ipai auditoria sistemas · findings std. 50. 17 fluxo do processo de auditoria asiasa/siga/crsa/asi...
TRANSCRIPT
![Page 1: IPAI Auditoria sistemas · Findings Std. 50. 17 Fluxo do processo de auditoria ASIASA/SIGA/CRSA/ASI InsiteIntranet Auditorias Trabalho de Campo Auditorias Trabalho de Campo](https://reader035.vdocuments.site/reader035/viewer/2022062910/5b9efa1709d3f204248c85ad/html5/thumbnails/1.jpg)
AUDITORIA DE SISTEMASAUDITORIA DE SISTEMAS
Uma forma de mitigar riscoUma forma de mitigar risco
Pedro Cupertino de Miranda, CISM, CISA
![Page 2: IPAI Auditoria sistemas · Findings Std. 50. 17 Fluxo do processo de auditoria ASIASA/SIGA/CRSA/ASI InsiteIntranet Auditorias Trabalho de Campo Auditorias Trabalho de Campo](https://reader035.vdocuments.site/reader035/viewer/2022062910/5b9efa1709d3f204248c85ad/html5/thumbnails/2.jpg)
Criação da função de Auditoria de Sistemas de Informação2 Criação da função de Auditoria de Sistemas de Informação2
2001‐...
PROJECTO • Consultor Arthur AndersenPROJECTO • Desenho da função• Elaboração do Organigramaç g g• Modelo de Reporting• Competências e responsabilidades
![Page 3: IPAI Auditoria sistemas · Findings Std. 50. 17 Fluxo do processo de auditoria ASIASA/SIGA/CRSA/ASI InsiteIntranet Auditorias Trabalho de Campo Auditorias Trabalho de Campo](https://reader035.vdocuments.site/reader035/viewer/2022062910/5b9efa1709d3f204248c85ad/html5/thumbnails/3.jpg)
11
CONHECER OCONHECER O NEGÓCIO DONEGÓCIO DORETALHOO
![Page 4: IPAI Auditoria sistemas · Findings Std. 50. 17 Fluxo do processo de auditoria ASIASA/SIGA/CRSA/ASI InsiteIntranet Auditorias Trabalho de Campo Auditorias Trabalho de Campo](https://reader035.vdocuments.site/reader035/viewer/2022062910/5b9efa1709d3f204248c85ad/html5/thumbnails/4.jpg)
A aproximação4
Realização de
A aproximação4
Realização de t i tentrevistas
k he workshopscom as várias DIRECÇÕES
![Page 5: IPAI Auditoria sistemas · Findings Std. 50. 17 Fluxo do processo de auditoria ASIASA/SIGA/CRSA/ASI InsiteIntranet Auditorias Trabalho de Campo Auditorias Trabalho de Campo](https://reader035.vdocuments.site/reader035/viewer/2022062910/5b9efa1709d3f204248c85ad/html5/thumbnails/5.jpg)
A metodologia5 A metodologia5
Levantamentodos principais
Organigrama, funções e
Aplicações fluxos de
Arquitectura sistemas dedos principais
processos de negócio
funções e responsabilidades
fluxos de dados
sistemas de informação
negócio
![Page 6: IPAI Auditoria sistemas · Findings Std. 50. 17 Fluxo do processo de auditoria ASIASA/SIGA/CRSA/ASI InsiteIntranet Auditorias Trabalho de Campo Auditorias Trabalho de Campo](https://reader035.vdocuments.site/reader035/viewer/2022062910/5b9efa1709d3f204248c85ad/html5/thumbnails/6.jpg)
6
ANÁLISE
6
ANÁLISE ISCODE RISCO
![Page 7: IPAI Auditoria sistemas · Findings Std. 50. 17 Fluxo do processo de auditoria ASIASA/SIGA/CRSA/ASI InsiteIntranet Auditorias Trabalho de Campo Auditorias Trabalho de Campo](https://reader035.vdocuments.site/reader035/viewer/2022062910/5b9efa1709d3f204248c85ad/html5/thumbnails/7.jpg)
Riscos Informáticos7 Riscos Informáticos7
ConfidencialidadeRisco da informação
i il i d d
DisponibilidadeRisco de
i di ibilid d dprivilegiada poder ser acedida por pessoas
não autorizadas.
indisponibilidade de informação importante ou relevante quando
necessárianecessária.
