SlideShare a Scribd company logo

Auditoria de sistemas de informação

Silvino Neto
Silvino Neto

Auditoria de Sistemas de Informação Joshua Imoniana- resumo

Technology
1 of 30
Download to read offline
RESUMO 2ª EDIÇÃO (PG 15-89) – JOSHUA ONOME IMONIANA - IFBA
   ASI – Auditoria de Sistemas de Informação SI – Sistemas de Informação TAAC - Técnica de auditoria assistida por computador
      1. Fundamentos de Auditoria de Sistemas de Informações.......................................................4-8; 2. Padrões e código de ética para ASI................9-10; 3. Desenvolvimento de equipe de auditoria sistemas de informação.................................................11-12; 4. Controles internos e avaliações:...................13-19; 5. Ferramentas e Técnicas de Auditoria de TI...20-25; 6. Auditoria de Controles Organizacionais e Operacionais..................................................26-29;
 1.1 Histórico de Sistemas de Informação:  Cálculos no ano 5000 a.C ;  Invenção dos cartões perfurados(punch cards) por Herman Hollerith;  Construção do ENIAC durante a 2ª Guerra Mundial;  Mudanças provocadas durante o ano de 1950 em todos ambientes de negócios criaram uma grande complexidade que causou a adoção de sistemas de informação para o processamento de dados;
 1.2 Conceito de Sistemas:  Sistema é um conjunto de elementos inter- relacionados com um objetivo: produzir relatórios para ajudar na tomada de decisões;  1.3 Conceito de Auditoria de Tecnologia de Informação:  Tem objetivo de garantir que informações em forma eletrônica são confiáveis;
  1.4 Abordagem de Auditoria de Sistemas de Informações: 1.4.1 Abordagem ao redor do computador :  Baseia-se na confrontação de documentos-fonte com resultados esperados;  1.4.2 Abordagem através do computador:  O auditor acompanha o processamento por dentro do computador;  1.4.3 Abordagem com o computador:  Uma abordagem com o computador completamente assistida;
 1.5 Organização do Trabalho de Auditoria de Tecnologia de Informação:        Planejamento Escolher a equipe Programar a equipe Execução de trabalhos e supervisão Revisão de papéis e trabalhos Atualização do conhecimento permanente Avaliação da equipe
 1.6 Documentação dos papéis de trabalhos :  Papéis de trabalhos constituem conjunto de formulários preenchidos logicamente no processo de auditoria de sistemas.  Figuras que possuem acesso: ▪ Sócio: responsável pelo serviço de auditoria; ▪ Encarregado supervisor e gerente: chefe da equipe de auditoria que deve cadastrar identificação da auditoria; ▪ Preparador (assistente ou sênior de auditoria): capta informações e diretrizes de auditoria nos banco de dados central;
 2.1 Comitê de padrões da associação de controle e audit de tecnologia de informação: -Conforme padrões emitidos:        Responsabilidade, autoridade e prestação de contas; Independência profissional; Ética profissional e padrões; Competência; Planejamento; Emissão de relatório; Atividades de follow-up;
 2.2 Associação de auditores de sistemas e controles(ISACA): - código dos membros  1. apoiar a implementação e encorajar cumprimento de       padrões; 2. exercer suas funções com objetividade; 3. servir aos interesses dos stakeholders de forma legal e honesta; 4. manter privacidade e confidencialidade de informações; 5. manter competência nas respectivas especialidades; 6. informar as partes envolvidas 7. apoiar conscientização profissional dos stakeholders;
 3.1 problemática de desenvolvimento “...”:  Crescente complexidade de ambientes de TI e dificuldades e relutância de auditores com relação a adaptação para auditar estes ambientes;  3.1.1 Programa de desenvolvimento carreira de auditoria de TI: de  Programa utilizado por auditores independentes, que contratam formandos em áreas afins, e os treinam;  Treinamento dividido em duas partes:(i) categoria com pouca ou nenhuma experiência em TI; e (ii) aqueles que possuem experiência;
 Carreira de auditor de TI:  Nível 1- Básico: trainee;  Nível 2 – Fundação: assistentes;  Nível 3 – Focal: seniores e supervisores;  Nível 4 – Integração: gerentes;  Nível 5 – Aconselhamento: sócio de auditoria;
 4.1 Fundamentos de controle internos em SI:  Conforme Instituto Americano de Contadores Públicos: “planos organizacionais e conjuntos de métodos e medidas adotados numa empresa, a fim de salvaguardar o ativo, verificar a exatidão e veracidade registros contábeis, promover efetividade de SI e eficiência operacional ”;
 4.1.1 Controles internos em PED, princípios e objetivos:  Supervisão;  Registro e comunicação;  Segregação de funções;  Classificação de informação;  Tempestividade;  Auditoriabilidade;
