SlideShare a Scribd company logo

Auditoria e Segurança em TI

Wagner Silva
Wagner Silva

O documento discute os principais aspectos da segurança da informação, incluindo confidencialidade, integridade, disponibilidade, autenticação, não-repúdio e auditoria. Também aborda os ativos de informação, sistemas de gestão de segurança da informação, normas como a NBR ISO/IEC 27000 e a importância da auditoria em segurança da informação.

Business
1 of 17
Download to read offline
Auditoria e Segurança em Tecnologia da Informação Wagner Silva Gestão de Tecnologia da Informação
Segurança da Informação • A Informação existe em varias formas • Tem valor e necessita protegida • Crucial para o funcionamento de uma empresa • As empresas estão mais vulneráveis às interrupções ou falhas • Quanto mais tempo, mais sérias são as consequências • A Segurança da Informação é um problema organizacional e não tecnológico • Integração entre componentes de gestão e tecnologia • Envolve riscos e custos
Segurança da Informação Ciclo de Vida da Informação
Segurança da Informação Principais Aspectos • Confidencialidade: permissão de acesso apenas para usuários autorizados • Integridade: a informação deve estar correta, ser verdadeira e não estar corrompida • Disponibilidade: disponível sempre que requisitada
Segurança da Informação Demais aspectos • Autenticação: garantir a identidade de um usuário • Não-repúdio: capacidade de provar as ações executadas • Legalidade: aderente à legislação • Privacidade: quando necessário, garantir o anonimato • Auditoria: capacidade de detectar fraudes ou tentativas de ataque
Segurança da Informação Ativo de Informação • Um ativo de informação é composto pela informação, o meio que a suporta, que a mantém e que permite que ela exista, as pessoas que a manipulam e o ambiente onde ela está inserida: • Aspectos Humanos • Ambiente Físico • Ambiente Lógico • Controle de Acesso
Segurança da Informação Ativo de Informação
Fornecimento de TI corporativa • 75% do fornecimento de TI corporativa serão feitos por meio de computação em nuvem até 2016 • Expectativas: • Redução de custos (68%), maior agilidade (59%) e melhorar os serviços (55%) • Principais barreiras: • Definição de SLAs (68%), conformidade com governança e regulamentações (63%), gerenciamento de problemas com soberania de dados (62%) e identificação do parceiro estratégico adequado (62%) • Aplicações: • CRM (71%), backup e armazenamento do banco de dados (67%) • Aplicações financeiras: menos prováveis de passarem por essa transição • Capacidades: • Segurança (72%), SLAs (61%) e cargas de trabalho (59%) Coleman Parkes Reserch, 2013
Sistema de Gestão de Segurança da Informação • Resultado da aplicação planejada de objetivos, diretrizes, políticas, procedimentos, modelos e outras medidas administrativas que, de forma conjunta, definem como são reduzidos os riscos para a segurança da informação. • É uma parte do sistema global de gestão, baseado numa abordagem de risco, que permite definir, implementar, operacionalizar, monitorar, manter e melhorar a segurança da Informação. • Considera, basicamente: • Os ativos que estão sendo protegidos • O gerenciamento de riscos • Os objetivos de controles e controles implementados
Política de Segurança da Informação • Composta por um conjunto de regras e padrões sobre o que deve ser feito para assegurar que as informações e serviços importantes para a empresa recebam a proteção conveniente • Avaliação de Risco: determina o nível de risco para a empresa caso uma atividade ou processo específico não sejam controlados adequadamente • Política de Segurança: declaração que estabelece uma hierarquia para os riscos de informação e dentífrica metas de segurança aventáveis, assim como os mecanismos para atingi-las. • Plano de recuperação de desastres: inclui estratégias para restaurar os serviços de computação e comunicação após eles terem sofrido uma interrupção causada por eventos da natureza ou por ataques. • Plano de continuidade dos negócios: concentra-se em como a empresa pode restaurar suas operações após um desastre.
Metodologias e Melhores Práticas em Segurança da Informação • COBIT • ITIL • NBR ISO/IEC 27000
Segurança da Informação NBR ISO/IEC 27000 • 1995: Publicada a primeira versão da BS 7799-1 • 1998: Publicada a primeira versão da BS 7799-2 • 1999: Publicada a primeira revisão da BS 7799-1 • 2000: Publicada a primeira versão da ISO/IEC 17799 • 2001: Publicada a primeira versão da NBR ISO/IEC 17799 • 2002: Publicada revisão da BS 7799-2 • 2005: Publicada a segunda versão da NBR ISO/IEC 17799 • Publicada a primeira versão da ISO/IEC 27001 • 2006: 2001: Publicada a primeira versão da NBR ISO/ IEC 27001 • 2007: Alteração do nome da NBR 17799 para NBR 27002
Segurança da Informação NBR ISO/IEC 27000 • Série de padrões relacionados a temática de Segurança da Informação • Conjunto de normas desenvolvidas, que fornecem uma estrutura para gerenciamento de segurança da informação para qualquer organização, pública ou privada, grande ou pequeno porte. • Melhores práticas sobre Gestão de Segurança da Informação e quais os requisitos e metodologias para implementá-la dentro de uma organização. • Base de gestão de Segurança da Informação usada pelo COBIT, ITIL e outras metodologias de Governança e Gestão de TI.
Segurança da Informação NBR ISO/IEC 27000 27001 Vocabulário e definições a serem utilizadas pelas restantes Normas 27002 Define boas práticas para a gestão da segurança da Informação 27003 Guia para a implementação de um SGSI 27004 Define métricas e meios de medição para Avaliar a eficácia de um SGSI 27005 Define linhas de orientação para a gestão do risco da segurança da Informação 27006 Guia para o processo de acreditação de entidades certificadoras
Segurança da Informação NBR ISO/IEC 27002 • Política de Segurança da Informação; • Organizando a Segurança da Informação; • Gestão de Ativos; • Segurança em Recursos Humanos; • Segurança Física e do Ambiente; • Gestão das Operações e Comunicações; • Controle de Acesso; • Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação; • Gestão de Incidentes de Segurança da Informação; • Gestão da Continuidade do Negócio; • Conformidade.
Auditoria em Segurança da Informação • Identifica todos os controles que governam sistemas individuais de informação e avalia sua efetividade • Compreender por completo as operações, instalações físicas, telecomunicações, sistemas de controle, objetivos de segurança de dados, estrutura organizacional, pessoal, procedimentos manuais e aplicações individuais da organização • Lista e classifica todos os pontos fracos do controle e estima a probabilidade de ocorrerem erros nesses pontos

