Post on 09-Feb-2019
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
PROJETOS DE AUDITORIA DE TI
Elaborado pelo professor André Campos
Uma visão mais ampla sobre segurança da informação poderá
ser obtida no livro Sistema de Segurança da Informação –
Controlando os riscos, de André Campos, Editora Visual
Books.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
PROJETOS DE AUDITORIA DE TI
Este material foi produzido como apoio didático para disciplinas de graduação e pós-graduação relacionadas com Tecnologia da Informação. O uso é permitido a todo e qualquer docente ou discente das referidas disciplinas, ou correlatas, desde que sejam respeitados os direitos autorais, ou seja, que os créditos sejam mantidos. Este material não pode ser vendido. Seu uso é permitido sem qualquer custo. Diversas figuras foram obtidas a partir do acesso em sites de imagens. Estas imagens foram utilizadas em seu estado original, com 72DPI. Algumas imagens foram obtidas da obra "Sistema de Segurança da Informação Controlando Riscos". Todas as imagens são utilizadas para fins exclusivamente acadêmicos e não visam a obtenção de lucro. Informações específicas sobre segurança da informação podem ser obtidas na obra Sistemas de segurança da informação Controlando Riscos; Campos, André; Editora Visual Books, 2007.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
Iniciando a auditoria
A auditoria é conduzida por um líder, ou
auditor líder, que é designado pelo gerente
responsável pelo programa de auditoria.
Quando acontecem auditorias conjuntas é
importante que as organizações envolvidas na
auditoria cheguem a um consenso quanto a
que será o auditor líder e qual será sua
autoridade sobre a equipe de auditoria, que
neste caso será mista.
Não podem haver dois auditores líderes para a
mesma auditoria.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
Iniciando a auditoria
Cada auditoria deve possuir uma definição dos
objetivos, escopo e critério de auditoria,
documentados. Os objetivos podem ser:
1 – Avaliação de conformidade (compliance);
2 – Avaliação da capacidade do Sistema de
Gestão;
3 – Avaliação da eficácia do Sistema de
Gestão;
4 – Identificação de áreas do Sistema de
Gestão para potencial melhoria.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
Iniciando a auditoria
O escopo da auditoria determina a
abrangência e os limites da auditoria,
envolvendo inclusive os limites físicos, da
estrutura hierárquica formal ou informal, dos
processos, e do período de auditoria.
O critério de auditoria é a referência contra a
qual a conformidade será determinada,
podendo ser políticas, normas, procedimentos,
leis, regulamentos, requisitos do Sistema de
Gestão, requisitos contratuais, entre outros.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
Iniciando a auditoria
Os objetivos da auditoria são definidos pelo
cliente, e o escopo e critério de auditoria são
acordados entre o cliente e o auditor líder.
Qualquer eventual mudança de objetivos,
escopo ou critério após o início da auditoria,
deve ser devidamente documentado e
assinado pelo cliente e pelo auditor líder.
Nos casos de auditorias combinadas é
especialmente importante que o auditor líder
garanta que os objetivos, escopo e critério
sejam adequados para a auditoria em
questão.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
Iniciando a auditoria
É importante, antes de executar um projeto de
auditoria, determinar a viabilidade deste
projeto.
Existem informações suficientes para suportar
a auditoria? O auditado está disposto a
cooperar ou é resistente ao processo? O
tempo e os recursos planejados são realmente
suficientes?
Não vale a pena começar um projeto que não
poderá ser concluído. O cliente, o auditado e o
auditor líder devem garantir a viabilidade.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
Iniciando a auditoria
Após o estudo de viabilidade, o próximo passo
é definir a equipe de auditores. É importante
que a equipe, coletivamente, possua os
conhecimentos e as habilidades necessárias
para conduzir a auditoria em questão. Devem
ser considerados aspectos tais como: a)
objetivos, escopo e critério da auditoria; b) se
a auditoria é simples, combinada ou conjunta;
c) requisitos legais, regulamentares,
certificações, etc; d) a garantia de
independência e imparcialidade; e) bom
relacionamento inter-pessoal do grupo); f) o
idioma da auditoria, se for o caso.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
Iniciando a auditoria
Se a equipe de auditores não for suficiente
para garantir o conjunto de conhecimentos e
habilidades necessárias, será necessário
convidar (contratar) especialistas que
atendam a esta demanda.
