Palestra sobre "Auditoria de TI aplicado ao Desenvolvimento de Software" ministrada no meetup Stone Tech Saturday, realizado pela Comunidade .NET São Paulo, no dia 18 de março de 2017.
O documento discute os principais aspectos da segurança da informação, incluindo confidencialidade, integridade, disponibilidade, autenticação, não-repúdio e auditoria. Também aborda os ativos de informação, sistemas de gestão de segurança da informação, normas como a NBR ISO/IEC 27000 e a importância da auditoria em segurança da informação.
The document discusses the key responsibilities of a CISO regarding incident management and response. It outlines establishing processes for detecting, identifying, analyzing and responding to security incidents. This includes developing escalation processes, response plans, and integrating response plans with business continuity and disaster recovery plans. It also discusses organizing incident response teams, conducting testing and reviews to improve effectiveness.
Este documento define uma política de segurança para uma organização educacional, visando garantir a confidencialidade, integridade e disponibilidade das informações. A política estabelece normas para acesso físico e lógico, classificação e gestão de ativos, operações de rede e internet, controle de acesso e incidentes de segurança. Fatores como apoio da administração e atualizações periódicas são essenciais para o sucesso da política.
You have more to secure than ever before. A data breach can happen to any organization, and it's a growing concern among companies both large and small. Take a look at these best practices and see if any of these have gotten lost as you consider your 2017 plan.
O documento discute os conceitos e riscos relacionados à segurança da informação. Ele explica o que é segurança da informação e seus principais atributos como confidencialidade, integridade e disponibilidade. Também descreve as ameaças cibernéticas como vírus, worms, trojans e exploits, além de técnicas de engenharia social usadas por criminosos como phishing. Por fim, ressalta a importância de proteger dados pessoais e empresariais.
O documento descreve as principais etapas de um teste de invasão, incluindo a preparação, coleta de informações, modelagem de ameaças, análise de vulnerabilidades, exploração de falhas, pós-exploração e geração de relatório. A palestrante destaca ferramentas como Nmap, Nikto e Metasploit que podem ser usadas para identificar vulnerabilidades e realizar exploits, e enfatiza os cuidados necessários para evitar problemas legais.
This document discusses threat modeling for software applications. It covers the key stages of threat modeling including decomposing the application, determining and ranking threats using STRIDE, and determining countermeasures. Specific topics covered include threat modeling approaches, data flow diagrams, trust levels, the STRIDE framework for analyzing spoofing, tampering, repudiation, information disclosure, denial of service, and elevation of privilege threats. It also discusses mobile threat modeling and provides an example threat analysis of a student results portal application.
Palestra apresentada pelo Prof. Rodrigo Santa Maria sobre Boas Práticas em Segurança da Informação, durante a Semana de Empreendedorismo da UNIFEOB, em parceria com o SEBRAE SP, no dia 30/09/2014.
O documento discute os principais aspectos da segurança da informação, incluindo confidencialidade, integridade, disponibilidade, autenticação, não-repúdio e auditoria. Também aborda os ativos de informação, sistemas de gestão de segurança da informação, normas como a NBR ISO/IEC 27000 e a importância da auditoria em segurança da informação.
The document discusses the key responsibilities of a CISO regarding incident management and response. It outlines establishing processes for detecting, identifying, analyzing and responding to security incidents. This includes developing escalation processes, response plans, and integrating response plans with business continuity and disaster recovery plans. It also discusses organizing incident response teams, conducting testing and reviews to improve effectiveness.
Este documento define uma política de segurança para uma organização educacional, visando garantir a confidencialidade, integridade e disponibilidade das informações. A política estabelece normas para acesso físico e lógico, classificação e gestão de ativos, operações de rede e internet, controle de acesso e incidentes de segurança. Fatores como apoio da administração e atualizações periódicas são essenciais para o sucesso da política.
You have more to secure than ever before. A data breach can happen to any organization, and it's a growing concern among companies both large and small. Take a look at these best practices and see if any of these have gotten lost as you consider your 2017 plan.
O documento discute os conceitos e riscos relacionados à segurança da informação. Ele explica o que é segurança da informação e seus principais atributos como confidencialidade, integridade e disponibilidade. Também descreve as ameaças cibernéticas como vírus, worms, trojans e exploits, além de técnicas de engenharia social usadas por criminosos como phishing. Por fim, ressalta a importância de proteger dados pessoais e empresariais.
O documento descreve as principais etapas de um teste de invasão, incluindo a preparação, coleta de informações, modelagem de ameaças, análise de vulnerabilidades, exploração de falhas, pós-exploração e geração de relatório. A palestrante destaca ferramentas como Nmap, Nikto e Metasploit que podem ser usadas para identificar vulnerabilidades e realizar exploits, e enfatiza os cuidados necessários para evitar problemas legais.
