GSIC340 ACSI - Auditoria e Certificação de Segurança da ...jhcf/MyBooks/cegsic/2008_2009/... ·...

1

GSIC340 ACSI - Auditoria e Certificação de Segurança da Informação. [email protected]. Maio de 2009.

GSIC340 ACSI - Auditoria e Certificação de Segurança da

InformaçãoJorge Henrique Cabral Fernandes

([email protected])Brasília, Maio de 2009


Bibliografia Básica• [COSO 2005] Internal Control – Integrated Framework: Guidance for Smaller Public

Companies: Reporting on Internal Control over Financial Reporting: Executive Summary: Guidance : October 2005: 207 páginas

• [COSO 2007] Internal Control — Integrated Framework: Guidance on Monitoring Internal Control Systems. September 2007. Discussion Document. September 2007. 52 páginas.

• [INTOSAI 2004] Guidelines for Internal Control Standards for the Public Sector. INTOSAI -International Organization of Supreme Audit Institutions. 2004. 81 pp. Disponível URL: http://www.intosai.org.

• [INTOSAI 2001] Internal Control: Providing a Foundation for Accountability in Government. INTOSAI - International Organization of Supreme Audit Institutions. 2001. 8 pp. DisponívelURL: http://www.intosai.org.

• [ITGI 2005] COBIT® 4.0. Control Objectives, Management Guidelines and Maturity Models, IT Governance Institute, 209 pp. 2005.

• [ITGI 2000]. COBIT® 3rd Edition Audit Guidelines, IT Governance Institute, 2000.• [ITGI 2000a] COBIT ® MAPPING: Overview of International IT Guidance, IT Governance

Institute, 2004• [ISACA 2008] IS Standards, Guidelines and Procedures For Auditing and Control

Professionals: Code of Professional Ethics, IS Auditing Standards, Guidelines and Procedures, IS Control Professionals Standards. January 2008.

• [GAO 2001] Management Planning Guide for Information Systems Security Auditing. National State Auditors Association and the U. S. General Accounting Office. December 10, 2001.

2


Objetivos do Módulo

• Introduzir conceitos básicos de controle interno, monitoramento, auditoria e certificação, e sua relação com a gestão da segurança da informação e a gestão e governança de TI

• Apresentar o modelo COBIT como modelo para organização de um sistema de controle interno

• Desenvolver no aluno a percepção dos desafios écontribuições ao aperfeiçoamento da GSIC por meio das abordagens de controle interno, monitoramento, auditoria e certificação


Metodologia

• Apresentação e discussão de conceitos• Exercícios e avaliação em sala de aula• Discussão de resultados no ambiente moodle

3


Exercício para avaliação de rendimento da disciplina

• Produzir uma dissertação individual, com até 60 linhas e pelo menos duas referências bibliográficas, abordado o tema:– Estado atual e melhorias no sistema de controle interno e

externo da APF visando a melhoria da gestão da segurança da informação

– Aplicar na análise os• Principais conceitos de controle interno, monitoramento, auditoria e

certificação

• Abordagens da INTOSAI, COSO, COBIT, ISO/IEC 27001, 27002 (17799) ou ISO 19011.


Sugestões para estrutura da dissertação

• Adotar uma perspectiva comum: ambiente de sistemas e tecnologia da informação de empresas públicas federal do executivo brasileiro, com características do quadro de pessoal (competências, habilidades, terceirização, motivação).

• Desenvolver um resumo• Fazer uma introdução• Análise da situação atual (estágio atual dos controles internos,

especialmente os relacionados à segurança da informação, cf. normativos recentes IN 01/GSI e IN 04/SLTI-MPOG)

• Selecionar uma seção de controles da ISO 27001 ou do COBIT que seja relacionada com a IN 01/GSI e o correspondente guia de práticas da 17799 para foco de aprofundamento

• Apresentar desafios e oportunidades de atuação da gestão no fortalecimento do sistema de controle interno, monitoramento e auditoria.

4


Tópicos AbordadosGSIC340 ACSI - Auditoria e Certificação de Segurança

da InformaçãoIntroduçãoParte 1 - Governança, Gestão e AuditoriaParte 2 - As Organizações HumanasParte 3 - Modelo de Controle Interno segundo o

INTOSAI/COSOParte 4 - Refletindo sobre monitoramento junto aos controles da

ISO/IEC 27001Parte 5 - AuditoriaParte 6 - COBIT: Um Arcabouço de Governança de TI baseada

no Monitoramento e Auditoria do Controle InternoParte 7 - Certificação, na Perspectiva da ISO/IEC 27001


Princípios gerais de auditoria de segurança da informação

• A auditoria de segurança de sistemas de informação envolve o provimento de uma avaliação independente dos controles da organização (políticas, procedimentos, padrões, medições e práticas) empregados para salvaguardar a informação eletrônica contra perdas, danos, divulgação não intencional e indisponibilidades.

• Em seu escopo mais amplo, o trabalho de auditoria inclui a avaliação de controles gerais e de aplicações. Além destes controles se faz necessário o teste de controles de caminhos de acesso, resultantes da conectividade de redes locais, de larga escala, intranets e internets no ambiente de TI– Management Planning Guide for Information Systems Security

Auditing. National State Auditors Association and the U. S. General Accounting Office. December 10, 2001.

5


Práticas Relacionadas à Auditoria e Certificação não abordadas neste módulo

• Análise de Vulnerabilidades e Ameaças• Benchmarking• Avaliação de Riscos• Gerencia de configuração no desenvolvimento

de software• Análise de impactos sobre mudanças


Para que uma auditoria seja feita de forma eficaz e com resultados que

conduzem ao aprimoramento contínuo énecessário que exista na organização um sistema de controle interno em

operação e que seja monitorado e avaliado periodicamente.

Será este o assunto deste módulo.

6


Glossário Básico• Controle Interno – Totalidade dos sistemas de controle, financeiros e de outras

naturezas, estabelecidos pela gestão de modo a conduzir os negócios da empresas de uma forma ordeira e eficiente, garantindo aderência às políticas de gestão, salvaguardas dos ativos e assegurar, tanto quanto possível, a completude e precisão dos registros

• Monitoramento – Abordagem para avaliação contínua do controle interno• Auditoria – É a revisão independente e exame de registros e atividades visando

avaliar a adequação do sistema de controles, de modo a assegurar a concordância com políticas e procedimentos operacionais estabelecidos, com o objetivo de recomendar mudanças necessárias em controles, políticas e procedimentos.

• Certificação – É o atestado, emitido por um auditor ou organização de auditoria acreditada por um órgão regulador, e que atua conforme normas e processos de auditoria padronizados, de que uma entidade atende a todos os aspectos de um critério ou conjunto de requisitos para certificação que foi previamente estabelecido.


Parte 1Governança, Gestão e Auditoria

7


Governança

• É o bom governo• É o atendimento às expectativas dos intervenientes

na organização (stakeholders)• É a transparência, o engajamento e prestação de

contas da gestão• É o exercício equilibrado do poder de gestão e da

política (Wikipedia)• É um conjunto de decisões que definem

expectativas, conferem poder ou verificam desempenho (Wikipedia)


Porque Governança?

Gestão

Organização

StakeholdersIntervenientes

GestorAlinhamento deInteresses

ControleInterno

8


Informação Assimétrica e Auditoria

P (principal interessado) contrata um A (Agente) para realizar uma atividade, onde P não pode observar detalhadamente o comportamento de A

Muitas vezes um Principal não tem tempo nem competência para avaliar se o comportamento de A é adequado

Surge uma assimetria de informação, na qual a satisfação dos interesses pessoais de A tende a aumentar na medida em que uma menor quantidade de informações sobre o seu desempenho é passada para P.

P deve estabelecer um conjunto de sanções positivas e negativas que reduzam a chance de que desvios significativos ocorram no comportamento de A, mesmo que P continue sem ter acesso detalhado às informações de desempenho.

P contrata um terceiro para assumir o papel de auditor, responsável por avaliar o desempenho de A e emitir uma opinião que reduza a assimetria de informação, enquanto estimula o agente A a agir conforme o contrato estabelecido.


Papel da Auditoria na Governança

Gestão

OrganizaçãoStakeholdersIntervenientes

GestorAlinhamento deInteresses

ControleInterno

Auditor

Declarações

Declara

Analizar

Opina sobreVeracidade

9


O sistema de controle interno e auditoria

• “Auditoria é a revisão independente e exame de registros e atividades visando avaliar a adequação do sistema de controles, de modo a assegurar a concordância com políticas e procedimentos operacionais estabelecidos, com o objetivo de recomendar mudanças necessárias em controles, políticas e procedimentos.” Virginia Tech CertificationAuthority.


Gestão Privada

A Gestão Privada atua em benefício dos proprietários da organização

10


GestãoPrivada

Organização

ControleInterno

Declara

Benefícios $

Sócios

Atuação da Gestão Privada

Resultados $ = Benefícios $ - Custos $

Capital $ Ambiente

i


Limitantes à Atuação da Gestão Privada

Deve-se Maximizar os Lucros O que não é proibido é permitido

A informação da organização não é diretamente relacionada aos seus intervenientes

Sustentabilidade e Responsabilidade Social aparecem como tópicos recentes

11


Gestão Pública

A Gestão Pública atua em benefício da sociedade

A organização pública ocupa o mesmo espaço ocupado pelos seus intervenientes


Sociedade

Atuação da Gestão Pública

GestãoPública

Organização

ControleInterno

Declara

Impostos $

Serviços Públicos

Impostos $

Serviços Públicos

i

12


Limitantes à Atuação da Gestão Pública

Deve-se manter o bem estar socialO que não é permitido é proibido

A informação organizacional pertence à sociedadeSustentabilidade e Responsabilidade são temas antigos


Parte 1Governança, Gestão e Auditoria

• A Governança Privada deve adotar uma forte ênfase na prestação de contas

• A Governança Pública deve adotar uma forte ênfase na prestação de contas, transparência e engajamento social uma vez que a informação pública afeta de forma muito mais intensa os seus intervenientes

13


Parte 2As Organizações Humanas


Elementos das Organizações Humanas

• Ambientes Organizacionais• Interfaces• Entradas• Saídas• Interações• Funções ou Serviços• Missão• Processo Organizacional• Agentes• Informação• Sistema de informações• Tecnologia da Informação• Sistema de Gestão• Controles de Gestão• Controle Interno• Hierarquização de Controles

14


Organização e seus Ambientes

Ambiente ou Meio ambiente ou Ambiente Externo de A, B e C

Organização AOrganização B

Organização C

Org. D

Org. E

Ambiente Interno

Ambiente Interno

Ambiente Interno de A, Ambiente Externo de D

Ambiente Interno

Ambiente Interno


Organização, Interfaces, Entradas e Saídas

• Uma organização estabelece interfaces com o seu meio ambiente, e por meio destas interfaces estácontinuamente percebendo estímulos (ENTRADAS) vindos do ambiente, bem como realizando ações em resposta (SAÍDAS) a estes estímulos

Meio Ambiente

Sai

Interfaces

Entra

Organização

15


Interfaces

Organização

Meio

Clientes, fornecedores e governo

Interações

Organização e Interações com Clientes, Fornecedores e Governo


Funções organizacionais

• Uma função organizacional é uma relação bem conhecida entre possíveis trocas (entradas e saídas) de informação, matéria e (ou) energia realizadas por uma organização quando relacionando-se com seus clientes, através de uma interface de acesso bem definida.

16


Funções de Negócio ou Serviços

• As relações entre entradas e saídas específicas da organização que são relacionadas às finalidades ou competências ou à missão desta organização podem ser chamadas de funções, negócios ou serviços desta organização

• A Missão da Organização é o Conjunto das Funções de Negócio ou Serviços


Organização

Meio

Sai

B

Entra B

Entra A S

ai A

Sai

n

Entra n

Função A

Função B

Função n

Missão n

17


Processo Organizacional

• Um processo organizacional é uma seqüência parcialmente ordenada de atividades realizadas no interior de uma organização, a qual está diretamente associada ao desempenho de uma ou mais funções organizacionais, ao manipular e transformar informação, matéria e (ou) energia de forma bem conhecida.


Meio

Processo Organizacional

Interfaces

Processos

Organização

Sai

Entra

18


Uma organização humana é um sistema auto-regulado, composto

por vários agentes humanos e computacionais que executam

processos organizacionais em um espaço social segregado e baseado

no cumprimento de normas, buscando o alcance de metas

coletivas.


Meio

v

OrganizaçãoHumana

Humano

Comput.

Humano

HumanoComput.

