Vous êtes sur la page 1sur 40

PROJETOS DE AUDITORIA DE TI

Professor André Campos

Elaborado pelo professor André Campos

Uma visão mais ampla sobre segurança da informação poderá


ser obtida no livro Sistema de Segurança da Informação –
Controlando os riscos, de André Campos, Editora Visual
Books.
PROJETOS DE AUDITORIA DE TI
Este material foi produzido como apoio didático para disciplinas de
graduação e pós-graduação relacionadas com Tecnologia da Informação.

O uso é permitido a todo e qualquer docente ou discente das referidas


disciplinas, ou correlatas, desde que sejam respeitados os direitos autorais,
Professor André Campos

ou seja, que os créditos sejam mantidos.

Este material não pode ser vendido. Seu uso é permitido sem qualquer
custo.

Diversas figuras foram obtidas a partir do acesso em sites de imagens.


Estas imagens foram utilizadas em seu estado original, com 72DPI.

Algumas imagens foram obtidas da obra "Sistema de Segurança da


Informação Controlando Riscos".

Todas as imagens são utilizadas para fins exclusivamente acadêmicos e não


visam a obtenção de lucro.

Informações específicas sobre segurança da informação podem ser obtidas


na obra Sistemas de segurança da informação Controlando Riscos;
Campos, André; Editora Visual Books, 2007.
Iniciando a auditoria

A auditoria é conduzida por um líder, ou


auditor líder, que é designado pelo gerente
responsável pelo programa de auditoria.
Professor André Campos

Quando acontecem auditorias conjuntas é


importante que as organizações envolvidas na
auditoria cheguem a um consenso quanto a
que será o auditor líder e qual será sua
autoridade sobre a equipe de auditoria, que
neste caso será mista.

Não podem haver dois auditores líderes para a


mesma auditoria.
Iniciando a auditoria

Cada auditoria deve possuir uma definição dos


objetivos, escopo e critério de auditoria,
documentados. Os objetivos podem ser:
Professor André Campos

1 – Avaliação de conformidade (compliance);

2 – Avaliação da capacidade do Sistema de


Gestão;

3 – Avaliação da eficácia do Sistema de


Gestão;

4 – Identificação de áreas do Sistema de


Gestão para potencial melhoria.
Iniciando a auditoria

O escopo da auditoria determina a


abrangência e os limites da auditoria,
envolvendo inclusive os limites físicos, da
Professor André Campos

estrutura hierárquica formal ou informal, dos


processos, e do período de auditoria.

O critério de auditoria é a referência contra a


qual a conformidade será determinada,
podendo ser políticas, normas, procedimentos,
leis, regulamentos, requisitos do Sistema de
Gestão, requisitos contratuais, entre outros.
Iniciando a auditoria

Os objetivos da auditoria são definidos pelo


cliente, e o escopo e critério de auditoria são
acordados entre o cliente e o auditor líder.
Professor André Campos

Qualquer eventual mudança de objetivos,


escopo ou critério após o início da auditoria,
deve ser devidamente documentado e
assinado pelo cliente e pelo auditor líder.

Nos casos de auditorias combinadas é


especialmente importante que o auditor líder
garanta que os objetivos, escopo e critério
sejam adequados para a auditoria em
questão.
Iniciando a auditoria

É importante, antes de executar um projeto de


auditoria, determinar a viabilidade deste
projeto.
Professor André Campos

Existem informações suficientes para suportar


a auditoria? O auditado está disposto a
cooperar ou é resistente ao processo? O
tempo e os recursos planejados são realmente
suficientes?

Não vale a pena começar um projeto que não


poderá ser concluído. O cliente, o auditado e o
auditor líder devem garantir a viabilidade.
Iniciando a auditoria

Após o estudo de viabilidade, o próximo passo


é definir a equipe de auditores. É importante
que a equipe, coletivamente, possua os
Professor André Campos

conhecimentos e as habilidades necessárias


para conduzir a auditoria em questão. Devem
ser considerados aspectos tais como: a)
objetivos, escopo e critério da auditoria; b) se
a auditoria é simples, combinada ou conjunta;
c) requisitos legais, regulamentares,
certificações, etc; d) a garantia de
independência e imparcialidade; e) bom
relacionamento inter-pessoal do grupo); f) o
idioma da auditoria, se for o caso.
Iniciando a auditoria

Se a equipe de auditores não for suficiente


para garantir o conjunto de conhecimentos e
habilidades necessárias, será necessário
Professor André Campos

convidar (contratar) especialistas que


atendam a esta demanda.