 4.1.1 Controles internos em PED, princípios e objetivos:(II)  Controle independente;  Monitoramento;  Implantação;  Contingência;  Custo efetivo;
 4.1.1.1 Tipos de controle:  Controles administrativos e gerências - controles que possuem a separação de funções ou responsabilidades;  Controles de segurança e privacidade; ▪ Propriedades: SIGILO, INTEGRIDADE, DISPONIBILIDADE, CONTABILIDADE e AUDITORIABILIDADE;
 4.1.1.1 Tipos de controle:(II)  Controles de preparação e captação de dados – controle que é exercido no começo de cada atividade de processamento de dados;  Controles de entrada de dados – controle de inputs (entrada) de dados, que visa reduzir dúvidas que possam existir no ponto de entrada;  Controles de processamento – são programados e construídos no computador de forma segura;
 4.1.1.1 Tipos de controle:(III)  Controles de saída e de emissão de relatórios – procedimentos de manuseio de output;  Controles de gravação e recuperação de dados – este controle certifica a integridade de dados recebidos dentro da data-base e qualquer indivíduo que pode acessá-lo com o mínimo esforço;
 4.2 Avaliação dos procedimentos controles internos e avaliações: de  Trabalho executado pelo auditor que tenha habilidade em TI  4.3 Análise de risco de avaliação de sistema de controle interno:  Metodologia adotada pelos auditores de TI para saber, com antecedência, quais ameaças puras ou prováveis em um ambiente de TI de uma organização;
 5.1 Ferramentas:  Auxiliam na extração, sorteio, seleção de dados e transações;  5.1.1 Software generalista de auditoria de TI:  ACL  IDEA  Audimation  Galileo  Pentana
 5.1.2 Softwares especializados de auditoria:  programa desenvolvido especificamente;  5.1.3 Programas utilitários:  Geralmente banco de dados: SQL, Dbase 2, etc.  5.2 Técnicas:  Variadas metodologias que são chamadas de técnicas, que proporcionam várias vantagens: produtividade, custo, qualidade assegurada, valor agregado, benefícios corporativos e benefícios para o auditor.
 5.2.1 Dados de teste:  Conhecido por test data ou test deck, envolve um conjunto de dados de entrada especialmente preparados com objetivos de testar os controles programados e controles de sistema aplicativo;  5.2.2 Facilidade de teste integrado:  Conhecida por Integrated Test Facility(ITF), ela usa dados de testes integrados aos ambientes reais de processamento utilizando-se versões correntes da produção.
 5.2.3 Simulação paralela:  Envolve o uso de um programa especialmente desenvolvido que atenda as lógicas necessárias para um aplicativo devidamente testado.  5.2.4 Lógica de auditoria embutida nos sistemas:  Envolve a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos.
 5.2.5 Rastreamento e mapeamento:  Envolve desenvolvimento e implementação de uma trilha de auditoria para acompanhar certos pontos da lógica de processamento de algumas transações;  5.2.6 Análise lógica de programação:  Técnica que envolve verificação da lógica de programação para certificar que instruções dadas ao computador são as mesmas já identificadas nas documentações dos sistemas e aplicativos;
  5.3 Aplicação de técnica de auditoria assistida por computador (TAAC): 5.4 Documentação dos papéis de trabalhos TAAC:  Deve conter informações suficientes para descrever testes e conclusões. São por exemplo: planejamento, execução e evidenciação;
 6.1 Introdução:  Controles organizacionais – são controles administrativos instalados nos processos de fluxo de transações econômicas;  6.2 Políticas Organizacionais:  Políticas de responsabilidades;  Política de continuidade de negócios (Business Continuity Plan - BCP);
 6.3 Descrição de Cargos:  Supervisão de infraestrutura de TI;  Administração de redes;  Administração de banco de dados;  Administração de dados;  Administração de segurança;  Análise, programação e manutenção de sistemas;  Design para WEB;
 6.3 Descrição de Cargos:(II)  Operador de console;  Operadores de conversão de dados;  Bibliotecários;  Suporte técnico;  Supervisão de Help desk;  Grupo de controle de dados;  Supervisão de Restart/Recovery;
 6.4 Objetivos de auditoria:  O principal objetivo de auditoria de controles organizacionais de área de informática é testar a grande essência de controle interno, promover eficiência das operações e fomentar maior adesão às políticas prescritas pela gerência com maios foco na responsabilidade;  6.5 Programa de auditoria – Controle Organizacionais e Operacionais;
Auditoria de sistemas de informação