Agentes

ProcessosAutomatizados

Humano

ProcessosManuais

i i

i

ii

i

Externo Interno

19


Agentes em Organizações

Agente: Um sistema com algum modelo mental ou base de conhecimentos que lhe

dá algum grau de autonomia decisória


Meio

Agente Humano

EstadoMental

(Conhecimento)

Agente Computacional

EstadoMental

(Conhecimento)

Agentes e Conhecimentos

20


Meio

Processo deAtualização do Estado Mental

(Cognição)

Estímulo AçãoServiços

Prestadospor agentes

Processo deAtualização do Estado Mental

(Cognição)

Estímulo Ação

Processos (Cognitivos) em Agentes Humanos e Computacionais

DadoEnergiaMatéria

DadoEnergiaMatéria

DadoEnergiaMatéria

DadoEnergiaMatéria


Equação Dinâmica da Informação

= i

Atualização do Estado Mental

Informação=

Dado

21

GSIC340 ACSI - Auditoria e Certificação de Segurança da Informação. [email protected]. Maio de 2009.Meio

Informação

Estímulo AçãoServiços

Prestadospor agentes

DadoEnergiaMatéria

DadoEnergiaMatéria

Estímulo Ação

Produção da Informação em Agentes Humanos e Computacionais

i iInformação

DadoEnergiaMatéria

DadoEnergiaMatéria


Uma Organização Humana éformada por uma Sociedade de Agentes que realizam processos

manuais e automatizados

22


Meio

v

OrganizaçãoHumana

Humano

Comput.

Humano

HumanoComput.

Agentes


Humano

ProcessosManuais

i i

i

ii

i


A execução coletiva dos processos produz as informações, que

conduzem às observações e ações necessárias à continuidade da

organização

23


Meio

v

Humano

Comput.

Humano

HumanoComput.


Humano

ProcessosManuais

ii i

i

ii

i

Humano

Comput.

Humano

Comput.


O Sistema de Informações apresenta um modelo mental (base

de conhecimentos coletivamente construída) em constante

atualização no interior da própria Organização

24


Meio

v

Humano

Comput.

Humano

HumanoComput.

Humano

Sistema deInformações

Organizacional

Atualizaçãodo Modelo

Mental

ModeloMentalObservações

Controles


Sistema de Gestão (ou Gestão)

• É um subsistema dentro de uma organização e que controla a própria organização.

• A gestão mobiliza as pessoas e outros agentes que atuam na organização, especialmente por meio de controles de gestão, com vistas a garantir o alcance das metas coletivas dessa organização

• A gestão é o principal produtor e consumidor da informação na organização

• O sistema de gestão reside dentro do sistema de informações da organização

25


Meio

v

Humano

Comput.

Humano

HumanoComput.

Humano

Observações

Controles


Tecnologia da Informação

• A TI é a organização responsável por gerir os vários ativos de TI, capazes de automatizar e dar agilidade aos processos das organizações, por meio dos recursos de hardware, software, redes de computadores e de telecomunicações, bancos de dados, arquivos, equipamentos automatizados e instalações físicas.

• A TI desloca boa parte dos processos de negócios das organizações para serem realizados dentro de seu próprio espaço organizacional, tornando-se guardiã de importantes processos da organização.

26


Meio

v

Cadastrode Clientes

FaturamentoAnual $Fórmula

do produto

Bancos deDados

class Teste {void t() {println(“Olá”);

}}

Software

Compu t.

Human o

Compu t.

Arquivos

Redes de Computadores Equipamentos

Hardware

Organização de TI

Human oHuman o

Human o

Organização

Observ ações

Control es

Gestão da Organização

Sistema deInformação

Processos da Organização


Relação entre Sistemas de Informação e Gestão

.

27


Meio

GestãoNível Tático



GestãoNível Estratégico

GestãoNível Operacional



Sistemas de Informação e gestão de uma organização estruturam-se em vários níveis

Organização

Sistema deGestão

Sistemas deInformação


Meio

Sistemade Gestão

Nível Tático

Sistemade Gestão

Nível Tático

Sistemade Gestão

Nível Tático

Sistema de Gestão

Nível Estratégico

Sistemade Gestão

Nível Operacional

Sistemade Gestão

Nível Operacional

Sistemade Gestão

Nível Operacional

Os sistemas de informação e gestão atuam nos vários níveis da organização

Assessorese Técnicos

Assessorese Técnicos

Operadores

Organização

.

.

. .

.

.

. .

28


Executar

Meio

Funções principais de um sistema de GestãoOrganização

Planos eSoftwares

ControlesDetectivos,

Preventivos eCorretivos

AnálisesCríticas

Comparação

Sistema de

Gestão

Registros deExecução

InformaçõesRegistradas

AtivosDiversos


Organização

Representação Simplificada de um Sistema de Gestão com Melhoria Contínua

• O Ciclo PDCA, ou ciclo da melhoria contínua, foi proposto por Deming, e compreende a execução cíclica das seguintes atividades:– Plan – Planejar– Do – Executar– Check – Verificar– Act – Controlar

• As atividades Plan, Check e Act são de responsabilidade dos gestores

29


Observações Realizadas pela Gestão

• Dois tipos de fenômenos são observados pela gestão:– Fenômenos Passados:

• Eventos indevidos na execução dos processos• Eventos benéficos à execução dos processos

– Fenômenos Futuros:• Chances de que no futuro (riscos) os processos não sejam

realizados de forma devida = Riscos Negativos• Chances de que no futuro (riscos) os processos sejam melhor

realizados do que atualmente = Riscos Positivos+?

-?

+

-


Controles Realizados pela Gestão

Aproveitam os riscos positivosMitigam os riscos negativos

30


v

.

.

-?

-?

-?

-?

+?

+?

+?

+?

Quanto mais controle* Mais caro é a gestão* Menos desvios sãorealizados

Observações

Controles


Sistema de Controle Interno

• “O controle interno é definido como a totalidade dos

sistemas de controle, financeiros e de outras naturezas, estabelecidos pela gestão de modo a conduzir os negócios da empresas de uma forma

ordeira e eficiente, garantindo aderência às políticas de gestão, salvaguardas dos ativos e assegurar, tanto quanto possível, a completude e precisão dos registros[1]”. John Dunn. Auditing: Theory andPractice. Prentice-Hall. 1991. p.135.

31


v

.

.

ControleInterno

Observações

Controles

ProcessosControlados

Meu Sistema de Controle

Interno é muito bom!

SeráMesmo?

SeráMesmo?


Hierarquização de Controles

Critério CCritério C

Processo (ex: de negócio)

Controle Interno (ex: de Segurança)

Monitoramento (do Controle Interno)

Auditoria do Interna (ex: CGU)Auditoria do Externa (ex: TCU)

32


Exemplo de Hierarquização de Controles• Processo/Sistema/Organização

– Ambiente Moodle-CEGSIC• Controle de Segurança

– A.11.1.1 Política de controle de acesso Controle: A política de controle de acesso deve ser estabelecida, documentada e analisada criticamente, tomando-se como base os requisitos de acesso dos negócios e da segurança da informação

• Monitoramento– A política foi estabelecida? Quais as

evidências de que ela foi estabelecida? Ela foi documentada? Onde se encontra o documento? A política foi analisada criticamente? Quais as evidências de que a análise foi efetuada? Quais registros indicam a ocorrência da análise? Os requisitos de acesso dos negócios foram levantados? Onde está a documentação? Acerca da segurança da informação? Onde estes requisitos foram levantados?

• Auditoria Interna– A norma XYZ indica que deve ser adotada

uma política de controle de acesso para todo serviço web. A política existe? Técnica 5W1H

Técnica 5W1H• What (O que foi feito acerca da política?)

– What, specifically,...? – What next? – What else?

• Where (Onde a mesma se encontradivulgada?)

– Where else? – Where are you? – Where, exactly...?

• When (Quando foi efetuada?)– When, exactly, will you...? – When will it start/end? – When will I know?

• Why (Porque a política é assim?)– Why does that happen? – Why not? – (just keep asking 'why?' to find root cause -

often around 5 times) • How (Como ela foi elaborada?)

– How many? – How much? – How does it work?

• Who (Quem elaborou a política?)– Who will do this? – Who else will do this? – Who pays? – Who benefits?


Sumário Parte 2

As Organizações HumanasO bom funcionamento do sistema de

controle interno é essencial àsobrevivência da organização

33


Parte 3Modelo de Controle Interno segundo o INTOSAI/COSO


Controle Interno [COSO 2004]

• Processo sob direcionamento da alta gestão, desenhado para prover garantia de alcancede objetivos nas seguintes categorias:

• Eficiência e efetividade de operações (metas de desempenho e lucratividade, além da salvaguarda de recursos)

• Confiabilidade de relatórios financeiros (relatóriospúblicos)

• Aderência a leis e regulamentos aplicáveis(conformidade)

34


Sistema de Controle Interno

• “O controle interno é definido como a totalidade dos

sistemas de controle, financeiros e de outras naturezas, estabelecidos pela gestão de modo a conduzir os negócios da empresas de uma forma

ordeira e eficiente, garantindo aderência às políticas de gestão, salvaguardas dos ativos e assegurar, tanto quanto possível, a completude e precisão dos registros[1]”. John Dunn. Auditing: Theory andPractice. Prentice-Hall. 1991. p.135.


Porque usar um Sistema de controle interno? [COSO 2004]

• “Sistemas de controle interno existem para auxiliar organizações a alcançar metas e objetivos”

• “Quanto o controle interno funciona a contento a alta gestão possui segurança razoável de que os objetivos serão alcançados.”

• “Monitoramento deve ser desenhado para determinar se todos os componentes do controle interno continuam a operar efetivamente.”

• “Fraquezas no controle interno devem ser comunicadas de forma tempestiva, àqueles responsáveis (gestores e diretoria), de modo que ações corretivas possam ser adotadas.”

• “Monitoramento é parte integral do controle interno”

35


Componentes de um Sistema de ControleInterno, segundo o INTOSAI/COSO

• Ambiente de Controle• Avaliação de Risco• Atividades de Controle• Informação e Comunicação• Monitoramento


No COSO o foco é no relatório financeiro, mas o modelo foi adaptado pelo INTOSAI para uso de forma

geral em organizações públicas

Processo de Monitoramento do COSO [COSO 2007]

36


COSO - Componentes de um Sistema de Controle Interno

1 - Ambiente de Controleé o conjunto de ações que provê disciplina e estrutura

• É composto pelos seguintes princípios:– Integridade, valores éticos e competência definem um padrão de

conduta, especialmente por parte da alta gestão– Filosofia e estilo operacional da gerência que apóiam o alcance de

controle interno efetivo– Atenção e direcionamento da alta gestão para o efetivo alcance do

controle interno– Há na estrutura organizacional um suporte ao controle interno efetivo– Há, entre gerentes e empregados, atribuição de níveis apropriados de

responsabilidade e autoridade para facilitar o efetivo controle interno– Políticas e práticas de recursos humanos são desenhadas e

implementadas para facilitar o efetivo controle interno



1 - Ambiente de ControleExemplo de satisfazer princípios éticos

• Uso de informativo interno da organização para reforçar integridade e ética

• Promover encontros periódicos de conscientização para o comportamento ético

• Alinhar incentivos com ética e valores• Promover e reforçar o compromisso com a ética,

através de um código de conduta• Promover participação dos empregados na

identificação de más condutas• Tomar ações quando desvios ocorrem

37



1 - Ambiente de ControleControles formais ou informais?

• Uma organização pode adotar uma mistura de abordagens formais e informais para construir um ambiente de controle interno:– Formais: desenvolvidos conforme uma política. Procedimentos e treinamentos

são aplicados.– Informais: não há qualquer documentação ou registro acerca dos mesmos

• Três modelos para formalização de controles– Controles apenas para fins de gestão: não formalizam aspectos relacionados

a riscos– Afirmações de controle pela gestão: é quando uma terceira parte vai receber

uma afirmação acerca do correto desenho e efetividade operacional do controle interno -> exige-se maior documentação

– Atestado por terceira parte: é quando um terceiro, por intermédio de auditoria ou ação equivalente, vai atestar o desenho e efetividade operacional do controle interno e processos chave. Neste caso, é necessária documentação formal e evidência de operação, de modo a permitir a auditoria. Neste caso, a formalidade da documentação exige que os controles sejam identificados com uma descrição de funcionamento, de forma compreensível por terceiros.



2 - Avaliação de Risco• Identificação de análise de riscos relevantes

relacionadas ao alcance dos objetivos daorganização– Os riscos devem ser analisados apenas quando

forem relevantes para o alcance dos objetivos da organização, que devem ser claramente definidos

38



3 - Atividades de Controle• Políticas e procedimentos que garantem a realização das diretivas da

gestão devem ser estabelecidos e comunicadas através de toda a organização, em todos os níveis e através de todas as funções.