Recommended

Data Architecture for Data Governance
Data Architecture for Data GovernanceData Architecture for Data Governance
Data Architecture for Data GovernanceDATAVERSITY
 
CDMP preparation workshop EDW2016
CDMP preparation workshop EDW2016CDMP preparation workshop EDW2016
CDMP preparation workshop EDW2016Christopher Bradley
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informaçãoRodrigo Gomes da Silva
 
Data-Ed Webinar: Data Quality Success Stories
Data-Ed Webinar: Data Quality Success StoriesData-Ed Webinar: Data Quality Success Stories
Data-Ed Webinar: Data Quality Success StoriesDATAVERSITY
 
Aula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemasAula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemassorayaNadja
 
Chapter 4: Data Architecture Management
Chapter 4: Data Architecture ManagementChapter 4: Data Architecture Management
Chapter 4: Data Architecture ManagementAhmed Alorage
 
Data Quality Dashboards
Data Quality DashboardsData Quality Dashboards
Data Quality DashboardsWilliam Sharp
 
Aula 1 introdução a base de dados
Aula 1 introdução a base de dadosAula 1 introdução a base de dados
Aula 1 introdução a base de dadosHélio Martins
 

Recommended

Data Architecture for Data Governance
Data Architecture for Data GovernanceData Architecture for Data Governance
Data Architecture for Data GovernanceDATAVERSITY
 
CDMP preparation workshop EDW2016
CDMP preparation workshop EDW2016CDMP preparation workshop EDW2016
CDMP preparation workshop EDW2016Christopher Bradley
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informaçãoRodrigo Gomes da Silva
 
Data-Ed Webinar: Data Quality Success Stories
Data-Ed Webinar: Data Quality Success StoriesData-Ed Webinar: Data Quality Success Stories
Data-Ed Webinar: Data Quality Success StoriesDATAVERSITY
 
Aula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemasAula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemassorayaNadja
 
Chapter 4: Data Architecture Management
Chapter 4: Data Architecture ManagementChapter 4: Data Architecture Management
Chapter 4: Data Architecture ManagementAhmed Alorage
 
Data Quality Dashboards
Data Quality DashboardsData Quality Dashboards
Data Quality DashboardsWilliam Sharp
 
Aula 1 introdução a base de dados
Aula 1 introdução a base de dadosAula 1 introdução a base de dados
Aula 1 introdução a base de dadosHélio Martins
 
