segurança da informação - fundamentos em auditoria
DESCRIPTION
Uma primeira abordagem sobre auditoria em segurança da informação.TRANSCRIPT
Pro
fe
sso
r A
nd
ré
C
am
po
s
Fundamentos em auditoria
Professor André Campos
Uma visão mais ampla sobre segurança da informação poderá
ser obtida no livro Sistema de Segurança da Informação –
Controlando os riscos, de André Campos, Editora Visual
Books.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Fundamentos em auditoria
Este material foi produzido como apoio didático para disciplinas de graduação e pós-graduação relacionadas com Tecnologia da Informação.
O uso é permitido a todo e qualquer docente ou discente das referidas disciplinas, ou correlatas, desde que sejam respeitados os direitos autorais, ou seja, que os créditos sejam mantidos.
Este material não pode ser vendido. Seu uso é permitido sem qualquer custo.
Diversas figuras foram obtidas a partir do acesso em sites de imagens. Estas imagens foram utilizadas em seu estado original, com 72DPI.
Algumas imagens foram obtidas da obra "Sistema de Segurança da Informação Controlando Riscos".
Todas as imagens são utilizadas para fins exclusivamente acadêmicos e não visam a obtenção de lucro.
Informações específicas sobre segurança da informação podem ser obtidas na obra Sistemas de segurança da informação Controlando Riscos; Campos, André; Editora Visual Books, 2007.
Pro
fe
sso
r A
nd
ré
C
am
po
s
A auditoria
O objetivo de uma auditoria é garantir a
efetividade dos processos e ativos de uma
determinada organização.
A auditoria poderá dedicar-se a comprovar a
eficácia, a comprovar a eficiência, ou a
comprovar a efetividade.
Pro
fe
sso
r A
nd
ré
C
am
po
s
A auditoria
Consiste basicamente da comparação do
estado dos processos e dos ativos contra um
critério de auditoria.
Desta comparação, são possíveis os
seguintes resultados:
• Conforme
• Não conforme (Oportunidade de Melhoria)
Em ambos os casos, é possível haver
observações.
Pro
fe
sso
r A
nd
ré
C
am
po
s
A auditoria
As conformidades e não conformidades são
aplicadas com base nas evidências de
auditoria, ou seja, em registros, apresentação
de fatos ou outras informações que
corroborem as evidências.
A auditoria não pode ser baseada em opiniões
ou avaliações pessoais dos indivíduos
envolvidos na auditoria.
Pro
fe
sso
r A
nd
ré
C
am
po
s
A auditoria
Os personagens de uma auditoria são o
auditado, que é a organização que recebe a
auditoria, os auditores, que são os que
realizam a auditoria, os especialistas, que são
as pessoas que fornecem conhecimento ou
experiência específicos para a equipe de
auditoria, e o cliente de auditoria, que nem
sempre é o auditado; muito comum em caso
de qualificação de fornecedores.
Pro
fe
sso
r A
nd
ré
C
am
po
s
A auditoria
Para a realização de uma auditoria, é
importante haver um programa de auditoria
que preveja a realização de diversas
auditorias, integradas ou não a outros
sistemas auditores, e para cada auditoria um
plano de auditoria. A equipe de auditores
precisa ter a competência adequada para a
auditoria.
Pro
fe
sso
r A
nd
ré
C
am
po
s
A auditoria
Existem basicamente 3 tipos de auditoria;
Auditoria de primeira parte é a auditoria
interna, que objetiva garantir a implementação
correta de controles.
Auditoria de segunda parte é a auditoria
contratada para verificar se a auditoria interna
foi realizada adequadamente.
Auditoria de terceira parte é a auditoria
contrata para aferir certificação com base em
determinado critério de auditoria.
Pro
fe
sso
r A
nd
ré
C
am
po
s
A auditoria
Uma auditoria deve basear-se em alguns
elementos essenciais, que proporcionarão
confiabilidade a todo o processo.
É importante que a auditoria seja pautada pela
ética, pela justiça, pelo zêlo profissional, pela
imparcialidade, e por uma abordagem
baseada em evidências.