• As atividades de controle devem ser diretamente ligadas ao tratamentodos riscos para alcance dos objetivos

• Seleção e desenvolvimento de atividades de controle devem considerar o custo e a efetividade potencial na mitigação de riscos ao alcance dos objetivos de negócio

• Controles de tecnologia da informação, onde aplicáveis, são desenhados e implementados para alcance dos objetivos de negócios



4 - Informação e Comunicação• Necessidades de Informação

– Informação é identificada, capturada e usada em todos os níveis daorganização, visando o alcance dos objetivos de negócio

• Controle de informação– A informação relevante para o relato da gestão é identificada, capturada,

processada, e distribuída dentro dos parâmetros estabelecidos pelosprocessos de controle da organização, a fim de suportar o alcance dos objetivos de negócio

• Comunicação com a gestão– Todas as pessoas, particularmente as relacionadas ao relato financeiro,

devem receber uma clara mensagem da alta administração, de que o controleinterno e as responsabilidades individuais devem ser levados a sério

• Comunicação para os níveis superiores– Todo o pessoal da companhia possui um canal efetivo e um método não

retributivo para comunicar informações significantes para os níveis superioresda companhia

• Comunicação com o Conselho Superior– Há efetiva comunicação entre a gestão e o conselho, de modo que cada qual

tenha conhecimento de seus papéis relativos à governança

39



5 - Monitoramento• Monitoramento é uma avaliação, por pessoal apropriado, acerca do

desenho e operação de controles de uma forma adequadamente regular e a tomada de ações necessárias.

• O resultado da avaliação de monitoramento pode ou não ser feito público, através de um relatório escrito ou uma afirmação(COSO pag 17)

• O monitoramento pode ser efetuado de duas formas:– atividades contínuas;– avaliações separadas.

• Sistemas de controle interno usualmente são estruturados para monitorarem a si mesmos de forma contínua, até um certo de grau.

• Quanto maior for o grau e a efetividade do monitoramento contínuo, menor a necessidade de avaliações separadas.

• Usualmente, alguma combinação de monitoramento contínuo e avaliações em separado garantirá que o sistema de controle interno manterá sua efetividade ao longo do tempo.


COSO - Componentes de um Sistema de Controle InternoMonitoramento

Princípios do Monitoramento Contínuo• O Monitoramento deve ser embutido

– O monitoramento contínuo é embutido em todas as operações ao longo da organização. O monitoramento inclui identificação explícita do que constitui um desvio de um desempenho esperado de um controle, e sinaliza uma necessidade de investigar problemas potenciais em controles, bem como mudanças no perfil de riscos

• O Monitoramento deve prover feedback– Monitoramento contínuo provê permanente feedback na operação

efetiva de controles integrados aos processos e quanto aos processos propriamente ditos.

• O Monitoramento deve ser indicador de efetividade do controle– Monitoramento contínuo pode servir como um indicador primário da

efetividade de operação do controle interno, bem como de riscos modificados ou novos riscos associados ao alcance dos objetivos da organização.

40


Hierarquização de Controles

Critério CCritério C

Processo (ex: de negócio)

Controle Interno (ex: de Segurança)

Monitoramento (do Controle Interno)

Embutido emOperações?

Provimento de Feedback Contínuo?Indicador de

Desempenho do Controle Interno?


Exemplo (Revisitado)• Processo/Sistema/Organização

– Ambiente Moodle-CEGSIC• Controle de Segurança

– A.11.1.1 Política de controle de acesso Controle: A política de controle de acesso deve ser estabelecida, documentada e analisada criticamente, tomando-se como base os requisitos de acesso dos negócios e da segurança da informação

• Monitoramento– A política foi estabelecida? Quais as

evidências de que ela foi estabelecida? Ela foi documentada? Onde se encontra o documento? A política foi analisada criticamente? Quais as evidências de que a análise foi efetuada? Quais registros indicam a ocorrência da análise? Os requisitos de acesso dos negócios foram levantados? Onde está a documentação? Acerca da segurança da informação? Onde estes requisitos foram levantados?

Estamos Aplicando os Princípios do Monitoramento Contínuo?

• EMBUTIDO EM OPERAÇÕES? – Como identificar desvios no

controle A.1.1.1? Como embutir esta capacidade de identificação no monitoramento?

• FEEDBACK CONTÍNUO?– Qual o feedback provido pelo

monitoramento acerca do controle A.1.1.1?

• MEDE EFICÁCIA DO CONTROLE?– Como medir a efetividade do

controle A.1.1.1? O Objetivo de controlar o acesso à informação está sendo alcançado?.

41


Diferença entre Monitoramento e Controle [COSO 2007]

• Algumas atividades de monitoramento também são atividades de controle e vice-versa

• Se a atividade é desenhada para levar à rápida identificação e correção da causa-raiz de uma fraqueza em um controle, então ela é uma atividade de monitoramento

• Se a atividade é desenhada para a rápida detecção e correção de erros em um processo, então ela éuma atividade de controle.


ConclusõesParte 3

Modelo de Controle Interno segundo o INTOSAI/COSO

42


Parte 4Monitoramento junto aos controles

da ISO/IEC 27001


Objetivos de Controle e controles da ISO/IEC 27001:2006

A.5 POLÍTICA DE SEGURANÇAA.6 ORGANIZANDO A SEGURANÇA DA INFORMAÇÃOA.7 GESTÃO DE ATIVOS A.8 SEGURANÇA EM RECURSOS HUMANOS A.9 SEGURANÇA FÍSICA E DO AMBIENTE A.10 GERENCIAMENTO DAS OPERAÇÕES E

COMUNICAÇÕES A.11 CONTROLE DE ACESSOS A.12 AQUISIÇÃO, DESENVOLVIMENTO E MANUTENÇÃO DE

SISTEMAS DE INFORMAÇÃOA.13 GESTÃO DE INCIDENTES DE SEGURANÇA DA

INFORMAÇÃO A.14 GESTÃO DA CONTINUIDADE DO NEGÓCIO A.15 CONFORMIDADE

43


A.5.1 Política de segurança da informação

Objetivo: Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.

A.5.1.1 Documento da política de segurança da informação Controle: Um documento da política de segurança da informação deve ser aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes.

A.5.1.2 Análise crítica da política de segurança da informação Controle: A política de segurança da informação deve ser analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.


Provimento de Feedback Contínuo?

Indicador de Desempenho?


A.6.1 Infra-estrutura da segurança da informação (1/2)

Objetivo: Gerenciar a segurança da informação dentro da organização. A.6.1.1 Comprometimento da direção com a segurança da informação

Controle: A Direção deve apoiar ativamente a segurança da informação dentro da organização, por meio de um claro direcionamento, demonstrando o seu comprometimento, definindo atribuições de forma explícita e conhecendo as responsabilidades pela segurança da informação.

A.6.1.2 Coordenação da segurança da informação Controle: As atividades de segurança da informação devem ser coordenadas por representantes de diferentes partes da organização, com funções e papéis relevantes.

A.6.1.3 Atribuição de responsabilidades para a segurança da informação Controle: Todas as responsabilidades pela segurança da informação devem estar claramente definidas.

A.6.1.4 Processo de autorização para os recursos de processamento da informação Controle: Deve ser definido e implementado um processo de gestão de autorização para novos recursos de processamento da informação.




44


A.6.1 Infra-estrutura da segurança da informação (2/2)

Objetivo: Gerenciar a segurança da informação dentro da organização. A.6.1.5 Acordos de confidencialidade

Controle: Os requisitos para confidencialidade ou acordos de não divulgação que reflitam as necessidades da organização para a proteção da informação devem ser identificados e analisados criticamente, de forma regular.

A.6.1.6 Contato com autoridades Controle: Contatos apropriados com autoridades relevantes devem ser mantidos.

A.6.1.7 Contato com grupos especiais Controle: Contatos apropriados com grupos de interesses especiais ou outros fóruns especializados de segurança da informação e associações profissionais devem ser mantidos.

A.6.1.8 Análise crítica independente de segurança da informação Controle: O enfoque da organização para gerenciar a segurança da informação e a sua implementação (por exemplo, controles, objetivo dos controles, políticas, processos e procedimentos para a segurança da informação) deve ser analisado criticamente, de forma independente, a intervalos planejados, ou quando ocorrerem mudanças significativas relativas à implementação da segurança da informação.





A.6.2 Partes externas Objetivo: Manter a segurança dos recursos de processamento da informação e da

informação da organização, que são acessados, processados, comunicados ou gerenciados por partes externas.

A.6.2.1 Identificação dos riscos relacionados com partes externas Controle: Os riscos para os recursos de processamento da informação e para a informação da organização oriundos de processos do negócio que envolvam as partes externas devem ser identificados e controles apropriados devem ser implementados antes de se conceder o acesso.

A.6.2.2 Identificando a segurança da informação quando tratando com os clientes. Controle: Todos os requisitos de segurança da informação identificados devem ser considerados antes de conceder aos clientes o acesso aos ativos ou às informações da organização.

A.6.2.3 Identificando segurança da informação nos acordos com terceiros Controle: Os acordos com terceiros envolvendo o acesso, processamento, comunicação ou gerenciamento dos recursos de processamento da informação ou da informação da organização, ou o acréscimo de produtos ou serviços aos recursos de processamento da informação devem cobrir todos os requisitos de segurança da informação relevantes.




45


A.7.1 Responsabilidade pelos ativos

Objetivo: Alcançar e manter a proteção adequada dos ativos da organização. A.7.1.1 Inventário dos ativos

Controle: Todos os ativos devem ser claramente identificados e um inventário de todos os ativos importantes deve ser estruturado e mantido.

A.7.1.2 Proprietário dos ativos Controle: Todas as informações e ativos associados com os recursos de processamento da informação devem ter um "proprietário" designado por uma parte definida da organização.

A.7.1.3 Uso aceitável dos ativos Controle: Devem ser identificadas, documentadas e implementadas regras para que seja permitido o uso de informações e de ativos associados aos recursos de processamento da informação.





A.7.2 Classificação da informação

Objetivo: Assegurar que a informação receba um nível adequado de proteção.

A.7.2.1 Recomendações para classificação Controle: A informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização.

A.7.2.2 Rótulos e tratamento da informação Controle: Um conjunto apropriado de procedimentos para rotular e tratar a informação deve ser definido e implementado de acordo com o esquema de classificação adotado pela organização.




46


A.8.1 Antes da contrataçãoObjetivo: Assegurar que os funcionários, fornecedores e terceiros entendam suas

responsabilidades, e estejam de acordo com os seus papéis, e reduzir o risco de roubo, fraude ou mau uso de recursos.

A.8.1.1 Papéis e responsabilidades Controle: Os papéis e responsabilidades pela segurança da informação de funcionários, fornecedores e terceiros devem ser definidos e documentados de acordo com a política de segurança da informação da organização.

A.8.1.2 Seleção Controle: Verificações de controle de todos os candidatos a emprego, fornecedores e terceiros devem ser realizadas de acordo com as leis relevantes, regulamentações e éticas, e proporcionalmente aos requisitos do negócio, à classificação das informações a serem acessadas e aos riscos percebidos.

A.8.1.3 Termos e condições de contratação Controle: Como parte das suas obrigações contratuais, os funcionários, fornecedores e terceiros devem concordar e assinar os termos e condições de sua contratação para o trabalho, os quais devem declarar as suas responsabilidade e da organização para a segurança da informação.





A.8.2 Durante a contrataçãoObjetivo: Assegurar que os funcionários, fornecedores e terceiros estão conscientes

das ameaças e preocupações relativas à segurança da informação, suas responsabilidades e obrigações, e estão preparados para apoiar a política de segurança da informação da organização durante os seus trabalhos normais, e para reduzir o risco de erro humano.

A.8.2.1 Responsabilidades da direçãoControle: A direção deve solicitar aos funcionários, fornecedores e terceiros que pratiquem a segurança da informação de acordo com o estabelecido nas políticas e procedimentos da organização.

A.8.2.2 Conscientização, educação e treinamento em segurança da informação Controle: Todos os funcionários da organização e, onde pertinente, fornecedores e terceiros devem receber treinamento apropriado em conscientização, e atualizações regulares nas políticas e procedimentos organizacionais relevantes para as suas funções.

A.8.2.3 Processo disciplinar Controle: Deve existir um processo disciplinar formal para os funcionários que tenham cometido uma violação da segurança da informação.




47


A.8.3 Encerramento ou mudança da contratação

Objetivo: Assegurar que funcionários, fornecedores e terceiros deixem a organização ou mudem de trabalho de forma ordenada.

A.8.3.1 Encerramento de atividades Controle: As responsabilidades para realizar o encerramento ou amudança de um trabalho devem ser claramente definidas e atribuídas.

A.8.3.2 Devolução de ativos Controle: Todos os funcionários, fornecedores e terceiros devem devolver todos os ativos da organização que estejam em sua posse após o encerramento de suas atividades, do contrato ou acordo.

A.8.3.3 Retirada de direitos de acesso Controle: Os direitos de acesso de todos os funcionários, fornecedores e terceiros às informações e aos recursos de processamento da informação devem ser retirados após o encerramento de suas atividades, contratos ou acordos, ou devem ser ajustados após a mudança destas atividades.