Activate Data Governance Using the Data Catalog
Activate Data Governance Using the Data CatalogActivate Data Governance Using the Data Catalog
Activate Data Governance Using the Data CatalogDATAVERSITY
 
Data modelling 101
Data modelling 101Data modelling 101
Data modelling 101Christopher Bradley
 
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...Wellington Monaco
 
Data quality architecture
Data quality architectureData quality architecture
Data quality architectureanicewick
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasAllan Piter Pressi
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Carlos Henrique Martins da Silva
 
Review of Data Management Maturity Models
Review of Data Management Maturity ModelsReview of Data Management Maturity Models
Review of Data Management Maturity ModelsAlan McSweeney
 
Indicadores na Gestão de Riscos de Segurança da Informação
Indicadores na Gestão de Riscos de Segurança da InformaçãoIndicadores na Gestão de Riscos de Segurança da Informação
Indicadores na Gestão de Riscos de Segurança da InformaçãoMarcelo Martins
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002 Fernando Palma
 
The what, why, and how of master data management
The what, why, and how of master data managementThe what, why, and how of master data management
The what, why, and how of master data managementMohammad Yousri
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Cleber Fonseca
 
Data quality and bi
Data quality and biData quality and bi
Data quality and bijeffd00
 
Data Warehousing Trends, Best Practices, and Future Outlook
Data Warehousing Trends, Best Practices, and Future OutlookData Warehousing Trends, Best Practices, and Future Outlook
Data Warehousing Trends, Best Practices, and Future OutlookJames Serra
 
Data governance
Data governanceData governance
Data governanceMD Redaan
 
LGPD e Gestão Documental
LGPD e Gestão DocumentalLGPD e Gestão Documental
LGPD e Gestão DocumentalDaniel Gorita
 
Data Observability.pptx
Data Observability.pptxData Observability.pptx
Data Observability.pptxSonaSamad1
 
The Persona-Based Value of Modern Data Governance
The Persona-Based Value of Modern Data Governance The Persona-Based Value of Modern Data Governance
The Persona-Based Value of Modern Data Governance Precisely
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoJean Israel B. Feijó
 
Reference master data management
Reference master data managementReference master data management
Reference master data managementDr. Hamdan Al-Sabri
 
Five Things to Consider About Data Mesh and Data Governance
Five Things to Consider About Data Mesh and Data GovernanceFive Things to Consider About Data Mesh and Data Governance
Five Things to Consider About Data Mesh and Data GovernanceDATAVERSITY
 
Falhas de segurança & auditoria de ti
Falhas de segurança & auditoria de tiFalhas de segurança & auditoria de ti
Falhas de segurança & auditoria de tiGabriel Sixel
 
Gestão de Riscos da Segurança da Informação
Gestão de Riscos da Segurança da Informação Gestão de Riscos da Segurança da Informação
Gestão de Riscos da Segurança da Informação danilopv
 

More Related Content

What's hot

Activate Data Governance Using the Data Catalog
Activate Data Governance Using the Data CatalogActivate Data Governance Using the Data Catalog
Activate Data Governance Using the Data CatalogDATAVERSITY
 
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...Wellington Monaco
 
Data quality architecture
Data quality architectureData quality architecture
Data quality architectureanicewick
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasAllan Piter Pressi
 
Review of Data Management Maturity Models
Review of Data Management Maturity ModelsReview of Data Management Maturity Models
Review of Data Management Maturity ModelsAlan McSweeney
 
Indicadores na Gestão de Riscos de Segurança da Informação
Indicadores na Gestão de Riscos de Segurança da InformaçãoIndicadores na Gestão de Riscos de Segurança da Informação
Indicadores na Gestão de Riscos de Segurança da InformaçãoMarcelo Martins
 
The what, why, and how of master data management
The what, why, and how of master data managementThe what, why, and how of master data management
The what, why, and how of master data managementMohammad Yousri
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Cleber Fonseca
 
Data quality and bi
Data quality and biData quality and bi
Data quality and bijeffd00
 
Data Warehousing Trends, Best Practices, and Future Outlook
Data Warehousing Trends, Best Practices, and Future OutlookData Warehousing Trends, Best Practices, and Future Outlook
Data Warehousing Trends, Best Practices, and Future OutlookJames Serra
 
Data governance
Data governanceData governance
Data governanceMD Redaan
 
LGPD e Gestão Documental
LGPD e Gestão DocumentalLGPD e Gestão Documental
LGPD e Gestão DocumentalDaniel Gorita
 
Data Observability.pptx
Data Observability.pptxData Observability.pptx
Data Observability.pptxSonaSamad1
 
