Auditoria e Controle de Acesso
Por: Rafael Karvat • 22/8/2018 • Trabalho acadêmico • 837 Palavras (4 Páginas) • 335 Visualizações
CENTRO UNIVERSITÁRIO SENAC
EAD PÓS-GRADUAÇÃO - ESPECIALIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO
RAFAEL GRACILIANO DE ARAUJO KARVAT
AUDITORIA E CONTROLE DE ACESSO
PI – Produção Individual: Consultoria para Processo de Auditoria
Professor Gustavo Moreira Calixto
CANOINHAS – SC
2017
CENÁRIO ATUAL
Uma empresa que desenvolve soluções de TI para o mercado corporativo deseja obter um selo de maturidade. Para isso a mesma precisa passar por um processo de auditoria interna e externa. Este empresa, por sua vez, contrata uma consultoria para apoiar no processo de auditoria e obtenção do selo.
A) Elabore um plano de ação para que esta empresa se organize para a obtenção deste selo, baseados nas boas práticas nos processos de auditoria interna e externa.
B) Tratando-se de uma empresa que utiliza recursos de computação em nuvem, apresente normas ou recomendações vinculadas de maneira a orientar a obtenção de evidência em um processo de auditoria.
C) Com a obtenção deste selo de maturidade, quais seriam suas recomendações para que a organização mantenha este selo?
PLANO DE AÇÃO
ETAPA | AÇÃO | TEMPO |
Planejamento |
| 5 dias |
Execução do Trabalho |
| 60 dias |
Documentação |
| Continuamente durante todo o processo de auditoria |
Conclusão |
Processos auditados
| 5 dias |
Apresentação dos Resultados |
| 1 dia |
Acompanhamento Pós-auditoria |
| Enquanto for necessário ou conforme acordado com a empresa |
NORMAS E RECOMENDAÇÕES PARA COMPUTAÇÃO EM NUVEM
Visando gerar evidências para um processo de auditoria, de maneira a obter selos de maturidade para a organização que também trabalha com recursos de computação em nuvem, algumas normas e recomendações podem servir de base, dentre elas estão:
- Norma ABNT NBR ISO/IEC 17788:2015 - visa estabelecer referências para esclarecer melhor o uso da computação em nuvem. Aborda a padronização da computação em nuvem, além de trazer termos e definições sobre o cloud.
- Norma NBR ISO/IEC 20000 - é um conjunto que define as melhores práticas de gerenciamento de serviços de TI. Essa norma adota a metodologia conhecida como PDCA (Plan-Do-Check-Act) para os processos de planejamento e implementação de serviços. A ISO 20000-7 trata sobre a aplicação da ISO 20000 a serviços cloud, e tem como objetivo dar recomendações específicas aos fornecedores de serviços na nuvem.
- Norma ABNT NBR ISO/IEC 27017:2016 - fornece diretrizes para os controles de segurança da informação aplicáveis à prestação e utilização de serviços em nuvem, fornecendo o seguinte: diretrizes adicionais para implementação de controles relevantes especificados na ISO/IEC 27002; controles adicionais com diretrizes de implementação que são relacionadas especificamente a serviços em nuvem.
- ISO/IEC 27001 - define os requisitos para um Sistema de Gestão da Segurança da Informação (SGSI). Visa garantir que controles adequados estejam em vigor para abordar a confidencialidade, a integridade e a disponibilidade de informações e proteger as informações de partes interessadas. Isso inclui os seus clientes, colaboradores, parceiros de negócios e as necessidades da sociedade em geral.
- ISO/IEC 27002 - é um código de práticas com um conjunto completo de controles que auxiliam aplicação do SGSI.É recomendável que a norma seja utilizada em conjunto com a ISO 27001, mas pode ser também consultada de forma independente com fins de adoção das boas práticas.
RECOMENDAÇÕES
O processo de auditoria não termina na entrega do relatório, afinal ela é realizada por um motivo: potencializar a eficiência dos processos e eliminar ou corrigir possíveis falhas. Após a identificação e execução de ações para correção e prevenção de falhas e a aplicação das soluções encontradas, é necessário que seja realizada uma nova verificação de eficácia das soluções. Essa análise pode ser realizada através de uma nova auditoria, na qual será extraído um relatório gerencial com todas as conclusões. Esse procedimento poderá, inclusive, ser executado em intervalos de tempo regulares, a fim de se manter o nível desejado dos processos de negócio anteriormente auditados.
...