A.9.1 Áreas seguras Objetivo: Prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações

da organização. A.9.1.1 Perímetro de segurança física

Controle: Devem ser utilizados perímetros de segurança (barreiras tais como paredes, portões de entrada controlados por cartão ou balcões de recepção com recepcionistas) para proteger as áreas que contenham informações e recursos de processamento da informação.

A.9.1.2 Controles de entrada física Controle: As áreas seguras devem ser protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso.

A.9.1.3 Segurança em escritórios salas e instalações Controle: Deve ser projetada e aplicada segurança física para escritórios, salas e instalações.

A.9.1.4 Proteção contra ameaças externas e do meio ambiente Controle: Deve ser projetada e aplicada proteção física contra incêndios, enchentes, terremotos, explosões, perturbações da ordem pública e outras formas de desastres naturais ou causados pelo homem.

A.9.1.5 Trabalhando em área seguras Controle: Deve ser projetada e aplicada proteção física, bem como diretrizes para o trabalho em áreas seguras.

A.9.1.6 Acesso do público, áreas de entrega e de carregamento Controle: Pontos de acesso, tais como áreas de entrega e de carregamento e outros pontos em que pessoas não autorizadas possam entrar nas instalações, devem ser controlados e, se possível, isolados dos recursos de processamento da informação, para evitar o acesso não autorizado.




48


A.9.2 Segurança de equipamentos Objetivo: Impedir perdas, danos, furto ou comprometimento de ativos e interrupção das atividades da

organização. A.9.2.1 Instalação e proteção do equipamento

Controle: Os equipamentos devem ser colocados no local ou protegidos para reduzir os riscos de ameaças e perigos do meio ambiente, bem como as oportunidades de acesso não autorizado.

A.9.2.2 Utilidades Controle: Os equipamentos devem ser protegidos contra falta de energia elétrica e outras interrupções causadas por falhas das utilidades.

A.9.2.3 Segurança do cabeamento Controle: O cabeamento de energia e de telecomunicações que transporta dados ou dá suporte aos serviços de informações deve ser protegido contra interceptação ou danos.

A.9.2.4 Manutenção dos equipamentos Controle: Os equipamentos devem ter manutenção correta, para assegurar sua disponibilidade e integridade permanente.

A.9.2.5 Segurança de equipamentos fora das dependências da organização Controle: Devem ser tomadas medidas de segurança para equipamentos que operem fora do local, levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das dependências da organização.

A.9.2.6 Reutilização e alienação segura de equipamentos Controle: Todos os equipamentos que contenham mídias de armazenamento de dados devem ser examinados antes do descarte, para assegurar que todos os dados sensíveis e softwares licenciados tenham sido removidos ou sobregravados com segurança.

A.9.2.7 Remoção de propriedade Controle: Equipamentos, informações ou software não devem ser retirados do local sem autorização prévia.





A.10.1 Procedimentos e responsabilidades operacionais

Objetivo: Garantir a operação segura e correta dos recursos de processamento da informação.

A.10.1.1 Documentação dos procedimentos de operação Controle: Os procedimentos de operação devem ser documentados, mantidos atualizados e disponíveis a todos os usuários que deles necessitem.

A.10.1.2 Gestão de mudanças Controle: Modificações nos recursos de processamento da informação e sistemas devem ser controladas.

A.10.1.3 Segregação de funções Controle: Funções e áreas de responsabilidade devem ser segregadas para reduzir as oportunidades de modificação ou uso indevido não autorizado ou não intencional dos ativos da organização.

A.10.1.4 Separação dos recursos de desenvolvimento, teste e de produção Controle: Recursos de desenvolvimento, teste e produção devem ser separados para reduzir o risco de acessos ou modificações não autorizadas aos sistemas operacionais




49


A.10.2 Gerenciamento de serviços terceirizados

Objetivo: Implementar e manter o nível apropriado de segurança da informação e de entrega de serviços em consonância com acordos de entrega de serviços terceirizados.

A.10.2.1 Entrega de serviços Controle: Deve ser garantido que os controles de segurança, as definições de serviço e os níveis de entrega incluídos no acordo de entrega de serviços terceirizados sejam implementados, executados e mantidos pelo terceiro.

A.10.2.2 Monitoramento e análise crítica de serviços terceirizados Controle: Os serviços, relatórios e registros fornecidos por terceiro devem ser regularmente monitorados e analisados criticamente, e auditorias devem ser executadas regularmente.

A.10.2.3 Gerenciamento de mudanças para serviços terceirizados Controle: Mudanças no provisionamento dos serviços, incluindo manutenção e melhoria da política de segurança da informação, dos procedimentos e controles existentes, devem ser gerenciadas levando-se em conta a criticidade dos sistemas e processos de negócio envolvidos e a reanálise/reavaliação de riscos.





A.10.3 Planejamento e aceitação dos sistemas

Objetivo: Minimizar o risco de falhas nos sistemas. A.10.3.1 Gestão de capacidade

Controle: A utilização dos recursos deve ser monitorada e sincronizada e as projeções devem ser feitas para necessidades de capacidade futura, para garantir o desempenho requerido do sistema.

A.10.3.2 Aceitação de sistemas Controle: Devem ser estabelecidos critérios de aceitação para novos sistemas, atualizações e novas versões e que sejam efetuados testes apropriados do(s) sistema(s) durante seu desenvolvimento e antes da sua aceitação.




50


A.10.4 Proteção contra códigos maliciosos e códigos móveis

Objetivo: Proteger a integridade do software e da informação. A.10.4.1 Controle contra códigos maliciosos

Controle: Devem ser implantados controles de detecção, prevenção e recuperação para proteger contra códigos maliciosos, assim como procedimentos para a devida conscientização dos usuários.

A.10.4.2 Controles contra códigos móveis Controle: Onde o uso de códigos móveis é autorizado, a configuração deve garantir que o código móvel autorizado opere de acordo com uma política de segurança da informação claramente definida e que códigos móveis não autorizados tenham sua execução impedida.





A.10.5 Cópias de segurança

Objetivo: Manter a integridade e disponibilidade da informação e dos recursos de processamento de informação.

A.10.5.1 Cópias de segurança das informações Controle: Cópias de segurança das informações e dos softwares devem ser efetuadas e testadas regularmente, conforme a política de geração de cópias de segurança definida.




51


A.10.6 Gerenciamento da segurança em redes

Objetivo: Garantir a proteção das informações em redes e a proteção da infra-estrutura de suporte. A.10.6.1 Controles de redes Controle: Redes devem ser adequadamente gerenciadas e controladas, de forma a protegê-las contra ameaças e manter a segurança de sistemas e aplicações que utilizam estas redes, incluindo a informação em trânsito.

A.10.6.2 Segurança dos serviços de rede Controle: Características de segurança, níveis de serviço e requisitos de gerenciamento dos serviços de rede devem ser identificados e incluídos em qualquer acordo de serviços de rede, tanto para serviços de rede providos internamente como para terceirizados.





A.10.7 Manuseio de mídias Objetivo: Prevenir contra divulgação não autorizada, modificação, remoção

ou destruição aos ativos e interrupções das atividades do negócio. A.10.7.1 Gerenciamento de mídias removíveis

Controle: Devem existir procedimentos implementados para o gerenciamento de mídias removíveis.

A.10.7.2 Descarte de mídias Controle: As mídias devem ser descartadas de forma segura e protegida quando não forem mais necessárias, por meio de procedimentos formais.

A.10.7.3 Procedimentos para tratamento de informação Controle: Devem ser estabelecidos procedimentos para o tratamento e o armazenamento de informações, para proteger tais informações contra a divulgação não autorizada ou uso indevido.

A.10.7.4 Segurança da documentação dos sistemas Controle: A documentação dos sistemas deve ser protegida contra acessos não autorizados.




52


A.10.8 Troca de informações Objetivo: Manter a segurança na troca de informações e softwares internamente à organização

e com quaisquer entidades externas. A.10.8.1 Políticas e procedimentos para troca de informações

Controle: Políticas, procedimentos e controles devem ser estabelecidos e formalizados para proteger a troca de informações em todos os tipos de recursos de comunicação.

A.10.8.2 Acordos para a troca de informações Controle: Devem ser estabelecidos acordos para a troca de informações e softwares entre a organização e entidades externas.

A.10.8.3 Mídias em trânsito Controle: Mídias contendo informações devem ser protegidas contra acesso não autorizado, uso impróprio ou alteração indevida durante o transporte externo aos limites físicos da organização.

A.10.8.4 Mensagens eletrônicas Controle: As informações que trafegam em mensagens eletrônicas devem ser adequadamente protegidas.

A.10.8.5 Sistemas de informações do negócio Controle: Políticas e procedimentos devem ser desenvolvidos e implementados para proteger as informações associadas com a interconexão de sistemas de informações do negócio.





A.10.9 Serviços de comércio eletrônico

Objetivo: Garantir a segurança de serviços de comércio eletrônico e sua utilização segura.

A.10.9.1 Comércio eletrônico Controle: As informações envolvidas em comércio eletrônico transitando sobre redes públicas devem ser protegidas de atividades fraudulentas, disputas contratuais, divulgação e modificações não autorizadas.

A.10.9.2 Transações on-line Controle: Informações envolvidas em transações on-line devem ser protegidas para prevenir transmissões incompletas, erros de roteamento, alterações não autorizadas de mensagens, divulgação não autorizada, duplicação ou reapresentação de mensagem não autorizada.

A.10.9.3 Informações publicamente disponíveis Controle: A integridade das informações disponibilizadas em sistemas publicamente acessíveis deve ser protegida, para prevenir modificações não autorizadas.




53


A.10.10 Monitoramento Objetivo: Detectar atividades não autorizadas de processamento da informação. A.10.10.1 Registros de auditoria

Controle: Registros (log) de auditoria contendo atividades dos usuários, exceções e outros eventos de segurança da informação devem ser produzidos e mantidos por um período de tempo acordado para auxiliar em futuras investigações e monitoramento de controle de acesso.

A.10.10.2 Monitoramento do uso do sistema Controle: Devem ser estabelecidos procedimentos para o monitoramento do uso dos recursos de processamento da informação e os resultados das atividades de monitoramento devem ser analisados criticamente, de forma regular.

A.10.10.3 Proteção das informações dos registros (logs) Controle: Os recursos e informações de registros (log) devem ser protegidos contra falsificação e acesso não autorizado.

A.10.10.4 Registros (log) de administrador e operador Controle: As atividades dos administradores e operadores do sistema devem ser registradas.

A.10.10.5 Registros (logs) de falhas Controle: As falhas ocorridas devem ser registradas e analisadas, e devem ser adotadas as ações apropriadas.

A.10.10.6 Sincronização dos relógios Controle: Os relógios de todos os sistemas de processamento de informações relevantes, dentro da organização ou do domínio de segurança, devem ser sincronizados de acordo com uma hora oficial.





A.11.1 Requisitos de negócio para controle de acesso

Objetivo: Controlar o acesso à informação. A.11.1.1 Política de controle de acesso

Controle: A política de controle de acesso deve ser estabelecida, documentada e analisada criticamente, tomando-se como base os requisitos de acesso dos negócios e da segurança da informação.




54


A.11.2 Gerenciamento de acesso do usuário

Objetivo: Assegurar acesso de usuário autorizado e prevenir acesso não autorizado a sistemas de informação.

A.11.2.1 Registro de usuário Controle: Deve existir um procedimento formal de registro e cancelamento de usuário para garantir e revogar acessos em todos os sistemas de informação e serviços.

A.11.2.2 Gerenciamento de privilégios Controle: A concessão e o uso de privilégios devem ser restritos e controlados.

A.11.2.3 Gerenciamento de senha do usuário Controle: A concessão de senhas deve ser controlada por meio de um processo de gerenciamento formal.

A.11.2.4 Análise crítica dos direitos de acesso de usuário Controle: O gestor deve conduzir a intervalos regulares a análise crítica dos direitos de acesso dos usuários, por meio de um processo formal.





A.11.3 Responsabilidades dos usuários

Objetivo: Prevenir o acesso não autorizado dos usuários e evitar o comprometimento ou roubo da informação e dos recursos de processamento da informação.

A.11.3.1 Uso de senhas Controle: Os usuários devem ser orientados a seguir boas práticas de segurança da informação na seleção e uso de senhas.

A.11.3.2 Equipamento de usuário sem monitoração Controle: Os usuários devem assegurar que os equipamentos não monitorados tenham proteção adequada.

A.11.3.3 Política de mesa limpa e tela limpa Controle: Deve ser adotada uma política de mesa limpa de papéis e mídias de armazenamento removíveis e uma política de tela limpa para os recursos de processamento da informação.




55


A.11.4 Controle de acesso à rede Objetivo: Prevenir acesso não autorizado aos serviços de rede. A.11.4.1 Política de uso dos serviços de rede

Controle: Os usuários devem receber acesso somente aos serviços que tenham sido especificamente autorizados a usar.

A.11.4.2 Autenticação para conexão externa do usuário Controle: Métodos apropriados de autenticação devem ser usados para controlar o acesso de usuários remotos.