Membros da equipe poderão ser substituídos
a pedido do cliente ou do auditado, caso haja
conflito de interesses ou relato de conduta
inapropriada de um dos auditores ou
especialistas.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
Iniciando a auditoria
No início da auditoria, é adequado que o
contato inicial com o cliente seja
estabelecido de maneira formal (apesar de não
ser obrigatório), onde são definidos:
a) Canais de comunicação;
b) Confirmar a autoridade;
c) Detalhamento do projeto de auditoria;
d) Solicitação de acessos a informação;
e) Definição das regras de segurança física e
lógica pertinentes;
f) Explicitar se haverão observadores e e guias.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
Análise crítica de documentos
Na fase de execução da auditoria, antes das
atividades no local, é importante fazer uma
análise crítica dos documentos, que podem
incluir documentos e registros específicos do
Sistema de Gestão e relatórios de auditorias
anteriores.
No caso da ISO 27.001 é importante avaliar o
documento de definição de escopo e a
declaração de aplicabilidade, além do registro
de incidentes de segurança da informação.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
Análise crítica de documentos
Caso a documentação não se encontre nas
condições mínimas necessárias para o início
da auditoria, é provável que a auditoria seja
interrompida até que a documentação seja
providenciada.
Esta decisão deve ser tomada entre o auditor
líder e o cliente da auditoria.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
Preparando atividades no local
O auditor líder deve apresentar para o cliente
e para o auditado um plano de auditoria, que
sirva de base central para a comunicação
entre todos os participantes e interessados no
projeto.
Este plano deve ser detalhado e dar uma idéia
clara do escopo, do tempo, dos recursos e dos
resultados esperados par ao projeto. Uma
prática adequada é construir um cronograma
do projeto que inclua todas estas informações.
Uma ferramenta muito utilizada é o MS
Project.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
Preparando atividades no local
O plano de auditoria deve conter pelo menos
as seguintes informações:
1 – Os objetivos da auditoria;
2 – O critério de auditoria selecionado;
3 – O escopo da auditoria;
4 – As datas e locais onde ocorrerão as
atividades de auditoria;
5 – O tempo estimado das atividades;
6 – As funções e responsabilidades dos
envolvidos;
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
Preparando atividades no local
Continuação...
7 – A alocação de recursos;
8 – A identificação dos stakeholders (partes
interessadas);
9 – O idioma vigente para auditoria, se for
diferente do idioma nativo;
10 – As principais entregas, a serem
apresentadas no relatório de auditoria;
11 – Questões de logística (viajens, etc);
12 – Termos de sigilo e confidencilidade;
13 – Termos sobre ações de
acompanhamento.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
Preparando atividades no local
É essencial que o plano de auditoria seja
avaliado pelos principais envolvidos, ou seja,
a equipe de auditoria, o cliente e o auditado.
O cliente deverá expressar formalmente sua
aprovação para o plano de auditoria, através
de um documento assinado por ele.
Eventuais alterações no plano de auditoria
deverão ser aprovadas novamente, também
de maneira formal.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
Preparando atividades no local
O auditor líder, conhecendo melhor o auditado,
tendo analisado os documentos da
organização ou área, tendo avaliado a
viabilidade da auditoria, e tendo elaborado o
plano de auditoria, agora tem totais condições
de dividir o trabalho da auditoria para sua
equipe.
Ele considerará a competência de cada
auditor frente à demanda de cada tarefa, além
de observar a questão da independência dos
auditores.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
Preparando atividades no local
O auditor líder conduzirá sua equipe na
preparação dos documentos para trabalho.
Este documentos são compostos basicamente
de listas de verificação (check-lists) e
eventualmente formulários para o registro de
informações de suporte, tais como evidências
e constatações, entre outros.
Os documentos de trabalho devem ser
preservados, pelo menos, até a conclusão da
auditoria.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
Conduzindo projeto de auditoria
A reunião de abertura é importante, e deve
ser conduzida com a alta direção da
organização auditado e envolver as lideranças
das áreas, funções e processos a serem
auditados. Esta reunião tem os seguintes
objetivos:
1 – Confirmar o plano de auditoria;
2 – Fornecer informações sobre como será
conduzida a auditoria;
3 – Confirmar os canais de comunicação;
4 – Abrir espaço para perguntas.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
A comunicação durante a auditoria é um fator
chave de sucesso, e deve ser feita
adequadamente. É impressionante o fato de
que todos os envolvidos em projetos, de
qualquer espécie, estão cientes da
importância da comunicação. No entanto, um
grande número de problemas ocorrem durante
o projeto exatamente em decorrência de
falhas ligadas a comunicação.
