Auditoria de TI

June 26, 2018 | Author: edson.vidal | Category: Cobit, Databases, Information Technology, Information System, Business
Share
Report this link


Description

Auditoria de Sistemas de Informação einfraestrutura de TI com base nas melhores práticas Edson Vidal JUNHO 2015 1 Sumário 1 Introdução sobre a auditoria de TI..........................................................2 1.1 Definição e Objetivos da Auditoria..........................................................2 1.2 Dimensões da Auditoria de TI..................................................................2 1.3 Segurança da Informação e Auditoria Aliada à Gestão de TI...................2 1.4 Considerações Sobre a Auditoria de Sistemas de Informação.................2 2 Auditoria de Sistemas de Informação e sua Inserção nas Melhores Práticas................................................................................................................2 3 2.1 Conceitos Básicos do CobiT.....................................................................2 2.2 Estrutura do CobiT...................................................................................2 2.3 Conclusões Gerais Sobre o CobiT e sua Aplicabilidade...........................2 2.4 CobiT e Auditoria de Demonstrações Financeiras...................................2 2.5 TI Considerações Sobre a Inserção da Auditoria nas Melhores Práticas de 2 Requisitos da auditoria para análise da TI da empresa.......................2 3.1 Definição dos Testes Aplicados na Empresa............................................2 3.1.1 01.01-Transações Críticas dos Sistemas...............................................2 3.1.2 01.02-Parametrização de Senhas dos Aplicativos................................2 3.1.3 01.03-Revisão dos Perfis de Acesso dos Usuários................................2 3.1.4 01.04-Revogação de Acessos à Aplicação............................................2 3.1.5 01.05-Política de acesso aos bancos de dados....................................2 3.1.6 01.06-Antivírus.....................................................................................2 3.1.7 01.07-Conexão Remota........................................................................2 3.1.8 01.08-Firewall.......................................................................................2 3.1.9 01.09-Inventário de Hardware e Software............................................2 3.1.10 01.10-Parametrização de Senhas da Rede........................................2 3.1.11 01.11-Utilização da Rede Wireless....................................................2 3.1.12 01.12-Revogação de Acessos à Rede................................................2 3.1.13 01.13- Termo de utilização à ativos de TI, rede e internet................2 3.1.14 02.01-Gerenciamento de Mudanças.................................................2 3.1.15 02.02-Segregação entre Ambientes..................................................2 3.1.16 02.03-Gestão de projetos..................................................................2 3.1.17 03.01-Backup....................................................................................2 3.1.18 03.02-Instalações do CPD.................................................................2 3.1.19 03.03-Monitoramento do Ambiente de TI.........................................2 3.1.20 03.04-Plano de Contingência e Continuidade do Negócio................2 3.1.21 03.05-Requisições e Incidentes.........................................................2 3.1.22 03.06-Gestão de Catalogo de Serviços de TI....................................2 2 ...............2 3 ............................................2 Glosário......3..............................................................1...07-Base de conhecimentos..................23 4 03..................... 1 Introdução sobre a auditoria de TI A auditoria de TI poderá ser definida como parte integrante dos trabalhos de uma auditoria de demonstrações financeiras.2 Dimensões da Auditoria de TI 4 . Esses dois aspectos (objetivos e metodologia) dependerá de onde partiu a necessidade de se instaurar o processo de auditoria. É possível perceber.1 Definição e Objetivos da Auditoria A auditoria é um termo muito amplo. a própria área de TI pode realizar este tipo de trabalho com um enfoque maior na segurança dos dados e na eficiência dos recursos. que será realizado por uma área de auditoria externa da empresa. A seção 315 do ISA não possui uma definição clara e objetiva do que é um trabalho de auditoria de sistemas dentro de um projeto de auditoria contábil. 