"Auditoria de Segurança e Sistemas de Informação"

Introdução:

Podemos definir Auditoria como o exame sistemático e independente das atividades desenvolvidas em determinada empresa ou setor. Auditar é, antes de tudo, Avaliar. Um problema comum em segurança é identificar quem ou o que causou algo.

Auditoria de Segurança é uma técnica de avaliação sistemática e mensurável da política de segurança de uma organização aplicada a um local específico.
Exemplo: Teste de Invasão (Penetration Test) - Enfoca-se na tentativa de encontrar falhas em recursos críticos de uma organização.

Conceitos de auditoria de sistemas de informação
A auditoria em segurança da informação tem o papel de assegurar a qualidade da informação e participar do processo de garantia quanto a possíveis e indesejáveis problemas de falha humana.

1- Conceitos

Processamento Eletrônico de Dados: Hardware, Software e Teleprocessamento.
Sistemas de Informação: Conjunto de recursos humanos, materiais, tecnológicos e financeiros combinados segundo uma sequência lógica para transformar dados em informações.
Auditoria de Sistemas: Validação e Avaliação do controle interno de sistemas de informação.
Ponto de Controle: Situação do ambiente computacional considerada pelo auditor como sendo de interesse para validação e avaliação.
Controle Interno: Verificação e validação dos seguintes parâmetros do Sistema de Informação:

 Fidelidade da informação em relação ao dado
 Segurança física
 Segurança lógica
 Confidencialidade
 Obediência à legislação em vigor
 Eficiência
 Eficácia
 Obediência às políticas e às regras de negócio da organização

Exemplos de parâmetros de Controle Interno:
Para fidelidade da informação em relação ao dado:
 AIC (Arquivos de Informações de Controle);
 AUDIT TRAIL (permite a monitoração do processamento dos dados);
 Arquivos de erros de processamentos não corrigidos
 Informações do código do