Preview only show first 10 pages with watermark. For full document please download

Auditoria De Ti

Auditoria de TI

Rating
Date

June 2018
Size

572.8KB
Views

1,762
Categories

Cobit Databases Information Technology Information System Business

Transcript

Auditoria de Sistemas de Informação e infraestrutura de TI com base nas melhoress práticas melhore Edson Vidal JUNH !"#$ # Sumário 1 Intr Introd oduç ução ão sobr sobre e a au audi dito tori ria a de de TI TI%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%! #%# #%! #%+ #%/ &e'nição &e'niç ão e b(eti b(eti)os )os da Auditori Auditoria%%% a%%%%%% %%%%%% %%%%%% %%%%%% %%%%%% %%%%%% %%%%%% %%%%%%% %%%%%%%%% %%%%%%%%%% %%%%%%%%%% %%%%%%%%%% %%%%%%%%%% %%%%%%%%%%! %%%%%! &imens*es &imens*es da Auditoria Auditoria de TI%%%%%%%%% TI%%%%%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%! %%%%%%%%%%%%%%%! Se,ura Se,urança nça da Info Inform rmaçã ação o e Audito Auditoria ria Alia Aliada da - .estão .estão de de TI%%%%% TI%%%%%%%% %%%%%% %%%%%% %%%%%% %%%%%! %%! 0onsid 0onsidera eraç*e ç*ess Sobre Sobre a Auditor Auditoria ia de Sistem Sistemas as de Infor Informaç mação% ão%%%% %%%%%% %%%%%% %%%%%% %%%%%% %%%%! %! 2 Audito Auditoria ria de de Sistema Sistemas s de Infor Informaç mação ão e sua sua Inserç Inserção ão nas nas Melhor Melhores es Práticas%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%! !%# !%! !%+ !%/ !%$ TI 0onceitos 0onceitos 1ásicos 1ásicos do 0obiT%%%%%% 0obiT%%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%%%%%! %%%%%%%%%%%%%%%%%%! Estrutura Estrutura do 0obiT%%%% 0obiT%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%%%! %%%%%%%%%%%%%%%%%%! 0onclu 0onclus*e s*ess .erais .erais Sobr Sobre e o 0obiT 0obiT e sua sua Aplic Aplicabi abilid lidade ade%%%%% %%%%%%%%%% %%%%%%%%%% %%%%%%%%%% %%%%%%%%%%%%! %%%%%%%! 0obiT 0obiT e Auditor Auditoria ia de &emons &emonstra traç*e ç*ess 22ina inance nceira iras%% s%%%%%%% %%%%%%%%%% %%%%%%%%%% %%%%%%%%%% %%%%%%%%%% %%%%%%%%%% %%%%%%%%! %%%! 0onsid 0onsidera eraç*e ç*ess Sobre Sobre a Inser Inserção ção da da Audito Auditoria ria nas nas 3elho 3elhore ress 4rátic 4ráticas as de ! 3 Requis Requisito itos s da aud audito itoria ria ara ara anál análise ise da TI TI da da emr emresa esa%%%%%%%%%%%%%%%%%%%%%%%! +%# &e'nição &e'nição dos Testes Aplicados Aplicados na Empresa%%%% Empresa%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%! %%%%%! +%#%# "#%"#5T "#%"#5Transaç*es 0r6ticas dos Sistemas%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% Sistemas%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%! %%! +%#%! "#%"!54a "#%"!54arametr rametri7açã i7ação o de Senhas Senhas dos Aplicati)os%% Aplicati)os%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%! %%%%! +%#%+ "#%"+58e "#%"+58e)isão )isão dos 4er's 4er's de Acesso Acesso dos Usuários%%%% Usuários%%%%%%%%%% %%%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%! %%%%%%%%%%%! +%#%/ "#%"/58e "#%"/58e)o,aç )o,ação ão de Acessos Acessos - Aplicação%% Aplicação%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%%%%%! %%%%%%%%%%%%! +%#%$ "#%"$54o "#%"$54ol6tica l6tica de acesso acesso aos bancos bancos de de dados%%%%%%%%%%%%% dados%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%! %%%! +%#%9 "#%"95An "#%"95Anti)6r ti)6rus%%%% us%%%%%%%%% %%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%%%%%%! %%%%%%%%%%%%%%%%! +%#%: "#%":50one "#%":50one;ão ;ão 8emota%%% 8emota%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%% %%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%! %%%%! +%#%< "#%"<52 "#%"<52ire=a ire=all%%%% ll%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%% %%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%! %%%%%%%%%%%%%%%%%%%%! +%#%> "#%">5In)e "#%">5In)entári ntário o de Hard=ar Hard=are e e Soft=ar Soft=are%%%%%%% e%%%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%! %%%%%%%! +%#%#" "#%#"54 "#%#"54arame arametri7a tri7ação ção de Senhas Senhas da da 8ede%%%% 8ede%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%! %%%%%%! +%#%## "#%##5Util "#%##5Utili7açã i7ação o da 8ede 8ede ?irel ?ireless%% ess%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%%%%! %%%%%%%%%%%%%%%%%%%%! +%#%#! "#%#!58 "#%#!58e)o,a e)o,ação ção de Acesso Acessoss - 8ede%%%% 8ede%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%! %%%%%%%%! +%#%#+ "#%#+5 "#%#+5 Termo Termo de utili7aç utili7ação ão - ati)os ati)os de TI@ TI@ rede rede e intern internet%%%%%%%%%%% et%%%%%%%%%%%%%%%%! %%%%%! +%#%#/ "!%"#5.ere "!%"#5.erenciam nciamento ento de 3udanças%%% 3udanças%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%%%%%%! %%%%%%%%%%%%%%%%%%%%! +%#%#$ "!%"!5Se, "!%"!5Se,re, re,ação ação entre entre Ambiente Ambientes%%%%% s%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%%! %%%%%%%%%! +%#%#9 "!%"+5.estã "!