1. que não há definição dos objetivos de uma auditoria da mesma forma. Definindo quais são seus objetivos e explicando sua divisão genérica e fazendo uma relação dessa atividade com o processo de gestão da empresa. mantendo a integridade de seus dados. Ela pode ser solicitada como uma tentativa de descobrir e verificar pontos de melhoria nos controles de TI. também não há regras gerais de como conduzir um trabalho desse tipo. Apenas definindo riscos de inconsistências nas demonstrações financeiras que devem ser observados pela empresa e um exame para a equipe de auditoria obter o chamado conforto nos controles de TI. Por fim. permitindo atingir os objetivos da organização de forma eficaz e utilizando os recursos de forma eficiente. Projeto este. 1. Para o pesquisador Ron Weber é definida como um processo de recolhimento e avaliação de evidências para determinar o quanto uma estrutura de TI controla seus sistemas e salvaguarda os bens. Para a dimensão de Desenvolvimento de programas o ISA define 2 riscos:  Mudanças sem autorização em sistemas ou programas. Quando vários usuários acessam um banco de dados comum.  A possibilidade do pessoal de TI ganhar privilégios de acesso além do necessário para executar suas funções. Para a dimensão de Operações computadorizadas o ISA define apenas um risco:  Potencial perda dos dados ou impossibilidade de acessá-los. Para a dimensão de Acesso a programas e dados o ISA é definido 3 riscos:  O acesso não autorizado a dados pode resultar em sua destruição ou alteração indevida.  Falha em fazer mudanças necessárias nos sistemas ou programas.  Falha em fazer mudanças necessárias nos sistemas ou programas.A seção 315 do ISA divide os riscos de TI para a equipe de auditoria em quatro dimensões: Acesso a programas e dados. Para a dimensão de Mudanças de programas o ISA define 3 riscos:  Mudanças sem autorização nos “arquivos mestre”. Operações computadorizadas e Desenvolvimento de programas. incluindo o registro de transações não autorizadas.  Intervenções manuais inadequadas nos processos de TI geram riscos para a auditoria. apresenta risco para a auditoria e descaracteriza a segregação de funções.  Mudanças sem autorização nos sistemas ou programas. Mudanças de programas. riscos específicos podem surgir. 5 . Controles de TI Material extraído de SAT_ITGC_vFinal2. dependendo do caso. A informação é um ativo que. Os controles de TI mais comuns estão apresentados na Figura 1: Figura 1 . As áreas de tecnologia da informação das empresas costumam já apresentar controles que mitigam alguns dos riscos apresentados.Note que os riscos da dimensão de Desenvolvimento de programas estão incluídos nos da dimensão de Mudanças de programas.pptx. como qualquer outro ativo importante 6 . na visão de Rezende e Abreu (2000). nos controles apresentados pela equipe de TI. mesmo para empresas que não possuam área de desenvolvimento interno. a equipe de auditoria pode confiar. o objetivo da auditoria é de verificar se esses controles funcionam de forma adequada e se estão em bom número. de posse da PriceWaterhouseCoopers Auditores Independentes 1. são os dados com uma interpretação lógica ou natural agregada pelo usuário. Dessa forma.3 Segurança da Informação e Auditoria Aliada à Gestão de TI A informação. Dessa forma. estarão todos os pontos identificados pelo auditor para serem reportados à administração. A auditoria auxiliará e muito os gestores de TI. necessitando ser adequadamente protegida (NBR ISSO/IEC 17799. Para ajudar os gestores a monitorar os controles de TI e para propor melhorias nesses controles existe a auditoria de TI. tem um valor para a organização e. Como qualquer empresa bem estruturada deseja sempre estar no nível mais alto de padrões de governança. Caso necessário ao final o trabalho de auditoria recomendará para a empresa em exame. de forma a aprimorar os controles da área. 1. 2003).para os negócios. ou CIO’s (Chief Information Officer) ou CISO’s (Chief Information Security Officer) devem estar constantemente preocupados com os controles de TI. um trabalho dessa magnitude deve possuir o apoio da alta administração e dos próprios gestores de TI. sempre que recebem visitas de auditores de sistemas. Constata-se a alta relevância da informação e sabe-se da sua indispensabilidade no processo de gestão de uma empresa. Os gerentes de TI modernos. consequentemente. para que isso aconteça.4 Considerações Sobre a Auditoria de Sistemas de Informação Uma auditoria de sistemas e processos de TI como parte integrante de um trabalho e auditoria contábil. essa atividade também auxilia os gestores de TI. Isso porque na carta de controles internos que é enviada no relatório de auditoria. A informação é o principal patrimônio da empresa e está sob constante risco. Para nosso caso específico este trabalho poderá ser parte integrante da auditoria contábil. é possível perceber que a inserção do trabalho da auditoria com base nas melhores práticas é um fator determinante 7 . Em contrapartida. para suportar as decisões. com um panorama dos controles de TI da empresa. isso é um valor agregado que não pode ser dispensado. os pontos de melhorias identificados segundo as melhores práticas do mercado. permite o fornecimento de um exame para a empresa em exame. Esse é um privilégio que os gestores de TI possuirão. Portanto. O foco da associação é na área de auditoria de sistemas. ou seja. 2. Após essa etapa inicial. além do respaldo das recomendações reportadas. Também se tornou objetivo do CobiT o fato dele ser orientado ao negócio. 