado documento que descreva
     a política de segurança de informações;

 •   A alta gerência deve estar comprometida com a política de
     segurança de informações, a qual deve ser implantada de
     acordo com o documento formal por ela aprovado;

 •   Definir uma estrutura organizacional responsável pela
     segurança, a qual deve aprovar e revisar as políticas de
     segurança, designar funções de segurança e coordenar a
     implantação da política;
Auditoria de Sistemas de
Informação

 • Implementando Políticas de Segurança:

 •   Estabelecer procedimentos de segurança de pessoal, com
     intuito de reduzir ou evitar erros humanos, mau uso dos
     recursos computacionais, fraude ou roubo, por meio de um
     processo rigoroso de recrutamento de pessoal e de controle
     sobre acessos a dados confidenciais;

 •   Todos os funcionários devem ter conhecimento dos riscos
     de segurança de informações e de suas responsabilidades
     com relação a esse assunto.

 •   É aconselhável que haja um treinamento de segurança para
     difusão de boas práticas e padrões de segurança,
     promovendo uma cultura de segurança na organização;
Auditoria de Sistemas de
Informação

 • Implementando Políticas de Segurança:

 •   Implantar controle de acesso lógico aos sistemas de
     forma a prevenir acessos não autorizados. Esse controle
     pode ser feito via processo seguro de logon, senhas
     fortemente seguras, registro formal de usuários.

 •    Definir procedimentos de backup e de restauração dos
     sistemas computacionais para garantir a integridade e a
     disponibilidade de dados e software.

 •   A freqüência de backup deve ser apropriada e pelo menos
     uma cópia do backup deve ser guardada em local seguro.
     Os procedimentos de restauração devem ser
     periodicamente testados para garantir sua efetividade
     quando forem necessários;
Auditoria de Sistemas de
Informação

 • Implementando Políticas de Segurança:

 •   Auditar regularmente todos os aspectos de segurança a fim de
     determinar se as políticas estão sendo efetivamente cumpridas
     ou se são necessárias modificações.
Auditoria de Sistemas de
Informação

 • Implementando Políticas de Segurança:

   Antigamente, a atenção sobre a segurança da informação
   estava focada na tecnologia. Hoje, o desafio é construir uma
   relação de confiabilidade com clientes e parceiros. Conforme
   Rezende e Abreu (2000), as empresas estão procurando dar
   mais atenção ao ser humano, pois é ele que faz com que as
   engrenagens empresariais funcionem perfeitas e
   harmonicamente, buscando um relacionamento cooperativo e
   satisfatório.
Auditoria de Sistemas de
Informação

 • Auditoria da Tecnologia da Informação:

     Auditoria da TI é uma auditoria operacional , analisa a
      gestão de recursos, com o foco nos aspectos de
      eficiência, eficácia, economia e efetividade.


        • Eficiência significa fazer um trabalho correto, sem erros e de boa
          qualidade.
        • Eficácia é fazer um trabalho que atinja totalmente o resultado esperado.
Auditoria de Sistemas de
Informação

 • Auditoria da Tecnologia da Informação:

     Itens a serem auditados:
       • Segurança física;
       • Segurança lógica;
       • Planejamento de contingências;
       • Políticas, padrões, procedimentos,
         responsabilidades organizacionais e gerência;
       • Banco de dados;
       • Redes de comunicação e computadores;
       • Controle sobre aplicativos:
Auditoria de Sistemas de
Informação

 • Auditoria da Tecnologia da Informação:

 • Pode-se observar que a auditoria de TI deve estar
   inserida na rotina de processos de qualquer empresa que
   busca tomar decisões baseando-se em relatórios gerados
   a partir de um sistema informatizado.




 • No entanto, nota-se que o elo mais fraco de um processo
   de segurança é a pessoa (ou grupos de pessoas), que por
   sua vez, é a responsável por garantir a fidelidade da
   informação.
Auditoria de Sistemas de
Informação

 • Auditoria da Tecnologia da Informação:

 • Assim, a melhor forma de garantir a segurança da
   informação estratégica é atuar junto às pessoas que de
   alguma forma manipulam a informação com políticas de
   treinamento, prevenção e auditoria dos processos
   relacionados.