The Persona-Based Value of Modern Data Governance
The Persona-Based Value of Modern Data Governance The Persona-Based Value of Modern Data Governance
The Persona-Based Value of Modern Data Governance Precisely
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoJean Israel B. Feijó
 
Reference master data management
Reference master data managementReference master data management
Reference master data managementDr. Hamdan Al-Sabri
 
Five Things to Consider About Data Mesh and Data Governance
Five Things to Consider About Data Mesh and Data GovernanceFive Things to Consider About Data Mesh and Data Governance
Five Things to Consider About Data Mesh and Data GovernanceDATAVERSITY
 

What's hot (20)

Activate Data Governance Using the Data Catalog
Activate Data Governance Using the Data CatalogActivate Data Governance Using the Data Catalog
Activate Data Governance Using the Data Catalog
 
Data modelling 101
Data modelling 101Data modelling 101
Data modelling 101
 
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
LGPD | VISÃO GERAL DE ADEQUAÇÃO CORPORATIVA A LEGISLAÇÃO DE PROTEÇÃO DE DADOS...
 
Data quality architecture
Data quality architectureData quality architecture
Data quality architecture
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de Sistemas
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
Review of Data Management Maturity Models
Review of Data Management Maturity ModelsReview of Data Management Maturity Models
Review of Data Management Maturity Models
 
Indicadores na Gestão de Riscos de Segurança da Informação
Indicadores na Gestão de Riscos de Segurança da InformaçãoIndicadores na Gestão de Riscos de Segurança da Informação
Indicadores na Gestão de Riscos de Segurança da Informação
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
 
The what, why, and how of master data management
The what, why, and how of master data managementThe what, why, and how of master data management
The what, why, and how of master data management
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002
 
Data quality and bi
Data quality and biData quality and bi
Data quality and bi
 
Data Warehousing Trends, Best Practices, and Future Outlook
Data Warehousing Trends, Best Practices, and Future OutlookData Warehousing Trends, Best Practices, and Future Outlook
Data Warehousing Trends, Best Practices, and Future Outlook
 
Data governance
Data governanceData governance
Data governance
 
LGPD e Gestão Documental
LGPD e Gestão DocumentalLGPD e Gestão Documental
LGPD e Gestão Documental
 
Data Observability.pptx
Data Observability.pptxData Observability.pptx
Data Observability.pptx
 
The Persona-Based Value of Modern Data Governance
The Persona-Based Value of Modern Data Governance The Persona-Based Value of Modern Data Governance
The Persona-Based Value of Modern Data Governance
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da Informação
 
Reference master data management
Reference master data managementReference master data management
Reference master data management
 
Five Things to Consider About Data Mesh and Data Governance
Five Things to Consider About Data Mesh and Data GovernanceFive Things to Consider About Data Mesh and Data Governance
Five Things to Consider About Data Mesh and Data Governance
 

Viewers also liked

Falhas de segurança & auditoria de ti
Falhas de segurança & auditoria de tiFalhas de segurança & auditoria de ti
Falhas de segurança & auditoria de tiGabriel Sixel
 
Gestão de Riscos da Segurança da Informação
Gestão de Riscos da Segurança da Informação Gestão de Riscos da Segurança da Informação
Gestão de Riscos da Segurança da Informação danilopv
 
Apostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatecApostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatecJefferson Santana
 
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de SistemasSegurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de SistemasCleber Fonseca
 
Apresentação de Montagem e Manutenção
Apresentação de Montagem e ManutençãoApresentação de Montagem e Manutenção
Apresentação de Montagem e ManutençãoCDP_Online
 
Manutenção e montagem de computadores
Manutenção e montagem de computadoresManutenção e montagem de computadores
Manutenção e montagem de computadoresJoka Luiz
 
Enterprise resource planning (ERP)
Enterprise resource planning (ERP)Enterprise resource planning (ERP)
Enterprise resource planning (ERP)Alexsandro Prado
 
Sistemas de Informações Gerenciais - SIG
Sistemas de Informações Gerenciais - SIGSistemas de Informações Gerenciais - SIG
Sistemas de Informações Gerenciais - SIGJoão Filho
 
Auditoria interna de ti 2
Auditoria interna de ti 2Auditoria interna de ti 2
Auditoria interna de ti 2MIGUEL_VILACA
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoFernando Palma
 
Tipos de Sistema de Informação
Tipos de Sistema de InformaçãoTipos de Sistema de Informação
Tipos de Sistema de InformaçãoRobson Santos
 
Modelos de banco de dados
Modelos de banco de dadosModelos de banco de dados
Modelos de banco de dadosEdgar Stuart
 