2 Auditoria de Sistemas de Informação e sua Inserção nas Melhores Práticas Este Capítulo que se segue. Ela é uma entidade privada e voluntária que possui mais de 86. será realizada a relação do conteúdo do CobiT com as recomendações da auditoria. A ISACA possui mais de 185 capítulos (sedes) em aproximadamente 75 países. é uma organização líder de profissionais de controle em TI.para. irá mostrar a relação entre o framework CobiT e as recomendações de possíveis testes que serão realizados pela auditoria. organização que teve sua fundação em 1996. 8 . conclusões gerais e aplicabilidade desse framework de alta relevância no mercado atual de TI de forma básica.000 membros ao redor do mundo e é reconhecida como entidade líder global em governança de TI. esse o Capítulo inicia-se com a introdução de conceitos básicos.1 Conceitos Básicos do CobiT O CobiT (Control Objectives for Information and related Technology) é um modelo para governança e gestão de TI desenvolvido pela ISACA (Information Systems Audit and Control Association). Com a criação do CobiT (seu principal produto). auxiliará na maturidade e crescimento organizacional estruturado da empresa. Para isso. um modelo de governança em TI. Em sua criação. A ISACA. estruturas. desenhado para ajudar no entendimento e gerenciamento dos riscos associados. controles de TI e questões de segurança da informação. ficou acertado que o objetivo do CobiT seria fornecer ao gerenciamento dos processos de negócio. a ISACA definiu seus objetivos. Atualmente. 37 processos descritos de acordo com as melhores práticas do mercado de TI. começa a separar os seus processos entre atividades de governança de TI e atividades de administração de TI. 2. em sua recente versão 5.2 Estrutura do CobiT O CobiT. Ele provê boas práticas através de sua estrutura que distribui controles através de uma estrutura lógica e gerenciável. o CobiT possui os seguintes domínios: Esses domínios interagem entre si de acordo com a relação da figura 2.o fato dele direcionar a governança de TI e seus recursos para as estratégias de negócio. O framework. o CobiT está em sua 5ª edição (lançada no início de 2012) e é dividido em agrupamento de afinidades dos principais processos e atividades de TI. ao todo. nessa recente versão. Dentro dessas duas perspectivas. possui. 9 . Figura 2 . bem como uma melhor visualização de sua organização entre os domínios do framework. pode ser visualizada na figura 3: Figura 3 .Organização dos Processos do CobiT 10 .Relação entre os Domínos do CobiT A listagem completa dos 37 processos do CobiT. para balancear riscos e controles de investimentos em TI que geralmente são imprevisíveis e para fazer comparações com ambientes de TI atuais e futuros. seu principal público-alvo são os gerentes de TI. será de avaliar a eficácia dos controles de TI e em seu trabalho.2. os usuários da área de TI e os auditores de sistemas. para os usuários da área de TI. 11 .4 CobiT e Auditoria de Demonstrações Financeiras Conforme já abordado o ISA define alguns riscos de distorções nas demonstrações financeiras de uma empresa que devem ser cobertos por controles de TI. para os desenvolvedores. para a área de operações. para o gerente de TI.3 Conclusões Gerais Sobre o CobiT e sua Aplicabilidade O CobiT é um framework aplicado para diversos tipos de stakeholders. De todos esses possíveis envolvidos com a aplicabilidade do CobiT. para os gestores de negócio. alto para para para 2. Os gerentes de TI precisam do framework para avaliar as decisões de investimento em TI. O trabalho da auditoria. Os usuários dos sistemas providos pela área de TI de uma empresa precisam do CobiT para obter garantia na segurança e controle de produtos e serviços fornecidos internamente e por terceiros. agregando o embasamento nas melhores práticas. Por fim. para o Chief Information Security Officer e para auditores de sistemas. para o gerente de projetos. Existem 28 controles (divididos em 4 domínios) de TI ditos como mais comuns nos ambientes de informática das empresas brasileiras que procuram mitigar o efeito desses riscos. os