%"+5.estão o de pro(etos% pro(etos%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%% %%%%%%%%%%%! %%! +%#%#: "+%"#51 "+%"#51ac acup%%%% up%%%%%%%%% %%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%! %%%! +%#%#< "+%"!5Ins "+%"!5Instalaç talaç*es *es do 04&%%%%%%%%% 04&%%%%%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%! %%%%%%%%%%%%%%%%%%! +%#%#> "+%"+53on "+%"+53onitora itoramento mento do Ambiente Ambiente de TI%%%%%%%%%% TI%%%%%%%%%%%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%! %%%%%%%%%%%%%%%%! +%#%!" "+%"/54la "+%"/54lano no de 0ontin,Bn 0ontin,Bncia cia e 0ontin 0ontinuidad uidade e do do Ne,Cc Ne,Ccio%%%%%%%%%%%%%%%%! io%%%%%%%%%%%%%%%%! +%#%!# "+%"$58 "+%"$58eDuis eDuisiç*es iç*es e Incidentes% Incidentes%%%%%%% %%%%%%%%%%% %%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%%! %%%%%%%%%! +%#%!! "+%"95.estã "+%"95.estão o de 0atalo,o 0atalo,o de Ser)iços Ser)iços de de TI%%%%%% TI%%%%%%%%%%%% %%%%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%%! %%%%%%%%%%%%! ! / +%#%!+ "+%":51ase de conhecimentos%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%! .losário%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%! + 1 Introdução sobre a auditoria de TI A auditoria de TI poderá ser de'nida como parte inte,rante dos trabalhos de uma auditoria de demonstraç*es 'nanceiras% &e'nindo Duais são seus ob(eti)os e e;plicando sua di)isão ,enrica e fa7endo uma relação dessa ati)idade com o processo de ,estão da empresa% #%# &e'nição e b(eti)os da Auditoria A auditoria  um termo muito amplo% 4ara o pesDuisador 8on ?eber  de'nida como um processo de recolhimento e a)aliação de e)idBncias para determinar o Duanto uma estrutura de TI controla seus sistemas e sal)a,uarda os bens@ mantendo a inte,ridade de seus dados@ permitindo atin,ir os ob(eti)os da or,ani7ação de forma e'ca7 e utili7ando os recursos de forma e'ciente% F poss6)el perceber@ Due não há de'nição dos ob(eti)os de uma auditoria da mesma forma@ tambm não há re,ras ,erais de como condu7ir um trabalho desse tipo% Esses dois aspectos Gob(eti)os e metodolo,ia dependerá de onde partiu a necessidade de se instaurar o processo de auditoria% Ela pode ser solicitada como uma tentati)a de descobrir e )eri'car pontos de melhoria nos controles de TI% 4ro(eto este@ Due será reali7ado por uma área de auditoria e;terna da empresa% 4or 'm@ a prCpria área de TI pode reali7ar este tipo de trabalho com um enfoDue maior na se,urança dos dados e na e'ciBncia dos recursos% A seção +#$ do ISA não possui uma de'nição clara e ob(eti)a do Due  um trabalho de auditoria de sistemas dentro de um pro(eto de auditoria contábil% Apenas de'nindo riscos de inconsistBncias nas demonstraç*es 'nanceiras Due de)em ser obser)ados pela empresa e um e;ame para a eDuipe de auditoria obter o chamado conforto nos controles de TI% #%! &imens*es da Auditoria de TI / A seção +#$ do ISA di)ide os riscos de TI para a eDuipe de auditoria em Duatro dimens*es Acesso a pro,ramas e dados@ 3udanças de pro,ramas@ peraç*es computadori7adas e &esen)ol)imento de pro,ramas% 4ara a dimensão de Acesso a pro,ramas e dados o ISA  de'nido + riscos • • •  acesso não autori7ado a dados pode resultar em sua destruição ou alteração inde)ida@ incluindo o re,istro de transaç*es não autori7adas% uando )ários usuários acessam um banco de dados comum@ riscos espec6'cos podem sur,irK A possibilidade do pessoal de TI ,anhar pri)il,ios de acesso alm do necessário para e;ecutar suas funç*es@ apresenta risco para a auditoria e descaracteri7a a se,re,ação de funç*esK Inter)enç*es manuais inadeDuadas nos processos de TI ,eram riscos para a auditoria% 4ara a dimensão de 3udanças de pro,ramas o ISA de'ne + riscos • 3udanças sem autori7ação nos LarDui)os mestreMK • 3udanças sem autori7ação nos sistemas ou pro,ramasK • 2alha em fa7er mudanças necessárias nos sistemas ou pro,ramas% 4ara a dimensão de peraç*es computadori7adas o ISA de'ne apenas um risco • 4otencial perda dos dados ou impossibilidade de acessá5los% 4ara a dimensão de &esen)ol)imento de pro,ramas o ISA de'ne ! riscos • • 3udanças sem autori7ação em sistemas ou pro,ramasK 2alha em fa7er mudanças necessárias nos sistemas ou pro,ramas% $ Note Due os riscos da dimensão de &esen)ol)imento de pro,ramas estão inclu6dos nos da dimensão de 3udanças de pro,ramas% &essa forma@ mesmo para empresas Due não possuam área de desen)ol)imento interno@ a eDuipe de auditoria pode con'ar@ dependendo do caso@ nos controles apresentados pela eDuipe de TI% As áreas de tecnolo,ia da informação das empresas costumam (á apresentar controles Due miti,am al,uns dos riscos apresentados% &essa forma@ o ob(eti)o da auditoria  de )eri'car se esses controles funcionam de forma adeDuada e se estão em bom nmero% s controles de TI mais comuns estão apresentados na 2i,ura # !i"ura 1 # $ontroles de TI 3aterial e;tra6do de SATOIT.0O)2inal!%ppt;@ de posse da 4rice?aterhouse0oopers Auditores Independentes #%+ Se,urança da Informação e Auditoria Aliada - .estão de TI A informação@ na )isão de 8e7ende e Abreu G!"""