CASO PRÁTICO 2: COBIT (STANDARDS UTILIZADOS EM AUDITORIA DE SISTEMAS DE

INFORMAÇÃO)

José Maria Pedro

CISA

JMPedro, CISA

Auditar Sistemas de Informação

Auditoria de Sistemas de Informação, consiste num exame sistemático e

independente de acordo com os Standards de Auditoria Geralmente

Aceites (ver ISACA), cujo objectivo é averiguar se as actividades

desenvolvidas e recursos aplicados em determinada organização estão

de acordo com as disposições estabelecidas previamente ou com

Standards e Boas Práticas relevantes para sistemas de informação

O Trabalho do auditor desenvolve-se normalmente num ambiente

desconhecido e destina-se especialmente a eliminar ou reduzir o risco de

errar na emissão de opinião sobre os sistemas de informação auditados

JMPedro, CISA

CISA - Certified Information Systems Auditor

(Áreas de Actuação)

• Processo de Auditoria de Sistemas de Informação

• Gestão, Planeamento e Organização dos SI

• Insfraestrutura Tecnológica e Práticas Operacionais

• Protecção de Activos de Informação

• Recuperação de Desastres e Continuidade de Negócio

• Desenvolvimento de Sistemas Aplicacionais, Aquisição,

Implantação e Manutenção

• Avaliação de Processos de Negócio e Gestão de Risco

JMPedro, CISA

RA = RI * RCI * RD

RCGTI * RCA * RCU

Os Riscos do Auditor de SI

RA: Risco de Auditoria

RI: Risco Inerente

RCI: Risco de Controlo Interno

RD: Risco de Detecção

RCGTI: Risco dos Controlos Gerais das TI

RCA: Risco dos Controlos Aplicacionais

RCU: Risco dos Controlos de Utilização

DADOS

Aplicações

Instalações

Hardware

Software de Sistema

Comunicações

Continuidade

Políticas Utilizadores

Perfis

JMPedro, CISA

DADOS

Classificação e Controlo

Utilizadores, acessos,

autenticação

Instalações, Ambiente,

Seg. Física

Software Aplicacional

Software Sistema

Hardware

Comunicações,

WEB

Políticas e Princípios de Gestão TIC, Segurança Organizacional

Conformidade, Legalidade, Gestão de Risco

Novas Questões de Controlo

InternoControlos

Aplicacionais

Controlos de

Utilização

Controlos

Gerais

JMPedro, CISA

Normas (standards) internacionais

a usar na auditoria de SI

Standards de Controlo Interno e Boas

PráticasGestão de TIC

Gestão de Informação

Gestão de Segurança

Gestão de Risco

Planos de Continuidade de Negócio

Gestão de Projectos

Desenvolvimento de Software

Gestão da Qualidade

Standards Profissionais ISACA, IFAC, IIA

JMPedro, CISA

COBIT (patrocinado pela ISACA)

ITIL - IT Infrastructure Library (itSMF)

Microsoft Operations Framework

ISO20000 (BS15000) Sistema de gestão de

serviços

IT Governance Implementing Guide

AS8015-2005 australiano

Gestão de TIC

JMPedro, CISA

Gestão de Informação

ISO 15489 / NP 4438

Sarbanes Oxley (SOX)

JMPedro, CISA

ISO27001 (anterior 17799 sobre segurança de

Sistemas de Informação);

ISO13335 (Orientações sobre aspectos da Gestão da

Segurança de TIC);

ISO13569 para serviços financeiros;

ITBaseline Protection - Manual alemão;

ACSI-33 australiano

NIST americana (numerosos);

COBIT Security Baseline;

ENV12924 para Sistemas de Informação da Medicina;

Information Security Fórum Standard of Good Pratice

SEGNACs (Portugal).

Gestão de Segurança

JMPedro, CISA

COSO Internal Control – Integrated Framework.

AS/NZS4360 australiano;

Risk Management Standard Institute;

ISO/IEC Guide 73;

Gestão de Risco

JMPedro, CISA

BS25999 (Guia para Disaster / Emergency Management

& Business Continuity);

NFPA 1600 (National Fire Protection Association, USA);

HB221-2004 Australiano;

NIST sp800-34 (U.S. Department of Commerce /

Technology Administration / National Institute of Standards

and Technology).