auditores de sistemas devem possuir um embasamento sobre esse modelo de melhores práticas substanciar as opiniões para a gerência de controles internos e conseguir entender quais são os controles mínimos necessários cada negócio. Tanto para o comitê executivo de uma empresa. Relação dos Processos CobiT Operações Computadoriza das Desenvolvimento de Programas X X X X X X X X com Domínios ISA É ressaltada a alta relevância do processo APO12. Configurações DSS01-Adm. ressaltamos a alta relevância dos processos BAI01 e BAI06. Esses processos. pois ele aborda os mesmos princípios do domínio de Acesso a Programas e Dados. solicitadas. Esse processo fala sobre a garantia que apenas acessos autorizados sejam concedidos para os recursos de informação. autorizadas. planejados. Operações DSS02-Adm Solicitações e Incidentes de Serviços DSS04-Adm. Riscos X BAI01-Adm. o framework de melhores práticas do mercado trabalhado nesse documento. Mudanças BAI10-Adm. Assim. Da mesma forma. Processo Cobit Domínio ISA / Acesso a programas e Dados Mudança de Programa s APO12-Adm. atestam que novos e as alterações em programas existentes e componentes de infraestrutura relacionados sejam. testadas e adequadamente implementadas.A Tabela 1 exibe uma relação entre a auditoria. pois eles abordam os mesmos princípios do domínio de Desenvolvimento e Mudanças de Programas. podendo garantir a integridade dos dados. Projetos BAI06-Adm. com auxílio de outros. Essa tabela relaciona os processos do CobiT de maior relevância para auditoria de sistemas com os domínios do ISA. executadas. verifica-se que o processo BAI10 abrange tanto o domínio de Mudanças de Programas quanto o de 12 . Também na tabela. Continuidade Tabela 1 . Isso acontece. O Capitulo 2 explicará os métodos utilizados em cada teste. as grandes empresas têm se preocupado bastante com a qualidade dos serviços. pode se basea em outros modelos. 2. fundamentada nas melhores práticas abordadas no mercado. 13 . já o Capitulo 4 que ainda não faz parte deste documento. com visto nos capítulos anteriores. porque uma boa Gerência de Configuração é imprescindível para um ambiente de Controles de TI estruturado e.Desenvolvimento de Programas. não especificamente pré-formatados. Verifica-se também da tabela. O bom senso e/ou a experiência acumulada. tem enorme importância para uma auditoria em TI. nesse domínio. Serão expostos testes para 23 controles previamente identificados como necessários para conclusão do trabalho. deve ser alvo frequente de auditorias. em suas recomendações.5 Considerações Sobre a Inserção da Auditoria nas Melhores Práticas de TI É fácil notar a grande dimensão de aplicações que o modelo de governança/gestão de TI que é proposta pelo CobiT abrange. dessa forma. A auditoria está. planos de contingência e de recuperação de desastres. No entanto a auditoria. 3 Requisitos da auditoria para análise da TI da empresa Este Capítulo demonstrará uma formalização da auditoria com suporte para um projeto de auditoria contábil ou de sucessão. Este especificamente dentre vários outros conjuntos de melhores práticas citados. irá expor os resultados obtidos em cada um dos 23 testes aplicados na empresa. que o domínio de Operações Computadorizadas possui três processos que caracterizam muito bem sua essência: garantir o adequado funcionamento serviço e componentes de tecnologia da empresa. Atualmente. será utilizada para compor o trabalho. Esses controles foram escolhidos devido a sua relevância dentro do ambiente computacional da empresa em e devido a sua cobertura aos riscos descritos no ISA 315.03-Monitoramento do Ambiente de TI 03. ferramentas específicas. documentos (evidências) externos.09-Inventário de Hardware e Software 01. com uma visão macro do ambiente computacional.04-Plano e contingência e continuidade do negócio 03.01-Gerenciamento de mudanças 02. os controles expostos na Tabela 2.12-Revogação de acessos a rede 01.As formalizações que se seguem.02-Instalação do CPD 03.1 Definição dos Testes Aplicados na Empresa. 01 -Acesso a Programas e Dados 02-Mudanças de Programas 01. a auditoria tem a liberdade de auditar essa área conforme experiência e entendimento da necessidade.02-Parametrizações de Senhas dos Aplicativos 01.02-Segregação entre Ambientes 02.05-Requisições e Incidentes 03. datas.10-Parametrização de senhas da rede 01. Assim.06-Antivírus 01. contemplarão nomes de pessoas. Como visto anteriormente. pois foi identificado que na empresa. o ISA 315 define apenas riscos para a área de TI e não controles.13-Termo de utilização à ativos de TI. não há desenvolvimento interno de sistemas aplicativos.07-Gestão do conhecimento 14 . Na Tabela 2. com o intuito de formalizar e tornar claro o entendimento da situação atual.07-Conexão remota 01. Não foram definidos controles a serem testados para o domínio de Desenvolvimento de Programas.11-Utilização da rede Wireless 01.03-Revisão dos Perfis de Acesso dos Usuários 01.01-Transações críticas dos sistemas 02.03-Gestão de Projetos 01. Mudanças de Programas e Operações Computadorizadas.01-Backup 03.08-Firewall 01.06-Gestão de Catalogo de Serviços de TI 03.04-Revogação de Acessos a Aplicação 01. 