 • Enfim, as práticas da Segurança da Informação garantem
   que a informação certa, esteja disponível na hora certa,
   para que os responsáveis possam tomar a decisão
   estrategicamente adequada em tempo hábil.

Mais conteúdo relacionado

Mais procurados

Aula 1 - Introdução a Engenharia de Software
Aula 1 -  Introdução a Engenharia de SoftwareAula 1 -  Introdução a Engenharia de Software
Aula 1 - Introdução a Engenharia de Software
Leinylson Fontinele
 
Engenharia De Software
Engenharia De SoftwareEngenharia De Software
Engenharia De Software
Felipe Goulart
 
INTRODUÇÃO FUNDAMENTOS DE SISTEMAS DE INFORMAÇÃO
INTRODUÇÃO FUNDAMENTOS DE SISTEMAS DE INFORMAÇÃOINTRODUÇÃO FUNDAMENTOS DE SISTEMAS DE INFORMAÇÃO
INTRODUÇÃO FUNDAMENTOS DE SISTEMAS DE INFORMAÇÃO
Edson Lima
 
Sistemas de Informação
Sistemas de InformaçãoSistemas de Informação
Sistemas de Informação
Mauricio Uriona Maldonado PhD
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de Segurança
Gilberto Sudre
 
Governança de TI.pptx
Governança de TI.pptxGovernança de TI.pptx
Governança de TI.pptx
ssusera0a510
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
Mariana Gonçalves Spanghero
 
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de SistemasSegurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Cleber Fonseca
 
Cmmi e mps.Br
Cmmi e mps.BrCmmi e mps.Br
Cmmi e mps.Br
Jefferson Bessa
 
Sistemas Computacionais - Aula 01 - Apresentação
Sistemas Computacionais - Aula 01 - ApresentaçãoSistemas Computacionais - Aula 01 - Apresentação
Sistemas Computacionais - Aula 01 - Apresentação
Leinylson Fontinele
 
Material governança de ti pelo professor luis claudio
Material governança de ti pelo professor luis claudioMaterial governança de ti pelo professor luis claudio
Material governança de ti pelo professor luis claudio
Fernando Palma
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
imsp2000
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - Novo
Luiz Arthur
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001
William Martins
 
X-Zone - Garantia da Qualidade de Software
X-Zone - Garantia da Qualidade de SoftwareX-Zone - Garantia da Qualidade de Software
X-Zone - Garantia da Qualidade de Software
AlexandreBartie
 
Aula - Sistemas de Informação Gerencial
Aula - Sistemas de Informação GerencialAula - Sistemas de Informação Gerencial
Aula - Sistemas de Informação Gerencial
Anderson Simão
 
Engenharia de Requisitos
Engenharia de RequisitosEngenharia de Requisitos
Engenharia de Requisitos
Estêvão Bissoli Saleme
 
Métricas de Software
Métricas de SoftwareMétricas de Software
Métricas de Software
elliando dias
 
[ebook] Gestão da TI - versão 0.1
[ebook] Gestão da TI - versão 0.1[ebook] Gestão da TI - versão 0.1
[ebook] Gestão da TI - versão 0.1
Alessandro Almeida
 
Introdução à Análise de Sistemas - Parte II
Introdução à Análise de Sistemas - Parte IIIntrodução à Análise de Sistemas - Parte II
Introdução à Análise de Sistemas - Parte II
Nécio de Lima Veras
 

Mais procurados (20)

Aula 1 - Introdução a Engenharia de Software
Aula 1 -  Introdução a Engenharia de SoftwareAula 1 -  Introdução a Engenharia de Software
Aula 1 - Introdução a Engenharia de Software
 
Engenharia De Software
Engenharia De SoftwareEngenharia De Software
Engenharia De Software
 