Recommended

Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de SistemasSegurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Cleber Fonseca
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
Rodrigo Gomes da Silva
 
Aula 01 - Introdução ao Sistema de Informação
Aula 01 - Introdução ao Sistema de InformaçãoAula 01 - Introdução ao Sistema de Informação
Aula 01 - Introdução ao Sistema de Informação
Daniel Brandão
 
Aula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemasAula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemas
sorayaNadja
 
Banco de Dados Conceitos
Banco de Dados ConceitosBanco de Dados Conceitos
Banco de Dados Conceitos
Cleber Ramos
 
Modelo Relacional, Rede e Hierárquico
Modelo Relacional, Rede e HierárquicoModelo Relacional, Rede e Hierárquico
Modelo Relacional, Rede e Hierárquico
rosimaracorsino
 
Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...
Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...
Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...
Adriano Martins Antonio
 
Aula 1
Aula 1Aula 1
Aula 1
Jorge Ávila Miranda
 

Recommended

Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de SistemasSegurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Cleber Fonseca
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
Rodrigo Gomes da Silva
 
Aula 01 - Introdução ao Sistema de Informação
Aula 01 - Introdução ao Sistema de InformaçãoAula 01 - Introdução ao Sistema de Informação
Aula 01 - Introdução ao Sistema de Informação
Daniel Brandão
 
Aula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemasAula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemas
sorayaNadja
 
Banco de Dados Conceitos
Banco de Dados ConceitosBanco de Dados Conceitos
Banco de Dados Conceitos
Cleber Ramos
 
Modelo Relacional, Rede e Hierárquico
Modelo Relacional, Rede e HierárquicoModelo Relacional, Rede e Hierárquico
Modelo Relacional, Rede e Hierárquico
rosimaracorsino
 
Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...
Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...
Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...
Adriano Martins Antonio
 
Aula 1
Aula 1Aula 1
Aula 1
Jorge Ávila Miranda
 
Sistemas operacionais
Sistemas operacionaisSistemas operacionais
Sistemas operacionais
vini_campos
 
Banco de Dados I - Aula 06 - Banco de Dados Relacional (Modelo Lógico)
Banco de Dados I - Aula 06 - Banco de Dados Relacional (Modelo Lógico)Banco de Dados I - Aula 06 - Banco de Dados Relacional (Modelo Lógico)
Banco de Dados I - Aula 06 - Banco de Dados Relacional (Modelo Lógico)
Leinylson Fontinele
 
ISO 38500 Visão Geral
ISO 38500 Visão GeralISO 38500 Visão Geral
ISO 38500 Visão Geral
Blue Hawk - B&IT Management
 
Capítulo 04 - Infraestrutura de tecnologia da informação
Capítulo 04 - Infraestrutura de tecnologia da informaçãoCapítulo 04 - Infraestrutura de tecnologia da informação
Capítulo 04 - Infraestrutura de tecnologia da informação
Everton Souza
 
Auditoria de sistemas2
Auditoria de sistemas2Auditoria de sistemas2
Auditoria de sistemas2
GrupoAlves - professor
 
Ferramentas de Gerenciamento de Rede
Ferramentas de Gerenciamento de RedeFerramentas de Gerenciamento de Rede
Ferramentas de Gerenciamento de Rede
Helder Lopes
 
Arquitetura de Computadores: Evolução dos computadores
Arquitetura de Computadores: Evolução dos computadoresArquitetura de Computadores: Evolução dos computadores
Arquitetura de Computadores: Evolução dos computadores
Alex Camargo
 
Maquinas multinivel
Maquinas multinivelMaquinas multinivel
Maquinas multinivel
Marcelle Guiné
 
Fundamentos em Tecnologia da Informação - Prof.ª Cristiane Fidelix
Fundamentos em Tecnologia da Informação - Prof.ª Cristiane FidelixFundamentos em Tecnologia da Informação - Prof.ª Cristiane Fidelix
Fundamentos em Tecnologia da Informação - Prof.ª Cristiane Fidelix
Cris Fidelix
 
Linguagem de programação
Linguagem de programação Linguagem de programação
Linguagem de programação
Marcos Gregorio
 
Introdução a modelagem de dados - Banco de Dados
Introdução a modelagem de dados - Banco de DadosIntrodução a modelagem de dados - Banco de Dados
Introdução a modelagem de dados - Banco de Dados
info_cimol
 
Aula Introdução a Arquitetura e Organização de Computadores
Aula Introdução a Arquitetura e Organização de ComputadoresAula Introdução a Arquitetura e Organização de Computadores
Aula Introdução a Arquitetura e Organização de Computadores
Gilvan Latreille
 
Metadados: dados a respeito de dados
Metadados: dados a respeito de dadosMetadados: dados a respeito de dados
Metadados: dados a respeito de dados
Miguel Angel Mardero Arellano
 
Aula Introdução a Arquitetura e Organização de Computadores
Aula Introdução a Arquitetura e Organização de ComputadoresAula Introdução a Arquitetura e Organização de Computadores
Aula Introdução a Arquitetura e Organização de Computadores
Gilvan Latreille
 
Banco de Dados I - Aula 03 - Conceitos de Sistemas de Banco de Dados
Banco de Dados I - Aula 03 - Conceitos de Sistemas de Banco de DadosBanco de Dados I - Aula 03 - Conceitos de Sistemas de Banco de Dados
Banco de Dados I - Aula 03 - Conceitos de Sistemas de Banco de Dados
Leinylson Fontinele
 
