Preview only show first 10 pages with watermark. For full document please download

Auditoria De Ti

Auditoria de TI

   EMBED


Share

Transcript

Auditoria de Sistemas de Informação e infraestrutura de TI com base nas melhoress práticas melhore Edson Vidal  JUNH !"#$ # Sumário 1 Intr Introd oduç ução ão sobr sobre e a au audi dito tori ria a de de TI TI%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%! #%# #%! #%+ #%/ &e'nição &e'niç ão e b(eti b(eti)os )os da Auditori Auditoria%%% a%%%%%% %%%%%% %%%%%% %%%%%% %%%%%% %%%%%% %%%%%% %%%%%%% %%%%%%%%% %%%%%%%%%% %%%%%%%%%% %%%%%%%%%% %%%%%%%%%% %%%%%%%%%%! %%%%%! &imens*es &imens*es da Auditoria Auditoria de TI%%%%%%%%% TI%%%%%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%! %%%%%%%%%%%%%%%! Se,ura Se,urança nça da Info Inform rmaçã ação o e Audito Auditoria ria Alia Aliada da - .estão .estão de de TI%%%%% TI%%%%%%%% %%%%%% %%%%%% %%%%%% %%%%%! %%! 0onsid 0onsidera eraç*e ç*ess Sobre Sobre a Auditor Auditoria ia de Sistem Sistemas as de Infor Informaç mação% ão%%%% %%%%%% %%%%%% %%%%%% %%%%%% %%%%! %! 2 Audito Auditoria ria de de Sistema Sistemas s de Infor Informaç mação ão e sua sua Inserç Inserção ão nas nas Melhor Melhores es Práticas%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%! !%# !%! !%+ !%/ !%$  TI 0onceitos 0onceitos 1ásicos 1ásicos do 0obiT%%%%%% 0obiT%%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%%%%%! %%%%%%%%%%%%%%%%%%! Estrutura Estrutura do 0obiT%%%% 0obiT%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%%%! %%%%%%%%%%%%%%%%%%! 0onclu 0onclus*e s*ess .erais .erais Sobr Sobre e o 0obiT 0obiT e sua sua Aplic Aplicabi abilid lidade ade%%%%% %%%%%%%%%% %%%%%%%%%% %%%%%%%%%% %%%%%%%%%%%%! %%%%%%%! 0obiT 0obiT e Auditor Auditoria ia de &emons &emonstra traç*e ç*ess 22ina inance nceira iras%% s%%%%%%% %%%%%%%%%% %%%%%%%%%% %%%%%%%%%% %%%%%%%%%% %%%%%%%%%% %%%%%%%%! %%%! 0onsid 0onsidera eraç*e ç*ess Sobre Sobre a Inser Inserção ção da da Audito Auditoria ria nas nas 3elho 3elhore ress 4rátic 4ráticas as de ! 3 Requis Requisito itos s da aud audito itoria ria ara ara anál análise ise da TI TI da da emr emresa esa%%%%%%%%%%%%%%%%%%%%%%%! +%# &e'nição &e'nição dos Testes Aplicados Aplicados na Empresa%%%% Empresa%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%! %%%%%! +%#%# "#%"#5T "#%"#5Transaç*es 0r6ticas dos Sistemas%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% Sistemas%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%! %%! +%#%! "#%"!54a "#%"!54arametr rametri7açã i7ação o de Senhas Senhas dos Aplicati)os%% Aplicati)os%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%! %%%%! +%#%+ "#%"+58e "#%"+58e)isão )isão dos 4er's 4er's de Acesso Acesso dos Usuários%%%% Usuários%%%%%%%%%% %%%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%! %%%%%%%%%%%! +%#%/ "#%"/58e "#%"/58e)o,aç )o,ação ão de Acessos Acessos - Aplicação%% Aplicação%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%%%%%! %%%%%%%%%%%%! +%#%$ "#%"$54o "#%"$54ol6tica l6tica de acesso acesso aos bancos bancos de de dados%%%%%%%%%%%%% dados%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%! %%%! +%#%9 "#%"95An "#%"95Anti)6r ti)6rus%%%% us%%%%%%%%% %%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%%%%%%! %%%%%%%%%%%%%%%%! +%#%: "#%":50one "#%":50one;ão ;ão 8emota%%% 8emota%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%% %%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%! %%%%! +%#%< "#%"<52 "#%"<52ire=a