INTRODUÇÃO FUNDAMENTOS DE SISTEMAS DE INFORMAÇÃO
INTRODUÇÃO FUNDAMENTOS DE SISTEMAS DE INFORMAÇÃOINTRODUÇÃO FUNDAMENTOS DE SISTEMAS DE INFORMAÇÃO
INTRODUÇÃO FUNDAMENTOS DE SISTEMAS DE INFORMAÇÃO
 
Sistemas de Informação
Sistemas de InformaçãoSistemas de Informação
Sistemas de Informação
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de Segurança
 
Governança de TI.pptx
Governança de TI.pptxGovernança de TI.pptx
Governança de TI.pptx
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
 
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de SistemasSegurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
 
Cmmi e mps.Br
Cmmi e mps.BrCmmi e mps.Br
Cmmi e mps.Br
 
Sistemas Computacionais - Aula 01 - Apresentação
Sistemas Computacionais - Aula 01 - ApresentaçãoSistemas Computacionais - Aula 01 - Apresentação
Sistemas Computacionais - Aula 01 - Apresentação
 
Material governança de ti pelo professor luis claudio
Material governança de ti pelo professor luis claudioMaterial governança de ti pelo professor luis claudio
Material governança de ti pelo professor luis claudio
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - Novo
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001
 
X-Zone - Garantia da Qualidade de Software
X-Zone - Garantia da Qualidade de SoftwareX-Zone - Garantia da Qualidade de Software
X-Zone - Garantia da Qualidade de Software
 
Aula - Sistemas de Informação Gerencial
Aula - Sistemas de Informação GerencialAula - Sistemas de Informação Gerencial
Aula - Sistemas de Informação Gerencial
 
Engenharia de Requisitos
Engenharia de RequisitosEngenharia de Requisitos
Engenharia de Requisitos
 
Métricas de Software
Métricas de SoftwareMétricas de Software
Métricas de Software
 
[ebook] Gestão da TI - versão 0.1
[ebook] Gestão da TI - versão 0.1[ebook] Gestão da TI - versão 0.1
[ebook] Gestão da TI - versão 0.1
 
Introdução à Análise de Sistemas - Parte II
Introdução à Análise de Sistemas - Parte IIIntrodução à Análise de Sistemas - Parte II
Introdução à Análise de Sistemas - Parte II
 

Destaque

Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
Silvino Neto
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de Sistemas
Allan Piter Pressi
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informação
Fernando Palma
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
GrupoAlves - professor
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemas
Capitu Tel
 
Como fazer uma boa auditoria
Como fazer uma  boa auditoriaComo fazer uma  boa auditoria
Como fazer uma boa auditoria
Fabio Cristiano
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
ivanv40
 
Audit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-siAudit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-si
Alves Albert
 
Aula 2 - 1 Conceitos e objetivos da Auditoria.
Aula 2 - 1 Conceitos e objetivos da Auditoria.Aula 2 - 1 Conceitos e objetivos da Auditoria.
Aula 2 - 1 Conceitos e objetivos da Auditoria.
Secretaria de Estado da Tributação do RN
 
Auditoria
AuditoriaAuditoria
Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dados
Arthur Azevedo
 
ITIL Security - Uma Visão de Segurança por Processos
ITIL Security - Uma Visão de Segurança por ProcessosITIL Security - Uma Visão de Segurança por Processos
ITIL Security - Uma Visão de Segurança por Processos
Rafael Maia
 
Auditoria mau necessário ou bem maior [impressão]
Auditoria   mau necessário ou bem maior [impressão]Auditoria   mau necessário ou bem maior [impressão]
Auditoria mau necessário ou bem maior [impressão]
filipevillar
 
Forense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e TécnicasForense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e Técnicas
Luiz Sales Rabelo
 
Trabalho SASI
Trabalho SASITrabalho SASI
Trabalho SASI
Rodrigo Coimbra
 
Palestra Forense Digital
Palestra Forense DigitalPalestra Forense Digital
Palestra Forense Digital
NadaObvio!
 