Membros da equipe poderão ser substituídos


a pedido do cliente ou do auditado, caso haja
conflito de interesses ou relato de conduta
inapropriada de um dos auditores ou
especialistas.
Iniciando a auditoria

No início da auditoria, é adequado que o


contato inicial com o cliente seja
estabelecido de maneira formal (apesar de não
Professor André Campos

ser obrigatório), onde são definidos:

a) Canais de comunicação;
b) Confirmar a autoridade;
c) Detalhamento do projeto de auditoria;
d) Solicitação de acessos a informação;
e) Definição das regras de segurança física e
lógica pertinentes;
f) Explicitar se haverão observadores e e guias.
Análise crítica de documentos

Na fase de execução da auditoria, antes das


atividades no local, é importante fazer uma
análise crítica dos documentos, que podem
Professor André Campos

incluir documentos e registros específicos do


Sistema de Gestão e relatórios de auditorias
anteriores.

No caso da ISO 27.001 é importante avaliar o


documento de definição de escopo e a
declaração de aplicabilidade, além do registro
de incidentes de segurança da informação.
Análise crítica de documentos

Caso a documentação não se encontre nas


condições mínimas necessárias para o início
da auditoria, é provável que a auditoria seja
Professor André Campos

interrompida até que a documentação seja


providenciada.

Esta decisão deve ser tomada entre o auditor


líder e o cliente da auditoria.
Preparando atividades no local

O auditor líder deve apresentar para o cliente


e para o auditado um plano de auditoria, que
sirva de base central para a comunicação
Professor André Campos

entre todos os participantes e interessados no


projeto.

Este plano deve ser detalhado e dar uma idéia


clara do escopo, do tempo, dos recursos e dos
resultados esperados par ao projeto. Uma
prática adequada é construir um cronograma
do projeto que inclua todas estas informações.

Uma ferramenta muito utilizada é o MS


Project.
Preparando atividades no local

O plano de auditoria deve conter pelo menos


as seguintes informações:
Professor André Campos

1 – Os objetivos da auditoria;
2 – O critério de auditoria selecionado;
3 – O escopo da auditoria;
4 – As datas e locais onde ocorrerão as
atividades de auditoria;
5 – O tempo estimado das atividades;
6 – As funções e responsabilidades dos
envolvidos;
Preparando atividades no local
Continuação...

7 – A alocação de recursos;
8 – A identificação dos stakeholders (partes
Professor André Campos

interessadas);
9 – O idioma vigente para auditoria, se for
diferente do idioma nativo;
10 – As principais entregas, a serem
apresentadas no relatório de auditoria;
11 – Questões de logística (viajens, etc);
12 – Termos de sigilo e confidencilidade;
13 – Termos sobre ações de
acompanhamento.
Preparando atividades no local

É essencial que o plano de auditoria seja


avaliado pelos principais envolvidos, ou seja,
a equipe de auditoria, o cliente e o auditado.
Professor André Campos

O cliente deverá expressar formalmente sua


aprovação para o plano de auditoria, através
de um documento assinado por ele.

Eventuais alterações no plano de auditoria


deverão ser aprovadas novamente, também
de maneira formal.
Preparando atividades no local

O auditor líder, conhecendo melhor o auditado,


tendo analisado os documentos da
organização ou área, tendo avaliado a
Professor André Campos

viabilidade da auditoria, e tendo elaborado o


plano de auditoria, agora tem totais condições
de dividir o trabalho da auditoria para sua
equipe.

Ele considerará a competência de cada


auditor frente à demanda de cada tarefa, além
de observar a questão da independência dos
auditores.
Preparando atividades no local

O auditor líder conduzirá sua equipe na


preparação dos documentos para trabalho.
Professor André Campos

Este documentos são compostos basicamente


de listas de verificação (check-lists) e
eventualmente formulários para o registro de
informações de suporte, tais como evidências
e constatações, entre outros.

Os documentos de trabalho devem ser


preservados, pelo menos, até a conclusão da
auditoria.
Conduzindo projeto de auditoria

A reunião de abertura é importante, e deve


ser conduzida com a alta direção da
organização auditado e envolver as lideranças
Professor André Campos

das áreas, funções e processos a serem


auditados. Esta reunião tem os seguintes
objetivos:
1 – Confirmar o plano de auditoria;

2 – Fornecer informações sobre como será


conduzida a auditoria;

3 – Confirmar os canais de comunicação;

4 – Abrir espaço para perguntas.


Conduzindo projeto de auditoria

A comunicação durante a auditoria é um fator


chave de sucesso, e deve ser feita
adequadamente. É impressionante o fato de
Professor André Campos

que todos os envolvidos em projetos, de


qualquer espécie, estão cientes da
importância da comunicação. No entanto, um
grande número de problemas ocorrem durante
o projeto exatamente em decorrência de
falhas ligadas a comunicação.
Conduzindo projeto de auditoria

Um plano formal de comunicação precisa ser


elaborado. Os stakeholders são identificados e
comunicados do andamento da auditoria, tanto
Professor André Campos

no que se refere aos resultados positivos


quanto aos resultados negativos.