A.11.4.3 Identificação de equipamento em redes Controle: Devem ser consideradas as identificações automáticas de equipamentos como um meio de autenticar conexões vindas de localizações e equipamentos específicos.

A.11.4.4 Proteção e configuração de portas de diagnóstico remotas Controle: Deve ser controlado o acesso físico e lógico para diagnosticar e configurar portas.

A.11.4.5 Segregação de redes Controle: Grupos de serviços de informação, usuários e sistemas de informação devem ser segregados em redes.

A.11.4.6 Controle de conexão de rede Controle: Para redes compartilhadas, especialmente as que se estendem pelos limites da organização, a capacidade de usuários para conectar-se à rede deve ser restrita, de acordo com a política de controle de acesso e os requisitos das aplicações do negócio (ver 11.1).

A.11.4.7 Controle de roteamento de redes Controle: Deve ser implementado controle de roteamento na rede para assegurar que as conexões de computador e fluxos de informação não violem a política de controle de acesso das aplicações do negócio.





A.11.5 Controle de acesso ao sistema operacional

Objetivo: Prevenir acesso não autorizado aos sistemas operacionais. A.11.5.1 Procedimentos seguros de entrada no sistema (log-on)

Controle: O acesso aos sistemas operacionais deve ser controlado por um procedimento seguro de entrada no sistema (log-on).

A.11.5.2 Identificação e autenticação de usuário Controle: Todos os usuários devem ter um identificador único (ID de usuário), para uso pessoal e exclusivo, e uma técnica adequada de autenticação deve ser escolhida para validar a identidade alegada por um usuário.

A.11.5.3 Sistema de gerenciamento de senha Controle: Sistemas para gerenciamento de senhas devem ser interativos e assegurar senhas de qualidade.

A.11.5.4 Uso de utilitários de sistema Controle: O uso de programas utilitários que podem ser capazes de sobrepor os controles dos sistemas e aplicações deve ser restrito e estritamente controlado.

A.11.5.5 Desconexão de terminal por inatividade Controle: Terminais inativos devem ser desconectados após um período definido de inatividade.

A.11.5.6 Limitação de horário de conexão Controle: Restrições nos horários de conexão devem ser utilizadas para proporcionar segurança adicional para aplicações de alto risco.




56


A.11.6 Controle de acesso à aplicação e à informação

Objetivo: Prevenir acesso não autorizado à informação contida nos sistemas de aplicação.

A.11.6.1 Restrição de acesso à informação Controle: O acesso à informação e às funções dos sistemas de aplicações por usuários e pessoal de suporte deve ser restrito de acordo com o definido na política de controle de acesso.

A.11.6.2 Isolamento de sistemas sensíveis Controle: Sistemas sensíveis devem ter um ambiente computacional dedicado (isolado).





A.11.7 Computação móvel e trabalho remoto

Objetivo: Garantir a segurança da informação quando se utilizam a computação móvel recursos de trabalho remoto.

A.11.7.1 Computação e comunicação móvel Controle: Uma política formal deve ser estabelecida e medidas de segurança apropriadas devem ser adotadas para a proteção contra os riscos do uso de recursos de computação e comunicação móveis.

A.11.7.2 Trabalho remoto Controle: Uma política, planos operacionais e procedimentos devem ser desenvolvidos e implementados para atividades de trabalho remoto.




57


A.12.1 Requisitos de segurança de sistemas de informação

Objetivo: Garantir que segurança é parte integrante de sistemas de informação.

A.12.1.1 Análise e especificação dos requisitos de segurança Controle: Devem ser especificados os requisitos para controles de segurança nas especificações de requisitos de negócios, para novos sistemas de informação ou melhorias em sistemas existentes.





A.12.2 Processamento correto de aplicações

Objetivo: Prevenir a ocorrência de erros, perdas, modificação não autorizada ou mau uso de informações em aplicações.

A.12.2.1 Validação dos dados de entrada Controle: Os dados de entrada de aplicações devem ser validados para garantir que são corretos e apropriados.

A.12.2.2 Controle do processamento interno Controle: Devem ser incorporadas, nas aplicações, checagens de validação com o objetivo de detectar qualquer corrupção de informações, por erros ou por ações deliberadas.

A.12.2.3 Integridade de mensagens Controle: Requisitos para garantir a autenticidade e proteger a integridade das mensagens em aplicações devem ser identificados e os controles apropriados devem ser identificados e implementados.

A.12.2.4 Validação de dados de saída Controle: Os dados de saída das aplicações devem ser validados para assegurar que o processamento das informações armazenadas está correto e é apropriado às circunstâncias.




58


A.12.3 Controles criptográficos

Objetivo: Proteger a confidencialidade, a autenticidade ou a integridade das informações por meios criptográficos.

A.12.3.1 Política para o uso de controles criptográficos Controle: Deve ser desenvolvida e implementada uma política para o uso de controles criptográficos para a proteção da informação.

A.12.3.2 Gerenciamento de chaves Controle: Um processo de gerenciamento de chaves deve ser implantado para apoiar o uso de técnicas criptográficas pela organização.





A.12.4 Segurança dos arquivos do sistema

Objetivo: Garantir a segurança de arquivos de sistema. A.12.4.1 Controle de software operacional

Controle: Procedimentos para controlar a instalação de software em sistemas operacionais devem ser implementados.

A.12.4.2 Proteção dos dados para teste de sistema Controle: Os dados de teste devem ser selecionados com cuidado, protegidos e controlados.

A.12.4.3 Controle de acesso ao código- fonte de programa Controle: O acesso ao código-fonte de programa deve ser restrito.




59


A.12.5 Segurança em processos de desenvolvimento e de suporte

Objetivo: Manter a segurança de sistemas aplicativos e da informação. A.12.5.1 Procedimentos para controle de mudanças

Controle: A implementação de mudanças deve ser controlada utilizando procedimentos formais de controle de mudanças.

A.12.5.2 Análise crítica técnica das aplicações após mudanças no sistema operacional Controle: Aplicações críticas de negócios devem ser analisadas criticamente e testadas quando sistemas operacionais são mudados, para garantir que não haverá nenhum impacto adverso na operação da organização ou na segurança.

A.12.5.3 Restrições sobre mudança sem pacotes de software Controle: Modificações em pacotes de software não devem ser incentivadas e devem estar limitadas às mudanças necessárias, e todas as mudanças devem ser estritamente controladas.

A.12.5.4 Vazamento de informações Controle: Oportunidades para vazamento de informações devem ser prevenidas.

A.12.5.5 Desenvolvimento terceirizado de software Controle: A organização deve supervisionar e monitorar o desenvolvimento terceirizado de software.





A.12.6 Gestão de vulnerabilidades técnicas

Objetivo: Reduzir riscos resultantes da exploração de vulnerabilidades técnicas conhecidas.

A.12.6.1 Controle de vulnerabilidades técnicas Controle: Deve ser obtida informação em tempo hábil sobre vulnerabilidades técnicas dos sistemas de informação em uso, avaliada a exposição da organização a estas vulnerabilidades e tomadas as medidas apropriadas para lidar com os riscos associados.




60


A.13.1 Notificação de fragilidades e eventos de segurança da informação

Objetivo: Assegurar que fragilidades e eventos de segurança da informação associados com sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil.

A.13.1.1 Notificação de eventos de segurança da informação Controle: Os eventos de segurança da informação devem ser relatados através dos canais apropriados da direção, o mais rapidamente possível.

A.13.1.2 Notificando fragilidades de segurança da informação Controle: Os funcionários, fornecedores e terceiros de sistemas e serviços de informação devem ser instruídos a registrar e notificar qualquer observação ou suspeita de fragilidade em \ sistemas ou serviços.





A.13.2 Gestão de incidentes de segurança da informação e melhorias

Objetivo: Assegurar que um enfoque consistente e efetivo seja aplicado àgestão de incidentes de segurança da informação.

A.13.2.1 Responsabilidades e procedimentos Controle: Responsabilidades e procedimentos de gestão devem ser estabelecidos para assegurar respostas rápidas, efetivas e ordenadas a incidentes de segurança da informação.

A.13.2.2 Aprendendo com os incidentes de segurança da informação Controle: Devem ser estabelecidos mecanismos para permitir que tipos, quantidades e custos dos incidentes de segurança da informação sejam quantificados e monitorados.

A.13.2.3 Coleta de evidências Controle: Nos casos em que uma ação de acompanhamento contra uma pessoa ou organização, após um incidente de segurança da informação, envolver uma ação legal (civil ou criminal), evidências devem ser coletadas, armazenadas e apresentadas em conformidade com as normas de armazenamento de evidências da jurisdição ou jurisdições pertinentes.




61


A.14.1 Aspectos da gestão da continuidade do negócio, relativos à segurança da informação

Objetivo: Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso.

A.14.1.1 Incluindo segurança da informação no processo de gestão da continuidade de negócio Controle: Um processo de gestão deve ser desenvolvido e mantido para assegurar a continuidade do negócio por toda a organização e que contemple os requisitos de segurança da informação necessários para a continuidade do negócio da organização.

A.14.1.2 Continuidade de negócios e análise/avaliação de risco Controle: Devem ser identificados os eventos que podem causar interrupções aos processos de negócio, junto à probabilidade e impacto de tais interrupções e as conseqüências para a segurança de informação.

A.14.1.3 Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação Controle: Os planos devem ser desenvolvidos e implementados para a manutenção ou recuperação das operações e para assegurar a disponibilidade da informação no nível requerido e na escala de tempo requerida, após a ocorrência de interrupções ou falhas dos processos críticos do negócio.

A.14.1.4 Estrutura do plano de continuidade do negócio Controle: Uma estrutura básica dos planos de continuidade do negócio deve ser mantida para assegurar que todos os planos são consistentes, para contemplar os requisitos de segurança da informação e para identificar prioridades para testes e manutenção.

A.14.1.5 Testes, manutenção e reavaliação dos planos de continuidade do negócio Controle: Os planos de continuidade do negócio devem ser testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade.





A.15.1 Conformidade com requisitos legais

Objetivo: Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação

A.15.1.1 Identificação da legislação vigente Controle: Todos os requisitos estatutários, regulamentares e contratuais relevantes, e o enfoque da organização para atender a estes requisitos devem ser explicitamente definidos, documentados e mantidos atualizados para cada sistema de informação da organização.

A.15.1.2 Direitos de propriedade intelectual Controle: Procedimentos apropriados devem ser implementados para garantir a conformidade com os requisitos legislativos, regulamentares e contratuais no uso de material, em relação aos quais pode haver direitos de propriedade intelectual e sobre o uso de produtos de software proprietários.

A.15.1.3 Proteção de registros organizacionais Controle: Registros importantes devem ser protegidos contra perda, destruição e falsificação, de acordo com os requisitos regulamentares, estatutários, contratuais e do negócio.

A.15.1.4 Proteção de dados e privacidade da informação pessoal Controle: A privacidade e a proteção de dados devem ser asseguradas conforme exigido nas legislações relevantes, regulamentações e, se aplicável, nas cláusulas contratuais.

A.15.1.5 Prevenção de mau uso de recursos de processamento da informação Controle: Os usuários devem ser dissuadidos de usar os recursos de processamento da informação para propósitos não autorizados.

A.15.1.6 Regulamentação de controles de criptografia Controle: Controles de criptografia devem ser usados em conformidade com leis, acordos e regulamentações relevantes.

62


A.15.2 Conformidade com normas e políticas de segurança da informação e conformidade técnica

Objetivo: Garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação.

A.15.2.1 Conformidade com as políticas e normas de segurança da informação Controle: Os gestores devem garantir que todos os procedimentos de segurança dentro da sua área de responsabilidade sejam executados corretamente para atender à conformidade com as normas e políticas

de segurança da informação. A.15.2.2 Verificação da conformidade técnica

Controle: Os sistemas de informação devem ser periodicamente verificados quanto à sua conformidade com as normas de segurança da informação implementadas





Parte 4Refletindo sobre monitoramento junto aos controles da ISO/IEC

27001

63


Parte 5 Auditoria: Conceitos, Métodos e

Processos


Princípios e Justificativas

• auditus vem do Latin, que significa ato de escutar• Auditoria é a observação metódica de um objeto e a

emissão de uma opinião formal sobre o que foi observado

• A auditoria tende a provocar uma sensação de desconforto para o gestor da organização auditada, mas reduz a incerteza das outras partes interessadas na organização

64


Definições de auditoria (1) visão contábil

• “Auditoria é o exame profissional e a

verificação dos dados contábeis de uma

companhia.” JPMorgan financial services• “Auditoria é o exame profissional e

independente das declarações financeiras e

documentos contábeis de acordo com

princípios de contabilidade geralmente

aceitos.” Morgan Stanley


Definições de auditoria (1) visão governamental

• “Auditoria é o exame sistemático de registros

e a investigação de outras evidências, a fim

de determinar a propriedade, concordância e a adequação de programas, sistemas e

operações”. General Accounting Office (GAO). EUA.