Pro
fe
sso
r A
nd
ré
C
am
po
s
A auditoria
A conduta ética do profissional de auditoria
fará com que ele seja uma pessoa confiável,
íntegra, discreta e que mantém a
confidencialidade das informações as quais
tem acesso.
Pro
fe
sso
r A
nd
ré
C
am
po
s
A auditoria
A apresentação justa refere-se a obrigação
de informar verazmente e precisamente a
respeito das constatações de auditoria, dos
relatórios e das conclusões. Mesmo as
divergências entre a equipe de auditoria e o
auditado que não forem resolvidas, devem ser
claramente relatadas.
Pro
fe
sso
r A
nd
ré
C
am
po
s
A auditoria
O cuidado profissional refere-se ao trabalho
zeloso e a aplicação do julgamento correto na
atividade de auditoria, considerando a
relevância e a responsabilidade que um
auditor tem.
Pro
fe
sso
r A
nd
ré
C
am
po
s
A auditoria
A independência refere-se ao trabalho
imparcial que deve ser realizado pela equipe
de auditoria. Para tanto, os auditores não
podem ser subordinados ou dependentes do
auditado direto.
Os auditores precisam manter a mente aberta
e estarem livres da tendência de conflito de
interesses.
Pro
fe
sso
r A
nd
ré
C
am
po
s
A auditoria
A abordagem baseada em evidências
refere-se ao método científico para gerar as
conclusões de auditoria, de modo que estas
sejam confiáveis e reproduzíveis.
A utilização de amostragem é aceitável para
reduzir o tempo de auditoria, mas deve
garantir a confiabilidade necessária aos
resultados obtidos.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Critérios de auditoria
Existem diversos critérios de auditoria,
dependendo do tipo da auditoria e dos
resultados esperados.
Um critério de auditoria é um conjunto de
políticas, procedimentos ou requisitos.
Vejamos alguns destes critérios e seus
principais objetivos.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Critérios de auditoria
Existem diversos critérios de auditoria,
dependendo do tipo da auditoria e dos
resultados esperados.
Um critério de auditoria é um conjunto de
políticas, procedimentos ou requisitos.
Vejamos alguns destes critérios e seus
principais objetivos.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Critérios de auditoria
A ISO 27.001 é um critério específico para
auditorias de segurança da informação.
O objetivo deste critério é garantir que a
informação na organização esteja preservada
quanto a sua confidencialidade,
disponibilidade e integridade.
Ela aborda temas tais como Política de
Segurança, Classificação da Informação,
Segurança Física, Segurança de Acesso
Lógico, Segurança em Sistemas, entre outros.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Critérios de auditoria
A Sarbanes-Oxley (SARBOX / SOX) é um
critério específico para auditorias de
segurança relacionadas com as atividades
financeiras da organização.
Trata-se de uma lei americana criada por Paul
Sarbanes e Michael Oxley com o objetivo de
garantir transparência das operações
financeiras altamente baseadas em sistemas
de informação. Ela estabelece regras de
segurança e auditoria, que inclui a criação de
comitês e comissões de supervisão.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Critérios de auditoria
Seção Seção 302 Seção 404 Seção 409
Requisitos A seção Corporate Responsibility for Financial Reports determina que CEOs e CFOs devem assinar documentos trimestralmente e anualmente certificando que seus relatórios financeiros estão corretos e precisos.
A seção management assessment of internal controls determina que a organização documente, teste e relatorie sua estrutrua interna de controles;Auditories externos devem atestar a qualidade destes controles.
A seção real-time issuer disclosures determina que a organização elabore um relatório claro sobre material changes to the financial condition or operations em no máximo 48 horas.
Aspectos principais
Garante que os executivos tenham avaliado a efetivadade dos controles internos 90 dias antes do relatório atual.
Garante a existência de controles internos para os sistemas finaceiros existentes e outros grandes sistemas corporativos.
Garante que o monitoramento financeiro está altamente automatizado e suportado por um grande número de diferentes sistemas.
Principais preocupaçoes dos executivos
Quem na organização é responsável por garantir a integridade e a disponibilidade dos sistemas financeiros?