Aula 04 arquitetura de computadores
Aula 04 arquitetura de computadoresAula 04 arquitetura de computadores
Aula 04 arquitetura de computadores
Daniel Moura
 
Banco de Dados (parte 01)
Banco de Dados (parte 01)Banco de Dados (parte 01)
Banco de Dados (parte 01)
Alex Camargo
 
Arquitetura de um computador
Arquitetura de um computadorArquitetura de um computador
Arquitetura de um computador
Filipe Duarte
 
Sistemas Operacionais - Gnu/Linux
Sistemas Operacionais - Gnu/LinuxSistemas Operacionais - Gnu/Linux
Sistemas Operacionais - Gnu/Linux
Luiz Arthur
 
Sistemas de Gestão de Bases de Dados
Sistemas de Gestão de Bases de DadosSistemas de Gestão de Bases de Dados
Sistemas de Gestão de Bases de Dados
Clara Ferreira
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de Sistemas
Allan Piter Pressi
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemas
Capitu Tel
 

More Related Content

What's hot

Aula 04 arquitetura de computadores
Aula 04 arquitetura de computadoresAula 04 arquitetura de computadores
Aula 04 arquitetura de computadores
Daniel Moura
 
Sistemas Operacionais - Gnu/Linux
Sistemas Operacionais - Gnu/LinuxSistemas Operacionais - Gnu/Linux
Sistemas Operacionais - Gnu/Linux
Luiz Arthur
 
Sistemas de Gestão de Bases de Dados
Sistemas de Gestão de Bases de DadosSistemas de Gestão de Bases de Dados
Sistemas de Gestão de Bases de Dados
Clara Ferreira
 

What's hot (20)

Sistemas operacionais
Sistemas operacionaisSistemas operacionais
Sistemas operacionais
 
Banco de Dados I - Aula 06 - Banco de Dados Relacional (Modelo Lógico)
Banco de Dados I - Aula 06 - Banco de Dados Relacional (Modelo Lógico)Banco de Dados I - Aula 06 - Banco de Dados Relacional (Modelo Lógico)
Banco de Dados I - Aula 06 - Banco de Dados Relacional (Modelo Lógico)
 
ISO 38500 Visão Geral
ISO 38500 Visão GeralISO 38500 Visão Geral
ISO 38500 Visão Geral
 
Capítulo 04 - Infraestrutura de tecnologia da informação
Capítulo 04 - Infraestrutura de tecnologia da informaçãoCapítulo 04 - Infraestrutura de tecnologia da informação
Capítulo 04 - Infraestrutura de tecnologia da informação
 
Auditoria de sistemas2
Auditoria de sistemas2Auditoria de sistemas2
Auditoria de sistemas2
 
Ferramentas de Gerenciamento de Rede
Ferramentas de Gerenciamento de RedeFerramentas de Gerenciamento de Rede
Ferramentas de Gerenciamento de Rede
 
Arquitetura de Computadores: Evolução dos computadores
Arquitetura de Computadores: Evolução dos computadoresArquitetura de Computadores: Evolução dos computadores
Arquitetura de Computadores: Evolução dos computadores
 
Maquinas multinivel
Maquinas multinivelMaquinas multinivel
Maquinas multinivel
 
Fundamentos em Tecnologia da Informação - Prof.ª Cristiane Fidelix
Fundamentos em Tecnologia da Informação - Prof.ª Cristiane FidelixFundamentos em Tecnologia da Informação - Prof.ª Cristiane Fidelix
Fundamentos em Tecnologia da Informação - Prof.ª Cristiane Fidelix
 
Linguagem de programação
Linguagem de programação Linguagem de programação
Linguagem de programação
 
Introdução a modelagem de dados - Banco de Dados
Introdução a modelagem de dados - Banco de DadosIntrodução a modelagem de dados - Banco de Dados
Introdução a modelagem de dados - Banco de Dados
 
Aula Introdução a Arquitetura e Organização de Computadores
Aula Introdução a Arquitetura e Organização de ComputadoresAula Introdução a Arquitetura e Organização de Computadores
Aula Introdução a Arquitetura e Organização de Computadores
 
Metadados: dados a respeito de dados
Metadados: dados a respeito de dadosMetadados: dados a respeito de dados
Metadados: dados a respeito de dados
 
Aula Introdução a Arquitetura e Organização de Computadores
Aula Introdução a Arquitetura e Organização de ComputadoresAula Introdução a Arquitetura e Organização de Computadores
Aula Introdução a Arquitetura e Organização de Computadores
 
Banco de Dados I - Aula 03 - Conceitos de Sistemas de Banco de Dados
Banco de Dados I - Aula 03 - Conceitos de Sistemas de Banco de DadosBanco de Dados I - Aula 03 - Conceitos de Sistemas de Banco de Dados
Banco de Dados I - Aula 03 - Conceitos de Sistemas de Banco de Dados
 