Viewers also liked (13)

Falhas de segurança & auditoria de ti
Falhas de segurança & auditoria de tiFalhas de segurança & auditoria de ti
Falhas de segurança & auditoria de ti
 
Gestão de Riscos da Segurança da Informação
Gestão de Riscos da Segurança da Informação Gestão de Riscos da Segurança da Informação
Gestão de Riscos da Segurança da Informação
 
Apostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatecApostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatec
 
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de SistemasSegurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
Segurança da Informação - Aula 9 - Introdução a Auditoria de Sistemas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Apresentação de Montagem e Manutenção
Apresentação de Montagem e ManutençãoApresentação de Montagem e Manutenção
Apresentação de Montagem e Manutenção
 
Manutenção e montagem de computadores
Manutenção e montagem de computadoresManutenção e montagem de computadores
Manutenção e montagem de computadores
 
Enterprise resource planning (ERP)
Enterprise resource planning (ERP)Enterprise resource planning (ERP)
Enterprise resource planning (ERP)
 
Sistemas de Informações Gerenciais - SIG
Sistemas de Informações Gerenciais - SIGSistemas de Informações Gerenciais - SIG
Sistemas de Informações Gerenciais - SIG
 
Auditoria interna de ti 2
Auditoria interna de ti 2Auditoria interna de ti 2
Auditoria interna de ti 2
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informação
 
Tipos de Sistema de Informação
Tipos de Sistema de InformaçãoTipos de Sistema de Informação
Tipos de Sistema de Informação
 
Modelos de banco de dados
Modelos de banco de dadosModelos de banco de dados
Modelos de banco de dados
 

Similar to Auditoria e Segurança em TI

Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaPaulo Garcia
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosBruno Oliveira
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001Amanda Luz
 
Rischio - Segurança da Informação
Rischio - Segurança da InformaçãoRischio - Segurança da Informação
Rischio - Segurança da InformaçãoAllan Piter Pressi
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Giovani Sant'Anna
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoRequisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoSidney Modenesi, MBCI
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Luzia Dourado
 
Cobit 4.0 visão geral
Cobit 4.0 visão geralCobit 4.0 visão geral
Cobit 4.0 visão geralTiago Andrade
 
Roadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL SecurityRoadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL SecurityRafael Maia
 
Governança de TI e Datagovernance
Governança de TI e DatagovernanceGovernança de TI e Datagovernance
Governança de TI e DatagovernanceMário Sérgio
 
Introdução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kIntrodução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kAldson Diego
 
Kickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarKickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarArthur Tofolo Washington
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concursoluanrjesus
 
Introdução a Segurança da Informação
Introdução a Segurança da InformaçãoIntrodução a Segurança da Informação
Introdução a Segurança da InformaçãoRafael De Brito Marques
 
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationCompanyWeb
 

Similar to Auditoria e Segurança em TI (20)

Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
 
Rischio - Segurança da Informação
Rischio - Segurança da InformaçãoRischio - Segurança da Informação
Rischio - Segurança da Informação
 
Segurança da Informação e Governança em TI
Segurança da Informação e Governança em TISegurança da Informação e Governança em TI
Segurança da Informação e Governança em TI
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoRequisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informação
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
 
Cobit 4.0 visão geral
Cobit 4.0 visão geralCobit 4.0 visão geral
Cobit 4.0 visão geral
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
Roadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL SecurityRoadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL Security
 
Governança de TI e Datagovernance
Governança de TI e DatagovernanceGovernança de TI e Datagovernance
Governança de TI e Datagovernance
 
Introdução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kIntrodução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27k
 
Kickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarKickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementar
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concurso
 
Introdução a Segurança da Informação
Introdução a Segurança da InformaçãoIntrodução a Segurança da Informação
Introdução a Segurança da Informação
 
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
 

More from Wagner Silva

APF- Análise de Ponto de Função
APF- Análise de Ponto de FunçãoAPF- Análise de Ponto de Função
APF- Análise de Ponto de FunçãoWagner Silva
 
MVS: Minimum Valuable Service
MVS: Minimum Valuable ServiceMVS: Minimum Valuable Service
MVS: Minimum Valuable ServiceWagner Silva
 
Cultive seus sonhos
Cultive seus sonhosCultive seus sonhos
Cultive seus sonhosWagner Silva
 
PETI - Fase de Execução
PETI - Fase de ExecuçãoPETI - Fase de Execução
PETI - Fase de ExecuçãoWagner Silva
 
Governança Corporativa-TI
Governança Corporativa-TIGovernança Corporativa-TI
Governança Corporativa-TIWagner Silva
 