Problemas que estejam inviabilizando ou


prejudicando a auditoria precisam ser levadas
ao cliente imediatamente, para que as devidas
providências sejam tomadas. Caso contrário, o
inteiro projeto de auditoria poderá fracassar.
Conduzindo projeto de auditoria

Caso, durante a auditoria, sejam encontradas


falhas graves, que possam gerar prejuízo para
a organização, devem ser comunicados
Professor André Campos

imediatamente ao cliente e ao auditado, e


não aguardar a conclusão da auditoria para
isso.

Qualquer necessidade de mudança de escopo


durante a auditoria, deve ser devidamente
documentada e amplamente comunicada para
todos os stakeholders.
Conduzindo projeto de auditoria

É comum que as auditorias contem com


observadores e guias. Estes indivíduos não
devem interferir de maneira alguma na
Professor André Campos

auditoria.

O guia pode ser designado pelo auditado para


cumprir as seguintes responsabilidades:
1 – Estabelecer contados e programar visitas;
2 – Organizar as visitas;
3 – Garantir o respeito às normas e regras;
4 – Testemunhar a auditoria;
5 – Ajudar na coleta de informações.
Conduzindo projeto de auditoria

De acordo com os objetivos,


Informações
disponíveis escopo e critério da auditoria,
serão coletadas informações
Professor André Campos

Coletar por por amostragem.


amostragem

Isto inclui informações sobre


Evidências
da auditoria funções, processos e
atividades. Apenas
Avaliar contra
informações verificáveis são
critério
válidas.

Constatações Analisar Conclusões


da auditoria criticamente da auditoria
Conduzindo projeto de auditoria

Informações
disponíveis
Os métodos mais utilizados para
a coleta de informações são:
Professor André Campos

Coletar por
amostragem
1 – Entrevistas;

Evidências
da auditoria
2 – Observação das atividades;

Avaliar contra
3 – Análise de documentos.
critério

Constatações Analisar Conclusões


da auditoria criticamente da auditoria
Conduzindo projeto de auditoria

As evidências da auditoria serão


Informações
disponíveis avaliadas contra o critério de
auditoria.
Professor André Campos

Coletar por
amostragem
Esta avaliação demonstrará
conformidade ou não
Evidências
da auditoria conformidade com o critério.

Avaliar contra
As não conformidades serão
critério
oportunidades de melhoria.

Constatações Analisar Conclusões


da auditoria criticamente da auditoria
Conduzindo projeto de auditoria

A identificação das
Informações
disponíveis conformidades, não
conformidades, e oportunidades
Professor André Campos

Coletar por de melhoria são chamadas de


amostragem
constatações da auditoria.

Evidências
da auditoria A equipe de auditoria, durante o
projeto, deverá se reunir para
Avaliar contra
avaliar as constatações de
critério
auditoria.

Constatações Analisar Conclusões


da auditoria criticamente da auditoria
Conduzindo projeto de auditoria

Se for objeto da auditoria, todas


Informações
disponíveis a conformidades individuais
serão registradas, e com elas, o
Professor André Campos

Coletar por registro da evidência


amostragem
(verificável) que a suporta.

Evidências
da auditoria Deve estar claro em que local,
ativo, função, ou processo a
Avaliar contra
conformidade foi encontrada.
critério

Constatações Analisar Conclusões


da auditoria criticamente da auditoria
Conduzindo projeto de auditoria

Do mesmo modo, e
Informações
disponíveis principalmente, as não
conformidades devem ser
Professor André Campos

Coletar por registradas. Estas não


amostragem
conformidades podem ser
graduadas, se for o caso.
Evidências
da auditoria
O auditado deve estar ciente e
Avaliar contra
concordar com a constatação
critério
da auditoria.

Constatações Analisar Conclusões


da auditoria criticamente da auditoria
Conduzindo projeto de auditoria

Caso haja qualquer divergência


Informações
disponíveis entre o auditado e a equipe de
auditoria, deve ser feito todo o
Professor André Campos

Coletar por esforço possível para se chegar


amostragem
a um consenso.

Evidências
da auditoria Não sendo possível, um registro
detalhado da divergência deverá
Avaliar contra
fazer parte dos registros da
critério
auditoria.

Constatações Analisar Conclusões


da auditoria criticamente da auditoria
Conduzindo projeto de auditoria

Após toda a atividade de coleta


Informações
disponíveis de informações e avaliação das
evidências, é a hora de analisar
Professor André Campos

Coletar por todo este material e gerar as


amostragem
conclusões da auditoria.