This document discusses threat modeling for software applications. It covers the key stages of threat modeling including decomposing the application, determining and ranking threats using STRIDE, and determining countermeasures. Specific topics covered include threat modeling approaches, data flow diagrams, trust levels, the STRIDE framework for analyzing spoofing, tampering, repudiation, information disclosure, denial of service, and elevation of privilege threats. It also discusses mobile threat modeling and provides an example threat analysis of a student results portal application.
Palestra apresentada pelo Prof. Rodrigo Santa Maria sobre Boas Práticas em Segurança da Informação, durante a Semana de Empreendedorismo da UNIFEOB, em parceria com o SEBRAE SP, no dia 30/09/2014.
A firewall is hardware or software that filters network traffic by allowing or denying transmission based on a set of rules to protect networks from unauthorized access. There are two main types - network layer firewalls which filter at the IP address and port level, and application layer firewalls which can filter traffic from specific applications like FTP or HTTP. A DMZ (demilitarized zone) is a physical or logical sub-network exposed to an untrusted network like the internet that contains external-facing services, protected from internal networks by firewalls. Firewalls provide security benefits like restricting access to authorized users and preventing intrusions from untrusted networks.
Identity and access management (IAM) involves managing user accounts, access to systems and applications, and user lifecycles. It encompasses provisioning, managing, and removing access when employees join, change roles, or leave an organization. IAM aims to streamline access management, improve security and compliance, and integrate user data across different systems using standards like LDAP, RBAC, SSO and federation. Successful IAM requires aligning technical solutions with business processes, change management, and ongoing auditing to ensure appropriate access controls.
What is Penetration & Penetration test ?Bhavin Shah
Penetration testing (also called pen testing) is the practice of testing a computer system, network or Web application to find vulnerabilities that an attacker could exploit.
1. O documento discute os aspectos importantes na elaboração de uma Política de Segurança da Informação (PSI) em uma organização. 2. Inclui detalhes sobre como formar um comitê de segurança, partes que devem compor o documento final da PSI e a importância de oficializar a política. 3. Também fornece exemplos de estruturas comuns para PSI, incluindo diretrizes, normas e procedimentos.
O documento apresenta informações sobre a norma NBR ISO/IEC 27001. Ela define os requisitos para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um sistema de gestão de segurança da informação. A norma tem como objetivo ajudar as organizações a adotarem modelos adequados para lidar com segurança da informação de forma sistemática.
The document discusses the configuration and setup of the Cisco ASA Firepower module. It provides the following key points:
1. The ASA Firepower module adds next-generation firewall services like IPS, application control, URL filtering, and malware protection. It can be configured in single or multiple context mode, and inline or transparent mode.
2. The module is configured using the separate Firesight Management Center application, either on an external appliance or virtual machine. Basic CLI configuration is also available directly on the ASA.
3. Setup involves installing the module software and image on the ASA, then building and configuring the Firesight Management Center to register and manage the module. Traffic policies on
Here are some small steps to achieve ISO 27001 implementation.
I believe ISO 27001/2 is a key to establish security in the organizations and help the companies to keep the whole ISMS program running aligned with continues improvement.
As ISO 27001 has been identified by ICO and recognized by GCHQ/NCSC in the past as the key standard to support GDPR.
Este documento contiene 30 preguntas relacionadas con conceptos básicos de seguridad informática como SASL, análisis de riesgo, IPS, diferencias entre WEP y WPA, software para IPS/IDS, diferencia entre hacker y cracker, objetivos de malware y spam, conceptos de firewall, proxy, virus, exploit, adware y spyware. También incluye preguntas sobre aspectos de seguridad, cifrado, vulnerabilidades, activos, riesgos, contingencia, estándares ISO, ataques DHA y keyloggers.
O documento discute regras e técnicas importantes para backups e restauração de dados, incluindo a importância de testar backups periodicamente, manter mídias e hardware em boas condições, fazer cópias de dados críticos, e garantir espaço suficiente em disco para restauração completa.
Azure 13 effective security controls for iso 27001 complianceErlinkencana
This document provides 13 security principles for designing secure solutions when using Microsoft Azure. The principles are aligned with ISO 27001 and are intended to help customers mitigate security risks early in their adoption of cloud computing. The principles cover key areas like identity and authentication, access controls, malware protection, encryption, logging and monitoring. Following the principles can help solutions meet compliance obligations like ISO 27001.