Alinhamento Estratégico de TI
Alinhamento Estratégico de TIAlinhamento Estratégico de TI
Alinhamento Estratégico de TIWagner Silva
 
Web 2.0 com Ajax: JQuery/PHP (Aula 01)
Web 2.0 com Ajax: JQuery/PHP (Aula 01)Web 2.0 com Ajax: JQuery/PHP (Aula 01)
Web 2.0 com Ajax: JQuery/PHP (Aula 01)Wagner Silva
 
Web 2.0 com Ajax: JQuery/PHP (Aula 03)
Web 2.0 com Ajax: JQuery/PHP (Aula 03)Web 2.0 com Ajax: JQuery/PHP (Aula 03)
Web 2.0 com Ajax: JQuery/PHP (Aula 03)Wagner Silva
 
Web 2.0 com Ajax: JQuery/PHP (Aula 04)
Web 2.0 com Ajax: JQuery/PHP (Aula 04)Web 2.0 com Ajax: JQuery/PHP (Aula 04)
Web 2.0 com Ajax: JQuery/PHP (Aula 04)Wagner Silva
 
Web 2.0 com Ajax: JQuery/PHP (Aula 05)
Web 2.0 com Ajax: JQuery/PHP (Aula 05)Web 2.0 com Ajax: JQuery/PHP (Aula 05)
Web 2.0 com Ajax: JQuery/PHP (Aula 05)Wagner Silva
 
Web 2.0 com Ajax: JQuery/PHP (Aula 06)
Web 2.0 com Ajax: JQuery/PHP (Aula 06)Web 2.0 com Ajax: JQuery/PHP (Aula 06)
Web 2.0 com Ajax: JQuery/PHP (Aula 06)Wagner Silva
 
Web 2.0 com Ajax: JQuery/PHP (Aula 07)
Web 2.0 com Ajax: JQuery/PHP (Aula 07)Web 2.0 com Ajax: JQuery/PHP (Aula 07)
Web 2.0 com Ajax: JQuery/PHP (Aula 07)Wagner Silva
 
Web 2.0 com Ajax: JQuery/PHP (Aula 02)
Web 2.0 com Ajax: JQuery/PHP (Aula 02)Web 2.0 com Ajax: JQuery/PHP (Aula 02)
Web 2.0 com Ajax: JQuery/PHP (Aula 02)Wagner Silva
 
PETIC: Conceitos, Fundamentos, Guia e Sua Aplicação na Universidade Federal d...
PETIC: Conceitos, Fundamentos, Guia e Sua Aplicação na Universidade Federal d...PETIC: Conceitos, Fundamentos, Guia e Sua Aplicação na Universidade Federal d...
PETIC: Conceitos, Fundamentos, Guia e Sua Aplicação na Universidade Federal d...Wagner Silva
 
Concepção do PETIC no CPD da UFS
Concepção do PETIC no CPD da UFSConcepção do PETIC no CPD da UFS
Concepção do PETIC no CPD da UFSWagner Silva
 
PETI - Planejamento Estratégico de Tecnologia da Informação
PETI - Planejamento Estratégico de Tecnologia da InformaçãoPETI - Planejamento Estratégico de Tecnologia da Informação
PETI - Planejamento Estratégico de Tecnologia da InformaçãoWagner Silva
 

More from Wagner Silva (18)

APF- Análise de Ponto de Função
APF- Análise de Ponto de FunçãoAPF- Análise de Ponto de Função
APF- Análise de Ponto de Função
 
MVS: Minimum Valuable Service
MVS: Minimum Valuable ServiceMVS: Minimum Valuable Service
MVS: Minimum Valuable Service
 
Cultive seus sonhos
Cultive seus sonhosCultive seus sonhos
Cultive seus sonhos
 
PETI - Fase de Execução
PETI - Fase de ExecuçãoPETI - Fase de Execução
PETI - Fase de Execução
 
PETI
PETIPETI
PETI
 
Governança de TI
Governança de TIGovernança de TI
Governança de TI
 
Governança Corporativa-TI
Governança Corporativa-TIGovernança Corporativa-TI
Governança Corporativa-TI
 
Alinhamento Estratégico de TI
Alinhamento Estratégico de TIAlinhamento Estratégico de TI
Alinhamento Estratégico de TI
 
Web 2.0 com Ajax: JQuery/PHP (Aula 01)
Web 2.0 com Ajax: JQuery/PHP (Aula 01)Web 2.0 com Ajax: JQuery/PHP (Aula 01)
Web 2.0 com Ajax: JQuery/PHP (Aula 01)
 