65


Auditoria [Fonte: ISO 19011]

• Ação sistemática, planejada, delimitada no tempo e no espaço, executada de forma independente e documentada, que obtém evidências de auditoria, avalia estas evidências de forma objetiva, frente a critérios de auditoria pré-estabelecidos, e determina até que ponto estes critérios de auditoria são satisfeitos.


66


O processo de auditoria

“O processo de auditoria pode incluir ferramentas e técnicas oriundas de diversas áreas como engenharia, economia, estatística e contabilidade. Os padrões de auditoria do GAO são aplicáveis a todos os níveis de governo e não se relacionam apenas com a auditoria de operações financeiras, mas também estão preocupados com o caso das organizações governamentais estarem: (i) alcançando os propósitos para os quais os programas foram autorizados e recursos disponibilizados; (ii) operando de forma econômica e eficiente e (iii) em conformidade com leis e regulamentos aplicáveis.” General Accounting Office (GAO) dos EUA.


Auditoria e Conformidade

• “Auditoria é uma avaliação planejada,

independente e documentada para determinar

se requisitos que foram acordados estão sendo cumpridos.” Campus Consortium for Environmental Excellence.

67


Partes de uma auditoria

• A primeira parte é chamada de parte auditada ou objeto da auditoria.

• A segunda parte é chamada de cliente


O sistema de controle interno é o objeto de observação durante uma

auditoria• “Auditoria é a revisão independente e exame

de registros e atividades visando avaliar a adequação do sistema de controles, de modo a assegurar a concordância com políticas e procedimentos operacionais estabelecidos, com o objetivo de recomendar mudanças necessárias em controles, políticas e procedimentos.” Virginia Tech CertificationAuthority.

68


Atributos do Auditor e Princípios de Auditoria

• Independência do Auditor • Encargos e responsabilidades do auditor • Abordagem Baseada na Coleta de Evidências


Independência do Auditor

independência de programaçãoliberdade de julgamento que cabe ao auditor em delimitar a extensão

temporal e espacial das investigações sobre o desempenho da gestão

independência investigativapermissão que o auditor tem para acesso a qualquer tipo de documento ou registro pertinente à sua atividade na organização

independência de relatoliberdade que o auditor deve ter ao emitir sua opinião

independência do clienteatividades de auditoria interna devem ser conduzidas independentemente da auditoria externa, e seus resultados se constituem numa grande fonte de informações para auxiliar o trabalho da auditoria externa, reduzindo os custos e prazos para realização destas últimas.

69


Encargos e responsabilidades do auditor

(i) responsabilidade para com os clientes, especialmente os proprietários ou o público à qual a organização pertence

necessidade de expressar, como resultado de sua auditoria, uma opinião que aumente o grau de confiança dos relatos da gestão.

(ii) responsabilidade ética com a sua profissão e com o público

(iii) responsabilidade legal, civil e criminalpenalização que o auditor pode sofrer caso falhe em aplicar cuidados e habilidades de forma razoável e justificável.


Responsabilidade Ética do Auditor

verdade, confiança, credibilidade, integridade, honestidade, candidez, independência, objetividade, padrão de conduta irrepreensível, imparcialidade, neutralidade política, ausência de conflitos de interesses, segredo profissional, competência, desenvolvimento profissional e devido cuidado profissional

70


Abordagem Baseada na Coleta de Evidências

• empregar o método racional para chegar a conclusões confiáveis e reproduzíveis, empregando um processo sistemático, verificável e baseado em amostras da informação disponível

• baseada na confiança de que os resultados ou conclusões representam a realidade


Conceitos de Auditoria e Certificação, baseados na NBR ISO

19011

71


Programa de auditoria

• Conjunto de um ou mais auditorias realizadas ao longo de um período de tempo (meses ou anos), que visam o alcance de um objetivo de auditoria.

• Objetivo de auditoria – declaração de objetivos a serem alcançados com um programa de auditoria, que pode envolver considerações sobre prioridades da gestão, intenções comerciais, requisitos legais e contratuais, demandas de clientes e (ou) fornecedores, além de riscos para a organização.


Tipos de Auditoria• Auditoria externa

– Executada por um auditor ou time de auditoria que não pertence aos quadros da organização auditada.

• Auditoria interna – Executada por um auditor ou time de auditoria que pertence aos quadros da organização auditada.– É conduzida por, ou em benefício da própria organização, para fins de revisão da gestão ou outros propósitos

internos. Em auditoria de sistemas de gestão pode ser útil na formação de uma base para auto-declaração de conformidade.

– Atua como fonte de informações para a auditoria externa

• Auditoria de segunda parte – Conduzida por parceiros interessados na organização, tais como clientes e outros interessados.

• Auditoria de terceira parte – Uma auditoria conduzida por organizações externas, de auditoria independente. Em auditoria de

gestão estas organizações provêem certificação de conformidade a requisitos de modelos como ISO 9001, ISO-14001 e ISO-27001.

• Auditoria conjunta – Auditoria de terceira parte, na qual duas ou mais organizações de auditoria cooperam para auditar

um simples auditado.• Auditoria combinada

– Auditoria de terceira parte, na qual são auditados vários sistemas de gestão combinados, como por exemplo, gestão da qualidade, gestão ambiental e gestão da segurança da informação.

72


Escopo de auditoria

• declaração da extensão espacial e temporal, bem como limites da auditoria, envolvendo o sistema primário e o sistema auditado. Este escopo envolve localizações físicas, organizações, pessoas e processos.


73


O Processo de Auditoria, conforme a NBR ISO 19011:2002

• 6.2 Início da Auditoria• 6.3 Revisão Crítica da Documentação do Auditado• 6.4 Preparação para a Execução de Atividades no

Sítio• 6.5 Execução de Atividades no Sítio• 6.6 Preparação, Aprovação e Distribuição do

Relatório de Auditoria• 6.7 Conclusão da Auditoria• 6.8 Acompanhamento Pós-Auditoria


Início da Auditoria (6.2)1. A auditoria inicia-se com a indicação do líder de time 2. A primeira atividade do auditor líder é manter contato com o cliente

1. definir objetivos, escopo e os critérios de auditoria a serem empregados3. Determinação da viabilidade do engajamento (Análise de GAPs)4. Montagem do time de auditoria5. Início de contatos com os representantes do auditado

1. Uso de instrumentos de coleta de dados1. Questionários pré-definidos

6. Garantia de que 1. os critérios legais e regulamentares sejam estabelecidos2. Sejam providos recursos humanos e físicos para apoiar a atividade dos

auditores 3. Estimativa da duração da auditoria.

7. Revisão do modelo de conformidade ou critérios de auditoria

74


Revisão crítica da documentação do auditado (6.3)

1. Determinação preliminar da conformidade entre o sistema de gestão do auditado e os critérios de auditoria estabelecidos (análise de GAPs)

2. A falta de informações pode implicar em suspensão temporária do processo de auditoria

3. É importante evitar perda de tempo e recursos financeiros


Preparação para execução de atividades no Sítio (6.4)

1. (i) elaboração de um plano de auditoria 1. objetivos, critérios e outros documentos de referência, escopo,

unidades organizacionais que serão analisadas, horários e locais nas quais as informações serão coletadas, documentos fornecidos, entrevistas e reuniões realizadas.

2. (ii) definição das funções e responsabilidades, tarefas e instrumentos a serem usados por todos que fazem parte do time devem ser precisamente descritas.

3. (iii) descrição dos documentos, planilhas, equipamentos e programas de computador que serão usados

1. de conhecimento prévio dos membros do time. 4. Cliente, auditores e auditado concordam previamente

acerca do plano de auditoria

75


Execução de atividades no Sítio (6.5)

1. reunião de abertura2. o contato com as fontes de informações3. coleta de informações4. a transformação de informações em evidências de auditoria5. o registro das evidências de auditoria6. a confrontação entre as evidências e os critérios de

auditoria7. a produção de constatações ou achados da auditoria8. a análise crítica dos achados 9. formulação e relato da opinião dos auditores 10. apresentação das conclusões da auditoria 11. reunião de encerramento da auditoria.


Critério da auditoria

• O mesmo que modelo de conformidade. • Compreende um conjunto de políticas,

procedimentos e requisitos que servirão para a composição dos achados da auditoria

76


Fonte de informação de auditoria para a

produção das evidências da auditoria

(i) entrevistas efetuadas com empregados, colaboradores e outras pessoas; (ii) observações sobre o local de trabalho e ambientes próximos; (iii) documentos das mais diversas naturezas, como declarações de políticas e

objetivos, planos e procedimentos, normas, instruções, licenças e permissões, especificações, desenhos, contratos, ordens etc;

(iv) Registros, como registros de inspeção, testes, memórias de reuniões, relatórios de auditoria, relatórios de monitoramento de ações e programas, resultados de medições. Estes registros podem estar armazenados em meio permanente físico ou digital;

(v) sumários de dados, análises diversas baseadas em indicadores de desempenho; (vi) informações sobre os programas de amostragem e controle interno do auditado; (vii) relatos de partes externas, como clientes e fornecedores; (viii) bases de dados digitais e sítios web.


Evidência da auditoria

• é composta por registros, declarações de fatos, ou outras informações verificáveis, de natureza quantitativa ou qualitativa

• são relevantes para verificação de aderência ou conformidade aos critérios de auditoria.

• Algumas evidências de auditoria são imediatamente disponíveis para o auditado– documentos, registros contábeis e a própria existência física de

objetos.

• Outras evidências são materiais criados com a habilidade do auditor– explicações, questionários, confirmações por parte de terceiros, bem

como informações baseadas no raciocínio dedutivo.

77


Risco de Auditoria

• Risco de auditoria – “o risco que um auditor incorre de dar uma opinião

sobre informação financeira que estámaterialmente mal-colocada”

• Abordagem de auditoria baseada em risco– Determine qual o nível de risco que está disposto

a aceitar na sua opinião– Ex: 95% de confiança é um valor aceito no

método científico


Componentes do risco de auditoria

• Risco de auditoria = RI * RC * RD

– RI – Risco inerente– RC – Risco do controle– RD – Risco de detecção

• Risco de detecção– RD = (RANA) Risco Analítico

* Risco substantivo• RA = RI * RC * RANA * RS

• Risco inerente– Susceptibilidade ao erro que o sistema apresenta,

assumindo que não existem controles internos em prática

• Risco do Controle– Susceptibilidade ao erro que o sistema apresenta, que

não seria detectado ou prevenido pelo sistema de controle interno

• Risco de detecção– Risco do auditor não detectar uma imaterialidade

(afirmação que precisa ser baseada em fatos)• Risco Analítico

– Risco que os teste analíticos do auditor não detectem uma imaterialidade

• Risco substantivo– Risco que os procedimentos detalhados ou

substantivos do auditor não detectem uma imaterialidade

– Quanto maior for a amostra dos testes substantivos, diminuem a chance de que a imaterialidade não seja detectada.

78


Achados ou constatações da auditoria

• Resultados da avaliação ou comparação entre as evidências de auditoria coletadas e entre os critérios de auditoria ou modelos de conformidade estabelecidos.


Conclusão da auditoria

• É o principal resultado de uma auditoria. Expressa a opinião do auditor ou time de auditoria, após consideração acerca dos objetivos de auditoria previamente estabelecidos e os achados ou constatações da auditoria.

79


Aspectos a Confirmar durante a Reunião de Abertura

• Objetivos, critérios e escopo da auditoria;• Programação da auditoria (datas, horários e locais);• Métodos e procedimentos a serem empregados;• Alerta para os riscos e a incerteza dos resultados, dado que atividade é baseada

em evidências;• Canais de comunicação a usar;• Que o auditado será informado do progresso da auditoria durante a própria

auditoria;• Disponibilidade de recursos e instalações no sítio do auditado (salas e acessos);• Aspectos de confidencialidade;• Procedimentos de segurança e emergência para a equipe de auditoria;• Disponibilidade, funções e identificação de guias no sítio;• Métodos de relato, inclusive de não-conformidades;• Condições para o encerramento da auditoria;• Sistemas de apelação e contestação dos achados e conclusões da auditoria.