3.05-Política de acesso aos bancos de dados 01. estão divididos em 3 domínios ISA: Acesso a Programas e Dados. desde que os testes avaliem a cobertura dos riscos mencionados no ISA. rede e internet 03 -Operações computadorizadas 03. os controles selecionados. foram previamente selecionados para esse trabalho. pertencente ao domínio de Acesso a Programas e Dados. Nessa entrevista.2 01. a possibilidade que sistemas sejam acessados por pessoas não autorizadas. pessoas sejam responsáveis por.02-Parametrização de Senhas dos Aplicativos Esse controle. Por exemplo. se essa transação só está sendo processada por gestores da área financeira da empresa. nos sistemas 15 .1 01. relacionaremos as estratégias definidas nas próximas 23 Seções. é necessário entrevistar as pessoas responsáveis pelo sistema aplicativo sobre a realização dessa atividade. busca detectar a realização de transações críticas de um sistema aplicativo por pessoas não autorizadas. ao máximo. esperase que em um ambiente tecnológico complexo. deve-se verificar. verificar se uma série de transações consideradas críticas pela gerência da empresa só estejam sendo desempenhadas pelas pessoas a elas determinadas.1.Divisão dos Controles a serem Testados entre os Domínios do ISA O intuito do trabalho é verificar a eficácia de cada um desses 23 controles de TI. Como muitos usuários costumam escolher senhas muito simples. pertencente ao domínio de Acesso a Programas e Dados. Para verificar esse desempenho.1. periodicamente. 3. primeiramente será necessário verificar se o sistema permite esse monitoramento através do que chamamos de log (textos que registram o processamento do sistema). busca dificultar.Tabela 2 . questionando os responsáveis se esses logs são utilizados para o monitoramento e qual a política de armazenamento do log (com evidência de sua realização). para uma transação de “aprovação e baixa manual de títulos a pagar”. Para testar a eficácia desse controle na empresa.01-Transações Críticas dos Sistemas Esse controle. como não existem práticas definidas no ISA 315. periodicamente. há. 3. Depois. Dessa forma. Por exemplo.03-Revisão dos Perfis de Acesso dos Usuários Esse controle. obtendo evidências da realização. não faz sentido que a própria pessoa que realizou uma transação de solicitação de reembolso no sistema a aprove. recomenda-se como uma boa prática de mercado estar sempre revisando os acessos dos usuários. números e caracteres especiais) são alguns parâmetros de senha que podem ser configurados nos sistemas de informação.3 01. 16 . Devido a concessão de acessos a transações nas empresas ser bastante dinâmica e mutável. Para testarmos a eficácia desse controle basta. Por exemplo. em conversa com a área de TI da empresa.1. limitar o tamanho mínimo da senha. É bastante claro que usuários de um sistema de informação complexo e integrador de diferentes áreas não devem ter acesso a todas as transações possíveis do sistema. verificar-se se a política de segurança da informação possuir evidencias de sua definição e parametrização. pertencente ao domínio de Acesso a Programas e Dados. bloquear usuários com tentativas repetidas de acesso sem sucesso e definir a complexidade das senhas (uso de maiúsculas. busca garantir que os acessos dos usuários no sistema de informação utilizado sejam revisados. como restringir a complexidade de suas senhas através de alguns parâmetros. Para testarmos a eficácia de um controle desse tipo. Também a documentação dos perfis de acesso como entrega das evidências de sua parametrização. e analise da tela de opções do sistema em questão e relacionarmos a política de senhas da empresa.modernos. fazer com que os usuários sempre estejam mudando suas senhas para novos conjuntos de caracteres. será analisado se existe algum processo periódico desse tipo. 3. 