Web 2.0 com Ajax: JQuery/PHP (Aula 03)
Web 2.0 com Ajax: JQuery/PHP (Aula 03)Web 2.0 com Ajax: JQuery/PHP (Aula 03)
Web 2.0 com Ajax: JQuery/PHP (Aula 03)
 
Web 2.0 com Ajax: JQuery/PHP (Aula 04)
Web 2.0 com Ajax: JQuery/PHP (Aula 04)Web 2.0 com Ajax: JQuery/PHP (Aula 04)
Web 2.0 com Ajax: JQuery/PHP (Aula 04)
 
Web 2.0 com Ajax: JQuery/PHP (Aula 05)
Web 2.0 com Ajax: JQuery/PHP (Aula 05)Web 2.0 com Ajax: JQuery/PHP (Aula 05)
Web 2.0 com Ajax: JQuery/PHP (Aula 05)
 
Web 2.0 com Ajax: JQuery/PHP (Aula 06)
Web 2.0 com Ajax: JQuery/PHP (Aula 06)Web 2.0 com Ajax: JQuery/PHP (Aula 06)
Web 2.0 com Ajax: JQuery/PHP (Aula 06)
 
Web 2.0 com Ajax: JQuery/PHP (Aula 07)
Web 2.0 com Ajax: JQuery/PHP (Aula 07)Web 2.0 com Ajax: JQuery/PHP (Aula 07)
Web 2.0 com Ajax: JQuery/PHP (Aula 07)
 
Web 2.0 com Ajax: JQuery/PHP (Aula 02)
Web 2.0 com Ajax: JQuery/PHP (Aula 02)Web 2.0 com Ajax: JQuery/PHP (Aula 02)
Web 2.0 com Ajax: JQuery/PHP (Aula 02)
 
PETIC: Conceitos, Fundamentos, Guia e Sua Aplicação na Universidade Federal d...
PETIC: Conceitos, Fundamentos, Guia e Sua Aplicação na Universidade Federal d...PETIC: Conceitos, Fundamentos, Guia e Sua Aplicação na Universidade Federal d...
PETIC: Conceitos, Fundamentos, Guia e Sua Aplicação na Universidade Federal d...
 
Concepção do PETIC no CPD da UFS
Concepção do PETIC no CPD da UFSConcepção do PETIC no CPD da UFS
Concepção do PETIC no CPD da UFS
 
PETI - Planejamento Estratégico de Tecnologia da Informação
PETI - Planejamento Estratégico de Tecnologia da InformaçãoPETI - Planejamento Estratégico de Tecnologia da Informação
PETI - Planejamento Estratégico de Tecnologia da Informação
 