Incerteza e Testes

Durante os testes de auditoria manifesta-se a capacidade criativa

do auditor

80


Incerteza na produção das evidências e os testes de auditoria

• Há riscos de que uma falha durante a coleta de informação ou mesmo a má qualidade da informação fornecida leve a auditor a cometer um erro de julgamento e, consequentemente, produzir evidências falsas

• Uma postura de completa desconfiança aumenta o esforço de coleta de informações

• A postura racional envolve o depósito de confiança no funcionamento de alguns controles internos que reduzirão o esforço na coleta de informações e produção de evidências, dentro das restrições de prazo e custo estabelecidas pelo engajamento

• Deve-se adotar postura cética acerca de alguns controles que o auditor julga serem os mais frágeis


Depositando confiança em alguns controles

• avaliação prévia do desenho do sistema de controle interno – Análise de processos

• realização de testes de concordância para adquirir confiança nos controles planejados – testes de concordância ou testes de controles ou

testes de observância

81


Testes de concordância, controles ou observância

• Asseguram ao auditor que ele poderá confiar no funcionamento de um conjunto específico de controles internos para os quais ele planejou confiar, o que evitará o aprofundamento em atividades de coleta de evidência em áreas que não produzirão resultados práticos– Exame de evidências de que o controle está atualmente em

funcionamento, por exemplo, através do acompanhamento detalhado da execução de uma ou mais transações;

– observação e questionamento acerca do funcionamento do controle, no junto às pessoas responsáveis pela realização do controle;

– re-execução (reperformance) de transações passadas, visando identificar o comportamento adequado do controle


Testes substantivos

• Não estão focados nos controles, mas sim na fidedignidade dos dados apresentados.

• Os sistemas de controle são desprezados, ou desconsiderados, e o auditor realiza a coleta de dados sobre transações passadas e verifica que estes registros refletem a realidade organizacional, adotando quaisquer outros métodos de coleta de evidência que estiverem ao seu alcance

82


Produção das constatações ou achados da auditoria

• manifestações de juízo de realidade, efetuadas pelos membros individuais do time de auditoria.

• Algumas constatações podem indicar que háconformidade

• Outras constatações podem indicar a não-conformidade.


Análise crítica das constatações e achados da auditoria e formulação da

opinião dos auditores.• um conjunto de critérios de auditoria bem

conhecidos e uniforme facilita a produção de achados consistentes

• A discussão aberta, sob a discrição exclusiva do time de auditoria, acerca dos achados e suas relações com critérios de auditoria e evidências fidedignas produzidas pelos membros do time, ébase para a formulação de uma opinião embasada.

83


Apresentação das conclusões ou achados da auditoria e reunião de

encerramento• Reinião com os auditados

– exposição preliminar das constatações• preenchimento de quaisquer lacunas de informação

importantes para o auditor e auditado• Eliminação de quaisquer falhas que possa ter havido

no processo• É importante dar um tom formal à reunião de

encerramento, e permitir o registro de quaisquer fatos relevantes, como por exemplo, a manifestação de discordância acerca das conclusões apresentadas


Preparação, aprovação e distribuição do relatório de

auditoria (6.6)• Relatório de auditoria

– registro completo, conciso e claro da auditoria realizada, – descreve a relação que foi estabelecida entre os objetivos

da auditoria, o escopo temporal e espacial no qual a auditoria foi realizada

– datado, – analisado criticamente e aprovado – distribuído a quem de direito, conforme indicação do

cliente de auditoria• resultados da auditoria pertencem ao cliente

84


Informações presentes ou referenciadas no relatório da auditoria

(i) planejamento da auditoria(ii) identificação dos representantes do auditado envolvidos no engajamento(iii) relatório resumo do engajamento, com possível manifestação de

incertezas que podem afetar a confiabilidade dos resultados da auditoria(iv) confirmação de que os objetivos de auditoria foram alcançados, dentro

do escopo e em conformidade com o planejamento(v) indicação das áreas que estavam no escopo da auditoria mas que não

foram cobertas(vi) opiniões divergentes entre o time de auditoria e o auditado(vii) recomendações para melhoria(viii) planos de acompanhamento pós-auditoria(ix) declarações de confidencialidade (x) identificação dos que receberão o relatório de auditoria


Conclusão da Auditoria (6.7)

• descarte adequado ou armazenamento dos registros e documentos gerados durante a auditoria

• Procedimentos específicos da segurança da informação se aplicam no tratamento adequado desta informação

85


Acompanhamento Pós-Auditoria (6.8)

• Ocorre através de um programa de auditoria


Gestão de Programa de Auditoria

86


Reflexões sobre a Parte 5 Auditoria

Quais os desafios ao estabelecimento de um modelo de

auditoria de GSIC na APF?


Parte 6COBIT: Um Arcabouço de

Governança de TI baseada no Monitoramento e Auditoria do

Controle Interno

87


O CenárioRegulatório-Tecnológico de TI

OECD Corporate Governance

Sarbanes-Oxley Act

EnterpriseGovernance

COSO Framework for Internal Auditing

Control Objectives for Information Technology - COBIT

Information TechnologyInfrastructure Library - ITIL

Capability Maturity Models

Business Processes

IT Governance


Principais aspectos do modelo COBIT

• Governança de tecnologia da informação;• Integração entre planejamento estratégico

organizacional e planejamento de TI;• Desenho de um sistema de controle interno e

gerenciamento de riscos de negócios que contempla segurança da informação, conformidade, eficiência e eficácia da gestão de tecnologia da informação;

• Instrumentos e guias de auditoria de controles;• Adoção de modelos de maturidade e benchmarking,

entre outros.

88


Objetivos do COBIT

• Guia abrangente para usuários, auditores, gestores e donosde processos de negócios que permite a Governança de TI

• Um meta-método (framework) para alinhar– Riscos de negócio– Necessidades de controle– Necessidades técnicas

• Visando a– Maximizar benefícios da TI– Capitalizar em oportunidades de TI– Ganhar vantagem competitiva em TI


Papel da Governança de TI, segundo o COBIT [ISACA 2005]

• Alcançar o alinhamento entre os negócios de uma organização e a área de TI desta organização

Princípio Básico de Organização do COBIT

89


Principais Componentes do COBIT [ISACA 2005]


Gestãode TI

Organização de TI

ControleInterno

Declara

Informação

Área de Negócios

(Área Fim)

Governança de TI no COBITOrganização

i

Critérios da Informação

Monitoramento

90


Relação entre Metas da Organização, da TI e sua Arquitetura [ISACA 2005]


O Cubo COBIT [1]

91


Domínios e Processos de TI [ITGI 2005]

• Constituem as áreas de responsabilidade da TI:– Planejamento e

Organização (PO)– Aquisição e

Implementação (AI)– Entrega e Suporte (DS)– Monitoramento e

Avaliaçao (ME)

Domínios

Processos

Atividades


Objetivos doNegócio

Objetivos deGovernança

Definem

Critérios deInformação

Definem

Recursos de TI

Mobilizam

Apóiam

Apóiam

Apóiam

Apóiam

92


Recursos de TI [COBIT 4.0]• Informação: É o dado em todas as suas formas:

entradas, processamentos e saídas, empregadaspara realização de negócios pela organização

• Application Systems: a soma de todos osprocedimentos manuais e programados queprocessam a informação

• Infra-Estrutura: é a combinação entre os artefatostecnológicos (hardware, sistema operacional, SGBDs, redes, multimídia, etc) e facilidades (Infra-estrutura física e de suporte aos sistemas de informação)

• Pessoas: É o pessoal necessário para planejar, organizar, adquirir, implementar, entregar, apoiar, monitorar e avaliar os sistemas e serviços de informação


Requisitos dos Negócios sobre a TI= Information Criteria [1]

• Efetividade – Informação deve ser relevante e pertinente aos processos de negócios bemcomo ser entregue com temporalidade, corretude, consistência, e usabilidade

• Eficiência – Informação deve ser provida com o uso de recursos da forma mais produtiva e econômica

• Confidencialidade – Informação sensível deve ser protegida de acesso não autorizado

• Integridade – Informação deve ser precisa e completa, bem como sua validade deve estar em concordância com o conjunto de valores e expectativas do negócio

• Disponibilidade – Informação deve ser disponível quando requerida pelo processo de negócio agora e no futuro, e deste modo deve ser salvaguardada enquanto recurso

• Conformidade – Informação deve estar em conformidade com leis, regulamentos, e arranjos contratuais qos quais os processos de negócios estão sujeitos

• Confiabilidade - Informação deve ser provida de forma apropriada, permitindo seu uso na operação da organização, na publicação de relatórios financeiros para seus usuários e órgãos fiscalizadores, conforme leis e regulamentos.

Qu

alit

yS

ecu

rity

Fid

uci

ary

93


Framework COBIT

Objetivos de Controle de Alto Nível

• Definem 34 áreas de processos de TI• Agrupados em 4 domínios

– PO - Planejamento e Organização– AI - Aquisição e Implementação– DS - Entrega e Suporte– M - Monitoramento

• Garante a implementação de um sistema de controleadequado para o ambiente de TI


Framework COBIT

Management Guidelines [ITGI 2000]

• Link entre Controle de TI e Governança de TI• Responde às seguintes questões:

– Quão longe se deve ir no controle da TI?– O custo do controle justifica os benefícios?– Quais os fatores críticos de sucesso da organização?– Quais os riscos de não alcance dos objetivos?– Quais as melhores práticas?– Como nos comparamos com outras organizações?– Qual estratégia de melhoria adotar?

94


Management Guidelines: Elementos [ITGI 2000]

• FCS – Fatores Críticos de Sucesso– Indicam o que é mais importante a fazer para garantir que os processos de TI atingirão

suas metas• KGI - Indicadores Chave de Meta

– definem medidas que dizem ao gestor, após o fato, acerca de um determinado processo de TI ter alcançado seus requisitos de negócio, usualmente expressos em termos de critérios de informação, por exemplo:

• Disponibilidade de informação • Ausência de riscos de integridade e confidencialidade• Custo-eficiência de processos e operações• Confirmações sobre confiabilidade, efetividade e conformidade

• KPI - Indicadores Chave de Desempenho – definem medidas que determinam quão bem os proccesos de TI estão desempenhando

a capacidade de habilitar o alcance das metas. São indicadores de futuro, que descrevem as chances de alcance ou não das metas. São bons indicadores de capacidades, práticas e habilidades. Medem metas de uma atividade, que são as ações que o dono de um processo deve tomar a fim de alcançar desempenho efetivo.

• Modelo de Maturidade


Exemplo de Relações entre Processos, Metas e Métricas no Domínio DS5 – Garanta Segurança de Sistemas

95


Indicadores Chave de Metas (KGI) e Desempenho (KPI) no IT Balanced Score Card [12, 13]

Financial Perspective(Corporate Contribution)

Objectives Measures

Internal Business Process Perspective(Operational Excelence)

Objectives Measures

Customer Perspective(User Perspective)

Objectives Measures

Learning and Growth Perspective(Future Orientation)

Objectives Measures

How do we look to shareholders ?

How do customerssee us ?

What must weexcel at ?

Can we continue to improve and create value ?

Source: Robert S. Kaplan and David P. Norton, 1994

KGI

KGI

KPI

KPI


Modelo de Maturidade de Processos [2]

96


Modelo Genérico de Maturidade[2]

0 Non-Existent. Complete lack of any recognisable processes. The organisation has not even recognised that there is an issue to be addressed.

1 Initial. There is evidence that the organisation has recognised that the issues exist and need to be addressed. There are however no standardised processes but instead there are ad hoc approaches that tend to be applied on an individual or case by case basis. The overall approach to management is disorganised.

2 Repeatable. Processes have developed to the stage where similar procedures are followed by different people undertaking the same task. There is no formal training or communication of standard procedures and responsibility is left to the individual. There is a high degree of reliance on the knowledge of individuals and therefore errors are likely.

3 Defined. Procedures have been standardised and documented, and communicated through training. It is however left to the individual to follow these processes, and it is unlikely that deviations will be detected. The procedures themselves are not sophisticated but are the formalisation of existing practices.

4 Managed. It is possible to monitor and measure compliance with procedures and to take action where processes appear not to be working effectively. Processes are under constant improvement and provide good practice. Automation and tools are used in a limited or fragmented way.

5 Optimised. Processes have been refined to a level of best practice, based on the results of continuous improvement and maturity modelling with other organisations. IT is used in an integrated way to automate the workflow, providing tools to improve quality and effectiveness, making the enterprise quick to adapt.


Benchmarking

[17]

97


COBIT: Processo Geral de Auditoria [ITGI]


Requisitos do Processo de Auditoria

• Definição do escopo– Processos de negócios envolvidos– Plataformas, sistemas e interconectividade– Papéis, responsabilidades e estrutura organizacional

• Identificar requisitos de informação relevantes para o processo de negócio

• Identificar riscos inerentes de TI e nível geral de controle• Selecionar processos e plataformas para auditar• Definir estratégia de auditoria

98


COBIT Generic Audit Guidelines

• Obtendo Compreensão dos Requisitos do Negócio, Riscos, Medidas de Controle declaradas– Entrevista e coleta de dados

• Avaliando adequabilidade dos controles declarados• Medindo Conformidade

– Testando se os controles declarados funcionam como descritos, de forma consistente e contínua

• Comprovando Riscos dos objetivos de controle não seremalcançados– Executando técnicas analíticas e alternativas


99


Conclusões sobre a Parte 6COBIT: Um Arcabouço de

Governança de TI baseada no Monitoramento e Auditoria do

Controle Interno


Parte 7Certificação, na Perspectiva da

ISO/IEC 27001

100


ISO 27001• Define um processo sistemático para fortalecimento do controle

interno de segurança da informação, baseado nos seguintes passos:– Análise das expectativas e requisitos da segurança da informação

manifestados pelas partes interessadas;– Estabelecimento de um sistema de controle interno (SGSI) que atenda a estas

expectativas, através do qual uma declaração de aplicabilidade descreve e justificativa quais os controles de segurança são aplicáveis ao escopo avaliado. Esta seleção de controles é feita através de um processo de análise, avaliação e tratamento de riscos;

– Implementação e operação do SGSI, em aderência aos controles declarados na declaração de aplicabilidade, considerando além do gerenciamento de operações padronizadas de sistemas de informação, a detecção de eventos de segurança e o tratamento dos incidentes de segurança;

– Monitoramento e análise crítica regulares do SGSI;– Manutenção e melhoria do SGSI, por meio da execução de ações corretivas,

preventivas e implantação de melhorias.