Aula 04 arquitetura de computadores
Aula 04 arquitetura de computadoresAula 04 arquitetura de computadores
Aula 04 arquitetura de computadores
 
Banco de Dados (parte 01)
Banco de Dados (parte 01)Banco de Dados (parte 01)
Banco de Dados (parte 01)
 
Arquitetura de um computador
Arquitetura de um computadorArquitetura de um computador
Arquitetura de um computador
 
Sistemas Operacionais - Gnu/Linux
Sistemas Operacionais - Gnu/LinuxSistemas Operacionais - Gnu/Linux
Sistemas Operacionais - Gnu/Linux
 
Sistemas de Gestão de Bases de Dados
Sistemas de Gestão de Bases de DadosSistemas de Gestão de Bases de Dados
Sistemas de Gestão de Bases de Dados
 

Viewers also liked

Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemas
Capitu Tel
 
Introdução ao OWASP
Introdução ao OWASPIntrodução ao OWASP
Introdução ao OWASP
Carlos Serrao
 
Audit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-siAudit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-si
Alves Albert
 
Coletanea Segurança e Auditoria (Esaf) - Walter Cunha
Coletanea Segurança e Auditoria (Esaf) - Walter CunhaColetanea Segurança e Auditoria (Esaf) - Walter Cunha
Coletanea Segurança e Auditoria (Esaf) - Walter Cunha
Walter Cunha
 
Fluxos Comunicacionais e Cultura Organizacional, por Priscyla Caldas
Fluxos Comunicacionais e Cultura Organizacional, por Priscyla CaldasFluxos Comunicacionais e Cultura Organizacional, por Priscyla Caldas
Fluxos Comunicacionais e Cultura Organizacional, por Priscyla Caldas
Priscyla Caldas
 

Viewers also liked (20)

Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de Sistemas
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemas
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informação
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Introdução ao OWASP
Introdução ao OWASPIntrodução ao OWASP
Introdução ao OWASP
 
OWASP: O que, Por que e Como
OWASP: O que, Por que e ComoOWASP: O que, Por que e Como
OWASP: O que, Por que e Como
 
Audit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-siAudit 01-apostila-auditoria-em-si
Audit 01-apostila-auditoria-em-si
 
Coletanea Segurança e Auditoria (Esaf) - Walter Cunha
Coletanea Segurança e Auditoria (Esaf) - Walter CunhaColetanea Segurança e Auditoria (Esaf) - Walter Cunha
Coletanea Segurança e Auditoria (Esaf) - Walter Cunha
 
20091 apost topic_v_-_control
20091 apost topic_v_-_control20091 apost topic_v_-_control
20091 apost topic_v_-_control
 
Introdução ao owasp zap aula-01
Introdução ao owasp zap aula-01 Introdução ao owasp zap aula-01
Introdução ao owasp zap aula-01
 
ITIL Security - Uma Visão de Segurança por Processos
ITIL Security - Uma Visão de Segurança por ProcessosITIL Security - Uma Visão de Segurança por Processos
ITIL Security - Uma Visão de Segurança por Processos
 
2ª edição da pós-graduação em Auditoria, Risco e controlo de sistemas de info...
2ª edição da pós-graduação em Auditoria, Risco e controlo de sistemas de info...2ª edição da pós-graduação em Auditoria, Risco e controlo de sistemas de info...
2ª edição da pós-graduação em Auditoria, Risco e controlo de sistemas de info...
 
Fluxos Comunicacionais e Cultura Organizacional, por Priscyla Caldas
Fluxos Comunicacionais e Cultura Organizacional, por Priscyla CaldasFluxos Comunicacionais e Cultura Organizacional, por Priscyla Caldas
Fluxos Comunicacionais e Cultura Organizacional, por Priscyla Caldas
 
Normas de auditoria reduzida
Normas de auditoria reduzidaNormas de auditoria reduzida
Normas de auditoria reduzida
 
Logs, Monitoramento e Estatísticas - Uma Abordagem sobre Ferramentas
Logs, Monitoramento e Estatísticas - Uma Abordagem sobre FerramentasLogs, Monitoramento e Estatísticas - Uma Abordagem sobre Ferramentas
Logs, Monitoramento e Estatísticas - Uma Abordagem sobre Ferramentas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Os 5 Níveis de Reuso
Os 5 Níveis de ReusoOs 5 Níveis de Reuso
Os 5 Níveis de Reuso
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
 
OWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHPOWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHP
 
OWASP - Ferramentas
OWASP - FerramentasOWASP - Ferramentas
OWASP - Ferramentas
 

Similar to Auditoria de sistemas de informação

Simulado cobit em português
Simulado cobit em portuguêsSimulado cobit em português
Simulado cobit em português
Fernando Palma
 
plano_de_projeto_controlart_rascunho
plano_de_projeto_controlart_rascunhoplano_de_projeto_controlart_rascunho
plano_de_projeto_controlart_rascunho
userrx
 