I t id dIntegridadeRisco de existência de
informação inadequada ou processamento incompleto ou
incorrecto
![Page 8: IPAI Auditoria sistemas · Findings Std. 50. 17 Fluxo do processo de auditoria ASIASA/SIGA/CRSA/ASI InsiteIntranet Auditorias Trabalho de Campo Auditorias Trabalho de Campo](https://reader035.vdocuments.site/reader035/viewer/2022062910/5b9efa1709d3f204248c85ad/html5/thumbnails/8.jpg)
Processo de avaliação do Risco8 Processo de avaliação do Risco8
BIA Processo Activos Valor(Impacto)
AmeaçasP b bilid
Nível de Risco
Vulnerabilidades
Probabilidade
dades
![Page 9: IPAI Auditoria sistemas · Findings Std. 50. 17 Fluxo do processo de auditoria ASIASA/SIGA/CRSA/ASI InsiteIntranet Auditorias Trabalho de Campo Auditorias Trabalho de Campo](https://reader035.vdocuments.site/reader035/viewer/2022062910/5b9efa1709d3f204248c85ad/html5/thumbnails/9.jpg)
9 Principais Riscos Informáticos9
• Cultura de segurança pouco enraizada • Classificação e dados não encriptados
Principais Riscos Informáticos
Classificação e dados não encriptados• Configurações por defeito• Incumprimento de requisitos legais e das normas internas
• Bugs Aplicacionais • Passwords triviais
f / f á• Perfis de acesso excessivos e/ou deficitários • Nível de patching desactualizado• Inexistência de audit trails • Inconsistência de dados
• Redes Wired/Wireless sem protecçãoRedes Wired/Wireless sem protecção• Acessos remotos • Regras de firewall desajustadas• Antivírus inexistente ou desactualizado• Antivírus inexistente ou desactualizado
• Inexistência de redundância de equipamentosi ê i d b k• Inexistência de backups
• Inexistência de um BCP e DRP
![Page 10: IPAI Auditoria sistemas · Findings Std. 50. 17 Fluxo do processo de auditoria ASIASA/SIGA/CRSA/ASI InsiteIntranet Auditorias Trabalho de Campo Auditorias Trabalho de Campo](https://reader035.vdocuments.site/reader035/viewer/2022062910/5b9efa1709d3f204248c85ad/html5/thumbnails/10.jpg)
10
AO LONGO DO TEMPO
10
QUAL O CONTRIBUTO DO
AO LONGO DO TEMPO
QUAL O CONTRIBUTO DOAUDITORAUDITORDE SISTEMAS DEDE SISTEMAS DE INFORMAÇÃOINFORMAÇÃO
![Page 11: IPAI Auditoria sistemas · Findings Std. 50. 17 Fluxo do processo de auditoria ASIASA/SIGA/CRSA/ASI InsiteIntranet Auditorias Trabalho de Campo Auditorias Trabalho de Campo](https://reader035.vdocuments.site/reader035/viewer/2022062910/5b9efa1709d3f204248c85ad/html5/thumbnails/11.jpg)
Funções e responsabilidades11 Funções e responsabilidades11
Suporte
AuditoriaSistemas deSistemas de Informação
AuditorConsultor
![Page 12: IPAI Auditoria sistemas · Findings Std. 50. 17 Fluxo do processo de auditoria ASIASA/SIGA/CRSA/ASI InsiteIntranet Auditorias Trabalho de Campo Auditorias Trabalho de Campo](https://reader035.vdocuments.site/reader035/viewer/2022062910/5b9efa1709d3f204248c85ad/html5/thumbnails/12.jpg)
12 Mitigação do Risco12
SENSIBILIZAÇÃO GESTÃO DE RISCO
Mitigação do Risco
SENSIBILIZAÇÃO GESTÃO DE RISCO
IDENTIFICAÇÃO FALHAS RECOMENDAÇÃO DE CONTROLOS
MONITORIZAÇÃOMONITORIZAÇÃO DE INDICADORES
FERRAMENTAS AUTOMÁTICAS
![Page 13: IPAI Auditoria sistemas · Findings Std. 50. 17 Fluxo do processo de auditoria ASIASA/SIGA/CRSA/ASI InsiteIntranet Auditorias Trabalho de Campo Auditorias Trabalho de Campo](https://reader035.vdocuments.site/reader035/viewer/2022062910/5b9efa1709d3f204248c85ad/html5/thumbnails/13.jpg)
13 Ferramentas13 Ferramentas
![Page 14: IPAI Auditoria sistemas · Findings Std. 50. 17 Fluxo do processo de auditoria ASIASA/SIGA/CRSA/ASI InsiteIntranet Auditorias Trabalho de Campo Auditorias Trabalho de Campo](https://reader035.vdocuments.site/reader035/viewer/2022062910/5b9efa1709d3f204248c85ad/html5/thumbnails/14.jpg)
Ferramentas de suporte à actividade14 Ferramentas de suporte à actividade14
SIGA
Auto Audit
ASATablet
SIGAAI
ASA
SIGAGR
Gestão de
ASI
Gestão deRisco
CRSA
ASI
DAGRRegisto
Incidentes
Gestão Procedim.
IntelliQACL
![Page 15: IPAI Auditoria sistemas · Findings Std. 50. 17 Fluxo do processo de auditoria ASIASA/SIGA/CRSA/ASI InsiteIntranet Auditorias Trabalho de Campo Auditorias Trabalho de Campo](https://reader035.vdocuments.site/reader035/viewer/2022062910/5b9efa1709d3f204248c85ad/html5/thumbnails/15.jpg)
Computer Aided Automated Tools (CAATs)15 Computer Aided Automated Tools (CAATs)15
![Page 16: IPAI Auditoria sistemas · Findings Std. 50. 17 Fluxo do processo de auditoria ASIASA/SIGA/CRSA/ASI InsiteIntranet Auditorias Trabalho de Campo Auditorias Trabalho de Campo](https://reader035.vdocuments.site/reader035/viewer/2022062910/5b9efa1709d3f204248c85ad/html5/thumbnails/16.jpg)
Arquitectura Aplicacional16 Arquitectura Aplicacional16
ASA
Extractos
Procediment.