Excel as a potent forensic accounting tool
Excel as a potent forensic accounting toolExcel as a potent forensic accounting tool
Excel as a potent forensic accounting tool
Dhruv Seth
 
Logs, Monitoramento e Estatísticas - Uma Abordagem sobre Ferramentas
Logs, Monitoramento e Estatísticas - Uma Abordagem sobre FerramentasLogs, Monitoramento e Estatísticas - Uma Abordagem sobre Ferramentas
Logs, Monitoramento e Estatísticas - Uma Abordagem sobre Ferramentas
Fabíola Fernandes
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
Gerardo Escobar
 
GESTÃO DE ATIVOS DE ENERGIA
GESTÃO DE ATIVOS DE ENERGIAGESTÃO DE ATIVOS DE ENERGIA
GESTÃO DE ATIVOS DE ENERGIA
Gabriela Silva
 

Destaque (20)

Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de Sistemas
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informação
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemas
 
Como fazer uma boa auditoria
Como fazer uma  boa auditoriaComo fazer uma  boa auditoria
Como fazer uma boa auditoria
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Audit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-siAudit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-si
 
Aula 2 - 1 Conceitos e objetivos da Auditoria.
Aula 2 - 1 Conceitos e objetivos da Auditoria.Aula 2 - 1 Conceitos e objetivos da Auditoria.
Aula 2 - 1 Conceitos e objetivos da Auditoria.
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dados
 
ITIL Security - Uma Visão de Segurança por Processos
ITIL Security - Uma Visão de Segurança por ProcessosITIL Security - Uma Visão de Segurança por Processos
ITIL Security - Uma Visão de Segurança por Processos
 
Auditoria mau necessário ou bem maior [impressão]
Auditoria   mau necessário ou bem maior [impressão]Auditoria   mau necessário ou bem maior [impressão]
Auditoria mau necessário ou bem maior [impressão]
 
Forense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e TécnicasForense Digital - Conceitos e Técnicas
Forense Digital - Conceitos e Técnicas
 
Trabalho SASI
Trabalho SASITrabalho SASI
Trabalho SASI
 
Palestra Forense Digital
Palestra Forense DigitalPalestra Forense Digital
Palestra Forense Digital
 
Excel as a potent forensic accounting tool
Excel as a potent forensic accounting toolExcel as a potent forensic accounting tool
Excel as a potent forensic accounting tool
 
Logs, Monitoramento e Estatísticas - Uma Abordagem sobre Ferramentas
Logs, Monitoramento e Estatísticas - Uma Abordagem sobre FerramentasLogs, Monitoramento e Estatísticas - Uma Abordagem sobre Ferramentas
Logs, Monitoramento e Estatísticas - Uma Abordagem sobre Ferramentas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
GESTÃO DE ATIVOS DE ENERGIA
GESTÃO DE ATIVOS DE ENERGIAGESTÃO DE ATIVOS DE ENERGIA
GESTÃO DE ATIVOS DE ENERGIA
 

Semelhante a Auditoria de sistemas de informação

Segurança da Informação Corporativa
Segurança da Informação CorporativaSegurança da Informação Corporativa
Segurança da Informação Corporativa
Marcelo de Freitas Lopes
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TI
Wagner Silva
 
Segurança da Informação e Governança em TI
Segurança da Informação e Governança em TISegurança da Informação e Governança em TI
Segurança da Informação e Governança em TI
Congresso Catarinense de Ciências da Computação
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
asbgrodrigo
 
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra MartinsArquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
iMasters
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
Guilherme Lima
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurança
trindade7
 
Segurança, ética e privacidade da informação
Segurança, ética e privacidade da informaçãoSegurança, ética e privacidade da informação
Segurança, ética e privacidade da informação
Daiana de Ávila
 
Política de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoPolítica de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao Desenvolvimento
Diego Souza
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de Proteção
Neemias Lopes
 
Introdução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteçãoIntrodução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteção
Neemias Lopes
 
Asi aula1
Asi aula1Asi aula1
Asi aula1
rodrigopinto77
 
Você está preparado para o GDPR?
Você está preparado para o GDPR?Você está preparado para o GDPR?
Você está preparado para o GDPR?
Centus Consultoria
 
Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação -
Bruno Luiz A. de Pai Paiva
 
Conceitos TI
Conceitos TIConceitos TI
Conceitos TI
Sthefanie Vieira
 
Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)
luisjosemachadosousa
 
A importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizaçõesA importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizações
IsraelCunha
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
Bruno Oliveira
 
Aula01 introdução à segurança
Aula01   introdução à segurançaAula01   introdução à segurança
Aula01 introdução à segurança
Carlos Veiga
 
Segurança da informação - Aula 01
Segurança da informação  - Aula 01Segurança da informação  - Aula 01
Segurança da informação - Aula 01
profandreson
 

Semelhante a Auditoria de sistemas de informação (20)

Segurança da Informação Corporativa
Segurança da Informação CorporativaSegurança da Informação Corporativa
Segurança da Informação Corporativa
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TI
 
Segurança da Informação e Governança em TI
Segurança da Informação e Governança em TISegurança da Informação e Governança em TI
Segurança da Informação e Governança em TI
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
 
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra MartinsArquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurança
 
Segurança, ética e privacidade da informação
Segurança, ética e privacidade da informaçãoSegurança, ética e privacidade da informação
Segurança, ética e privacidade da informação
 
Política de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoPolítica de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao Desenvolvimento
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de Proteção
 
Introdução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteçãoIntrodução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteção
 
Asi aula1
Asi aula1Asi aula1
Asi aula1
 
Você está preparado para o GDPR?
Você está preparado para o GDPR?Você está preparado para o GDPR?
Você está preparado para o GDPR?
 
Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação -
 
Conceitos TI
Conceitos TIConceitos TI
Conceitos TI
 
Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)
 
A importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizaçõesA importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizações
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
 
Aula01 introdução à segurança
Aula01   introdução à segurançaAula01   introdução à segurança
Aula01 introdução à segurança
 
Segurança da informação - Aula 01
Segurança da informação  - Aula 01Segurança da informação  - Aula 01
Segurança da informação - Aula 01
 

Mais de Rodrigo Gomes da Silva

BABOK - Visão Geral
BABOK - Visão GeralBABOK - Visão Geral
BABOK - Visão Geral
Rodrigo Gomes da Silva
 
Análise de negócios para curiosos
Análise de negócios para curiososAnálise de negócios para curiosos
Análise de negócios para curiosos
Rodrigo Gomes da Silva
 
Gerenciamento de Requisitos de Software
Gerenciamento de Requisitos de SoftwareGerenciamento de Requisitos de Software
Gerenciamento de Requisitos de Software
Rodrigo Gomes da Silva
 
Es 04 desenvolvimento de software dirigido por casos de uso - parte iii
Es 04   desenvolvimento de software dirigido por casos de uso - parte iiiEs 04   desenvolvimento de software dirigido por casos de uso - parte iii
Es 04 desenvolvimento de software dirigido por casos de uso - parte iii
Rodrigo Gomes da Silva
 
Es 02 desenvolvimento de software dirigido por casos de uso - parte i
Es 02   desenvolvimento de software dirigido por casos de uso - parte iEs 02   desenvolvimento de software dirigido por casos de uso - parte i
Es 02 desenvolvimento de software dirigido por casos de uso - parte i
Rodrigo Gomes da Silva
 
PHP Orientado a Objetos
PHP Orientado a ObjetosPHP Orientado a Objetos
PHP Orientado a Objetos
Rodrigo Gomes da Silva
 
Introdução ao RUP
Introdução ao RUPIntrodução ao RUP
Introdução ao RUP
Rodrigo Gomes da Silva
 
Introdução à UML com Casos de Uso
Introdução à UML com Casos de UsoIntrodução à UML com Casos de Uso
Introdução à UML com Casos de Uso
Rodrigo Gomes da Silva
 
Computacao na 01_introdução
Computacao na 01_introduçãoComputacao na 01_introdução
Computacao na 01_introdução
Rodrigo Gomes da Silva
 