Principais Normas da ABNT ISO/IEC para a Gestão da Segurança da Informação

• 27001:2006[1]– Descreve os Requisitos para estabelecer, implementar,

operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI)

• 27002:2005[2]– Descreve um guia prático para desenvolvimento dos

controles planejados para implementação da segurança após a análise e avaliação de riscos

• 27005:2008[3]– Descreve um processo de gestão de riscos,

compreendendo análise, avaliação, tratamento etc

101


Act (agir) (manter e melhorar o SGSI)

Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI.

Check (checar) (monitorar e analisar criticamente o SGSI)

Avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para a análise crítica pela direção.

Do (fazer) (implementar e operar o SGSI)

Implementar e operar a política, controles, processos e procedimentos do SGSI.

Plan (planejar) (estabelecer o SGSI)

Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização.

O SGSI descrito pela ABNT ISO/IEC 27001:2006[1]


Relação 27005x27001x27002

4.2.1 - c) Definir a abordagem de análise/avaliação de riscos da organização

4.2.1 - d) Identificar os riscos4.2.1 - e) Analisar e avaliar os riscos4.2.1 - f) Identificar e avaliar as opções para o tratamento dos riscos

4.2.1 Estabelecer o SGSI

4.3.2 - d) Analisar criticamente as análises/avaliações dos riscos a intervalos planejados e analisar criticamente os riscos residuais e os níveis de riscos aceitáveis Identificados

4.2.3 Monitorar e analisar criticamente o SGSI

27001 - Sistemas de gestão de segurança da informação —

Requisitos

27005 – Gestão do Risco deSegurança da Informação27002 – Código de prática para a

gestão da segurança da informação

4.2.1 - h) Obter aprovação da direção para os riscos residuais propostos

4.2.2 Implementar e operar o SGSI4.2.1 – a,b) Formular e implementar o plano de tratamento dos riscos

4.2.3 Manter e melhorar o SGSI

102


ISO 27001 e Conformidade

• uma auditoria baseada na norma 27001, efetuada por uma entidade de auditoria credenciada ou acreditada, permite a emissão de um certificado da conformidade.


A 27001 fornece ao gestor e aos auditores um desenho de um

sistema de controle interno voltado para a gestão da segurança da

informação, chamado de Sistema de Gestão da Segurança da

Informação – SGSI

103


Seções da ISO/IEC 270010 Introdução0.1 Geral0.2 Abordagem de processo0.3 Compatibilidade com outros sistemas de

gestão1 Objetivo1.1 Geral1.2 Aplicação2 Referência normativa3 Termos e definições4 Sistema de gestão de segurança da

informação4.1 Requisitos gerais4.2 Estabelecendo e gerenciando o SGSI4.2.1 Estabelecer o SGSI4.2.2 Implementar e operar o SGSI4.2.3 Monitorar e analisar criticamente o SGSI4.2.4 Manter e melhorar o SGSI4.3 Requisitos de documentação4.3.1 Geral4.3.2 Controle de documentos4.3.3 Controle de registros

5 Responsabilidades da direção5.1 Comprometimento da direção5.2 Gestão de recursos5.2.1 Provisão de recursos5.2.2 Treinamento, conscientização e

competência6 Auditorias internas do SGSI7 Análise crítica do SGSI pela direção7.1 Geral7.2 Entradas para a análise crítica7.3 Saídas da análise crítica8 Melhoria do SGSI8.1 Melhoria contínua8.2 Ação corretiva8.3 Ação preventiva


ISO/IEC 27001: 0 Introdução

0.1 Geral• A norma define um modelo para estabelecer, implementar, operar, monitorar, analisar

criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI).

• Base estratégica da organização

• Adequações à realidade de cada organização

• Avaliação de conformidade

0.2 Abordagem de processo• Processo := I + P + O

• Ênfases em processos: entendimento de requisitos de segurança + implementação e operação de controles + monitoração e análise crítica do SGSI + melhoria contínua;

0.3 Compatibilidade com outros sistemas de gestão• ISO-9000 e ISO-14.000

104


Act (agir) (manter e melhorar o SGSI) Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI.

Check (checar) (monitorar e analisar

criticamente o SGSI)

Avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para a análise crítica pela direção.

Do (fazer) (implementar e operar o

SGSI)

Implementar e operar a política, controles, processos e procedimentos do SGSI.

Plan (planejar) (estabelecer o SGSI)

Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização.

Modelo PDCA e Sistema de Qualidade


ISO/IEC 27001: 1 Objetivo

1.1 Geral• Aplicável a todos os tipos de organizações• Baseada na delimitação de requisitos

• Aplicável no contexto de riscos globais da organização• Assegura a seleção de controles

1.2 Aplicação• Exclusão de requisitos não é aceitável• Exclusão de controles deve ser justificada• Deve ser integrado aos sistemas de gestão já existentes

105


ISO/IEC 27001: SGSI• Sistema de Gestão da Segurança da Informação - SGSI• Parte do sistema de gestão global• É um sistema de controle interno• Baseado na abordagem de riscos do negócio• Estabelecer, implementar, operar, monitorar, analisar criticamente, manter

e melhorar a segurança da informação

O sistema de gestão inclui:• estrutura organizacional, • políticas, • atividades de planejamento, • responsabilidades, • práticas, • procedimentos, • processos e • recursos.


ISO/IEC 27001: Declaração de Aplicabilidade

• Declaração documentada • Descreve os objetivos de controle e controles que são

pertinentes e aplicáveis ao SGSI da organização

• Objetivos de controle e controles estão baseados nos resultados e conclusões – dos processos de:

• análise/avaliação de riscos e • tratamento de risco,

– dos requisitos legais ou regulamentares, – obrigações contratuais e – requisitos de negócio da organização

• para a segurança da informação.

106


ISO/IEC 27001: 4 Sistema de gestão de segurança da informação (1/3)

4.1 Requisitos gerais

O requisito geral compreende estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado

4.2 Estabelecendo e gerenciando o SGSI

4.2.1 Estabelecer o SGSI

• Definir o escopo e os limites do SGSI

• Definir uma política do SGSI

• Definir a abordagem de análise/avaliação de riscos

• Identificar os riscos.

• Analisar e avaliar os riscos.• Identificar e avaliar as opções para o tratamento de riscos.

• Selecionar objetivos de controle e controles para o tratamento de riscos.

• Obter aprovação da direção dos riscos residuais propostos.

• Obter autorização da direção para implementar e operar o SGSI.

• Preparar uma Declaração de Aplicabilidade.



4.2.2 Implementar e operar o SGSI• Formular um plano de tratamento de riscos• Implementar o plano• Implementar os controles selecionados• Definir como medir a eficácia dos controles ou grupos de

controles selecionados,• Implementar programas de conscientização e treinamento• Gerenciar as operações do SGSI.• Gerenciar os recursos para o SGSI• Implementar procedimentos e outros controles para detecção

de eventos e resposta a incidentes

107



4.2.3 Monitorar e analisar criticamente o SGSI• Procedimentos de monitoração e análise crítica e outros controles• Análises críticas regulares da eficácia do SGSI• Medir a eficácia dos controles• Analisar criticamente as análises/avaliações de riscos a intervalos planejados• Conduzir auditorias internas a intervalos planejados• Realizar uma análise crítica do SGSI pela direção• Atualizar os planos de segurança da informação• Registrar ações e eventos que possam ter um impacto

4.2.4 Manter e melhorar o SGSI• Implementar as melhorias identificadas• Executar as ações preventivas e corretivas• Comunicar as ações e melhorias a todas as partes• Assegurar-se de que as melhorias atinjam os objetivos


ISO/IEC 27001: 4.3 Requisitos de documentação (1/2)

4.3.1 Geral• Registros de decisões da direção• Rastreabilidade• Resultados registrados reproduzíveisDOCUMENTAÇÕES• Declarações documentadas da política e objetivos do SGSI• Escopo• Procedimentos e controles de apoio• Descrição da metodologia de análise/avaliação de riscos• Relatório de análise/avaliação de riscos• Plano de tratamento de riscos (ver 4.2.2b));• Procedimentos documentados requeridos pela organização para assegurar • o planejamento efetivo, • a operação e • o controle de seus processos de segurança de informação e • para descrever como medir a eficácia dos controles• Registros requeridos por esta Norma• Declaração de Aplicabilidade

108


ISO/IEC 27001: 4.3 Requisitos de documentação (2/2)

4.3.2 Controle de documentos• aprovar documentos• analisar criticamente e atualizar• revisão atual identificada• versões disponíveis nos locais de uso• documentos legíveis e identificáveis• disponíveis àqueles que deles

precisam• documentos de origem externa são

identificados• distribuição de documentos seja

controlada;• prevenir o uso não intencional de

documentos obsoletos;• aplicar identificação adequada em

caso de retenção

4.3.3 Controle de registros• mantidos para fornecer evidências de

conformidade aos requisitos e da operação eficaz do SGSI.

• registros do desempenho do processo

• ocorrências de incidentes de segurança da informação significativos relacionados ao SGSI


ISO/IEC 27001: 5 Responsabilidades da direção

5.1 Comprometimento da direção5.2 Gestão de recursos5.2.1 Provisão de recursos5.2.2 Treinamento, conscientização e

competência

109


ISO/IEC 27001: 6 Auditorias internas do SGSI

Conduzidas a intervalos planejadosConsideração quanto à situação e a

importância dos processos e áreas a serem auditadas.


ISO/IEC 27001: 7 Análise crítica do SGSI pela direção

7.2 Entradas para a análise críticaResultados de auditorias do SGSI e

análises críticas;Realimentação das partes interessadas;Técnicas, produtos ou procedimentos

que podem ser usadosSituação das ações preventivas e

corretivas;Vulnerabilidades ou ameaças não

contempladas adequadamente nas análises/avaliações de risco anteriores;

Resultados da eficácia das mediçõesAcompanhamento das ações de análises

anterioresQuaisquer mudanças que possam afetarRecomendações para melhoria.

7.3 Saídas da análise críticaMelhoria da eficácia do SGSI.Atualização da análise/avaliação de

riscos e do plano de tratamento de riscos.

Modificação de procedimentos e controles que afetem a segurança da informação

Necessidade de recursos.Melhoria de como a eficácia dos

controles está sendo medida.

110


ISO/IEC 27001: 8 Melhoria do SGSI8.1 Melhoria contínuadecorre do uso da:

– política de segurança da informação, – objetivos de segurança da informação, – resultados de auditorias, – análises de eventos monitorados,– ações corretivas e preventivas e – análise crítica pela direção

8.2 Ação corretiva• Identificar não-conformidades• Determinar as causas de não-

conformidades• Ações para assegurar que não-

conformidades não ocorram novamente• Determinar e implementar as ações

corretivas necessárias• Registrar os resultados das ações

executadas• Analisar criticamente as ações corretivas

executadas.

8.3 Ação preventiva• não-conformidades potenciais e suas

causas;• necessidade de ações para evitar a

ocorrência de não-conformidades;• implementar as ações preventivas

necessárias• registrar os resultados de ações

executadas• analisar criticamente as ações

preventivas executadas.


ISO/IEC 27001: Sumário

• A norma ISO 27001:2006 define requisitos de um SGSI baseado em um sistema de qualidade

• Cinco grupos de requisitos são estabelecidos pela norma, são eles:– 4 Sistema de gestão de segurança da informação– 5 Responsabilidades da direção– 6 Auditorias internas do SGSI– 7 Análise crítica do SGSI pela direção– 8 Melhoria do SGSI

111


Parte 7Certificação, na Perspectiva da

ISO/IEC 27001


GSIC340 ACSI - Auditoria e Certificação de Segurança da

InformaçãoJorge Henrique Cabral Fernandes

([email protected])Brasília, Maio de 2009

GSIC340 ACSI - Auditoria e Certificação de Segurança da ...jhcf/MyBooks/cegsic/2008_2009/... ·...

Documents

Transcript of GSIC340 ACSI - Auditoria e Certificação de Segurança da ...jhcf/MyBooks/cegsic/2008_2009/... ·...