Aula 1 - Gestão de Infraestrutura
Aula 1 - Gestão de InfraestruturaAula 1 - Gestão de Infraestrutura
Aula 1 - Gestão de Infraestrutura
Paulo Nascimento
 
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...
TECSI FEA USP
 
Visão geral da engenharia de software qualidade de software
Visão geral da engenharia de software qualidade de softwareVisão geral da engenharia de software qualidade de software
Visão geral da engenharia de software qualidade de software
jordanavy
 
Cobit 4.0 visão geral
Cobit 4.0 visão geralCobit 4.0 visão geral
Cobit 4.0 visão geral
Tiago Andrade
 
Visão geral da engenharia de software qualidade de software
Visão geral da engenharia de software qualidade de softwareVisão geral da engenharia de software qualidade de software
Visão geral da engenharia de software qualidade de software
jordanavy
 

Similar to Auditoria de sistemas de informação (20)

01 introducaocaats
01 introducaocaats01 introducaocaats
01 introducaocaats
 
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
 
Simulado cobit em português
Simulado cobit em portuguêsSimulado cobit em português
Simulado cobit em português
 
11SMTF050922T03
11SMTF050922T0311SMTF050922T03
11SMTF050922T03
 
Auditoria de Processo
Auditoria de ProcessoAuditoria de Processo
Auditoria de Processo
 
Simulado cobit em português
Simulado cobit em portuguêsSimulado cobit em português
Simulado cobit em português
 
Consultoria Implantacao
Consultoria ImplantacaoConsultoria Implantacao
Consultoria Implantacao
 
ISO17799 2005
ISO17799 2005ISO17799 2005
ISO17799 2005
 
plano_de_projeto_controlart_rascunho
plano_de_projeto_controlart_rascunhoplano_de_projeto_controlart_rascunho
plano_de_projeto_controlart_rascunho
 
Os Desafios da Implementação da Auditoria com Foco em Riscos do Sistema Fiep
Os Desafios da Implementação da Auditoria com Foco em Riscos do Sistema FiepOs Desafios da Implementação da Auditoria com Foco em Riscos do Sistema Fiep
Os Desafios da Implementação da Auditoria com Foco em Riscos do Sistema Fiep
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
 
Estudo RTCA DO-330 Software Tool Qualification
Estudo RTCA DO-330 Software Tool QualificationEstudo RTCA DO-330 Software Tool Qualification
Estudo RTCA DO-330 Software Tool Qualification
 
Aula 1 - Gestão de Infraestrutura
Aula 1 - Gestão de InfraestruturaAula 1 - Gestão de Infraestrutura
Aula 1 - Gestão de Infraestrutura
 
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...
Auditoria Eletrônica: Automatização de procedimentos de auditoria através do ...
 
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize
 
Auditoria interna de ti 2
Auditoria interna de ti 2Auditoria interna de ti 2
Auditoria interna de ti 2
 
Visão geral da engenharia de software qualidade de software
Visão geral da engenharia de software qualidade de softwareVisão geral da engenharia de software qualidade de software
Visão geral da engenharia de software qualidade de software
 
Cobit 4.0 visão geral
Cobit 4.0 visão geralCobit 4.0 visão geral
Cobit 4.0 visão geral
 
Visão geral da engenharia de software qualidade de software
Visão geral da engenharia de software qualidade de softwareVisão geral da engenharia de software qualidade de software
Visão geral da engenharia de software qualidade de software
 

More from Silvino Neto

Implantando a governança de ti
Implantando a governança de tiImplantando a governança de ti
Implantando a governança de ti
Silvino Neto
 
Conteúdos, Identidade Cultural e O Governo ao Alcance de Todos
Conteúdos, Identidade Cultural e O Governo ao Alcance de TodosConteúdos, Identidade Cultural e O Governo ao Alcance de Todos
Conteúdos, Identidade Cultural e O Governo ao Alcance de Todos
Silvino Neto
 
Processos e threads
Processos e threadsProcessos e threads
Processos e threads
Silvino Neto
 
Apresentação java io
Apresentação java ioApresentação java io
Apresentação java io
Silvino Neto
 

More from Silvino Neto (7)

Lei 811290
Lei 811290Lei 811290
Lei 811290
 
Implantando a governança de ti
Implantando a governança de tiImplantando a governança de ti
Implantando a governança de ti
 
Gateway de linha de dados
Gateway de linha de dadosGateway de linha de dados
Gateway de linha de dados
 
Servidor proxy
Servidor proxy Servidor proxy
Servidor proxy
 
Conteúdos, Identidade Cultural e O Governo ao Alcance de Todos
Conteúdos, Identidade Cultural e O Governo ao Alcance de TodosConteúdos, Identidade Cultural e O Governo ao Alcance de Todos
Conteúdos, Identidade Cultural e O Governo ao Alcance de Todos
 