ire=all%%%% ll%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%% %%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%! %%%%%%%%%%%%%%%%%%%%! +%#%> "#%">5In)e "#%">5In)entári ntário o de Hard=ar Hard=are e e Soft=ar Soft=are%%%%%%% e%%%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%! %%%%%%%! +%#%#" "#%#"54 "#%#"54arame arametri7a tri7ação ção de Senhas Senhas da da 8ede%%%% 8ede%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%! %%%%%%! +%#%## "#%##5Util "#%##5Utili7açã i7ação o da 8ede 8ede ?irel ?ireless%% ess%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%%%%! %%%%%%%%%%%%%%%%%%%%! +%#%#! "#%#!58 "#%#!58e)o,a e)o,ação ção de Acesso Acessoss - 8ede%%%% 8ede%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%! %%%%%%%%! +%#%#+ "#%#+5 "#%#+5 Termo Termo de utili7aç utili7ação ão - ati)os ati)os de [email protected] [email protected] rede rede e intern internet%%%%%%%%%%% et%%%%%%%%%%%%%%%%! %%%%%! +%#%#/ "!%"#5.ere "!%"#5.erenciam nciamento ento de 3udanças%%% 3udanças%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%%%%%%! %%%%%%%%%%%%%%%%%%%%! +%#%#$ "!%"!5Se, "!%"!5Se,re, re,ação ação entre entre Ambiente Ambientes%%%%% s%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%%! %%%%%%%%%! +%#%#9 "!%"+5.estã "!%"+5.estão o de pro(etos% pro(etos%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%% %%%%%%%%%%%! %%! +%#%#: "+%"#51 "+%"#51ac acup%%%% up%%%%%%%%% %%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%! %%%! +%#%#< "+%"!5Ins "+%"!5Instalaç talaç*es *es do 04&%%%%%%%%% 04&%%%%%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%! %%%%%%%%%%%%%%%%%%! +%#%#> "+%"+53on "+%"+53onitora itoramento mento do Ambiente Ambiente de TI%%%%%%%%%% TI%%%%%%%%%%%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%! %%%%%%%%%%%%%%%%! +%#%!" "+%"/54la "+%"/54lano no de 0ontin,Bn 0ontin,Bncia cia e 0ontin 0ontinuidad uidade e do do Ne,Cc Ne,Ccio%%%%%%%%%%%%%%%%! io%%%%%%%%%%%%%%%%! +%#%!# "+%"$58 "+%"$58eDuis eDuisiç*es iç*es e Incidentes% Incidentes%%%%%%% %%%%%%%%%%% %%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%%! %%%%%%%%%! +%#%!! "+%"95.estã "+%"95.estão o de 0atalo,o 0atalo,o de Ser)iços Ser)iços de de TI%%%%%% TI%%%%%%%%%%%% %%%%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%%! %%%%%%%%%%%%! ! / +%#%!+ "+%":51ase de conhecimentos%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%! .losário%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%! + 1 Introdução sobre a auditoria de TI A auditoria de TI poderá ser de'nida como parte inte,rante dos trabalhos de uma auditoria de demonstraç*es 'nanceiras% &e'nindo Duais são seus ob(eti)os e e;plicando sua di)isão ,enrica e fa7endo uma relação dessa ati)idade com o processo de ,estão da empresa% #%# &e'nição e b(eti)os da Auditoria A auditoria  um termo muito amplo% 4ara o pesDuisador 8on ?eber  de'nida como um processo de recolhimento e a)aliação de e)idBncias para determinar o Duanto uma estrutura de TI controla seus sistemas e sal)a,uarda os [email protected] mantendo a inte,ridade de seus [email protected] permitindo atin,ir os ob(eti)os da or,ani7ação de forma e'ca7 e utili7ando os recursos de forma e'ciente% F poss6)el [email protected] Due não há de'nição dos ob(eti)os de uma auditoria da mesma [email protected] tambm não há re,ras ,erais de como condu7ir um trabalho desse tipo% Esses dois aspectos Gob(eti)os e metodolo,ia dependerá de onde partiu a necessidade de se instaurar o processo de auditoria% Ela pode ser solicitada como uma tentati)a de descobrir e )eri'car pontos de melhoria nos controles de TI% 4ro(eto [email protected] Due será reali7ado por uma área de auditoria e;terna da empresa% 4or '[email protected] a prCpria área de TI pode reali7ar este tipo de trabalho com um enfoDue maior na se,urança dos dados e na e'ciBncia dos recursos% A seção +#$ do ISA não possui uma de'nição clara e ob(eti)a do Due  um trabalho de auditoria de sistemas dentro de um pro(eto de auditoria contábil% Apenas de'nindo riscos de inconsistBncias nas demonstraç*es 'nanceiras Due de)em ser obser)ados pela empresa e um e;ame para a eDuipe de auditoria obter o chamado conforto nos controles de TI% #%! &imens*es da Auditoria de TI / A seção +#$ do ISA di)ide os riscos de TI para a eDuipe de auditoria em Duatro dimens*es Acesso a pro,ramas e [email protected] 3udanças de pro,[email protected] peraç*es computadori7adas e &esen)ol)imento de pro,ramas% 4ara a dimensão de Acesso a pro,ramas e dados o ISA  de'nido + riscos • • •  acesso não autori7ado a dados pode resultar em sua destruição ou alteração inde)[email protected] incluindo o re,istro de transaç*es não autori7adas% uando )ários usuários acessam um banco de dados [email protected] riscos espec6'cos podem sur,irK A possibilidade do pessoal de TI ,anhar pri)il,ios de acesso alm do necessário para e;ecutar suas funç*[email protected] apresenta risco para a auditoria e descaracteri7a a se,re,ação de funç*esK Inter)enç*es manuais inadeDuadas nos processos de TI ,eram riscos para a auditoria% 4ara a dimensão de 3udanças de pro,ramas o ISA de'ne + riscos • 3udanças sem autori7ação nos LarDui)os mestreMK • 3udanças sem autori7ação nos sistemas ou pro,ramasK • 2alha em fa7er mudanças necessárias nos sistemas ou pro,ramas% 4ara a dimensão de peraç*es computadori7adas o ISA de'ne apenas um risco • 4otencial perda dos dados ou impossibilidade de acessá5los% 4ara a dimensão de &esen)ol)imento de pro,ramas o ISA de'ne ! riscos • • 3udanças sem autori7ação em sistemas ou pro,ramasK 2alha em fa7er mudanças necessárias nos sistemas ou pro,ramas% $ Note Due os riscos da dimensão de &esen)ol)imento de pro,ramas estão inclu6dos nos da dimensão de 3udanças de pro,ramas% &essa [email protected] mesmo para empresas Due não possuam área de desen)ol)imento [email protected] a eDuipe de auditoria pode con'[email protected] dependendo do [email protected] nos controles apresentados pela eDuipe de TI% As áreas de tecnolo,ia da informação das empresas costumam (á apresentar controles Due miti,am al,uns dos riscos apresentados% &essa [email protected] o ob(eti)o da auditoria  de )eri'car se esses controles funcionam de forma adeDuada e se estão em bom nmero% s controles de TI mais comuns estão apresentados na 2i,ura # !i"ura 1 # $ontroles de TI 3aterial e;tra6do de SATOIT.0O)2inal!%ppt;@ de posse da 4rice?aterhouse0oopers Auditores Independentes #%+ Se,urança da Informação e Auditoria Aliada - .estão de TI A informaçã[email protected] na )isão de 8e7ende e Abreu G!"""@ são os dados com uma interpretação lC,ica ou natural a,re,ada pelo usuário% A informação  um ati)o [email protected] como DualDuer outro ati)o importante 9 para os ne,[email protected] tem um )alor para a or,ani7ação [email protected] [email protected] necessitando ser adeDuadamente prote,ida GN18 ISSPIE0 #::>>@ !""