ipai auditoria sistemas · findings std. 50. 17 fluxo do processo de auditoria asiasa/siga/crsa/asi...
TRANSCRIPT
AUDITORIA DE SISTEMASAUDITORIA DE SISTEMAS
Uma forma de mitigar riscoUma forma de mitigar risco
Pedro Cupertino de Miranda, CISM, CISA
Criação da função de Auditoria de Sistemas de Informação2 Criação da função de Auditoria de Sistemas de Informação2
2001‐...
PROJECTO • Consultor Arthur AndersenPROJECTO • Desenho da função• Elaboração do Organigramaç g g• Modelo de Reporting• Competências e responsabilidades
11
CONHECER OCONHECER O NEGÓCIO DONEGÓCIO DORETALHOO
A aproximação4
Realização de
A aproximação4
Realização de t i tentrevistas
k he workshopscom as várias DIRECÇÕES
A metodologia5 A metodologia5
Levantamentodos principais
Organigrama, funções e
Aplicações fluxos de
Arquitectura sistemas dedos principais
processos de negócio
funções e responsabilidades
fluxos de dados
sistemas de informação
negócio
6
ANÁLISE
6
ANÁLISE ISCODE RISCO
Riscos Informáticos7 Riscos Informáticos7
ConfidencialidadeRisco da informação
i il i d d
DisponibilidadeRisco de
i di ibilid d dprivilegiada poder ser acedida por pessoas
não autorizadas.
indisponibilidade de informação importante ou relevante quando
necessárianecessária.
I t id dIntegridadeRisco de existência de
informação inadequada ou processamento incompleto ou
incorrecto
Processo de avaliação do Risco8 Processo de avaliação do Risco8
BIA Processo Activos Valor(Impacto)
AmeaçasP b bilid
Nível de Risco
Vulnerabilidades
Probabilidade
dades
9 Principais Riscos Informáticos9
• Cultura de segurança pouco enraizada • Classificação e dados não encriptados
Principais Riscos Informáticos
Classificação e dados não encriptados• Configurações por defeito• Incumprimento de requisitos legais e das normas internas
• Bugs Aplicacionais • Passwords triviais
f / f á• Perfis de acesso excessivos e/ou deficitários • Nível de patching desactualizado• Inexistência de audit trails • Inconsistência de dados
• Redes Wired/Wireless sem protecçãoRedes Wired/Wireless sem protecção• Acessos remotos • Regras de firewall desajustadas• Antivírus inexistente ou desactualizado• Antivírus inexistente ou desactualizado
• Inexistência de redundância de equipamentosi ê i d b k• Inexistência de backups
• Inexistência de um BCP e DRP
10
AO LONGO DO TEMPO
10
QUAL O CONTRIBUTO DO
AO LONGO DO TEMPO
QUAL O CONTRIBUTO DOAUDITORAUDITORDE SISTEMAS DEDE SISTEMAS DE INFORMAÇÃOINFORMAÇÃO
Funções e responsabilidades11 Funções e responsabilidades11
Suporte
AuditoriaSistemas deSistemas de Informação
AuditorConsultor
12 Mitigação do Risco12
SENSIBILIZAÇÃO GESTÃO DE RISCO
Mitigação do Risco
SENSIBILIZAÇÃO GESTÃO DE RISCO
IDENTIFICAÇÃO FALHAS RECOMENDAÇÃO DE CONTROLOS
MONITORIZAÇÃOMONITORIZAÇÃO DE INDICADORES
FERRAMENTAS AUTOMÁTICAS
13 Ferramentas13 Ferramentas
Ferramentas de suporte à actividade14 Ferramentas de suporte à actividade14
SIGA
Auto Audit
ASATablet
SIGAAI
ASA
SIGAGR
Gestão de
ASI
Gestão deRisco
CRSA
ASI
DAGRRegisto
Incidentes
Gestão Procedim.
IntelliQACL
Computer Aided Automated Tools (CAATs)15 Computer Aided Automated Tools (CAATs)15
Arquitectura Aplicacional16 Arquitectura Aplicacional16
ASA
Extractos
Procediment.
Findings Std.
440
60
450
Hierarquia ComercialSIGA
AI
g
Extractos
Procediment.
79
311
I t t
Hierarquia Operacional
e Locais
AIFindings Std. 645
Extractos 55
Intranet
Legislação
SIGAGR
Procediment.
Findings Std.
n/a
196
ASI
ISO 17799
Cobit V4.0
Findings Std.
144
215
449
Mapa de Riscos
CRSA
Extractos
Perguntas
50
50
Findings Std. 50
Fluxo do processo de auditoria17 Fluxo do processo de auditoria17
ASI InsiteASA/SIGA/CRSA/ASI Intranet
AuditoriasTrabalho de
Campo
AuditoriasTrabalho de
Campo
AuditoriasTrabalho de
Campo
AuditoriasTrabalho de
Campo
ISO 27001ISO 27001 RelatórioWord
RelatórioWordISO 27001Legislação RelatórioWord
RelatórioWord
Cobit V4.0Cobit V4.0 Findings/Recom. Standard
Findings/Recom. Standard
Mapa de Findings
Mapa de FindingsAuditoriasAuditoriasCobit V4.0
StandardsInternacionais
Findings/Recom. Standard
Findings/Recom. Standard
Mapa de Findings
Mapa de FindingsAuditoriasAuditorias
LegislaçãoPortuguesaLegislaçãoPortuguesa
Standard
Mapa de Acções
Mapa de Acções
LegislaçãoPortuguesa
ProcedimentosInternos
Standard
Mapa de Acções
Mapa de Acções
StatusAcçãoData Impl.Resp.Rec. 2Find 2
StatusAcçãoData Impl.Resp.Rec. 1Find 1
StatusAcçãoData Impl.Resp.Rec. 2Find 2
StatusAcçãoData Impl.Resp.Rec. 1Find 1
Acção do Auditado
Standards Internacionais1818
/ISO/IEC 27001 COBIT V4.1
Foco na Segurança da Informação Foco nos Controlos de IT
Standard ISO /IEC 270011919 Standard ISO /IEC 270011919
Política de Segurança
Organização de Segurança
Organizacional
Organização de Segurança da Informação
Gestão de ActivosControlo de A
Conformidade
Acessos
Segurança dos Recursos Humanos
Aquisição Gestão da
Segurança FísicaOperacional
Aquisição, Desenvolvimento e
Manutenção de Sistemas
Operações e Comunicações
Gestão de Incidentes de Segurança
Gestão da Continuidade do
Negócio
Técnica Gestão Física
Legenda
Standard COBIT V4.1 do ISACA2020 Standard COBIT V4.1 do ISACA2020
2121
NOVASNOVASOPORTUNIDADESOPORTUNIDADESE DESAFIOSE DESAFIOS