Processos e threads
Processos e threadsProcessos e threads
Processos e threads
 
Apresentação java io
Apresentação java ioApresentação java io
Apresentação java io
 

Auditoria de sistemas de informação

  • 1. RESUMO 2ª EDIÇÃO (PG 15-89) – JOSHUA ONOME IMONIANA - IFBA
  • 2.    ASI – Auditoria de Sistemas de Informação SI – Sistemas de Informação TAAC - Técnica de auditoria assistida por computador
  • 3.       1. Fundamentos de Auditoria de Sistemas de Informações.......................................................4-8; 2. Padrões e código de ética para ASI................9-10; 3. Desenvolvimento de equipe de auditoria sistemas de informação.................................................11-12; 4. Controles internos e avaliações:...................13-19; 5. Ferramentas e Técnicas de Auditoria de TI...20-25; 6. Auditoria de Controles Organizacionais e Operacionais..................................................26-29;
  • 4.  1.1 Histórico de Sistemas de Informação:  Cálculos no ano 5000 a.C ;  Invenção dos cartões perfurados(punch cards) por Herman Hollerith;  Construção do ENIAC durante a 2ª Guerra Mundial;  Mudanças provocadas durante o ano de 1950 em todos ambientes de negócios criaram uma grande complexidade que causou a adoção de sistemas de informação para o processamento de dados;
  • 5.  1.2 Conceito de Sistemas:  Sistema é um conjunto de elementos inter- relacionados com um objetivo: produzir relatórios para ajudar na tomada de decisões;  1.3 Conceito de Auditoria de Tecnologia de Informação:  Tem objetivo de garantir que informações em forma eletrônica são confiáveis;
  • 6.   1.4 Abordagem de Auditoria de Sistemas de Informações: 1.4.1 Abordagem ao redor do computador :  Baseia-se na confrontação de documentos-fonte com resultados esperados;  1.4.2 Abordagem através do computador:  O auditor acompanha o processamento por dentro do computador;  1.4.3 Abordagem com o computador:  Uma abordagem com o computador completamente assistida;
  • 7.  1.5 Organização do Trabalho de Auditoria de Tecnologia de Informação:        Planejamento Escolher a equipe Programar a equipe Execução de trabalhos e supervisão Revisão de papéis e trabalhos Atualização do conhecimento permanente Avaliação da equipe
  • 8.  1.6 Documentação dos papéis de trabalhos :  Papéis de trabalhos constituem conjunto de formulários preenchidos logicamente no processo de auditoria de sistemas.  Figuras que possuem acesso: ▪ Sócio: responsável pelo serviço de auditoria; ▪ Encarregado supervisor e gerente: chefe da equipe de auditoria que deve cadastrar identificação da auditoria; ▪ Preparador (assistente ou sênior de auditoria): capta informações e diretrizes de auditoria nos banco de dados central;
  • 9.  2.1 Comitê de padrões da associação de controle e audit de tecnologia de informação: -Conforme padrões emitidos:        Responsabilidade, autoridade e prestação de contas; Independência profissional; Ética profissional e padrões; Competência; Planejamento; Emissão de relatório; Atividades de follow-up;
  • 10.  2.2 Associação de auditores de sistemas e controles(ISACA): - código dos membros  1. apoiar a implementação e encorajar cumprimento de       padrões; 2. exercer suas funções com objetividade; 3. servir aos interesses dos stakeholders de forma legal e honesta; 4. manter privacidade e confidencialidade de informações; 5. manter competência nas respectivas especialidades; 6. informar as partes envolvidas 7. apoiar conscientização profissional dos stakeholders;
  • 11.  3.1 problemática de desenvolvimento “...”:  Crescente complexidade de ambientes de TI e dificuldades e relutância de auditores com relação a adaptação para auditar estes ambientes;  3.1.1 Programa de desenvolvimento carreira de auditoria de TI: de  Programa utilizado por auditores independentes, que contratam formandos em áreas afins, e os treinam;  Treinamento dividido em duas partes:(i) categoria com pouca ou nenhuma experiência em TI; e (ii) aqueles que possuem experiência;
  • 12.  Carreira de auditor de TI:  Nível 1- Básico: trainee;  Nível 2 – Fundação: assistentes;  Nível 3 – Focal: seniores e supervisores;  Nível 4 – Integração: gerentes;  Nível 5 – Aconselhamento: sócio de auditoria;
  • 13.  4.1 Fundamentos de controle internos em SI:  Conforme Instituto Americano de Contadores Públicos: “planos organizacionais e conjuntos de métodos e medidas adotados numa empresa, a fim de salvaguardar o ativo, verificar a exatidão e veracidade registros contábeis, promover efetividade de SI e eficiência operacional ”;
  • 14.  4.1.1 Controles internos em PED, princípios e objetivos:  Supervisão;  Registro e comunicação;  Segregação de funções;  Classificação de informação;  Tempestividade;  Auditoriabilidade;