@ são os dados com uma interpretação lC,ica ou natural a,re,ada pelo usuário% A informação  um ati)o Due@ como DualDuer outro ati)o importante 9 para os ne,Ccios@ tem um )alor para a or,ani7ação e@ conseDuentemente@ necessitando ser adeDuadamente prote,ida GN18 ISSPIE0 #::>>@ !""+% A informação  o principal patrimQnio da empresa e está sob constante risco% 0onstata5se a alta rele)Rncia da informação e sabe5se da sua indispensabilidade no processo de ,estão de uma empresa@ para suportar as decis*es% s ,erentes de TI modernos@ ou 0Is G Chief Information Ocer  ou 0ISs G Chief Information Security Ocer  de)em estar constantemente preocupados com os controles de TI% 4ara a(udar os ,estores a monitorar os controles de TI e para propor melhorias nesses controles e;iste a auditoria de TI% 4ara nosso caso espec6'co este trabalho poderá ser parte inte,rante da auditoria contábil@ essa ati)idade tambm au;ilia os ,estores de TI% Isso porDue na carta de controles internos Due  en)iada no relatCrio de auditoria@ estarão todos os pontos identi'cados pelo auditor para serem reportados - administração% A auditoria au;iliará e muito os ,estores de TI@ de forma a aprimorar os controles da área% Em contrapartida@ para Due isso aconteça@ um trabalho dessa ma,nitude de)e possuir o apoio da alta administração e dos prCprios ,estores de TI% #%/ 0onsideraç*es Sobre a Auditoria de Sistemas de Informação Uma auditoria de sistemas e processos de TI como parte inte,rante de um trabalho e auditoria contábil@ permite o fornecimento de um e;ame para a empresa em e;ame@ com um panorama dos controles de TI da empresa% 0omo DualDuer empresa bem estruturada dese(a sempre estar no n6)el mais alto de padr*es de ,o)ernança@ isso  um )alor a,re,ado Due não pode ser dispensado% 0aso necessário ao 'nal o trabalho de auditoria recomendará para a empresa em e;ame@ os pontos de melhorias identi'cados se,undo as melhores práticas do mercado% Esse  um pri)il,io Due os ,estores de TI possuirão@ sempre Due recebem )isitas de auditores de sistemas% 4ortanto@  poss6)el perceber Due a inserção do trabalho da auditoria com base nas melhores práticas  um fator determinante : para@ alm do respaldo das recomendaç*es reportadas@ au;iliará na maturidade e crescimento or,ani7acional estruturado da empresa% 2 Auditoria de Sistemas de Informação e sua Inserção nas Melhores Práticas Este 0ap6tulo Due se se,ue@ irá mostrar a relação entre o framework 0obiT e as recomendaç*es de poss6)eis testes Due serão reali7ados pela auditoria% 4ara isso@ esse o 0ap6tulo inicia5se com a introdução de conceitos básicos@ estruturas@ conclus*es ,erais e aplicabilidade desse framework de alta rele)Rncia no mercado atual de TI de forma básica% ApCs essa etapa inicial@ será reali7ada a relação do contedo do 0obiT com as recomendaç*es da auditoria% !%# 0onceitos 1ásicos do 0obiT  0obiT GControl Objectives for Information and related Technology   um modelo para ,o)ernança e ,estão de TI desen)ol)ido pela ISA0A GInformation Systems Audit and Control Association% A ISA0A@ or,ani7ação Due te)e sua fundação em #>>9@  uma or,ani7ação l6der de pro'ssionais de controle em TI% Ela  uma entidade pri)ada e )oluntária Due possui mais de <9%""" membros ao redor do mundo e  reconhecida como entidade l6der ,lobal em ,o)ernança de TI% A ISA0A possui mais de #<$ cap6tulos Gsedes em apro;imadamente :$ pa6ses%  foco da associação  na área de auditoria de sistemas@ controles de TI e Duest*es de se,urança da informação% 0om a criação do 0obiT Gseu principal produto@ a ISA0A de'niu seus ob(eti)os% Em sua criação@ 'cou acertado Due o ob(eti)o do 0obiT seria fornecer ao ,erenciamento dos processos de ne,Ccio@ um modelo de ,o)ernança em TI@ desenhado para a(udar no entendimento e ,erenciamento dos riscos associados% Tambm se tornou ob(eti)o do 0obiT o fato dele ser orientado ao ne,Ccio@ ou se(a@ < o fato dele direcionar a ,o)ernança de TI e seus recursos para as estrat,ias de ne,Ccio% Atualmente@ o 0obiT está em sua $ edição Glançada no in6cio de !"#! e  di)idido em a,rupamento de a'nidades dos principais processos e ati)idades de TI% Ele pro)B boas práticas atra)s de sua estrutura Due distribui controles atra)s de uma estrutura lC,ica e ,erenciá)el% !%! Estrutura do 0obiT  0obiT@ em sua recente )ersão $@ possui@ ao todo@ +: processos descritos de acordo com as melhores práticas do mercado de TI% O framework, nessa recente )ersão@ começa a separar os seus processos entre ati)idades de ,o)ernança de TI e ati)idades de administração de TI% &entro dessas duas perspecti)as@ o 0obiT possui os se,uintes dom6nios Esses dom6nios intera,em entre si de acordo com a relação da ',ura !% > !i"ura 2 # Relação entre os %om&nos do $obiT A lista,em completa dos +: processos do 0obiT@ bem como uma melhor )isuali7ação de sua or,ani7ação entre os dom6nios do framework, pode ser )isuali7ada na ',ura + !i"ura 3 # 'r"ani(ação dos Processos do $obiT #" !