01. A única diferença entre os dois é que o primeiro funciona no nível da aplicação e esse funciona no nível da base de dados.05-Política de acesso aos bancos de dados Esse controle.1. Por causa disso deve existir uma política de acesso formal e um forte monitoramento dessa atividade. são entrevistadas as pessoas responsáveis pelo banco de dados. temos que nos precaver que isso não acontece por pessoas não autorizadas.1. se considerarmos uma arquitetura de sistemas de informação tradicional. usuários desconhecidos da empresa.5 01. Como no primeiro controle. pertencente ao domínio de Acesso a Programas e Dados. verificando se não existem no sistema de informação usuários genéricos (usuários utilizados por mais de uma pessoa).04-Revogação de Acessos à Aplicação Esse controle. Para o teste da eficácia desse controle. iremos obter uma listagem de funcionários ativos e desligados da empresa e realização de uma análise dos usuários dos sistemas de informação em planilha eletrônica. Como nos sistemas de informação. pertencente ao domínio de Acesso a Programas e Dados. Depois.3. As melhores práticas do mercado dizem que a existência desses usuários acarreta riscos de processamentos cujos autores não podem ser identificados pela empresa. temos que questionar os responsáveis se esses logs 17 . funciona de maneira bastante semelhante e possui os mesmos princípios do controle descrito na Seção 01. 3.4 01. primeiramente e verificar se o SGBD (Sistema de Gerenciamento de Banco de Dados) permite esse monitoramento através do que chamamos de log (textos que registram o processamento do sistema). para teste da eficácia desse controle na empresa. usuários duplicados e usuários que já foram desligados da empresa. Nessa indagação. muitos usuários possuem acesso para editar informações diretamente na base de dados. sobre a realização dessa atividade. se o pessoal de TI efetua o monitoramento adequado da ferramenta e se a mesma está em constante atualização na empresa.são utilizados para o monitoramento e qual armazenamento (com evidência de sua realização). empresas que guardam dados de clientes devem preservar ao máximo o sigilo de suas informações. junto aos funcionários da área de TI. pertencente ao domínio de Acesso a Programas e Dados. é necessário entender. A empresa deve institucionalizar uma gestão de concessão de acessos eficiente para casos como esse.1. Por exemplo.06-Antivírus Esse controle. Em segundo lugar. antes de tudo é necessário verificar se a empresa utiliza alguma ferramenta com amplo respaldo do mercado. quando eles estão fora de seus domínios físicos. Dependendo do tipo de negócio desempenhado pela empresa. como os colaboradores realizam 18 .7 01. pertencente ao domínio de Acesso a Programas e Dados. Para o teste da eficácia desse controle. identifica-se se os funcionários utilizam a ferramenta de forma adequada com todas suas possibilidades. tem como objetivo a proteção do ambiente computacional da empresa. Essa proteção tem tanto como finalidade a continuidade do negócio da empresa quanto à proteção de seus dados críticos.6 01.07-Conexão Remota Esse controle. esse controle deve ser mais ou menos rigoroso. Dessa maneira.1. uma empresa com alta maturidade em controles não deve liberar esse tipo de acesso a qualquer funcionário. são formalmente documentados e estão atualizados 3. Para o teste da eficácia desse controle. Também é analisado se os controles e perfis do antivírus. a política de 3. busca controlar os acessos à rede da empresa por seus funcionários e parceiros de negócio. são formalmente documentados e estão atualizados 3.08-Firewall Esse controle.9 01. Como muitas ferramentas de Firewall já vêm acopladas com ferramentas de IDS (Intrusion Detection System). Prevenindo.1. Além disso. Além disso.05.09-Inventário de Hardware e Software Esse controle. tem dois objetivos principais. é necessário verificar se a empresa utiliza uma ferramenta de Firewall de respaldo do mercado. O primeiro é que a empresa controle. são 3. precisamos entender como ocorre a concessão de novos acessos a essa funcionalidade. pertencente ao domínio de Acesso a Programas e Dados. o bloqueio de sites considerados perigosos para a empresa. possui objetivos semelhantes ao do controle da Seção 01. verifica-se também se essa ferramenta é utilizada de maneira eficaz com. Para o teste da eficácia desse controle.8 01. a instalação de softwares perigosos ao ambiente computacional. de forma estruturada (através de alguma ferramenta do mercado). Esse controle busca a proteção do ambiente computacional da empresa através de ferramentas que controlam o tráfego de dados entre o ambiente interno e externo. também pertencente ao domínio de Acesso a Programas e Dados. portanto. verifica-se também se a empresa utiliza uma ferramenta desse tipo para prevenir a intrusão da rede interna. Seu segundo objetivo é que a empresa coíba a instalação de softwares não autorizados por sua administração. nesse teste. dentre outras finalidades.1. 19 .acesso remoto aos sistemas. Também é analisado se os controles de acesso que passam pelo Firewall. Também é analisado se as concessões formalmente documentados e estão atualizados de acesso. a quantidade de equipamentos de hardware e licenças de software que possui. 