O Serviço Nacional de Aprendizagem Comercial

Serviço Nacional de Aprendizagem Comercial - SENAC
Pós-Graduação em Segurança da Informação

Produção Individual
1801 – Auditoria e controle de acesso

RAFAEL MONTEIRO DIAS DA CRUZ

BARRA DA TIJUCA (MARAPENDI) /RJ

 2018

INTRODUÇÃO

Uma empresa que desenvolve soluções de TI para o mercado corporativo deseja obter um selo de maturidade. Para isso a mesma precisa passar por um processo de auditoria interna e externa. Esta empresa, por sua vez, contrata uma consultoria para apoiar no processo de auditoria e obtenção do selo.

a) Elabore um plano de ação para que esta empresa se organize para a obtenção deste selo, baseados nas boas práticas nos processos de auditoria interna e externa.

b) Tratando-se de uma empresa que utiliza recursos de computação em nuvem, apresente normas ou recomendações vinculadas de maneira a orientar a obtenção de evidência em um processo de auditoria.

c) Com a obtenção deste selo de maturidade, quais seriam suas recomendações para que a organização mantenha este selo?

PLANO DE AÇÃO

1 – Plano e documentação

Planejamento de auditoria, avaliação de riscos de auditoria, supervisão e controle de qualidade, estudo de controles internos, aplicação dos procedimentos de auditoria, avaliação da continuidade dos negócios, aplicação de amostragem estatística.

2 – Análise de requisitos

        Identificar e avaliar o problema, modelagem, especificar os requisitos e revisar entre auditor e cliente.

        Tipos de requisitos a serem analisados: Projeto, produto, funcionais e não funcionais.

        Técnicas de análise de requisitos: Entrevistas, brainstorming, observação, questionários e pesquisas.

3 – Rastreabilidade

        Rastrear é identificar o que, de onde veio e para onde foi.

4 - Auditorias manuais e automáticas

        O auditor deverá definir qual o tipo de metodologia deverá ser analisado, se será manual ou automática.

5 – Tipos de ferramentas (CAATs)

        Software generalista de auditoria de tecnologia de informação (ACL, IDEA, audimation, Galileo e pentana), softwares especializados de auditoria e programas utilitários.

6 – Logs e evidências de auditoria

        Para a produção de evidências, deve-se utilizar meios corretos e idôneos, pois, se não for assim, estas poderão ter sido contaminadas, perdendo sua veracidade, e não servirão de lastro para as afirmações levantadas.

7 - Conclusões do auditor e relatório de auditoria

        Descobertas, recomendações e acompanhamento.

NORMAS E RECOMENDAÇÕES PARA COMPUTAÇÃO EM NUVEM

A computação em nuvem está ganhando cada vez mais espaço na internet, oferecendo serviços de diversas qualidades e angariando clientes de diferentes tamanhos. No dia 07 de janeiro de 2016, passou a vigorar a norma ABNT NBR ISO/IEC 17788:2015, que, além de apresentar um panorama da computação em nuvem, oferece um conjunto de termos e conceitos sobre o assunto.

...