%+ 0onclus*es .erais Sobre o 0obiT e sua Aplicabilidade  0obiT  um frame=or aplicado para di)ersos tipos de stakeholders% Tanto para o comitB e;ecuti)o de uma empresa@ para os ,estores de ne,Ccio@ para o ,erente de TI@ para o ,erente de pro(etos@ para os desen)ol)edores@ para a área de operaç*es@ para os usuários da área de TI@ para o Chief Information Security Ocer e para auditores de sistemas% &e todos esses poss6)eis en)ol)idos com a aplicabilidade do 0obiT@ seu principal pblico5al)o são os ,erentes de TI@ os usuários da área de TI e os auditores de sistemas% s ,erentes de TI precisam do framework para a)aliar as decis*es de in)estimento em TI@ para balancear riscos e controles de in)estimentos em TI Due ,eralmente são impre)is6)eis e para fa7er comparaç*es com ambientes de TI atuais e futuros% s usuários dos sistemas pro)idos pela área de TI de uma empresa precisam do 0obiT para obter ,arantia na se,urança e controle de produtos e ser)iços fornecidos internamente e por terceiros% 4or 'm@ os auditores de sistemas de)em possuir um alto embasamento sobre esse modelo de melhores práticas para substanciar as opini*es para a ,erBncia de controles internos e para conse,uir entender Duais são os controles m6nimos necessários para cada ne,Ccio% !%/ 0obiT e Auditoria de &emonstraç*es 2inanceiras 0onforme (á abordado o ISA de'ne al,uns riscos de distorç*es nas demonstraç*es 'nanceiras de uma empresa Due de)em ser cobertos por controles de TI% E;istem !< controles Gdi)ididos em / dom6nios de TI ditos como mais comuns nos ambientes de informática das empresas brasileiras Due procuram miti,ar o efeito desses riscos%  trabalho da auditoria@ será de a)aliar a e'cácia dos controles de TI e em seu trabalho@ a,re,ando o embasamento nas melhores práticas@ ## A Tabela # e;ibe uma relação entre a auditoria@ o framework de melhores práticas do mercado trabalhado nesse documento% Essa tabela relaciona os processos do 0obiT de maior rele)Rncia para auditoria de sistemas com os dom6nios do ISA% 4rocesso 0obit &om6nio ISA P A4#!5Adm% 8iscos 1AI"#5Adm% 4ro(etos 1AI"95Adm% 3udanças 1AI#"5Adm% 0on',uraç*es &SS"#5Adm% peraç*es &SS"!5Adm Solicitaç*es e Incidentes de Ser)iços &SS"/5Adm% 0ontinuidade Acesso a pro,ramas e &ados 3udança de 4ro,rama s peraç*es 0omputadori7a das &esen)ol)imento de 4ro,ramas          Tabela 1 # Relação dos Processos $obiT com %om&nios ISA F ressaltada a alta rele)Rncia do processo AP'12@ pois ele aborda os mesmos princ6pios do dom6nio de Acesso a Pro"ramas e %ados% Esse processo fala sobre a ,arantia Due apenas acessos autori7ados se(am concedidos para os recursos de informação% Assim@ podendo ,arantir a inte,ridade dos dados% &a mesma forma@ ressaltamos a alta rele)Rncia dos processos )AI*1 e )AI*+@ pois eles abordam os mesmos princ6pios do dom6nio de %esen,ol,imento e Mudanças de Pro"ramas% Esses processos@ com au;6lio de outros@ atestam Due no)os e as alteraç*es em pro,ramas e;istentes e componentes de infraestrutura relacionados se(am@ plane(ados@ solicitadas@ autori7adas@ e;ecutadas@ testadas e adeDuadamente implementadas% Tambm na tabela@ )eri'ca5se Due o processo )AI1* abran,e tanto o dom6nio de Mudanças de Pro"ramas quanto o de #! %esen,ol,imento de Pro"ramas% Isso acontece@ porDue uma boa -er.ncia de $on/"uração  imprescind6)el para um ambiente de 0ontroles de TI estruturado e@ dessa forma@ de)e ser al)o freDuente de auditorias% Veri'ca5se tambm da tabela@ Due o dom6nio de 'eraç0es $omutadori(adas possui tr.s rocessos Due caracteri7am muito bem sua essBncia ,arantir o adeDuado funcionamento ser)iço e componentes de tecnolo,ia da empresa% Atualmente@ nesse dom6nio@ as ,randes empresas tBm se preocupado bastante com a Dualidade dos ser)iços@ planos de contin,Bncia e de recuperação de desastres% !%$ 0onsideraç*es Sobre a Inserção da Auditoria nas 3elhores 4ráticas de TI F fácil notar a ,rande dimensão de aplicaç*es Due o modelo de ,o)ernançaP,estão de TI Due  proposta pelo 0obiT abran,e% Este especi'camente dentre )ários outros con(untos de melhores práticas citados@ tem enorme importRncia para uma auditoria em TI% No entanto a auditoria@ em suas recomendaç*es@ pode se basea em outros modelos@ não especi'camente pr5formatados%  bom senso ePou a e;periBncia acumulada@ será utili7ada para compor o trabalho% 3 Requisitos da auditoria ara análise da TI da emresa Este 0ap6tulo demonstrará uma formali7ação da auditoria com suporte para um pro(eto de auditoria contábil ou de sucessão% A auditoria está@ com )isto nos cap6tulos anteriores@ fundamentada nas melhores práticas abordadas no mercado% Serão e;postos testes para !+ controles pre)iamente identi'cados como necessários para conclusão do trabalho%  0apitulo ! e;plicará os mtodos utili7ados em cada teste@ (á o 0apitulo / Due ainda não fa7 parte deste documento@ irá e;por os resultados obtidos em cada um dos !