Aula inaugural computação
Aula inaugural computaçãoAula inaugural computação
Aula inaugural computação
Rodrigo Gomes da Silva
 
Comércio eletrônico
Comércio eletrônicoComércio eletrônico
Comércio eletrônico
Rodrigo Gomes da Silva
 
Pirataria de software
Pirataria de softwarePirataria de software
Pirataria de software
Rodrigo Gomes da Silva
 
Segurança dos sistemas de informação parte 2
Segurança dos sistemas de informação   parte 2Segurança dos sistemas de informação   parte 2
Segurança dos sistemas de informação parte 2
Rodrigo Gomes da Silva
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informação
Rodrigo Gomes da Silva
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informação
Rodrigo Gomes da Silva
 
Asi na 01_conquistando_vantagem_competitiva_com_os_sistemas_de_informacao
Asi na 01_conquistando_vantagem_competitiva_com_os_sistemas_de_informacaoAsi na 01_conquistando_vantagem_competitiva_com_os_sistemas_de_informacao
Asi na 01_conquistando_vantagem_competitiva_com_os_sistemas_de_informacao
Rodrigo Gomes da Silva
 

Mais de Rodrigo Gomes da Silva (16)

BABOK - Visão Geral
BABOK - Visão GeralBABOK - Visão Geral
BABOK - Visão Geral
 
Análise de negócios para curiosos
Análise de negócios para curiososAnálise de negócios para curiosos
Análise de negócios para curiosos
 
Gerenciamento de Requisitos de Software
Gerenciamento de Requisitos de SoftwareGerenciamento de Requisitos de Software
Gerenciamento de Requisitos de Software
 
Es 04 desenvolvimento de software dirigido por casos de uso - parte iii
Es 04   desenvolvimento de software dirigido por casos de uso - parte iiiEs 04   desenvolvimento de software dirigido por casos de uso - parte iii
Es 04 desenvolvimento de software dirigido por casos de uso - parte iii
 
Es 02 desenvolvimento de software dirigido por casos de uso - parte i
Es 02   desenvolvimento de software dirigido por casos de uso - parte iEs 02   desenvolvimento de software dirigido por casos de uso - parte i
Es 02 desenvolvimento de software dirigido por casos de uso - parte i
 
PHP Orientado a Objetos
PHP Orientado a ObjetosPHP Orientado a Objetos
PHP Orientado a Objetos
 
Introdução ao RUP
Introdução ao RUPIntrodução ao RUP
Introdução ao RUP
 
Introdução à UML com Casos de Uso
Introdução à UML com Casos de UsoIntrodução à UML com Casos de Uso
Introdução à UML com Casos de Uso
 
Computacao na 01_introdução
Computacao na 01_introduçãoComputacao na 01_introdução
Computacao na 01_introdução
 
Aula inaugural computação
Aula inaugural computaçãoAula inaugural computação
Aula inaugural computação
 
Comércio eletrônico
Comércio eletrônicoComércio eletrônico
Comércio eletrônico
 
Pirataria de software
Pirataria de softwarePirataria de software
Pirataria de software
 
Segurança dos sistemas de informação parte 2
Segurança dos sistemas de informação   parte 2Segurança dos sistemas de informação   parte 2
Segurança dos sistemas de informação parte 2
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informação
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informação
 
Asi na 01_conquistando_vantagem_competitiva_com_os_sistemas_de_informacao
Asi na 01_conquistando_vantagem_competitiva_com_os_sistemas_de_informacaoAsi na 01_conquistando_vantagem_competitiva_com_os_sistemas_de_informacao
Asi na 01_conquistando_vantagem_competitiva_com_os_sistemas_de_informacao
 