Evidências
da auditoria Geralmente, isto é feito em uma
longa reunião com todos os
Avaliar contra
membros da equipe de auditoria.
critério

Constatações Analisar Conclusões


da auditoria criticamente da auditoria
Conduzindo projeto de auditoria
O objetivo da reunião é:
Informações
disponíveis
1 – Analisar todas as
constatações da auditoria, e
Professor André Campos

Coletar por
qualquer informação adicional;
amostragem
2 – Acordar sobre as conclusões
da auditoria;
Evidências
da auditoria 3 – Preparar recomendações (se
for o caso);
Avaliar contra
critério
4 – Discutir eventuais ações de
acompanhamento.
Constatações Analisar Conclusões
da auditoria criticamente da auditoria
Conduzindo projeto de auditoria

Ao final da auditoria o auditor líder conduzirá


uma reunião de encerramento, onde
participarão a equipe de auditoria, o auditado,
Professor André Campos

o cliente, e eventualmente outros


stakeholders.

O objetivo é deixar claro todas as


constatações da auditoria e eventualmente
definir prazos para que o auditado alcance a
conformidade.

Estes prazos não devem ser definidos sem a


presença e concordância do auditado.
Conduzindo projeto de auditoria

Este é o momento para que as divergências


entre a equipe de auditoria e o auditado sejam
trazidas à tona, e que haja um esforço
Professor André Campos

conjunto no sentido de resolver estas


divergências.

Se constar dos objetivos da auditoria, as


recomendações de melhoria poderão ser
apresentadas também neste momento, bem
como a proposta de ações de
acompanhamento.
O relatório de auditoria

Ao final da auditoria o auditor líder


providenciará a elaboração do relatório de
auditoria.
Professor André Campos

Não há um modelo oficial para este tipo de


relatório, mas é importante que ele garanta um
registro completo, preciso, conciso e claro
da auditoria.

No entanto, é importante que pelo menos


alguns elementos fundamentais componham
este relatório.
O relatório de auditoria

Entre estes elementos podemos citar:


1 – Os objetivos da auditoria;
Professor André Campos

2 – O escopo da auditoria;
3 – A identificação do cliente;
4 – A identificação do auditor líder;
5 – As datas e locais onde as atividades foram
realizadas;
6 – O critério de auditoria;
7 – As constatações da auditoria;
8 – As conclusões da auditoria.
O relatório de auditoria
Outras informações opcionais:
1 – O plano de auditoria;
Professor André Campos

2 – Lista de representantes do auditado;


3 – Resumo do processo de auditoria;
4 – Retorno sobre o atendimento dos objetivos;
5 – Áreas planejadas mas não cobertas;
6 – Divergências não resolvidas;
7 – Recomendações para melhoria;
8 – Plano de ação para acompanhamentos;
9 – Lista de distribuição do relatório.
O relatório de auditoria
Geralmente, o relatório de auditoria é
entregue em uma data posterior à conclusão
da mesma. Caso haja qualquer tipo de
Professor André Campos

atraso, isto deve ser informado ao cliente e


ao auditado e também constar como registro
no próprio relatório.

Este relatório é de propriedade do cliente, e a


confidencialidade dele deve ser amplamente
respeitada.

Qualquer registro ou documento referente a


auditoria deve ser devolvido ou destruído
completamente.
Concluindo a auditoria
Quando todas estas atividades foram realizadas
e o plano de auditoria seguido até o fim, a
auditoria é data por encerrada.
Professor André Campos

Caso tenham havido contratações de qualquer


tipo ou o estabelecimento de acordos para
viabilizar a realização da auditoria, este é o
momento para encerrar estes contratos e
acordos de maneira formal.

Todos os envolvidos, incluindo terceiros,


deverão assinar termos de sigilo e
confidencialidade a fim de preservar o cliente e
o auditado.
BIBLIOGRAFIA

ABNT. Norma ABNT NBR ISO/IEC 19011:2002 – Diretrizes para auditorias


de sistema de gestão da qualidade e/ou ambiental; Associação Brasileira de
Normas Técnicas (ABNT), Brasil, 2002.
Professor André Campos

ABNT. Norma ABNT NBR ISO/IEC 17799:2005 – Tecnologia da informação –


Técnicas de segurança – Código de práticas para a gestão da segurança da
informação; Associação Brasileira de Normas Técnicas (ABNT), Brasil, 2005.

Campos, André. Sistema de Segurança da Informação – Controlando o


Risco; Editora Visual Books, Brasil, 2005.

Hansche, Susan; Berti, John; Hare, Chris. Official (ISC2) Guide to the CISSP
Exam; Estados Unidos, 2003.

NIST. An Introduction to Computer Security: The NIST handbook; National


Institute of Standards and Technology; Estados Unidos, 2003.

PMI. Project Management Book of Knowledge – PMBOK; Project Management


Institute, Estados Unidos, 2005.