1. por exemplo. Isso garante que arquivos confidenciais não sejam acessados por pessoas não autorizadas. mesmo que simplória.10-Parametrização de Senhas da Rede Esse controle.02.Para analisar a eficácia desse controle. que controle seus ativos de TI. Em seguida tenta-se realizar a instalação de um programa qualquer em uma máquina aleatória da empresa. Para análise da eficácia desse controle. verificar quais parâmetros de complexidade de senha estão configurados para acesso à rede da empresa.11-Utilização da Rede Wireless Esse controle. Da mesma forma que para o controle da Seção 01. deve-se entender como está montada a topografia da rede sem fio da empresa. 3. 3. É analisado se há documentação destes inventários seja impressão ou em mídia e também se há mecanismos de atualização automatizados ou manuais. Isso visa a garantir essa segregação entre rede de visitantes e rede de funcionários. possui os mesmos princípios do controle da Seção 01.02. pertencente ao domínio de Acesso a Programas e Dados. 20 . Seu principal ponto de atenção é a garantia de que o acesso à rede sem fio para visitantes seja diferenciado do acesso à rede sem fio para funcionários. Com essa tentativa é identificado se a empresa está bloqueando a instalação de softwares não autorizados. que utilizam sistemas operacionais Windows.11 01. A diferença entre esses dois controles é que o primeiro funciona no nível da aplicação e esse funciona no nível da rede da empresa. primeiramente é procurado entender se a empresa possui alguma ferramenta. testa-se a eficácia desse controle. Para a grande maioria das empresas.1. tem como finalidade garantir que o acesso à rede sem fio da empresa seja adequado. pertencente ao domínio de Acesso a Programas e Dados. a gestão da rede da empresa se dá através da ferramenta Active Directory.10 01. 04. último pertencente ao domínio de Acesso a Programas e Dados. obtém-se uma lista dos novos funcionários da empresa e feita uma seleção aleatoriamente alguns deles. Para analisar a eficácia desse controle. pertencente ao domínio de Acesso a Programas e Dados. podemos obtém-se uma listagem de funcionários ativos e desligados da empresa em exame e realizarmos uma análise dos usuários da rede em planilha eletrônica. usuários desconhecidos da empresa. rede e internet Esse controle. Para analise da eficácia desse controle.14 02.12 01.12-Revogação de Acessos à Rede Esse controle.13 01.13-Termo de utilização à ativos de TI. usuários duplicados e usuários que já foram desligados da empresa.01-Gerenciamento de Mudanças Esse controle. busca princípios parecidos ao do controle da Seção 01.1. 3.1. A diferença entre esses dois controles é que o primeiro funciona no nível da aplicação e esse a nível da rede da empresa. busca que os funcionários da empresa estejam cientes de suas responsabilidades no uso dos ativos de TI. este analisa se não existam na rede da empresa usuários genéricos (usuários utilizados por mais de uma pessoa). pertencente ao domínio de Mudanças de Programas. Após essa etapa é solicitado à área que fica de posse desses documentos os mesmos para verificarmos se eles estão devidamente assinados.3. 3. muitas empresas se utilizam de termos que devem ser assinados por seus funcionários. Da mesma forma que para o primeiro controle. tem como objetivo que a empresa possua um adequado 21 . rede e internet. Para isso.1. 01 que trata de mudanças em sistemas já existentes.02-Segregação entre Ambientes Esse controle. se a empresa possuir um procedimento de controle de versão adequado é solicitado evidências da realização das fases descritas para algumas mudanças realizadas.procedimento formalizado para o gerenciamento das mudanças realizadas em seus sistemas. tem como objetivo analisar se há controle de projetos para novas implementações na infraestrutura e sistemas da empresa. plano de projeto. Após essa etapa. pertencente ao domínio de Mudanças de Programas. não se pode falar em gerenciamento de mudanças sem um controle de versão adequada. pertencente ao domínio de Mudanças de Programas. Para analise da eficácia desse controle. Para análise da eficácia desse controle. está seção aborda novas implementações em 22 . Além disso.16 02. procurar-se entender como está à disposição das diferentes versões do sistema nos servidores. procurar-se entender se as implementações na TI passaram por controle de projetos.1. 3. evidencias de controle de projetos e encerramento. Para analisarmos a eficácia desse controle. com termo de abertura aprovado pela alta administração. tem como objetivo a separação entre os ambientes onde as diferentes versões do sistema estão instaladas. 