+% A informação  o principal patrimQnio da empresa e está sob constante risco% 0onstata5se a alta rele)Rncia da informação e sabe5se da sua indispensabilidade no processo de ,estão de uma [email protected] para suportar as decis*es% s ,erentes de TI [email protected] ou 0Is G Chief  Information Ocer  ou 0ISs G Chief Information Security Ocer  de)em estar constantemente preocupados com os controles de TI% 4ara a(udar os ,estores a monitorar os controles de TI e para propor melhorias nesses controles e;iste a auditoria de TI% 4ara nosso caso espec6'co este trabalho poderá ser parte inte,rante da auditoria contá[email protected] essa ati)idade tambm au;ilia os ,estores de TI% Isso porDue na carta de controles internos Due  en)iada no relatCrio de [email protected] estarão todos os pontos identi'cados pelo auditor para serem reportados - administração% A auditoria au;iliará e muito os ,estores de [email protected] de forma a aprimorar os controles da área% Em [email protected] para Due isso aconteç[email protected] um trabalho dessa ma,nitude de)e possuir o apoio da alta administração e dos prCprios ,estores de TI% #%/ 0onsideraç*es Sobre a Auditoria de Sistemas de Informação Uma auditoria de sistemas e processos de TI como parte inte,rante de um trabalho e auditoria contá[email protected] permite o fornecimento de um e;ame para a empresa em e;[email protected] com um panorama dos controles de TI da empresa% 0omo DualDuer empresa bem estruturada dese(a sempre estar no n6)el mais alto de padr*es de ,o)ernanç[email protected] isso  um )alor a,re,ado Due não pode ser dispensado% 0aso necessário ao 'nal o trabalho de auditoria recomendará para a empresa em e;[email protected] os pontos de melhorias identi'cados se,undo as melhores práticas do mercado% Esse  um pri)il,io Due os ,estores de TI possuirã[email protected] sempre Due recebem )isitas de auditores de sistemas% [email protected]  poss6)el perceber Due a inserção do trabalho da auditoria com base nas melhores práticas  um fator determinante : [email protected] alm do respaldo das recomendaç*es [email protected] au;iliará na maturidade e crescimento or,ani7acional estruturado da empresa% 2 Auditoria de Sistemas de Informação e sua Inserção nas Melhores Práticas Este 0ap6tulo Due se se,[email protected] irá mostrar a relação entre o framework  0obiT e as recomendaç*es de poss6)eis testes Due serão reali7ados pela auditoria% 4ara [email protected] esse o 0ap6tulo inicia5se com a introdução de conceitos bá[email protected] [email protected] conclus*es ,erais e aplicabilidade desse framework   de alta rele)Rncia no mercado atual de TI de forma básica% ApCs essa etapa [email protected] será reali7ada a relação do contedo do 0obiT com as recomendaç*es da auditoria% !%# 0onceitos 1ásicos do 0obiT  0obiT GControl Objectives for Information and related Technology   um modelo para ,o)ernança e ,estão de TI desen)ol)ido pela ISA0A GInformation Systems Audit and Control  Association% A [email protected] or,ani7ação Due te)e sua fundação em #>>[email protected]  uma or,ani7ação l6der de pro'ssionais de controle em TI% Ela  uma entidade pri)ada e )oluntária Due possui mais de <9%""" membros ao redor do mundo e  reconhecida como entidade l6der ,lobal em ,o)ernança de TI% A ISA0A possui mais de #<$ cap6tulos Gsedes em apro;imadamente :$ pa6ses%  foco da associação  na área de auditoria de [email protected] controles de TI e Duest*es de se,urança da informação% 0om a criação do 0obiT Gseu principal produto@ a ISA0A de'niu seus ob(eti)os% Em sua criaçã[email protected] 'cou acertado Due o ob(eti)o do 0obiT seria fornecer ao ,erenciamento dos processos de ne,[email protected] um modelo de ,o)ernança em [email protected] desenhado para a(udar no entendimento e ,erenciamento dos riscos associados% Tambm se tornou ob(eti)o do 0obiT o fato dele ser orientado ao ne,[email protected] ou se([email protected] < o fato dele direcionar a ,o)ernança de TI e seus recursos para as estrat,ias de ne,Ccio% [email protected] o 0obiT está em sua $ edição Glançada no in6cio de !"