This document provides an overview of several IT audit methodologies: CobiT, BS 7799, BSI, ITSEC, and Common Criteria. CobiT is a framework for IT governance and control developed by ISACA that defines 34 processes across 4 domains (planning, acquisition, delivery, and monitoring). BS 7799 is a British standard focused on IT security baseline controls across 10 categories. BSI is a German manual that describes 34 security modules, 420 security measures, and 209 threats. ITSEC and Common Criteria are methodologies for evaluating the security of IT systems and products at defined assurance levels. Each methodology has different strengths in areas like scope, structure, user-friendliness, and frequency of updates
Cybersecurity Interview Questions and Answers | CyberSecurity Interview Tips ...Edureka!
** CyberSecurity Certification Training: https://www.edureka.co/cybersecurity-certification-training **
This Edureka tutorial on "Cybersecurity Interview Questions and Answers" consists of 50 questions from multiple cybersecurity domains which will help you in preparation of your interviews.
La seguridad de la información incluye medidas para proteger la información mediante el mantenimiento de su confidencialidad, integridad y disponibilidad. Esto se logra mediante medidas técnicas como cortafuegos, cifrado y autenticación, así como mediante estándares, certificaciones y la gestión de riesgos.
Presented at ISACA Indonesia Monthly Technical Meeting, 11 Dec 2019 at Telkom Landmark.
Key takeaways from my presentation:
1. Cloud customers have to understand the share responsibilities between customer and cloud provider
2. Different cloud service model (IaaS, PaaS, SaaS) has different audit methodology
3. Customer’s IT Auditor have to be trained to have the skills needed to audit the cloud service
4. Understanding IAM in Cloud is very important. Each Cloud Service Provider has different IAM mechanism
5. Understanding different type of audit logs in cloud platform is important for IT Auditor
Aula 04 coneitos de auditoria de sistemassorayaNadja
Obrigado pelas perguntas. Infelizmente não tenho conhecimento suficiente sobre auditoria de sistemas para responder de forma completa. No entanto, o documento fornece informações valiosas sobre os principais conceitos da área.
Este documento apresenta o planejamento estratégico de tecnologia da informação (PETI) de uma empresa. O plano inclui: 1) Análise da situação atual da TI por meio de SWOT e Balanced Scorecard; 2) Objetivos estratégicos como implantação de política de segurança e firewall; 3) Metas e ações para implementar os objetivos. O PETI tem como objetivo alinhar a TI aos objetivos de negócios e melhorar os processos e segurança da informação.
A firewall is hardware or software that filters network traffic by allowing or denying transmission based on a set of rules to protect networks from unauthorized access. There are two main types - network layer firewalls which filter at the IP address and port level, and application layer firewalls which can filter traffic from specific applications like FTP or HTTP. A DMZ (demilitarized zone) is a physical or logical sub-network exposed to an untrusted network like the internet that contains external-facing services, protected from internal networks by firewalls. Firewalls provide security benefits like restricting access to authorized users and preventing intrusions from untrusted networks.
Identity and access management (IAM) involves managing user accounts, access to systems and applications, and user lifecycles. It encompasses provisioning, managing, and removing access when employees join, change roles, or leave an organization. IAM aims to streamline access management, improve security and compliance, and integrate user data across different systems using standards like LDAP, RBAC, SSO and federation. Successful IAM requires aligning technical solutions with business processes, change management, and ongoing auditing to ensure appropriate access controls.
What is Penetration & Penetration test ?Bhavin Shah
Penetration testing (also called pen testing) is the practice of testing a computer system, network or Web application to find vulnerabilities that an attacker could exploit.
1. O documento discute os aspectos importantes na elaboração de uma Política de Segurança da Informação (PSI) em uma organização. 2. Inclui detalhes sobre como formar um comitê de segurança, partes que devem compor o documento final da PSI e a importância de oficializar a política. 3. Também fornece exemplos de estruturas comuns para PSI, incluindo diretrizes, normas e procedimentos.
O documento apresenta informações sobre a norma NBR ISO/IEC 27001. Ela define os requisitos para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um sistema de gestão de segurança da informação. A norma tem como objetivo ajudar as organizações a adotarem modelos adequados para lidar com segurança da informação de forma sistemática.
The document discusses the configuration and setup of the Cisco ASA Firepower module. It provides the following key points:
1. The ASA Firepower module adds next-generation firewall services like IPS, application control, URL filtering, and malware protection. It can be configured in single or multiple context mode, and inline or transparent mode.
2. The module is configured using the separate Firesight Management Center application, either on an external appliance or virtual machine. Basic CLI configuration is also available directly on the ASA.
3. Setup involves installing the module software and image on the ASA, then building and configuring the Firesight Management Center to register and manage the module. Traffic policies on
Here are some small steps to achieve ISO 27001 implementation.
I believe ISO 27001/2 is a key to establish security in the organizations and help the companies to keep the whole ISMS program running aligned with continues improvement.