Auditoria e Segurança em TI

  • 1. Auditoria e Segurança em Tecnologia da Informação Wagner Silva Gestão de Tecnologia da Informação
  • 2. Segurança da Informação • A Informação existe em varias formas • Tem valor e necessita protegida • Crucial para o funcionamento de uma empresa • As empresas estão mais vulneráveis às interrupções ou falhas • Quanto mais tempo, mais sérias são as consequências • A Segurança da Informação é um problema organizacional e não tecnológico • Integração entre componentes de gestão e tecnologia • Envolve riscos e custos
  • 3. Segurança da Informação Ciclo de Vida da Informação
  • 4. Segurança da Informação Principais Aspectos • Confidencialidade: permissão de acesso apenas para usuários autorizados • Integridade: a informação deve estar correta, ser verdadeira e não estar corrompida • Disponibilidade: disponível sempre que requisitada
  • 5. Segurança da Informação Demais aspectos • Autenticação: garantir a identidade de um usuário • Não-repúdio: capacidade de provar as ações executadas • Legalidade: aderente à legislação • Privacidade: quando necessário, garantir o anonimato • Auditoria: capacidade de detectar fraudes ou tentativas de ataque
  • 6. Segurança da Informação Ativo de Informação • Um ativo de informação é composto pela informação, o meio que a suporta, que a mantém e que permite que ela exista, as pessoas que a manipulam e o ambiente onde ela está inserida: • Aspectos Humanos • Ambiente Físico • Ambiente Lógico • Controle de Acesso
  • 7. Segurança da Informação Ativo de Informação
  • 8. Fornecimento de TI corporativa • 75% do fornecimento de TI corporativa serão feitos por meio de computação em nuvem até 2016 • Expectativas: • Redução de custos (68%), maior agilidade (59%) e melhorar os serviços (55%) • Principais barreiras: • Definição de SLAs (68%), conformidade com governança e regulamentações (63%), gerenciamento de problemas com soberania de dados (62%) e identificação do parceiro estratégico adequado (62%) • Aplicações: • CRM (71%), backup e armazenamento do banco de dados (67%) • Aplicações financeiras: menos prováveis de passarem por essa transição • Capacidades: • Segurança (72%), SLAs (61%) e cargas de trabalho (59%) Coleman Parkes Reserch, 2013
  • 9. Sistema de Gestão de Segurança da Informação • Resultado da aplicação planejada de objetivos, diretrizes, políticas, procedimentos, modelos e outras medidas administrativas que, de forma conjunta, definem como são reduzidos os riscos para a segurança da informação. • É uma parte do sistema global de gestão, baseado numa abordagem de risco, que permite definir, implementar, operacionalizar, monitorar, manter e melhorar a segurança da Informação. • Considera, basicamente: • Os ativos que estão sendo protegidos • O gerenciamento de riscos • Os objetivos de controles e controles implementados
  • 10. Política de Segurança da Informação • Composta por um conjunto de regras e padrões sobre o que deve ser feito para assegurar que as informações e serviços importantes para a empresa recebam a proteção conveniente • Avaliação de Risco: determina o nível de risco para a empresa caso uma atividade ou processo específico não sejam controlados adequadamente • Política de Segurança: declaração que estabelece uma hierarquia para os riscos de informação e dentífrica metas de segurança aventáveis, assim como os mecanismos para atingi-las. • Plano de recuperação de desastres: inclui estratégias para restaurar os serviços de computação e comunicação após eles terem sofrido uma interrupção causada por eventos da natureza ou por ataques. • Plano de continuidade dos negócios: concentra-se em como a empresa pode restaurar suas operações após um desastre.
  • 11. Metodologias e Melhores Práticas em Segurança da Informação • COBIT • ITIL • NBR ISO/IEC 27000
  • 12. Segurança da Informação NBR ISO/IEC 27000 • 1995: Publicada a primeira versão da BS 7799-1 • 1998: Publicada a primeira versão da BS 7799-2 • 1999: Publicada a primeira revisão da BS 7799-1 • 2000: Publicada a primeira versão da ISO/IEC 17799 • 2001: Publicada a primeira versão da NBR ISO/IEC 17799 • 2002: Publicada revisão da BS 7799-2 • 2005: Publicada a segunda versão da NBR ISO/IEC 17799 • Publicada a primeira versão da ISO/IEC 27001 • 2006: 2001: Publicada a primeira versão da NBR ISO/ IEC 27001 • 2007: Alteração do nome da NBR 17799 para NBR 27002
  • 13. Segurança da Informação NBR ISO/IEC 27000 • Série de padrões relacionados a temática de Segurança da Informação • Conjunto de normas desenvolvidas, que fornecem uma estrutura para gerenciamento de segurança da informação para qualquer organização, pública ou privada, grande ou pequeno porte. • Melhores práticas sobre Gestão de Segurança da Informação e quais os requisitos e metodologias para implementá-la dentro de uma organização. • Base de gestão de Segurança da Informação usada pelo COBIT, ITIL e outras metodologias de Governança e Gestão de TI.
  • 14. Segurança da Informação NBR ISO/IEC 27000 27001 Vocabulário e definições a serem utilizadas pelas restantes Normas 27002 Define boas práticas para a gestão da segurança da Informação 27003 Guia para a implementação de um SGSI 27004 Define métricas e meios de medição para Avaliar a eficácia de um SGSI 27005 Define linhas de orientação para a gestão do risco da segurança da Informação 27006 Guia para o processo de acreditação de entidades certificadoras
  • 15. Segurança da Informação NBR ISO/IEC 27002 • Política de Segurança da Informação; • Organizando a Segurança da Informação; • Gestão de Ativos; • Segurança em Recursos Humanos; • Segurança Física e do Ambiente; • Gestão das Operações e Comunicações; • Controle de Acesso; • Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação; • Gestão de Incidentes de Segurança da Informação; • Gestão da Continuidade do Negócio; • Conformidade.
  • 16.
  • 17. Auditoria em Segurança da Informação • Identifica todos os controles que governam sistemas individuais de informação e avalia sua efetividade • Compreender por completo as operações, instalações físicas, telecomunicações, sistemas de controle, objetivos de segurança de dados, estrutura organizacional, pessoal, procedimentos manuais e aplicações individuais da organização • Lista e classifica todos os pontos fracos do controle e estima a probabilidade de ocorrerem erros nesses pontos