3. Por fim. as boas práticas dizem que a responsabilidade quanto a migração dos ambientes é da equipe de TI. deve-se atentar se o procedimento utilizado para esta finalidade permite a reversão do processo. entende-se também como ocorre a migração das mudanças desenvolvidas para o ambiente de produção.03-Gestão de projetos Esse controle. Além disso.1. É importante que a empresa possua ambientes de teste e de produção. a empresa deve possuir em seu procedimento fases como testes e requisição de usuário. primeiramente é verificado se a empresa possui um procedimento desse tipo e se ele está formalizado. Nessa última etapa. Diferentemente da Seção 02. Além disso.15 02. 18 03. Para isso. tem como objetivo garantir que a empresa salvaguarda de seus dados no caso de problemas que visem à continuidade de seus negócios. todos os procedimentos relativos a esse controle constam em políticas amplamente disseminadas entre os funcionários da área de TI. umidade. Para analise da eficácia desse controle. Para evidenciar a realização desse controle em todos os seus aspectos.01-Backup Esse controle. combate a incêndios. realizam testes de restore (reinserir os dados armazenados no sistema) entre outros procedimentos. Em empresas mais estruturadas. deve possuir controles de temperatura. pertencente ao domínio de Operações Computadorizadas. segundo as melhores práticas. o que se chama popularmente de backup. Contudo. deve-se realizar profundo entendimento da área junto aos funcionários de TI.17 existentes e alterações significante na 03. Esse ambiente. As empresas geralmente utilizam alguma ferramenta para realizar esse procedimento de forma automática. uma visita à sala onde estão localizados os servidores da empresa resolve questão. procura fazer com que o ambiente físico onde estão instalados os servidores da empresa seja o melhor possível. 3.sistemas novos ou infraestrutura da TI 3. atenta-se a todos os aspectos da sala bem como a documentação do mapeamento da mesma. pertencente ao domínio de Operações Computadorizadas.02-Instalações do CPD Esse controle. nobreaks entre outros artifícios para proteger ao máximo os dados da empresa. quase todas as empresas possuem algum procedimento de armazenamento externo de seus dados. 23 .1. nessa visita. armazenam suas fitas de backup em lugares seguros.1. certifica que a empresa esteja prevenida para quaisquer eventuais catástrofes não esperadas como incêndios. Para analise da utilização desse controle.03-Monitoramento do Ambiente de TI Esse controle.21 03. Para isso. Além disso.1. pertencente ao domínio de Operações Computadorizadas. pertencente ao domínio de Operações Computadorizadas. as melhores práticas recomendam o uso de softwares. 3. Para esse constante monitoramento.19 03. tem como objetivo o constante monitoramento da ocorrência de possíveis problemas na estrutura do ambiente de TI da empresa (baixa capacidade de processamento.3. certifica se a empresa possui algum plano desse tipo formalizado. falta de espaço em disco. muitas empresas desenvolvem planos de ação para casos como esses. 3. verificasse se a empresa utiliza alguma ferramenta do mercado para esse fim e como ela é utilizada.1. alagamentos e outros desastres naturais.05-Requisições e Incidentes Esse controle.04-Plano de Contingência e Continuidade do Negócio Esse controle. com o intuito de garantir sua continuidade do negócio. Para análise da utilização desse controle.1. certifica se a empresa possui registros de controle de requisições e serviços registrados por usuários e áreas da empresa 24 .20 03. certifica se a empresa possui controle de requisições e incidentes de TI. pertencente ao domínio de Operações Computadorizadas. um plano desse tipo deve ser amplamente divulgado entre os funcionários da área de TI e deve haver treinamentos e teste para casos como os descritos. Para análise do adequado monitoramento do ambiente de TI. entre outros problemas). 06-Gestão de Catalogo de Serviços de TI Esse controle. certifica se a empresa possui a identificação e controle de todos os serviços que a TI presta à empresa. certifica se a empresa possui registros que possam evidenciar este controle com a identificação dos mesmos. fornecedores. Para análise da utilização desse controle. e que tenham política de atualização dos mesmos.1.07-Base de conhecimentos Esse controle. Para análise da utilização desse controle.3.23 03.1. certifica se a empresa possui controle para armazenamento e divulgação dos processos de controle de manuais operacionais dos sistemas.22 03. pertencente ao domínio de Operações Computadorizadas. SLA acordado e etc. certifica se a empresa possui registros que possam evidenciar esta prática. pertencente ao domínio de Operações Computadorizadas. 4 Glosário Incidente: Requisição 25 . 3.


Comments

Copyright © 2024 UPDOCS Inc.