+ testes aplicados na empresa% #+ As formali7aç*es Due se se,uem@ contemplarão nomes de pessoas@ ferramentas espec6'cas@ datas@ documentos Ge)idBncias e;ternos@ com o intuito de formali7ar e tornar claro o entendimento da situação atual% +%# &e'nição dos Testes Aplicados na Empresa% 0omo )isto anteriormente@ o ISA +#$ de'ne apenas riscos para a área de TI e não controles@ a auditoria tem a liberdade de auditar essa área conforme e;periBncia e entendimento da necessidade@ desde Due os testes a)aliem a cobertura dos riscos mencionados no ISA% Assim@ foram pre)iamente selecionados para esse trabalho@ com uma )isão macro do ambiente computacional@ os controles e;postos na Tabela !% Esses controles foram escolhidos de)ido a sua rele)Rncia dentro do ambiente computacional da empresa em e de)ido a sua cobertura aos riscos descritos no ISA +#$% Na Tabela !@ os controles selecionados@ estão di)ididos em + dom6nios ISA Acesso a Pro"ramas e %ados@ Mudanças de Pro"ramas e 'eraç0es $omutadori(adas% Não foram de'nidos controles a serem testados para o dom6nio de %esen,ol,imento de Pro"ramas@ pois foi identi'cado Due na empresa@ não há desen)ol)imento interno de sistemas aplicati)os% *1 #Acesso a Pro"ramas e %ados *2#Mudanças de Pro"ramas *3 #'eraç0es comutadori(adas "#%"#5Transaç*es cr6ticas dos sistemas "!%"#5.erenciamento de mudanças "!%"!5Se,re,ação entre Ambientes "!%"+5.estão de 4ro(etos "+%"#51acup "#%"!54arametri7aç*es de Senhas dos Aplicati)os "#%"+58e)isão dos 4er's de Acesso dos Usuários "#%"/58e)o,ação de Acessos a Aplicação "#%"$54ol6tica de acesso aos bancos de dados "#%"95Anti)6rus "#%":50one;ão remota "#%"<52ire=all "#%">5In)entário de Hard=are e Soft=are "#%#"54arametri7ação de senhas da rede "#%##5Utili7ação da rede ?ireless "#%#!58e)o,ação de acessos a rede "#%#+5Termo de utili7ação - ati)os de TI@ rede e internet "+%"!5Instalação do 04& "+%"+53onitoramento do Ambiente de TI "+%"/54lano e contin,Bncia e continuidade do ne,Ccio "+%"$58eDuisiç*es e Incidentes "+%"95.estão de 0atalo,o de Ser)iços de TI "+%":5.estão do conhecimento #/ Tabela 2 # %i,isão dos $ontroles a serem Testados entre os %om&nios do ISA  intuito do trabalho  )eri'car a e'cácia de cada um desses !+ controles de TI% 4ara )eri'car esse desempenho@ como não e;istem práticas de'nidas no ISA +#$@ relacionaremos as estrat,ias de'nidas nas prC;imas !+ Seç*es% +%#%# "#%"#5Transaç*es 0r6ticas dos Sistemas Esse controle@ pertencente ao dom6nio de Acesso a 4ro,ramas e &ados@ busca detectar a reali7ação de transaç*es cr6ticas de um sistema aplicati)o por pessoas não autori7adas% &essa forma@ espera5 se Due em um ambiente tecnolC,ico comple;o@ pessoas se(am responsá)eis por@ periodicamente@ )eri'car se uma srie de transaç*es consideradas cr6ticas pela ,erBncia da empresa sC este(am sendo desempenhadas pelas pessoas a elas determinadas% 4or e;emplo@ para uma transação de Lapro)ação e bai;a manual de t6tulos a pa,arM@ de)e5se )eri'car@ periodicamente@ se essa transação sC está sendo processada por ,estores da área 'nanceira da empresa% 4ara testar a e'cácia desse controle na empresa@  necessário entre)istar as pessoas responsá)eis pelo sistema aplicati)o sobre a reali7ação dessa ati)idade% Nessa entre)ista@ primeiramente será necessário )eri'car se o sistema permite esse monitoramento atra)s do Due chamamos de log Gte;tos Due re,istram o processamento do sistema% &epois@ Duestionando os responsá)eis se esses logs são utili7ados para o monitoramento e Dual a pol6tica de arma7enamento do lo, Gcom e)idBncia de sua reali7ação% +%#%! "#%"!54arametri7ação de Senhas dos Aplicati)os Esse controle@ pertencente ao dom6nio de Acesso a 4ro,ramas e &ados@ busca di'cultar@ ao má;imo@ a possibilidade Due sistemas se(am acessados por pessoas não autori7adas% 0omo muitos usuários costumam escolher senhas muito simples@ há@ nos sistemas #$ modernos@ como restrin,ir a comple;idade de suas senhas atra)s de al,uns parRmetros% 4or e;emplo@ limitar o tamanho m6nimo da senha@ fa7er com Due os usuários sempre este(am mudando suas senhas para no)os con(untos de caracteres@ bloDuear usuários com tentati)as repetidas de acesso sem sucesso e de'nir a comple;idade das senhas Guso de maisculas@ nmeros e caracteres especiais são al,uns parRmetros de senha Due podem ser con',urados nos sistemas de informação% 4ara testarmos a e'cácia de um controle desse tipo@ )eri'car5se se a pol6tica de se,urança da informação possuir e)idencias de sua de'nição e parametri7ação@ e analise da tela de opç*es do sistema em Duestão e relacionarmos a pol6tica de senhas da empresa% +%#%+ "#%"+58e)isão dos 4er's de Acesso dos Usuários Esse controle@ pertencente ao dom6nio de Acesso a 4ro,ramas e &ados@ busca ,arantir Due os acessos dos usuários no sistema de informação utili7ado se(am re)isados% F bastante claro Due usuários de um sistema de informação comple;o e inte,rador de diferentes áreas não de)em ter acesso a todas as transaç*es poss6)eis do sistema% 4or e;emplo@ não fa7 sentido Due a prCpria pessoa Due reali7ou uma transação de solicitação de reembolso no sistema a apro)e% &e)ido a concessão de acessos a transaç*es nas empresas ser bastante dinRmica e mutá)el@ recomenda5se como uma boa prática de mercado estar sempre re)isando os