Conduzindo projeto de auditoria
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
Um plano formal de comunicação precisa ser
elaborado. Os stakeholders são identificados e
comunicados do andamento da auditoria, tanto
no que se refere aos resultados positivos
quanto aos resultados negativos.
Problemas que estejam inviabilizando ou
prejudicando a auditoria precisam ser levadas
ao cliente imediatamente, para que as devidas
providências sejam tomadas. Caso contrário, o
inteiro projeto de auditoria poderá fracassar.
Conduzindo projeto de auditoria
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
Caso, durante a auditoria, sejam encontradas
falhas graves, que possam gerar prejuízo para
a organização, devem ser comunicados
imediatamente ao cliente e ao auditado, e
não aguardar a conclusão da auditoria para
isso.
Qualquer necessidade de mudança de escopo
durante a auditoria, deve ser devidamente
documentada e amplamente comunicada para
todos os stakeholders.
Conduzindo projeto de auditoria
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
É comum que as auditorias contem com
observadores e guias. Estes indivíduos não
devem interferir de maneira alguma na
auditoria.
O guia pode ser designado pelo auditado para
cumprir as seguintes responsabilidades:
1 – Estabelecer contados e programar visitas;
2 – Organizar as visitas;
3 – Garantir o respeito às normas e regras;
4 – Testemunhar a auditoria;
5 – Ajudar na coleta de informações.
Conduzindo projeto de auditoria
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
De acordo com os objetivos,
escopo e critério da auditoria,
serão coletadas informações
por amostragem.
Isto inclui informações sobre
funções, processos e
atividades. Apenas
informações verificáveis são
válidas.
Conduzindo projeto de auditoria
Informações disponíveis
Coletar por amostragem
Evidências da auditoria
Avaliar contra critério
Constatações da auditoria
Analisar criticamente
Conclusões da auditoria
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
Os métodos mais utilizados para
a coleta de informações são:
1 – Entrevistas;
2 – Observação das atividades;
3 – Análise de documentos.
Conduzindo projeto de auditoria
Informações disponíveis
Coletar por amostragem
Evidências da auditoria
Avaliar contra critério
Constatações da auditoria
Analisar criticamente
Conclusões da auditoria
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
As evidências da auditoria serão
avaliadas contra o critério de
auditoria.
Esta avaliação demonstrará
conformidade ou não
conformidade com o critério.
As não conformidades serão
oportunidades de melhoria.
Conduzindo projeto de auditoria
Informações disponíveis
Coletar por amostragem
Evidências da auditoria
Avaliar contra critério
Constatações da auditoria
Analisar criticamente
Conclusões da auditoria
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
A identificação das
conformidades, não
conformidades, e oportunidades
de melhoria são chamadas de
constatações da auditoria.
A equipe de auditoria, durante o
projeto, deverá se reunir para
avaliar as constatações de
auditoria.
Conduzindo projeto de auditoria
Informações disponíveis
Coletar por amostragem
Evidências da auditoria
Avaliar contra critério
Constatações da auditoria
Analisar criticamente
Conclusões da auditoria
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
Se for objeto da auditoria, todas
a conformidades individuais
serão registradas, e com elas, o
registro da evidência
(verificável) que a suporta.
Deve estar claro em que local,
ativo, função, ou processo a
conformidade foi encontrada.
Conduzindo projeto de auditoria
Informações disponíveis
Coletar por amostragem
Evidências da auditoria
Avaliar contra critério
Constatações da auditoria
Analisar criticamente
Conclusões da auditoria
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
Do mesmo modo, e
principalmente, as não
conformidades devem ser
registradas. Estas não
conformidades podem ser
graduadas, se for o caso.
O auditado deve estar ciente e
concordar com a constatação
da auditoria.
Conduzindo projeto de auditoria
Informações disponíveis
Coletar por amostragem
Evidências da auditoria
Avaliar contra critério
Constatações da auditoria
Analisar criticamente
Conclusões da auditoria
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
Caso haja qualquer divergência
entre o auditado e a equipe de
auditoria, deve ser feito todo o
esforço possível para se chegar
a um consenso.