Auditoria de sistemas de informação

  • 1. Auditoria de Sistemas de Informação Prof. Rodrigo Gomes
  • 2. Auditoria de Sistemas de Informação • Globalização => disseminação da informação; • É mais fácil interceptar a informação; Empresários deixam de tomar decisões Por não confiar na Por não ter informação informação
  • 3. Auditoria de Sistemas de Informação • Toda empresa deve utilizar sistemas de informação integrados; • Se o SI não for confiável a empresa poderá estar exposta a riscos.
  • 4. Auditoria de Sistemas de Informação “A informação desempenha papéis importantes tanto na definição quanto na execução de uma estratégia. Ela ajuda na identificação das ameaças e das oportunidades para a empresa e cria o cenário para uma resposta competitiva mais eficaz.” Rezende e Abreu (2000)
  • 5. Auditoria de Sistemas de Informação “A informação é um ativo que, como qualquer outro ativo é importante para os negócios, tem um valor para a organização e, conseqüentemente, necessita ser adequadamente protegido.” (NBR ISO/IEC 17799, 2003)
  • 6. Auditoria de Sistemas de Informação • Nem toda informação é crucial ou essencial a ponto de merecer cuidados especiais. • Por outro lado, uma determinada informação pode ser tão vital que o custo de sua integridade, será menor que o custo de não dispor dela dequadamente.
  • 7. Auditoria de Sistemas de Informação • Boran (1996) e Wadlow (2000) classificam a informação:  Pública: podem vir a público sem maiores consequencias ao funcionamento da empresa.  Interna: o acesso livre deve ser evitado, não é vital para o negócio mas sua integridade é importante.  Confidencial: restrita aos limites da empresa, a divulgação ou perda pode levar a desequilibrio operacional, perda financeira ou quebra de confiança por parte do cliente;  Secreta: critica para as operações da empresa, a integridade deve ser presenrvada a qualquer custo e o acesso deve ser restrito. A segurança dessa informação é vital para a companhia.
  • 8. Auditoria de Sistemas de Informação • Ativos da Informação: • Constituem basicamente os chamados Ativos de Informação:  A informação (conceitualmente): mensagens, textos, dados de um sistema, informações de funcionários, programas de rádio e TV, etc.  As tecnologias que suportam a informação: papel, correio eletrônico, editor de texto, sistemas de informação, rádio, TV, telefone, arquivos de aço, computadores, etc.  As pessoas e processos que utilizam as informações: vendedores, gerentes, fornecedores, clientes, processo de compra, processo de venda, etc.  Os ambientes: CPDs, salas de arquivos, depósitos de mídias e equipamentos, etc.
  • 9. Auditoria de Sistemas de Informação • Vulnerabilidade dos Ativos da Informação: Souza (2006) ressalta ainda que, na área de tecnologias podemos identificar as seguintes deficiências:  computadores sem proteção contra vírus;  arquivos de aço sem controle de acesso;  equipamentos em locais públicos (impressoras, fax)  cabos de redes expostos;  redes locais com senha padrão ou pública;  falta de controle a áreas críticas;  problemas de manutenção em equipamentos;  problemas com energia elétrica.
  • 10. Auditoria de Sistemas de Informação • Vulnerabilidade dos Ativos da Informação: Com relação às pessoas e processos os ativos da informação podem estar comprometidos no que diz respeito a:  ausência de controle interno estruturado e bem aplicado;  ausência de política institucional de segurança na organização;  inexistência de especialistas em segurança na organização;  inexistência de regulamentação para acesso às informações da organização;  procedimentos ineficientes para análise e conferencia das informações;  colaboradores não-treinados em segurança;
  • 11. Auditoria de Sistemas de Informação • Vulnerabilidade dos Ativos da Informação: • ausência de procedimentos disciplinares para o tratamento das violações da política de segurança; • ausência de planos de contingência O ambiente no qual a empresa esta inserida também propicia algumas formas de “ataque” ao ativo da informação da empresa, conforme segue: • ausência de mecanismos contra incêndio; • inexistência de mecanismos de prevenção à enchente; • inexistência de proteção contra poluentes diversos que possam prejudicar mídias e equipamentos.