As ISO 27001 has been identified by ICO and recognized by GCHQ/NCSC in the past as the key standard to support GDPR.
Este documento contiene 30 preguntas relacionadas con conceptos básicos de seguridad informática como SASL, análisis de riesgo, IPS, diferencias entre WEP y WPA, software para IPS/IDS, diferencia entre hacker y cracker, objetivos de malware y spam, conceptos de firewall, proxy, virus, exploit, adware y spyware. También incluye preguntas sobre aspectos de seguridad, cifrado, vulnerabilidades, activos, riesgos, contingencia, estándares ISO, ataques DHA y keyloggers.
O documento discute regras e técnicas importantes para backups e restauração de dados, incluindo a importância de testar backups periodicamente, manter mídias e hardware em boas condições, fazer cópias de dados críticos, e garantir espaço suficiente em disco para restauração completa.
Azure 13 effective security controls for iso 27001 complianceErlinkencana
This document provides 13 security principles for designing secure solutions when using Microsoft Azure. The principles are aligned with ISO 27001 and are intended to help customers mitigate security risks early in their adoption of cloud computing. The principles cover key areas like identity and authentication, access controls, malware protection, encryption, logging and monitoring. Following the principles can help solutions meet compliance obligations like ISO 27001.
This document provides an overview of several IT audit methodologies: CobiT, BS 7799, BSI, ITSEC, and Common Criteria. CobiT is a framework for IT governance and control developed by ISACA that defines 34 processes across 4 domains (planning, acquisition, delivery, and monitoring). BS 7799 is a British standard focused on IT security baseline controls across 10 categories. BSI is a German manual that describes 34 security modules, 420 security measures, and 209 threats. ITSEC and Common Criteria are methodologies for evaluating the security of IT systems and products at defined assurance levels. Each methodology has different strengths in areas like scope, structure, user-friendliness, and frequency of updates
Cybersecurity Interview Questions and Answers | CyberSecurity Interview Tips ...Edureka!
** CyberSecurity Certification Training: https://www.edureka.co/cybersecurity-certification-training **
This Edureka tutorial on "Cybersecurity Interview Questions and Answers" consists of 50 questions from multiple cybersecurity domains which will help you in preparation of your interviews.
La seguridad de la información incluye medidas para proteger la información mediante el mantenimiento de su confidencialidad, integridad y disponibilidad. Esto se logra mediante medidas técnicas como cortafuegos, cifrado y autenticación, así como mediante estándares, certificaciones y la gestión de riesgos.
Presented at ISACA Indonesia Monthly Technical Meeting, 11 Dec 2019 at Telkom Landmark.
Key takeaways from my presentation:
1. Cloud customers have to understand the share responsibilities between customer and cloud provider
2. Different cloud service model (IaaS, PaaS, SaaS) has different audit methodology
3. Customer’s IT Auditor have to be trained to have the skills needed to audit the cloud service
4. Understanding IAM in Cloud is very important. Each Cloud Service Provider has different IAM mechanism
5. Understanding different type of audit logs in cloud platform is important for IT Auditor
Aula 04 coneitos de auditoria de sistemassorayaNadja
Obrigado pelas perguntas. Infelizmente não tenho conhecimento suficiente sobre auditoria de sistemas para responder de forma completa. No entanto, o documento fornece informações valiosas sobre os principais conceitos da área.
Este documento apresenta o planejamento estratégico de tecnologia da informação (PETI) de uma empresa. O plano inclui: 1) Análise da situação atual da TI por meio de SWOT e Balanced Scorecard; 2) Objetivos estratégicos como implantação de política de segurança e firewall; 3) Metas e ações para implementar os objetivos. O PETI tem como objetivo alinhar a TI aos objetivos de negócios e melhorar os processos e segurança da informação.
O documento apresenta os serviços de auditoria e consultoria em gestão de TI oferecidos pela RCM Consultoria, incluindo auditorias do ambiente de TI, da infraestrutura de TI, dos sistemas informatizados, da gestão de TI e consultoria na implantação de comitês de TI.
O documento discute conceitos e técnicas de auditoria de sistemas de tecnologia da informação, incluindo objetivos, procedimentos, evidências e boas práticas para a execução de auditorias. Aborda tópicos como planejamento da auditoria, entrevistas, análise de riscos e controles, e a importância da preparação da equipe de auditoria.
O documento discute a auditoria de sistemas de informação em empresas. Ele explica que a auditoria de sistemas avalia os riscos e controles relacionados aos sistemas computadorizados de uma organização para garantir a integridade dos dados e a eficiência dos recursos. O documento também descreve os objetivos, funções e desafios de realizar uma auditoria de sistemas.