Planos de Continuidade de

Negócio

JMPedro, CISA

PMBOK (Project Management Body of Knowledge)

PRINCE2 (PRojects IN Controlled Environments)

Gestão de Projectos

JMPedro, CISA

TickIT (Sistemas de Gestão da Qualidade para Desenvolvimento de

Software e Critérios de Certificação)

Capability Maturity Model (Avalia a maturidade dos Sistemas de

Informação)

Desenvolvimento de Software

JMPedro, CISA

ISO9001

SixSIGMA

EFQM (European Foundation for Quality

Management)

Baldrige National Quality Plan

CAF (Common Access Framework)

Gestão da Qualidade

JMPedro, CISA

COBIT®

Control OBjectives for

Information and Related

Technology

www.isaca.org

JMPedro, CISA

Relacionamento entre a

empresa e as TI

gestão da empresa

gestão das TI

linhas de orientação e

alinhamento estratégico

actividades da

empresa

actividades das TI

precisam de

informação das

JMPedro, CISA

Controlo da empresa

ObjectivosActividades da

empresarecursoscontrolo

dirige

relatam usam

JMPedro, CISA

Recursos TIC

Informação

A lógica COBIT

Monitorização

Disponibilização e

Suporte

Aquisição e

Implementação

Planeamento e

Organização

Negócio

JMPedro, CISA

Princípios – Processos IT

JMPedro, CISA

Árvore dos Domínios COBIT

Agrupamento natural de processos, em

geral de acordo com um domínio de

responsabilidade da organização.

Processo um conjunto de actividades ou

tarefas com um agrupamento natural

Acções necessárias para se atingir um

resultado mensurável. As atividades têm um

ciclo de vida, as tarefas são pontuais.

Domínios (4)

Processos (34)

Actividades (316)

Tarefas

JMPedro, CISA

Os 4 Domínios no COBIT

Planeamento e Organização: Estratégia; Identificação do modo como a função IT vai contribuir para os objectivos do negocio

Aquisição e Implementação: A realização da estratégia. Identificação das soluções IT adequadas, aquisição ou desenvolvimento e integração nos processos de negócio.

Disponibilização e Suporte: Preocupa-se com a continuidade das operações, a sua segurança e o treino das equipas de TIC

Monitorização: Todos os processos IT necessitam de avaliação regular da sua qualidade e conformidade com os requisitos de controlo e de negócio

JMPedro, CISA

Os 7 Critérios da Informação

Eficácia: Relevante, pertinente, entregue a tempo, correcta, utilizável e

consistente

Eficiência: Recursos aproveitados de modo óptimo para a sua produção

Confidencialidade: Protegida de acessos não-autorizados

Integridade: Completa e correcta

Disponibilidade: Disponível quando necessário. Recursos que

garantam a continuidade da disponibilidade

Conformidade: Respeita as exigências legais, ou contratuais do negócio

Fiabilidade: Necessária à gestão para satisfazer as suas obrigações

legais ou contratuais de reporting e de tomada de decisão

JMPedro, CISA

Os 5 Recursos TI no COBIT

Dados - Sentido amplo (estruturados, não-estruturados, vídeo, som, gráficos, …)

Aplicações - Procedimentos manuais e automáticos

Tecnologia - Hardware, Comunicações, Sistemas Operativos, Rede, SGBD ...

Instalações - Recursos necessários para alojar e suportar os SI, edifícios, ar condicionado, energia, …

Pessoas - Competências necessárias para motivar, planear, organizar, adquirir, entregar, suportar e monitorar os SI e serviços associados

JMPedro, CISA

Família actual de produtos

COBIT

JMPedro, CISA

Benchmark COBIT®

Referencial de métricas com

Maturidade dos processos

(CMM)

www.isaca.org

JMPedro, CISA

Benchmark COBIT

PO1 - Define a Strategic IT Plan

Your geography: Europe, Middle East

and Africa

Your industry: Public Sector

Your size: >$50M turnover or < 150 staff

JMPedro, CISA

Benchmark COBIT

PO1 - Define a Strategic IT Plan

Your geography: Europe,

Middle East and Africa

Your industry: Public

Sector

Your size: >$50M turnover

or < 150 staff

JMPedro, CISA

Conclusões

• A auditoria de sistemas de informação precisa muito de

standards e de referenciais para basear as opiniões emitidas

pelos auditores e retirar a subjectividade;

• O ITIL é um instrumento cada vez mais útil na auditoria por

várias razões:

• O outsourcing de sistemas de informação tende a aumentar e tem de ser

controlado;

• A orientação das organizações para o cliente obriga a estruturar a produção

em processos;

• A desmaterialização dos relacionamentos organizacionais exige clareza e

métricas adequadas nos níveis de serviço.

OBRIGADO PELA ATENÇÃO

JMPedro, CISA

Bibliografia

www.isaca.org – Information Systems Audit

itSMF International – The IT Service Management Forum; Foundations of IT

Service Management; VHP; 2006; ISBN-13 978-90-77212-69-1

itSMF International – The IT Service Management Forum; METRICS for IT

Service Management; VHP; 2006; ISBN-13 978-90-77212-69-1

JMPedro, CISA