Entre os controles internos, estão inclusos o Plano de Continuidade de Negócio e as respectivas considerações de recuperação de desastres?
Quanto será a material changes monitorada quando os sistemas de monitoramento estiverem for a do ar para manutenção ou upgrade?
Sarbanes-Oxley (SARBOX / SOX)
Pro
fe
sso
r A
nd
ré
C
am
po
s
Critérios de auditoria
A metodologia ITIL é um critério específico
itSMF, ou simplesmente, Gerenciamento de
serviços de TI. Contém os seguintes livros:
Service Delivery, Service Support, The Business
Perspective - the IS View of Delivering Services to the
Business, Planning to Implement IT Service
Management, Software Asset Management, Security
Management, ITIL Small-scale Implementation,
Applications Management, ICT Infrastructure
Management, Gerenciamento de Serviços de TI na
Prática - Uma abordagem com base na ITIL
Pro
fe
sso
r A
nd
ré
C
am
po
s
Critérios de auditoria
A metodologia COBIT é um critério específico
para gestão de TI.
Grande foco no alinhamento estratégico, no
planejamento e acompanhamento dos planos
e retorno sobre os investimentos em
Tecnologia da Informação.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Critérios de auditoria
A norma ISO 12.207 é um critério específico
sobre o ciclo de vida do software.
A norma se preocupa com a aquisição ou
desenvolvimento do software, seu suporte
durante o período de uso, e os processos de
gestão e melhoria contínua.
Há ainda foco na questão dos treinamentos e
infra necessários para utilização adequada do
software.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Critérios de auditoria
A norma ISO 9.126 é um critério específico
sobre a qualidade do software.
A norma se preocupa com aspectos tais como
funcionalidade adequada, confiabilidade,
usabilidade, eficiência, manutenibilidade, e
portabilidade.
A ISO 14.598 é uma norma de apoio a
avaliação da qualidade de software.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Critérios de auditoria
O modelo CMMI é um critério específico para
a melhoria contínua do processo de
desenvolvimento de software.
Trata-se de um modelo de maturidade, ou
seja, que permite a organização evoluir ao
passo que implementa os procedimentos
propostos.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Critérios de auditoria
Naturalmente existem outras normas e
metodologias que podem ser adotadas como
critério de uma auditoria. As normas e
metodologias apresentadas neste documento
são meramente ilustrativos.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Competência dos auditores
Boa parte da estabilidade e dos resultados
obtidos pela atividade de auditoria dependem
da competência do auditor.
Esta competência é uma composição entre os
atributos pessoais, os conhecimentos e
habilidades, e a educação e experiência
profissional.
O auditor precisa ter competência em
auditoria, e competência específica para o tipo
de auditoria que pretende conduzir.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Competência dos auditores
Os atributos pessoais estão muito
relacionados com os princípios essenciais de
uma auditoria, que já foi visto.
Portanto, o auditor precisa ser ético, ter a
mente aberto, ser diplomático, observador,
perceptivo, versátil, persistente, racional, e
auto confiante.
Estes atributos não são todos facilmente
encontrados em uma só pessoa, mas podem
ser desenvolvidos.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Competência dos auditores
Quanto aos conhecimentos e habilidades,
isto tem a ver com uma grande diversidade de
aspectos.
É importante possuir conhecimentos gerais,
tais como técnicas de auditoria, sistema de
gestão, conhecimento de negócio, leis e
regulamentos.
Competência para liderar equipes de auditoria
é necessário.
Conhecer o critério de auditoria específico é
fundamental.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Competência dos auditores
A educação e experiência profissional, se
relacionam com a competência para cada
autor da auditoria.
O auditor precisa ter treinamento em auditoria
e conhecer bem o critério de auditoria.
O auditor líder precisa ter uma competência
superior a dos demais auditores, em
conhecimento e em experiência.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Competência dos auditores
Parâmetro Auditor Auditor Líder
Educação Mínimo: nível médio.
Idem.
Experiência total
5 anos para NM e 1 ano para NS.
Idem.
Experiência específica
Mínimo de 2 anos.
Idem.
Treinamento em auditoria
40h. Idem.
Experiência em auditoria
4 auditorias, mínimo 20 dias.