Este documento discute conceitos gerais sobre sistemas de informação. Resume os principais tipos de sistemas como sistemas transacionais, sistemas de informações gerenciais e sistemas de apoio à decisão. Também define objetivos organizacionais comuns de sistemas de informação como excelência operacional, novos produtos e serviços, melhores relacionamentos com clientes e fornecedores e melhor tomada de decisões.
O documento discute sistemas de informação para tomada de decisão em três níveis organizacionais e descreve Sistemas de Informação Gerencial (SIG) e Sistemas de Apoio à Decisão (SAD). O SIG transforma dados em informações úteis para tomadores de decisão em todos os níveis da organização, melhorando a eficiência e eficácia da tomada de decisão.
Este documento discute conceitos e organização de auditoria de sistemas, abordando tópicos como equipes de auditoria, natureza da auditoria, controles, auditoria da tecnologia da informação e segurança da informação.
O documento discute os benefícios dos sistemas de informação para as empresas e os diferentes níveis de sistemas, incluindo sistemas operacionais, de conhecimento, gerenciais e estratégicos. Também descreve os principais tipos de sistemas de informação e o processo de desenvolvimento de sistemas.
1) O documento discute os sistemas da informação e como as pessoas são parceiras essenciais das organizações. 2) É abordado o conceito de sistemas abertos e fechados e como os sistemas podem ser divididos em subsistemas. 3) As fases do ciclo de vida dos sistemas, como criação, evolução e decadência, são explicadas.
O documento discute a análise e sistematização de processos de negócios, incluindo sua utilidade, influências, essência, definição, evolução e impacto da tecnologia da informação. Aborda também abordagens de melhoria de processos, exemplos, elementos, seleção, modelagem e documentação de processos.
O documento descreve o framework CobiT, dividido em 4 domínios e 34 processos para gerenciar a TI de uma empresa. O domínio "Adquirir e Implementar" inclui 7 processos para identificar, adquirir e implantar soluções de TI. O domínio "Entregar e Dar Suporte" inclui 13 processos para definir níveis de serviço, segurança, treinamento e gerenciamento de incidentes. O domínio "Monitorar e Avaliar" inclui 4 processos para monitorar desempenho, conformidade e governança de TI.
O documento discute o Sistema de Suporte a Executivos (SSE), que fornece relatórios e análises aos administradores para melhorar a tomada de decisão estratégica. O SSE consolida dados da empresa e do mercado para identificar tendências e oportunidades por meio de gráficos e filtros personalizáveis. Isso permite que os executivos foquem rapidamente em problemas e tenham uma visão geral da saúde financeira e competitiva da organização.
O documento discute gestão de riscos de TI em empresas. Apresenta a importância de se conhecer os riscos dos processos de negócio e de se ter um processo de gestão de riscos para proteger os ativos de informação. Descreve os processos de avaliação de riscos, identificação de ameaças e vulnerabilidades como parte fundamental da gestão de riscos.
Controle de acesso baseado em gestão de riscosfelipetsi
O documento discute a importância de um sistema de controle de acesso baseado em gestão de riscos para empresas de capital aberto que utilizam sistemas ERP, como o SAP. Ele aborda como a análise de riscos pode identificar problemas de segurança e fraudes através da combinação inadequada de permissões no sistema. Além disso, destaca a importância da segregação de funções e da revisão periódica dos acessos de acordo com a legislação e as necessidades da organização.
O documento discute conceitos e organização da auditoria, abordando tópicos como conceitos básicos de auditoria, natureza da auditoria, equipe de auditoria e planejamento da auditoria. É destacado que a auditoria envolve examinar operações, processos e responsabilidades gerenciais de uma entidade para verificar conformidade com objetivos, políticas e normas.
1) O documento discute o framework Cobit e sua importância para a governança de TI em empresas.
2) Cobit possui 4 domínios principais: planejar e organizar, adquirir e implementar, entregar e suportar, e monitorar e avaliar.
3) O domínio de monitorar e avaliar é responsável por verificar se os processos de TI estão sendo executados da melhor forma e avaliar indicadores para melhoria contínua.
1. O documento descreve os processos de engenharia de requisitos, incluindo atividades como estudo de viabilidade, elicitação e análise de requisitos, especificação e validação.
2. A elicitação e análise de requisitos envolvem interagir com stakeholders para obter requisitos do sistema através de técnicas como entrevistas e observações.
3. Os requisitos obtidos são então documentados, classificados e negociados para resolver conflitos, produzindo uma versão inicial dos requisitos do sistema
Semelhante a Auditoria de TI aplicado ao Desenvolvimento de Software (20)
Engenharia de software i 3 - processos de engenharia de requisitos
Auditoria de TI aplicado ao Desenvolvimento de Software
1. AUDITORIA DE TI
Aplicada ao Desenvolvimento de Software
Tech Saturday
18/03/17
Thiago Vidal, MTAC
2. Agenda
O que é Auditoria?