  • 15.  4.1.1 Controles internos em PED, princípios e objetivos:(II)  Controle independente;  Monitoramento;  Implantação;  Contingência;  Custo efetivo;
  • 16.  4.1.1.1 Tipos de controle:  Controles administrativos e gerências - controles que possuem a separação de funções ou responsabilidades;  Controles de segurança e privacidade; ▪ Propriedades: SIGILO, INTEGRIDADE, DISPONIBILIDADE, CONTABILIDADE e AUDITORIABILIDADE;
  • 17.  4.1.1.1 Tipos de controle:(II)  Controles de preparação e captação de dados – controle que é exercido no começo de cada atividade de processamento de dados;  Controles de entrada de dados – controle de inputs (entrada) de dados, que visa reduzir dúvidas que possam existir no ponto de entrada;  Controles de processamento – são programados e construídos no computador de forma segura;
  • 18.  4.1.1.1 Tipos de controle:(III)  Controles de saída e de emissão de relatórios – procedimentos de manuseio de output;  Controles de gravação e recuperação de dados – este controle certifica a integridade de dados recebidos dentro da data-base e qualquer indivíduo que pode acessá-lo com o mínimo esforço;
  • 19.  4.2 Avaliação dos procedimentos controles internos e avaliações: de  Trabalho executado pelo auditor que tenha habilidade em TI  4.3 Análise de risco de avaliação de sistema de controle interno:  Metodologia adotada pelos auditores de TI para saber, com antecedência, quais ameaças puras ou prováveis em um ambiente de TI de uma organização;
  • 20.  5.1 Ferramentas:  Auxiliam na extração, sorteio, seleção de dados e transações;  5.1.1 Software generalista de auditoria de TI:  ACL  IDEA  Audimation  Galileo  Pentana
  • 21.  5.1.2 Softwares especializados de auditoria:  programa desenvolvido especificamente;  5.1.3 Programas utilitários:  Geralmente banco de dados: SQL, Dbase 2, etc.  5.2 Técnicas:  Variadas metodologias que são chamadas de técnicas, que proporcionam várias vantagens: produtividade, custo, qualidade assegurada, valor agregado, benefícios corporativos e benefícios para o auditor.
  • 22.  5.2.1 Dados de teste:  Conhecido por test data ou test deck, envolve um conjunto de dados de entrada especialmente preparados com objetivos de testar os controles programados e controles de sistema aplicativo;  5.2.2 Facilidade de teste integrado:  Conhecida por Integrated Test Facility(ITF), ela usa dados de testes integrados aos ambientes reais de processamento utilizando-se versões correntes da produção.
  • 23.  5.2.3 Simulação paralela:  Envolve o uso de um programa especialmente desenvolvido que atenda as lógicas necessárias para um aplicativo devidamente testado.  5.2.4 Lógica de auditoria embutida nos sistemas:  Envolve a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos.
  • 24.  5.2.5 Rastreamento e mapeamento:  Envolve desenvolvimento e implementação de uma trilha de auditoria para acompanhar certos pontos da lógica de processamento de algumas transações;  5.2.6 Análise lógica de programação:  Técnica que envolve verificação da lógica de programação para certificar que instruções dadas ao computador são as mesmas já identificadas nas documentações dos sistemas e aplicativos;
  • 25.   5.3 Aplicação de técnica de auditoria assistida por computador (TAAC): 5.4 Documentação dos papéis de trabalhos TAAC:  Deve conter informações suficientes para descrever testes e conclusões. São por exemplo: planejamento, execução e evidenciação;
  • 26.  6.1 Introdução:  Controles organizacionais – são controles administrativos instalados nos processos de fluxo de transações econômicas;  6.2 Políticas Organizacionais:  Políticas de responsabilidades;  Política de continuidade de negócios (Business Continuity Plan - BCP);
  • 27.  6.3 Descrição de Cargos:  Supervisão de infraestrutura de TI;  Administração de redes;  Administração de banco de dados;  Administração de dados;  Administração de segurança;  Análise, programação e manutenção de sistemas;  Design para WEB;
  • 28.  6.3 Descrição de Cargos:(II)  Operador de console;  Operadores de conversão de dados;  Bibliotecários;  Suporte técnico;  Supervisão de Help desk;  Grupo de controle de dados;  Supervisão de Restart/Recovery;
  • 29.  6.4 Objetivos de auditoria:  O principal objetivo de auditoria de controles organizacionais de área de informática é testar a grande essência de controle interno, promover eficiência das operações e fomentar maior adesão às políticas prescritas pela gerência com maios foco na responsabilidade;  6.5 Programa de auditoria – Controle Organizacionais e Operacionais;