Não sendo possível, um registro
detalhado da divergência deverá
fazer parte dos registros da
auditoria.
Conduzindo projeto de auditoria
Informações disponíveis
Coletar por amostragem
Evidências da auditoria
Avaliar contra critério
Constatações da auditoria
Analisar criticamente
Conclusões da auditoria
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
Após toda a atividade de coleta
de informações e avaliação das
evidências, é a hora de analisar
todo este material e gerar as
conclusões da auditoria.
Geralmente, isto é feito em uma
longa reunião com todos os
membros da equipe de auditoria.
Conduzindo projeto de auditoria
Informações disponíveis
Coletar por amostragem
Evidências da auditoria
Avaliar contra critério
Constatações da auditoria
Analisar criticamente
Conclusões da auditoria
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
O objetivo da reunião é:
1 – Analisar todas as
constatações da auditoria, e
qualquer informação adicional;
2 – Acordar sobre as conclusões
da auditoria;
3 – Preparar recomendações (se
for o caso);
4 – Discutir eventuais ações de
acompanhamento.
Conduzindo projeto de auditoria
Informações disponíveis
Coletar por amostragem
Evidências da auditoria
Avaliar contra critério
Constatações da auditoria
Analisar criticamente
Conclusões da auditoria
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
Ao final da auditoria o auditor líder conduzirá
uma reunião de encerramento, onde
participarão a equipe de auditoria, o auditado,
o cliente, e eventualmente outros
stakeholders.
O objetivo é deixar claro todas as
constatações da auditoria e eventualmente
definir prazos para que o auditado alcance a
conformidade.
Estes prazos não devem ser definidos sem a
presença e concordância do auditado.
Conduzindo projeto de auditoria
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
Este é o momento para que as divergências
entre a equipe de auditoria e o auditado sejam
trazidas à tona, e que haja um esforço
conjunto no sentido de resolver estas
divergências.
Se constar dos objetivos da auditoria, as
recomendações de melhoria poderão ser
apresentadas também neste momento, bem
como a proposta de ações de
acompanhamento.
Conduzindo projeto de auditoria
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
O relatório de auditoria
Ao final da auditoria o auditor líder
providenciará a elaboração do relatório de
auditoria.
Não há um modelo oficial para este tipo de
relatório, mas é importante que ele garanta um
registro completo, preciso, conciso e claro
da auditoria.
No entanto, é importante que pelo menos
alguns elementos fundamentais componham
este relatório.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
O relatório de auditoria
Entre estes elementos podemos citar:
1 – Os objetivos da auditoria;
2 – O escopo da auditoria;
3 – A identificação do cliente;
4 – A identificação do auditor líder;
5 – As datas e locais onde as atividades foram
realizadas;
6 – O critério de auditoria;
7 – As constatações da auditoria;
8 – As conclusões da auditoria.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
O relatório de auditoria
Outras informações opcionais:
1 – O plano de auditoria;
2 – Lista de representantes do auditado;
3 – Resumo do processo de auditoria;
4 – Retorno sobre o atendimento dos objetivos;
5 – Áreas planejadas mas não cobertas;
6 – Divergências não resolvidas;
7 – Recomendações para melhoria;
8 – Plano de ação para acompanhamentos;
9 – Lista de distribuição do relatório.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
O relatório de auditoria
Geralmente, o relatório de auditoria é
entregue em uma data posterior à conclusão
da mesma. Caso haja qualquer tipo de
atraso, isto deve ser informado ao cliente e
ao auditado e também constar como registro
no próprio relatório.
Este relatório é de propriedade do cliente, e a
confidencialidade dele deve ser amplamente
respeitada.
Qualquer registro ou documento referente a
auditoria deve ser devolvido ou destruído
completamente.
Pro
fe
sso
r A
nd
ré
C
am
po
s
Conheça este assunto a fundo no livro “Sistema de Segurança da Informação – Controlando o Riscos”
Concluindo a auditoria
Quando todas estas atividades foram realizadas
e o plano de auditoria seguido até o fim, a
auditoria é data por encerrada.
Caso tenham havido contratações de qualquer
tipo ou o estabelecimento de acordos para
viabilizar a realização da auditoria, este é o
momento para encerrar estes contratos e
acordos de maneira formal.
Todos os envolvidos, incluindo terceiros,
deverão assinar termos de sigilo e
confidencialidade a fim de preservar o cliente e
o auditado.