Tipos de Auditoria
Auditoria de Sistemas
As Etapas da Auditoria de TI
Processos, Riscos e Controles
Processos de TI
ITGCs – Controles Gerais de TI
IT Application Controls
18/03/2017Stone Tech Saturday
3. O que é Auditoria?
A origem do termo provém da palavra inglesa “audit”;
Significado: examinar, ajustar, corrigir, certificar.
Avaliação sistemática de procedimentos para verificar se as atividades desenvolvidas
em determinada organização estão:
Em conformidade com as normas e padrões estabelecidos
Implementadas com eficácia para o atingimento dos objetivos de negócio
18/03/2017Stone Tech Saturday
4. Tipos de Auditoria
Externa: o auditor é contratado por uma empresa e tem um tempo limitado para
resolver os problemas da empresa
Auditoria de Sistemas
Auditoria de RH
Auditoria de Qualidade
Auditoria de Demonstrações Financeiras, etc.
Interna: o auditor é funcionário da própria empresa e conhece os processos de negócio,
gestão e procedimentos de aderência às normas a fim de apontar vulnerabilidades às
quais a organização está sujeita.
18/03/2017Stone Tech Saturday
6. Auditoria de Sistemas
Auditoria de sistemas é uma atividade cujos objetivos são:
Determinar se os sistemas de informação são confiáveis e gerenciáveis;
Determinar se os sistemas possuem capacidade de atender as necessidades da
empresa;
Gerenciar os riscos envolvidos ao ambiente de TI;
Avaliar a utilização de tecnologias e sistemas;
Manter a integridade de dados do negócio;
Buscar transparência da área de TI perante a empresa e os clientes.
18/03/2017Stone Tech Saturday
7. Auditoria de Sistemas
Portanto uma auditoria de sistemas busca:
Reduzir os riscos de erros e fraudes;
Certificar informações confiáveis.
18/03/2017Stone Tech Saturday
8. Auditoria de Sistemas
Os sistemas serão avaliados por:
Revisão e avaliação dos controles da aplicação;
Desenvolvimento;
Infraestrutura;
Operação e performance;
Segurança da informação.
18/03/2017Stone Tech Saturday
9. As Etapas da Auditoria de TI
Planejamento
Diagnóstico
Execução
Conclusão
18/03/2017Stone Tech Saturday
10. As Etapas da Auditoria de TI
Planejamento
Atividades
➢ Alinhamento de cronograma e prazos para a realização de cada atividade;
➢ Definição de escopo do trabalho
➢ Definição dos procedimentos a serem executados;
➢ Critérios para realização do diagnóstico da auditoria;
➢ Levantamento de restrições ou potenciais riscos associados à execução do trabalho.
18/03/2017Stone Tech Saturday
11. As Etapas da Auditoria de TI
Diagnóstico
Atividades
➢ Avaliação do Sistema, sua infraestrutura de suporte e regras de negócio em relação
aos procedimentos acordados;
➢ Identificação de não conformidades em relação ao esperado nos procedimentos
previamente acordados;
➢ Apoio na avaliação do plano de ação para a solução de problemas.
18/03/2017Stone Tech Saturday
12. As Etapas da Auditoria de TI
Execução
➢ Execução de procedimentos de auditoria para a avaliação dos controles:
➢ Testes de controles (base amostral)
➢ Tipos de falha:
➢ Sistêmica (desenho do processo)
➢ Randômica (casos esporádicos) -> avaliar mais evidências
18/03/2017Stone Tech Saturday
13. As Etapas da Auditoria de TI
Conclusão
➢ Consolidação dos resultados da auditoria
➢ Discussões acerca de potenciais não conformidades identificadas durante a etapa
anterior
➢ Elaboração de documentação final (Relatório de Auditoria)
18/03/2017Stone Tech Saturday
14. As Etapas da Auditoria de TI
O resultado final da auditoria deve conter:
Especificação das não conformidades e falhas encontradas;
Controles avaliados no sistema;
Riscos encontrados e a avaliação desses riscos;
Sugestões de melhoria.
18/03/2017Stone Tech Saturday
15. Processos, Riscos e Controles
Processo: conjunto de ações relacionadas entre si logicamente e coerente a
fim de produzir um output favorável à organização;
Risco: a combinação entre probabilidade de um evento acontecer e o impacto
resultante caso ele ocorra;
Ameaça (quando tem um efeito negativo, produzindo um problema, perda);
Oportunidade (quando tem um efeito positivo, produzindo um benefício);
Controle: modo de prevenir riscos e evitar que ocorram erros na auditoria.