acessos dos usuários% 4ara testarmos a e'cácia desse controle basta@ em con)ersa com a área de TI da empresa@ será analisado se e;iste al,um processo periCdico desse tipo@ obtendo e)idBncias da reali7ação% Tambm a documentação dos per's de acesso como entre,a das e)idBncias de sua parametri7ação% #9 +%#%/ "#%"/58e)o,ação de Acessos - Aplicação Esse controle@ pertencente ao dom6nio de Acesso a 4ro,ramas e &ados@ )eri'cando se não e;istem no sistema de informação usuários ,enricos Gusuários utili7ados por mais de uma pessoa@ usuários desconhecidos da empresa@ usuários duplicados e usuários Due (á foram desli,ados da empresa% As melhores práticas do mercado di7em Due a e;istBncia desses usuários acarreta riscos de processamentos cu(os autores não podem ser identi'cados pela empresa% 4ara o teste da e'cácia desse controle@ iremos obter uma lista,em de funcionários ati)os e desli,ados da empresa e reali7ação de uma análise dos usuários dos sistemas de informação em planilha eletrQnica% +%#%$ "#%"$54ol6tica de acesso aos bancos de dados Esse controle@ pertencente ao dom6nio de Acesso a 4ro,ramas e &ados@ funciona de maneira bastante semelhante e possui os mesmos princ6pios do controle descrito na Seção "#%"#% A nica diferença entre os dois  Due o primeiro funciona no n6)el da aplicação e esse funciona no n6)el da base de dados@ se considerarmos uma arDuitetura de sistemas de informação tradicional% 0omo nos sistemas de informação@ muitos usuários possuem acesso para editar informaç*es diretamente na base de dados@ temos Due nos preca)er Due isso não acontece por pessoas não autori7adas% 4or causa disso de)e e;istir uma pol6tica de acesso formal e um forte monitoramento dessa ati)idade% 0omo no primeiro controle@ para teste da e'cácia desse controle na empresa@ são entre)istadas as pessoas responsá)eis pelo banco de dados@ sobre a reali7ação dessa ati)idade% Nessa inda,ação@ primeiramente e )eri'car se o S.1& GSistema de .erenciamento de 1anco de &ados permite esse monitoramento atra)s do Due chamamos de log Gte;tos Due re,istram o processamento do sistema% &epois@ temos Due Duestionar os responsá)eis se esses logs #: são utili7ados para o monitoramento e Dual a pol6tica de arma7enamento Gcom e)idBncia de sua reali7ação% +%#%9 "#%"95Anti)6rus Esse controle@ pertencente ao dom6nio de Acesso a 4ro,ramas e &ados@ tem como ob(eti)o a proteção do ambiente computacional da empresa% Essa proteção tem tanto como 'nalidade a continuidade do ne,Ccio da empresa Duanto - proteção de seus dados cr6ticos% &ependendo do tipo de ne,Ccio desempenhado pela empresa@ esse controle de)e ser mais ou menos ri,oroso% 4or e;emplo@ empresas Due ,uardam dados de clientes de)em preser)ar ao má;imo o si,ilo de suas informaç*es% 4ara o teste da e'cácia desse controle@ antes de tudo  necessário )eri'car se a empresa utili7a al,uma ferramenta com amplo respaldo do mercado% Em se,undo lu,ar@ identi'ca5se se os funcionários utili7am a ferramenta de forma adeDuada com todas suas possibilidades@ se o pessoal de TI efetua o monitoramento adeDuado da ferramenta e se a mesma está em constante atuali7ação na empresa% Tambm  analisado se os controles e per's do anti)6rus@ são formalmente documentados e estão atuali7ados +%#%: "#%":50one;ão 8emota Esse controle@ pertencente ao dom6nio de Acesso a 4ro,ramas e &ados@ busca controlar os acessos - rede da empresa por seus funcionários e parceiros de ne,Ccio@ Duando eles estão fora de seus dom6nios f6sicos% &essa maneira@ uma empresa com alta maturidade em controles não de)e liberar esse tipo de acesso a DualDuer funcionário% A empresa de)e institucionali7ar uma ,estão de concessão de acessos e'ciente para casos como esse% 4ara o teste da e'cácia desse controle@  necessário entender@ (unto aos funcionários da área de TI@ como os colaboradores reali7am #< acesso remoto aos sistemas% Alm disso@ precisamos entender como ocorre a concessão de no)os acessos a essa funcionalidade% Tambm  analisado se as concess*es de acesso@ são formalmente documentados e estão atuali7ados +%#%< "#%"<52ire=all Esse controle@ tambm pertencente ao dom6nio de Acesso a 4ro,ramas e &ados@ possui ob(eti)os semelhantes ao do controle da Seção "#%"$% Esse controle busca a proteção do ambiente computacional da empresa atra)s de ferramentas Due controlam o tráfe,o de dados entre o ambiente interno e e;terno% 4ara o teste da e'cácia desse controle@  necessário )eri'car se a empresa utili7a uma ferramenta de irewall de respaldo do mercado% Alm disso@ )eri'ca5se tambm se essa ferramenta  utili7ada de maneira e'ca7 com@ dentre outras 'nalidades@ o bloDueio de sites considerados peri,osos para a empresa% 0omo muitas ferramentas de irewall (á )Bm acopladas com ferramentas de I&S G Intrusion !etection System@ nesse teste@ )eri'ca5se tambm se a empresa utili7a uma ferramenta desse tipo para pre)enir a intrusão da rede interna% Tambm  analisado se os controles de acesso Due passam pelo 2ire=all@ são formalmente documentados e