TrabalhosGratuitos.com - Trabalhos, Monografias, Artigos, Exames, Resumos de livros, Dissertações
Pesquisar

Auditoria e Controle de Acesso

Por:   •  22/8/2018  •  Trabalho acadêmico  •  837 Palavras (4 Páginas)  •  300 Visualizações

Página 1 de 4

CENTRO UNIVERSITÁRIO SENAC

EAD PÓS-GRADUAÇÃO - ESPECIALIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO

RAFAEL GRACILIANO DE ARAUJO KARVAT

AUDITORIA E CONTROLE DE ACESSO

PI – Produção Individual: Consultoria para Processo de Auditoria

Professor Gustavo Moreira Calixto

CANOINHAS – SC

2017

CENÁRIO ATUAL

Uma empresa que desenvolve soluções de TI para o mercado corporativo deseja obter um selo de maturidade. Para isso a mesma precisa passar por um processo de auditoria interna e externa. Este empresa, por sua vez, contrata uma consultoria para apoiar no processo de auditoria e obtenção do selo.

A) Elabore um plano de ação para que esta empresa se organize para a obtenção deste selo, baseados nas boas práticas nos processos de auditoria interna e externa.

B) Tratando-se de uma empresa que utiliza recursos de computação em nuvem, apresente normas ou recomendações vinculadas de maneira a orientar a obtenção de evidência em um processo de auditoria.

C) Com a obtenção deste selo de maturidade, quais seriam suas recomendações para que a organização mantenha este selo?


PLANO DE AÇÃO

ETAPA

AÇÃO

TEMPO

Planejamento

  • Conhecer o ambiente a ser auditado
  • Delimitar área e/ou setor a ser auditado
  • Determinar os processos críticos
  • Determinar os objetivos da auditoria
  • Estabelecer escopo, ferramentas e critérios que serão utilizados para análises
  • Definição do Auditor Responsável
  • Definição de datas para cada etapa

5 dias

Execução do Trabalho

  • Realizar a reunião inicial
  • Escolha da equipe de auditoria
  • Definição de papeis de cada membro da equipe
  • Treinamento da equipe auditora
  • Execução do trabalho de auditoria
  • Avaliação do trabalho realizado
  • Revisão dos papeis dos membros

60 dias

Documentação

  • Documentação de todos os trabalhos realizados
  • Geração de relatórios

Continuamente durante todo o processo de auditoria

Conclusão

  • Realizar a reunião final com a equipe
  • Realizar o diagnóstico da situação atual dos

Processos auditados

  • Apontar fraquezas e/ou falhas nos sistemas/processos analisados

5 dias

Apresentação dos Resultados

  • Apresentar os resultados do trabalho de auditoria para a alta administração
  • Utilizar linguagem clara e objetiva
  • Apresentar recomendações para a correção de eventuais problemas

1 dia

Acompanhamento

Pós-auditoria

  • Revisar os pontos citados nos relatórios
  • Acompanhamento dos pontos citados como fraquezas e/ou falhas
  • Verificar se os problemas foram resolvidos
  • Identificar medidas para a prevenção de reincidência das falhas identificadas

Enquanto for necessário ou conforme acordado com a empresa

NORMAS E RECOMENDAÇÕES PARA COMPUTAÇÃO EM NUVEM

        Visando gerar evidências para um processo de auditoria, de maneira a obter selos de maturidade para a organização que também trabalha com recursos de computação em nuvem, algumas normas e recomendações podem servir de base, dentre elas estão:

  • Norma ABNT NBR ISO/IEC 17788:2015 - visa estabelecer referências para esclarecer melhor o uso da computação em nuvem. Aborda a padronização da computação em nuvem, além de trazer termos e definições sobre o cloud.

  • Norma NBR ISO/IEC 20000 - é um conjunto que define as melhores práticas de gerenciamento de serviços de TI. Essa norma adota a metodologia conhecida como PDCA (Plan-Do-Check-Act) para os processos de planejamento e implementação de serviços. A ISO 20000-7 trata sobre a aplicação da ISO 20000 a serviços cloud, e tem como objetivo dar recomendações específicas aos fornecedores de serviços na nuvem.
  • Norma ABNT NBR ISO/IEC 27017:2016 - fornece diretrizes para os controles de segurança da informação aplicáveis à prestação e utilização de serviços em nuvem, fornecendo o seguinte: diretrizes adicionais para implementação de controles relevantes especificados na ISO/IEC 27002; controles adicionais com diretrizes de implementação que são relacionadas especificamente a serviços em nuvem.
  • ISO/IEC 27001 - define os requisitos para um Sistema de Gestão da Segurança da Informação (SGSI). Visa garantir que controles adequados estejam em vigor para abordar a confidencialidade, a integridade e a disponibilidade de informações e proteger as informações de partes interessadas. Isso inclui os seus clientes, colaboradores, parceiros de negócios e as necessidades da sociedade em geral.
  • ISO/IEC 27002 - é um código de práticas com um conjunto completo de controles que auxiliam aplicação do SGSI.É recomendável que a norma seja utilizada em conjunto com a ISO 27001, mas pode ser também consultada de forma independente com fins de adoção das boas práticas.

RECOMENDAÇÕES

O processo de auditoria não termina na entrega do relatório, afinal ela é realizada por um motivo: potencializar a eficiência dos processos e eliminar ou corrigir possíveis falhas. Após a identificação e execução de ações para correção e prevenção de falhas e a aplicação das soluções encontradas, é necessário que seja realizada uma nova verificação de eficácia das soluções. Essa análise pode ser realizada através de uma nova auditoria, na qual será extraído um relatório gerencial com todas as conclusões. Esse procedimento poderá, inclusive, ser executado em intervalos de tempo regulares, a fim de se manter o nível desejado dos processos de negócio anteriormente auditados.

...

Baixar como (para membros premium)  txt (6.1 Kb)   pdf (194 Kb)   docx (16 Kb)  
Continuar por mais 3 páginas »
Disponível apenas no TrabalhosGratuitos.com
Ler documento completo Salvar