18/03/2017Stone Tech Saturday
16. Processos de TI
ITGC – IT General Controls: os principais controles que avaliam o ambiente de
TI de uma empresa
Avaliamos controles dos sistemas de informação que suportam os diversos
processos de negócio de uma empresa, como:
Contas a Pagar;
Compras;
Faturamento;
Tesouraria, etc...
Não podemos confiar em um sistema cujas informações não são confiáveis
18/03/2017Stone Tech Saturday
17. Processos de TI
Por que são importantes?
Ajudam a garantir a integridade do negócio
Objetivos de TI:
Confidencialidade
Integridade
Disponibilidade
Eficiência e Eficácia
18/03/2017Stone Tech Saturday
18. Processos de TI
Quando o resultado da avaliação dos ITGCs é considerado inefetivo, assume-se
que os objetivos de negócio não foram alcançados.
18/03/2017Stone Tech Saturday
19. Processos de TI
Processo de Auditoria de ITGCs
Identificar e entender o ambiente de TI e sistemas para serem avaliados;
Realizar entrevistas e documentações para entender os processos;
Verificar adequação de controles existentes;
Validar a eficiência de controles existentes.
18/03/2017Stone Tech Saturday
20. ITGCs – Controles Gerais de TI
Quais são os Principais ITGCs?
Access Management (Gestão de Acessos)
Change Management (Gestão de Mudanças)
Program Development (Desenvolvimento do Sistema)
IT Operations (Operações de TI)
18/03/2017Stone Tech Saturday
21. ITGCs – Controles Gerais de TI
Access Management (Gestão de Acessos)
Risco: acessos não autorizados de usuários a sistemas/módulos/programas que
podem resultar em mudanças inadequadas de dados
Objetivos: os acessos aos sistemas e funcionalidades devem ser segregados de
maneira adequada aos usuários
Acesso Físico e Acesso Lógico
Segregação de Funções
18/03/2017Stone Tech Saturday
22. ITGCs – Controles Gerais de TI
Access Management (Gestão de Acessos)
Processo de Inclusão de Funcionário no Sistema (Definição de Perfil de Acesso)
Workflow:
1) Solicitação do RH
2) Aprovação do Responsável (Owner)
3) Execução
18/03/2017Stone Tech Saturday
23. ITGCs – Controles Gerais de TI
Processo de Inclusão de Funcionário no Sistema (Definição de Perfil de Acesso)
18/03/2017Stone Tech Saturday
_____
_____
_____
_____
____
1
Owner
2
Login:
novousuario
Tipo:
Trainee
3
24. ITGCs – Controles Gerais de TI
Processo de Exclusão de um Usuário do Sistema
18/03/2017Stone Tech Saturday
Formulário
de
Desligamento
Trainee (RH)
Data desl:
27/01/17
TI
Remover perfil
Atualizar
sistema
Notifica RH
Data solicitação:
30/01/17
25. ITGCs – Controles Gerais de TI
18/03/2017Stone Tech Saturday
Área Controle Como Testar
Concessão de Acesso Existe um processo formal para conceder acesso a novos usuários do sistema e
para alterar um perfil de acesso para um usuário existente no sistema
Revisar uma evidência de concessão de acessos
Remoção de Acesso Existe um processo formal para desabilitar contas de usuários desligados Comparar a lista de usuários ativos com a lista de usuários inativos do
sistema para verificar quais funcionários foram desligados de fato
Revisão Periódica de Acessos Revisão de acessos periódicos de usuários, administradores e fornecedores é feita
a cada 90 dias.
Revisar uma evidência de revisão periódica de acessos
Requisitos de Senha Cada usuário possui uma senha única e individual composta por caracteres
minúsculos, maiúsculos, alfanuméricos (senha forte)
Verificar na política de senhas quais são as regras de configuração de uma
senha
Acessos privilegiados de usuários Contas de usuário que tem acesso privilegiado ao sistema (servidores, bancos de
dados, aplicação e infraestrutura) são restritos a pessoas autorizadas
Revisar contas de usuários com acessos privilegiados
Acesso Físico
Apenas pessoas autorizadas podem adentrar às instalações físicas no ambiente de
processamento de dados
Avaliar a distribuição de tokens e crachás que expira e identifica os
visitantes e/ou funcionários do Data Center;
Identificar a autorização de visitantes antes do acesso às áreas
confidenciais do Data Center
▪ Access Management: Exemplo de Controles
26. ITGCs – Controles Gerais de TI
Change Management (Gestão de Mudanças)
Risco: Mudanças inadequadas nos sistemas pode gerar inconsistências nos dados
Objetivos: Todas as mudanças nos sistemas devem ser devidamente autorizadas,
testadas, aprovadas, implementadas e documentadas.