3 auditorias, mínimo 15 dias, como líder.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Competência dos auditores
A competência do auditor precisa ser sempre
melhorada, e que mesmo as competências
existentes sejam mantidas através da
participação regular em auditorias.
Os auditores pode se certificar pelo RAC (Registro de Auditores Certificados). Visite o site http://www.cic.org.br.
Níveis de certificação:•Auditor •Auditor Aspirante •Auditor Interno •Auditor Líder
Pro
fe
sso
r A
nd
ré
C
am
po
s
Programa de auditoria
Um programa de auditoria pode envolver
uma ou mais auditorias, e estas auditorias
pode ser combinadas ou em conjunto.
Quando diferentes sistemas de gestão
(qualidade, segurança da informação,
ambiente) são auditados juntos, isto é
chamado de auditoria combinada.
Quando duas ou mais organizações de
auditoria cooperam para auditar um único
auditado, isto é chamado de auditoria
conjunta.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Programa de auditoria
A ações fundamentais que contribuem para o
êxito das estratégias de negócio da
organização devem ser fortemente apoiadas e
patrocinadas pela Alta Direção.
Não é diferente no caso do programa de
auditoria em Tecnologia da Informação,
Segurança da Informação, Governança em TI,
Gestão de Serviços em TI, ou qualquer outra
considerada estratégica.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Programa de auditoria
De fato, os programas de auditoria precisam
ser geridos, e para tal, a organização deve
estabelecer um processo contínuo para este
fim.
Como todos os processos de qualidade, o de
auditoria também precisa garantir a melhoria
contínua, e para tanto, um ciclo P-D-C-A,
demonstrado no próximo slide.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Programa de auditoria
Existe uma norma específica que estabelece
uma proposta de P-D-C-A para o programa de
auditoria.
Esta mesma norma propõe uma metodologia
para as atividades de auditoria, e para as
competências dos auditores.
Esta norma é a NBR ISO 19.011 – Diretrizes
para auditorias.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Programa de auditoria
CH
EC
KD
OP
LA
NA
CT
Estabelecendo o programa
- Objetivos e abrangência
- Responsabilidades
- Recursos
- Procedimentos
Implementando o programa
- Programando auditorias
- Avaliando auditores
- Selecionando equipes
- Dirigindo auditorias
- Mantendo registros
Melhorando o programa de
auditoria
Monitorando e analisando
- Monitoração e análise crítica
- Necessidade de ações corretivas
- Necessidade de ações
preventivas
- Oportunidades de melhoria
Pro
fe
sso
r A
nd
ré
C
am
po
s
Estabelecendo o programa
Um primeiro passo é definir o objetivo do programa de auditoria, que pode estar relacionado com questões estratégicas, aspectos comerciais, requisitos do próprio SGSI, dos clientes, ou das leis e regulamentos, entre outros.
Por exemplo, “Satisfazer requisitos da norma X”, “Conformidade com contratos”, e “Ober confiança do cliente” seriam objetivos válidos.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Estabelecendo o programa
Em seguida deve-se definir a abrangência deste programa, que será influenciado pelo tamanho e complexidade da organização, frequência das auditorias, requisitos normativos, preocupações das partes interessadas, mudanças significativas na organização, entre outros.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Estabelecendo o programa
O próximo passo é definir as responsabilidades do programa de auditoria.
O programa de auditoria deve ser gerenciado por um ou mais colaboradores que compreendam os princípios de auditoria, que possam avaliar os auditores, e que tenham compreensão técnica e capacidade gerencial, especialmente da gestão de projetos.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Estabelecendo o programa
Os recursos necessários para o programa de auditoria precisam ser reservados.
É importante lembrar que os recursos se referem não apenas aos aspectos financeiros, mas também aos recursos técnicos, ao processo de obtenção manutenção das competências dos auditores, recursos humanos (disponibilidade), tempo e dinheiro para viagens, hospedagens e coisas do gênero.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Estabelecendo o programa
Os procedimentos de auditoria deve ser definidos, e podem fazer parte da Política de Segurança da Informação (PSI).