estão atuali7ados +%#%> "#%">5In)entário de Hard=are e Soft=are Esse controle@ pertencente ao dom6nio de Acesso a 4ro,ramas e &ados@ tem dois ob(eti)os principais%  primeiro  Due a empresa controle@ de forma estruturada Gatra)s de al,uma ferramenta do mercado@ a Duantidade de eDuipamentos de hard=are e licenças de soft=are Due possui% Seu se,undo ob(eti)o  Due a empresa co6ba a instalação de soft=ares não autori7ados por sua administração% 4re)enindo@ portanto@ a instalação de soft=ares peri,osos ao ambiente computacional% #> 4ara analisar a e'cácia desse controle@ primeiramente  procurado entender se a empresa possui al,uma ferramenta@ mesmo Due simplCria@ Due controle seus ati)os de TI% Em se,uida tenta5se reali7ar a instalação de um pro,rama DualDuer em uma máDuina aleatCria da empresa% 0om essa tentati)a  identi'cado se a empresa está bloDueando a instalação de softwares não autori7ados% F analisado se há documentação destes in)entários se(a impressão ou em m6dia e tambm se há mecanismos de atuali7ação automati7ados ou manuais% +%#%#" "#%#"54arametri7ação de Senhas da 8ede Esse controle@ pertencente ao dom6nio de Acesso a 4ro,ramas e &ados@ possui os mesmos princ6pios do controle da Seção "#%"!% A diferença entre esses dois controles  Due o primeiro funciona no n6)el da aplicação e esse funciona no n6)el da rede da empresa% &a mesma forma Due para o controle da Seção "#%"!@ testa5se a e'cácia desse controle@ )eri'car Duais parRmetros de comple;idade de senha estão con',urados para acesso - rede da empresa% 4ara a ,rande maioria das empresas@ Due utili7am sistemas operacionais "indows@ a ,estão da rede da empresa se dá atra)s da ferramenta Active !irectory# +%#%## "#%##5Utili7ação da 8ede ?ireless Esse controle@ pertencente ao dom6nio de Acesso a 4ro,ramas e &ados@ tem como 'nalidade ,arantir Due o acesso - rede sem 'o da empresa se(a adeDuado% Seu principal ponto de atenção  a ,arantia de Due o acesso - rede sem 'o para )isitantes se(a diferenciado do acesso - rede sem 'o para funcionários% Isso ,arante Due arDui)os con'denciais não se(am acessados por pessoas não autori7adas@ por e;emplo% 4ara análise da e'cácia desse controle@ de)e5se entender como está montada a topo,ra'a da rede sem 'o da empresa% Isso )isa a ,arantir essa se,re,ação entre rede de )isitantes e rede de funcionários% !" +%#%#! "#%#!58e)o,ação de Acessos - 8ede Esse controle@ pertencente ao dom6nio de Acesso a 4ro,ramas e &ados@ busca princ6pios parecidos ao do controle da Seção "#%"/% A diferença entre esses dois controles  Due o primeiro funciona no n6)el da aplicação e esse a n6)el da rede da empresa% &a mesma forma Due para o primeiro controle@ este analisa se não e;istam na rede da empresa usuários ,enricos Gusuários utili7ados por mais de uma pessoa@ usuários desconhecidos da empresa@ usuários duplicados e usuários Due (á foram desli,ados da empresa% 4ara analise da e'cácia desse controle@ podemos obtm5se uma lista,em de funcionários ati)os e desli,ados da empresa em e;ame e reali7armos uma análise dos usuários da rede em planilha eletrQnica% +%#%#+ "#%#+5Termo de utili7ação - ati)os de TI@ rede e internet Esse controle@ ltimo pertencente ao dom6nio de Acesso a 4ro,ramas e &ados@ busca Due os funcionários da empresa este(am cientes de suas responsabilidades no uso dos ati)os de TI@ rede e internet% 4ara isso@ muitas empresas se utili7am de termos Due de)em ser assinados por seus funcionários% 4ara analisar a e'cácia desse controle@ obtm5se uma lista dos no)os funcionários da empresa e feita uma seleção aleatoriamente al,uns deles% ApCs essa etapa  solicitado - área Due 'ca de posse desses documentos os mesmos para )eri'carmos se eles estão de)idamente assinados% +%#%#/ "!%"#5.erenciamento de 3udanças Esse controle@ pertencente ao dom6nio de 3udanças de 4ro,ramas@ tem como ob(eti)o Due a empresa possua um adeDuado !# procedimento formali7ado para o ,erenciamento das mudanças reali7adas em seus sistemas% Alm disso@ a empresa de)e possuir em seu procedimento fases como testes e reDuisição de usuário% 4or 'm@ não se pode falar em ,erenciamento de mudanças sem um controle de )ersão adeDuada% 4ara analisarmos a e'cácia desse controle@ primeiramente  )eri'cado se a empresa possui um procedimento desse tipo e se ele está formali7ado% ApCs essa etapa@ se a empresa possuir um procedimento de controle de )ersão adeDuado  solicitado e)idBncias da reali7ação das fases descritas para al,umas mudanças reali7adas% +%#%#$ "!%"!5Se,re,ação entre Ambientes Esse controle@ pertencente ao dom6nio de 3udanças de 4ro,ramas@ tem como ob(eti)o a separação entre os ambientes onde as diferentes )ers*es do sistema estão instaladas% F importante Due a empresa possua ambientes de teste e de produção% Alm disso@ as boas práticas di7em Due a responsabilidade Duanto a mi,ração dos ambientes  da eDuipe de TI% 4ara analise da e'cácia desse controle@ procurar5se entender como está - disposição das diferentes )ers*es do sistema nos ser)idores% Alm disso@ entende5se tambm como ocorre a mi,ração das mudanças desen)ol)idas para o ambiente de produção% Nessa ltima etapa@ de)e5se atentar se o procedimento utili7ado para esta 'nalidade permite a re)ersão do processo% +%#%#9 "!