18/03/2017Stone Tech Saturday
27. ITGCs – Controles Gerais de TI
Change Management (Gestão de Mudanças)
O que significa Gestão de Mudanças?
Novas implementações
Adição de funcionalidades no sistema já existente
Criação ou modificação de interfaces
Alterações na infraestrutura (SO, BD, etc)
Mudanças emergenciais
Mudanças em configurações ou parâmetros
18/03/2017Stone Tech Saturday
28. ITGCs – Controles Gerais de TI
Change Management: Exemplo de Controles
18/03/2017Stone Tech Saturday
Área Controle Como Testar
Gestão de Mudanças Existe um processo formal documentado para a gestão de mudanças no sistema Revisar procedimentos de gestão de mudanças e validar tais procedimentos
Mudanças na Documentação
Todas as mudanças realizadas no sistema, como servidores, bancos de dados,
tecnologias, aplicações e infraestrutura estão documentadas e atualizadas
Revisar logs de mudanças
29. ITGCs – Controles Gerais de TI
Program Development (Desenvolvimento de Software)
Risco: desenvolvimento inadequado de sistemas/programas ou a implementação
destes podem resultar em dados inconsistentes
Objetivos: Garantir que todas as novas implementações e desenvolvimentos de
sistemas/programas estejam autorizados, documentados, testados e aprovados de
maneira correta.
18/03/2017Stone Tech Saturday
30. ITGCs – Controles Gerais de TI
Program Development (Desenvolvimento de Software)
Estrutura de um Aplicativo:
18/03/2017Stone Tech Saturday
DEV TEST QA PRD
BD
Usuário Final
31. ITGCs – Controles Gerais de TI
Program Development: Exemplos de Controles
18/03/2017Stone Tech Saturday
Área Controle Como Testar
Testes de Sistemas Existe um documento que detalha step by step os procedimentos adequados de testes
de novos sistemas e novas implementações.
Revisar uma evidência de planos de testes e resultados
Aprovação de Requests
É preciso uma aprovação formal de um administrador ou coordenador de TI para
aprovar as requests de alterações ou novas implementações para o servidor de
produção.
Revisar uma evidência de aprovação
Migrar Requests A segregação de acessos de usuários que fazem a migração de requests para o servidor
de produção dos usuários que solicitam a migração é restrita.
Verificar se há segregação de funções (SoD) entre desenvolvedores e administradores
32. ITGCs – Controles Gerais de TI
IT Operations
Risco: sistemas ou programas podem não estar acessíveis a todos os usuários e/ou
podem não estar funcionando de maneira adequada.
Objetivos: sistemas e programas têm de funcionar perfeitamente a todos os
usuários.
18/03/2017Stone Tech Saturday
33. ITGCs – Controles Gerais de TI
IT Operations: Exemplos de Controles
18/03/2017Stone Tech Saturday
Área Controle Como Testar
Processamento de jobs
O processamento em batch de jobs está agendado, processado, monitorado
corretamente.
Avaliar procedimentos de processamento de jobs e monitoramento e validar se os
procedimentos estão sendo seguidos.
Monitoramento de jobs Os jobs que falharam são acompanhados e documentados incluindo explicações. Validar se os jobs que falharam foram apontados e documentados.
Backup & Recovery
Backups de sistemas críticos e documentos confidenciais estão contemplados no Plano
de Recuperação de Desastres.
Verificar a validade e os procedimentos de backup e recovery do Plano de Recuperação
de Desastres.
34. IT Application Controls
Controles aplicativos de TI estão relacionados às aplicações de software;
Uma aplicação de software é o software que associa os dados a um contexto
de negócio;
Implementa regras de negócio inerente aos processos empresariais;
Processa transações de negócio
Exemplo de aplicação de software:
ERP
Sistema de Pagamentos Online
18/03/2017Stone Tech Saturday
35. IT Application Controls
A aplicação de software habilita e limita as ações dos usuários;
É importante auditar todos os controles que envolvem o funcionamento do
sistema, pois as apl. de software envolvem dinheiro e negócios da empresa;
O primeiro passo na auditoria de controles aplicativos é verificar como o
software desempenha suas funções de negócio;
O auditor deve conhecer o negócio ou realizer entrevistas para entendimento;
18/03/2017Stone Tech Saturday
36. IT Application Controls
O Segundo passo é identificar os potenciais riscos associados com a atividade:
“O que pode dar errado?” X Como a aplicação lida com esses riscos?
18/03/2017Stone Tech Saturday
37. IT Application Controls
A auditoria de controles aplicativos deve cobrir:
Aderência do Sistema às regras de negócio;
Validação de dados de entrada (input) e dados de saída (output);
Controle de acesso lógico e autenticação;
Tratamento de Exceções e logs;
18/03/2017Stone Tech Saturday