Devem abranger o planejamento das auditorias, a manutenção das competências, a seleção das equipes, a realização das auditorias, as ações de acompanhamento, o registro, a monitoramento do programa, e o processo de comunicação com a Alta Direção a respeito dos resultados.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Implementando o programa
Implementar o programa é, de fato, fazer acontecer tudo o que foi planejado.
Isto envolve comunicar as partes interessadas, coordenar as auditorias, avaliar continuamente a competênciados auditores, selecionar e monitorar as equipes, garantir os recursos, gerenciar o cronograma de auditoria, analisar os riscos, e manter a qualidade do programa.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Implementando o programa
Em qualquer processo de auditoria, os registros são de fundamental importância. São a evidência de que o programa existe.
Sendo assim, são três as principais categorias de registro:
1 – Relativos a auditoria;
2 – Relativos a análise crítica do programa;
3 – Relativos ao pessoal de auditoria.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Implementando o programa
Os registros relativos as auditoriasincluem:
1 - Planos de auditoria;
2 - Relatórios de auditoria;
3 - Relatórios de não conformidade;
4 - Relatórios de ação corretiva;
5 - Relatórios de acompanhamento.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Implementando o programa
Os registros relativos as análise crítica incluem:
1 – Atas de reunião;
2 – Registro de informações consideradas;
3 – Relatório de propostas.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Implementando o programa
Os registros relativos a equipe de auditoria incluem:
1 – Competência do auditor;
2 – Avaliação de desempenho;
3 – Seleção das equipes;
4 – Experiência adquirida;
5 – Treinamentos realizados.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Monitorando o programa
A própria implementação do programa precisa ser monitorada. Pode parecer estranho, já que o programa criado para auditar precisa também ser auditado.
As informações obtidas neste monitoramente devem ser estruturadas de maneira didática e repassadas para a Alta Direção.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Monitorando o programa
Mas como monitorar a implantação de um programa de auditoria?
O acompanhamento do cronograma de implantação é uma bom começo. Os resultados obtidos em termos de documentos gerados, procedimentos escritos, e implementados, devem ser considerados.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Monitorando o programa
No entanto, um método efetivo é criar indicadores de desempenho que possam monitorar características tais como:
A habilidade da equipe de auditoria em implementar o plano de auditoria;
A conformidade com o programa de auditoria e as programações;
A realimentação dos clientes de auditoria, auditados e auditores.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Melhorando o programa
O objetivo da análise crítica do programa de auditoria é considerar todas as informações possíveis a respeito do programa, de modo que seja possível avaliar a situação atual, definir uma situação futura desejada, e propor melhorias que garantam o preenchimento da lacuna entre a situação atual e a desejada.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Melhorando o programa
A análise crítica deve considerar, por exemplo:1 - resultados e tendências apresentadas pelo monitoramento;
2 - A conformidade com os procedimentos;
3 - A evolução de necessidades e expectativas das partes interessadas;
4 - Os registros do programa de auditoria (já mencionados);
5 - A consistência no desempenho entre equipes de auditoria.
Pro
fe
sso
r A
nd
ré
C
am
po
s
BIBLIOGRAFIA
ABNT. Norma ABNT NBR ISO/IEC 17799:2005 – Tecnologia da informação –Técnicas de segurança – Código de práticas para a gestão da segurança da informação; Associação Brasileira de Normas Técnicas (ABNT), Brasil, 2005.
ABNT. Norma ABNT NBR ISO/IEC 17799:2005 – Tecnologia da informação –Técnicas de segurança – Código de práticas para a gestão da segurança da informação; Associação Brasileira de Normas Técnicas (ABNT), Brasil, 2005.
Campos, André. Sistema de Segurança da Informação – Controlando o Risco; Editora Visual Books, Brasil, 2005.
Hansche, Susan; Berti, John; Hare, Chris. Official (ISC2) Guide to the CISSP Exam; Estados Unidos, 2003.
NIST. An Introduction to Computer Security: The NIST handbook; National Institute of Standards and Technology; Estados Unidos, 2003.
PMI. Project Management Book of Knowledge – PMBOK; Project Management Institute, Estados Unidos, 2005.