%"+5.estão de pro(etos Esse controle@ pertencente ao dom6nio de 3udanças de 4ro,ramas@ tem como ob(eti)o analisar se há controle de pro(etos para no)as implementaç*es na infraestrutura e sistemas da empresa% 4ara análise da e'cácia desse controle@ procurar5se entender se as implementaç*es na TI passaram por controle de pro(etos@ com termo de abertura apro)ado pela alta administração@ plano de pro(eto@ e)idencias de controle de pro(etos e encerramento% &iferentemente da Seção "!%"# Due trata de mudanças em sistemas (á e;istentes@ está seção aborda no)as implementaç*es em !! sistemas no)os ou infraestrutura da TI +%#%#: e;istentes e alteraç*es si,ni'cante na "+%"#51acup Esse controle@ pertencente ao dom6nio de peraç*es 0omputadori7adas@ tem como ob(eti)o ,arantir Due a empresa sal)a,uarda de seus dados no caso de problemas Due )isem continuidade de seus ne,Ccios% 4ara isso@ Duase todas as empresas possuem al,um procedimento de arma7enamento e;terno de seus dados@ o Due se chama popularmente de backu$% As empresas ,eralmente utili7am al,uma ferramenta para reali7ar esse procedimento de forma automática@ arma7enam suas 'tas de backu$ em lu,ares se,uros@ reali7am testes de restore Greinserir os dados arma7enados no sistema entre outros procedimentos% Em empresas mais estruturadas@ todos os procedimentos relati)os a esse controle constam em pol6ticas amplamente disseminadas entre os funcionários da área de TI% 4ara e)idenciar a reali7ação desse controle em todos os seus aspectos@ de)e5se reali7ar profundo entendimento da área (unto aos funcionários de TI% +%#%#< "+%"!5Instalaç*es do 04& Esse controle@ pertencente ao dom6nio de peraç*es 0omputadori7adas@ procura fa7er com Due o ambiente f6sico onde estão instalados os ser)idores da empresa se(a o melhor poss6)el% Esse ambiente@ se,undo as melhores práticas@ de)e possuir controles de temperatura@ umidade@ combate a incBndios@ nobreas entre outros artif6cios para prote,er ao má;imo os dados da empresa% 4ara analise da e'cácia desse controle@ uma )isita - sala onde estão locali7ados os ser)idores da empresa resol)e Duestão% 0ontudo@ nessa )isita@ atenta5se a todos os aspectos da sala bem como a documentação do mapeamento da mesma% !+ +%#%#> "+%"+53onitoramento do Ambiente de TI Esse controle@ pertencente ao dom6nio de peraç*es 0omputadori7adas@ tem como ob(eti)o o constante monitoramento da ocorrBncia de poss6)eis problemas na estrutura do ambiente de TI da empresa Gbai;a capacidade de processamento@ falta de espaço em disco@ entre outros problemas% 4ara esse constante monitoramento@ as melhores práticas recomendam o uso de softwares% 4ara análise do adeDuado monitoramento do ambiente de TI@ )eri'casse se a empresa utili7a al,uma ferramenta do mercado para esse 'm e como ela  utili7ada% +%#%!" "+%"/54lano de 0ontin,Bncia e 0ontinuidade do Ne,Ccio Esse controle@ pertencente ao dom6nio de peraç*es 0omputadori7adas@ certi'ca Due a empresa este(a pre)enida para DuaisDuer e)entuais catástrofes não esperadas como incBndios@ ala,amentos e outros desastres naturais% 4ara isso@ com o intuito de ,arantir sua continuidade do ne,Ccio@ muitas empresas desen)ol)em planos de ação para casos como esses% 4ara analise da utili7ação desse controle@ certi'ca se a empresa possui al,um plano desse tipo formali%ado% Alm disso@ um plano desse tipo de)e ser amplamente di)ul,ado entre os funcionários da área de TI e de)e ha)er treinamentos e teste para casos como os descritos% +%#%!# "+%"$58eDuisiç*es e Incidentes Esse controle@ pertencente ao dom6nio de peraç*es 0omputadori7adas@ certi'ca se a empresa possui controle de re&uisi'(es e incidentes de TI% 4ara análise da utili7ação desse controle@ certi'ca se a empresa possui re,istros de controle de reDuisiç*es e ser)iços re,istrados por usuários e áreas da empresa !/ +%#%!! "+%"95.estão de 0atalo,o de Ser)iços de TI Esse controle@ pertencente ao dom6nio de peraç*es 0omputadori7adas@ certi'ca se a empresa possui a identi'cação e controle de todos os ser)iços Due a TI presta - empresa% 4ara análise da utili7ação desse controle@ certi'ca se a empresa possui re,istros Due possam e)idenciar este controle com a identi'cação dos mesmos@ fornecedores@ SA acordado e etc% +%#%!+ "+%":51ase de conhecimentos Esse controle@ pertencente ao dom6nio de peraç*es 0omputadori7adas@ certi'ca se a empresa possui controle para arma7enamento e di)ul,ação dos processos de controle de manuais operacionais dos sistemas% 4ara análise da utili7ação desse controle@ certi'ca se a empresa possui re,istros Due possam e)idenciar esta prática@ e Due tenham pol6tica de atuali7ação dos mesmos% / .losário Incidente 8eDuisição !$

Auditoria De Ti

Rating

Date

Size

Views

Categories

Share

Transcript

Forgot your password?.