  • 12. Auditoria de Sistemas de Informação • Implementando Políticas de Segurança: • Elaborar, divulgar e manter atualizado documento que descreva a política de segurança de informações; • A alta gerência deve estar comprometida com a política de segurança de informações, a qual deve ser implantada de acordo com o documento formal por ela aprovado; • Definir uma estrutura organizacional responsável pela segurança, a qual deve aprovar e revisar as políticas de segurança, designar funções de segurança e coordenar a implantação da política;
  • 13. Auditoria de Sistemas de Informação • Implementando Políticas de Segurança: • Estabelecer procedimentos de segurança de pessoal, com intuito de reduzir ou evitar erros humanos, mau uso dos recursos computacionais, fraude ou roubo, por meio de um processo rigoroso de recrutamento de pessoal e de controle sobre acessos a dados confidenciais; • Todos os funcionários devem ter conhecimento dos riscos de segurança de informações e de suas responsabilidades com relação a esse assunto. • É aconselhável que haja um treinamento de segurança para difusão de boas práticas e padrões de segurança, promovendo uma cultura de segurança na organização;
  • 14. Auditoria de Sistemas de Informação • Implementando Políticas de Segurança: • Implantar controle de acesso lógico aos sistemas de forma a prevenir acessos não autorizados. Esse controle pode ser feito via processo seguro de logon, senhas fortemente seguras, registro formal de usuários. • Definir procedimentos de backup e de restauração dos sistemas computacionais para garantir a integridade e a disponibilidade de dados e software. • A freqüência de backup deve ser apropriada e pelo menos uma cópia do backup deve ser guardada em local seguro. Os procedimentos de restauração devem ser periodicamente testados para garantir sua efetividade quando forem necessários;
  • 15. Auditoria de Sistemas de Informação • Implementando Políticas de Segurança: • Auditar regularmente todos os aspectos de segurança a fim de determinar se as políticas estão sendo efetivamente cumpridas ou se são necessárias modificações.
  • 16. Auditoria de Sistemas de Informação • Implementando Políticas de Segurança: Antigamente, a atenção sobre a segurança da informação estava focada na tecnologia. Hoje, o desafio é construir uma relação de confiabilidade com clientes e parceiros. Conforme Rezende e Abreu (2000), as empresas estão procurando dar mais atenção ao ser humano, pois é ele que faz com que as engrenagens empresariais funcionem perfeitas e harmonicamente, buscando um relacionamento cooperativo e satisfatório.
  • 17. Auditoria de Sistemas de Informação • Auditoria da Tecnologia da Informação:  Auditoria da TI é uma auditoria operacional , analisa a gestão de recursos, com o foco nos aspectos de eficiência, eficácia, economia e efetividade. • Eficiência significa fazer um trabalho correto, sem erros e de boa qualidade. • Eficácia é fazer um trabalho que atinja totalmente o resultado esperado.
  • 18. Auditoria de Sistemas de Informação • Auditoria da Tecnologia da Informação:  Itens a serem auditados: • Segurança física; • Segurança lógica; • Planejamento de contingências; • Políticas, padrões, procedimentos, responsabilidades organizacionais e gerência; • Banco de dados; • Redes de comunicação e computadores; • Controle sobre aplicativos:
  • 19. Auditoria de Sistemas de Informação • Auditoria da Tecnologia da Informação: • Pode-se observar que a auditoria de TI deve estar inserida na rotina de processos de qualquer empresa que busca tomar decisões baseando-se em relatórios gerados a partir de um sistema informatizado. • No entanto, nota-se que o elo mais fraco de um processo de segurança é a pessoa (ou grupos de pessoas), que por sua vez, é a responsável por garantir a fidelidade da informação.
  • 20. Auditoria de Sistemas de Informação • Auditoria da Tecnologia da Informação: • Assim, a melhor forma de garantir a segurança da informação estratégica é atuar junto às pessoas que de alguma forma manipulam a informação com políticas de treinamento, prevenção e auditoria dos processos relacionados. • Enfim, as práticas da Segurança da Informação garantem que a informação certa, esteja disponível na hora certa, para que os responsáveis possam tomar a decisão estrategicamente adequada em tempo hábil.