Findings Std.
440
60
450
Hierarquia ComercialSIGA
AI
g
Extractos
Procediment.
79
311
I t t
Hierarquia Operacional
e Locais
AIFindings Std. 645
Extractos 55
Intranet
Legislação
SIGAGR
Procediment.
Findings Std.
n/a
196
ASI
ISO 17799
Cobit V4.0
Findings Std.
144
215
449
Mapa de Riscos
CRSA
Extractos
Perguntas
50
50
Findings Std. 50
![Page 17: IPAI Auditoria sistemas · Findings Std. 50. 17 Fluxo do processo de auditoria ASIASA/SIGA/CRSA/ASI InsiteIntranet Auditorias Trabalho de Campo Auditorias Trabalho de Campo](https://reader035.vdocuments.site/reader035/viewer/2022062910/5b9efa1709d3f204248c85ad/html5/thumbnails/17.jpg)
Fluxo do processo de auditoria17 Fluxo do processo de auditoria17
ASI InsiteASA/SIGA/CRSA/ASI Intranet
AuditoriasTrabalho de
Campo
AuditoriasTrabalho de
Campo
AuditoriasTrabalho de
Campo
AuditoriasTrabalho de
Campo
ISO 27001ISO 27001 RelatórioWord
RelatórioWordISO 27001Legislação RelatórioWord
RelatórioWord
Cobit V4.0Cobit V4.0 Findings/Recom. Standard
Findings/Recom. Standard
Mapa de Findings
Mapa de FindingsAuditoriasAuditoriasCobit V4.0
StandardsInternacionais
Findings/Recom. Standard
Findings/Recom. Standard
Mapa de Findings
Mapa de FindingsAuditoriasAuditorias
LegislaçãoPortuguesaLegislaçãoPortuguesa
Standard
Mapa de Acções
Mapa de Acções
LegislaçãoPortuguesa
ProcedimentosInternos
Standard
Mapa de Acções
Mapa de Acções
StatusAcçãoData Impl.Resp.Rec. 2Find 2
StatusAcçãoData Impl.Resp.Rec. 1Find 1
StatusAcçãoData Impl.Resp.Rec. 2Find 2
StatusAcçãoData Impl.Resp.Rec. 1Find 1
Acção do Auditado
![Page 18: IPAI Auditoria sistemas · Findings Std. 50. 17 Fluxo do processo de auditoria ASIASA/SIGA/CRSA/ASI InsiteIntranet Auditorias Trabalho de Campo Auditorias Trabalho de Campo](https://reader035.vdocuments.site/reader035/viewer/2022062910/5b9efa1709d3f204248c85ad/html5/thumbnails/18.jpg)
Standards Internacionais1818
/ISO/IEC 27001 COBIT V4.1
Foco na Segurança da Informação Foco nos Controlos de IT
![Page 19: IPAI Auditoria sistemas · Findings Std. 50. 17 Fluxo do processo de auditoria ASIASA/SIGA/CRSA/ASI InsiteIntranet Auditorias Trabalho de Campo Auditorias Trabalho de Campo](https://reader035.vdocuments.site/reader035/viewer/2022062910/5b9efa1709d3f204248c85ad/html5/thumbnails/19.jpg)
Standard ISO /IEC 270011919 Standard ISO /IEC 270011919
Política de Segurança
Organização de Segurança
Organizacional
Organização de Segurança da Informação
Gestão de ActivosControlo de A
Conformidade
Acessos
Segurança dos Recursos Humanos
Aquisição Gestão da
Segurança FísicaOperacional
Aquisição, Desenvolvimento e
Manutenção de Sistemas
Operações e Comunicações
Gestão de Incidentes de Segurança
Gestão da Continuidade do
Negócio
Técnica Gestão Física
Legenda
![Page 20: IPAI Auditoria sistemas · Findings Std. 50. 17 Fluxo do processo de auditoria ASIASA/SIGA/CRSA/ASI InsiteIntranet Auditorias Trabalho de Campo Auditorias Trabalho de Campo](https://reader035.vdocuments.site/reader035/viewer/2022062910/5b9efa1709d3f204248c85ad/html5/thumbnails/20.jpg)
Standard COBIT V4.1 do ISACA2020 Standard COBIT V4.1 do ISACA2020
![Page 21: IPAI Auditoria sistemas · Findings Std. 50. 17 Fluxo do processo de auditoria ASIASA/SIGA/CRSA/ASI InsiteIntranet Auditorias Trabalho de Campo Auditorias Trabalho de Campo](https://reader035.vdocuments.site/reader035/viewer/2022062910/5b9efa1709d3f204248c85ad/html5/thumbnails/21.jpg)
2121
NOVASNOVASOPORTUNIDADESOPORTUNIDADESE DESAFIOSE DESAFIOS