#! e  di)idido em a,rupamento de a'nidades dos principais processos e ati)idades de TI% Ele pro)B boas práticas atra)s de sua estrutura Due distribui controles atra)s de uma estrutura lC,ica e ,erenciá)el% !%! Estrutura do 0obiT  [email protected] em sua recente )ersão [email protected] [email protected] ao [email protected] +: processos descritos de acordo com as melhores práticas do mercado de TI% O framework, nessa recente )ersã[email protected] começa a separar os seus processos entre ati)idades de ,o)ernança de TI e ati)idades de administração de TI% &entro dessas duas perspecti)[email protected] o 0obiT possui os se,uintes dom6nios Esses dom6nios intera,em entre si de acordo com a relação da ',ura !% > !i"ura 2 # Relação entre os %om&nos do $obiT A lista,em completa dos +: processos do [email protected] bem como uma melhor )isuali7ação de sua or,ani7ação entre os dom6nios do framework, pode ser )isuali7ada na ',ura + !i"ura 3 # 'r"ani(ação dos Processos do $obiT #" !%+ 0onclus*es .erais Sobre o 0obiT e sua Aplicabilidade  0obiT  um frame=or aplicado para di)ersos tipos de stakeholders% Tanto para o comitB e;ecuti)o de uma [email protected] para os ,estores de ne,[email protected] para o ,erente de [email protected] para o ,erente de pro([email protected] para os desen)ol)[email protected] para a área de operaç*[email protected] para os usuários da área de [email protected] para o Chief Information Security Ocer  e para auditores de sistemas% &e todos esses poss6)eis en)ol)idos com a aplicabilidade do [email protected] seu principal pblico5al)o são os ,erentes de [email protected] os usuários da área de TI e os auditores de sistemas% s ,erentes de TI precisam do framework  para a)aliar as decis*es de in)estimento em [email protected] para balancear riscos e controles de in)estimentos em TI Due ,eralmente são impre)is6)eis e para fa7er comparaç*es com ambientes de TI atuais e futuros% s usuários dos sistemas pro)idos pela área de TI de uma empresa precisam do 0obiT para obter ,arantia na se,urança e controle de produtos e ser)iços fornecidos internamente e por terceiros% 4or '[email protected] os auditores de sistemas de)em possuir um alto embasamento sobre esse modelo de melhores práticas para substanciar as opini*es para a ,erBncia de controles internos e para conse,uir entender Duais são os controles m6nimos necessários para cada ne,Ccio% !%/ 0obiT e Auditoria de &emonstraç*es 2inanceiras 0onforme (á abordado o ISA de'ne al,uns riscos de distorç*es nas demonstraç*es 'nanceiras de uma empresa Due de)em ser cobertos por controles de TI% E;istem !< controles Gdi)ididos em / dom6nios de  TI ditos como mais comuns nos ambientes de informática das empresas brasileiras Due procuram miti,ar o efeito desses riscos%  trabalho da [email protected] será de a)aliar a e'cácia dos controles de  TI e em seu [email protected] a,re,ando o embasamento nas melhores prá[email protected] ## A Tabela # e;ibe uma relação entre a [email protected] o framework  de melhores práticas do mercado trabalhado nesse documento% Essa tabela relaciona os processos do 0obiT de maior rele)Rncia para auditoria de sistemas com os dom6nios do ISA% 4rocesso 0obit &om6nio ISA P A4#!5Adm% 8iscos 1AI"#5Adm% 4ro(etos 1AI"95Adm% 3udanças 1AI#"5Adm% 0on',uraç*es &SS"#5Adm% peraç*es &SS"!5Adm Solicitaç*es e Incidentes de Ser)iços &SS"/5Adm% 0ontinuidade Acesso a pro,ramas e &ados 3udança de 4ro,rama s peraç*es 0omputadori7a das &esen)ol)imento de 4ro,ramas          Tabela 1 # Relação dos Processos $obiT com %om&nios ISA F ressaltada a alta rele)Rncia do processo AP'[email protected] pois ele aborda os mesmos princ6pios do dom6nio de Acesso a Pro"ramas e %ados% Esse processo fala sobre a ,arantia Due apenas acessos autori7ados se(am concedidos para os recursos de informação% [email protected] podendo ,arantir a inte,ridade dos dados% &a mesma [email protected] ressaltamos a alta rele)Rncia dos processos )AI*1 e )AI*[email protected] pois eles abordam os mesmos princ6pios do dom6nio de %esen,ol,imento e Mudanças de Pro"ramas% Esses [email protected] com au;6lio de [email protected] atestam Due no)os e as alteraç*es em pro,ramas e;istentes e componentes de infraestrutura relacionados se([email protected] plane([email protected] [email protected] [email protected] e;[email protected] testadas e adeDuadamente implementadas%  Tambm na [email protected] )eri'ca5se Due o processo )AI1*  abran,e tanto o dom6nio de Mudanças de Pro"ramas quanto o de #! %esen,ol,imento de Pro"ramas% Isso [email protected] porDue uma boa -er.ncia de $on/"uração  imprescind6)el para um ambiente de 0ontroles de TI estruturado [email protected] dessa [email protected] de)e ser al)o freDuente de auditorias% Veri'ca5se tambm da [email protected] Due o dom6nio de 'eraç0es $omutadori(adas possui tr.s rocessos Due caracteri7am muito bem sua essBncia ,arantir o adeDuado funcionamento ser)iço e componentes de tecnolo,ia da empresa% [email protected] nesse [email protected] as ,randes empresas tBm se preocupado bastante com a Dualidade dos ser)iç[email protected] planos de contin,Bncia e de recuperação de desastres% !%$ 0onsideraç*es Sobre a Inserção da Auditoria nas 3elhores 4ráticas de TI F fácil notar a ,rande dimensão de aplicaç*es Due o modelo de ,o)ernançaP,estão de TI Due  proposta pelo 0obiT abran,e% Este especi'camente dentre )ários outros con(untos de melhores práticas [email protected] tem enorme importRncia para uma auditoria em TI% No entanto a [email protected] em suas recomendaç*[email protected] pode se basea em outros [email protected] não especi'camente pr5formatados%  bom senso ePou a e;periBncia [email protected] será utili7ada para compor o trabalho% 3 Requisitos da auditoria ara análise da TI da emresa Este 0ap6tulo demonstrará uma formali7ação da auditoria com suporte para um pro(eto de auditoria contábil ou de sucessão% A auditoria está@ com )isto nos cap6tulos [email protected] fundamentada nas melhores práticas abordadas no mercado% Serão e;postos testes para !+ controles pre)iamente identi'cados como necessários para conclusão do trabalho%  0apitulo ! e;plicará os mtodos utili7ados em cada [email protected] (á o 0apitulo / Due ainda não fa7 parte deste [email protected] irá e;por os resultados obtidos em cada um dos !+ testes aplicados na empresa% #+ As formali7aç*es Due se se,[email protected] contemplarão nomes de [email protected] ferramentas espec6'[email protected] [email protected] documentos Ge)idBncias e;[email protected] com o intuito de formali7ar e tornar claro o entendimento da situação atual% +%# &e'nição dos Testes Aplicados na Empresa% 0omo )isto [email protected] o ISA +#$ de'ne apenas riscos para a área de TI e não [email protected] a auditoria tem a liberdade de auditar essa área conforme e;periBncia e entendimento da [email protected] desde Due os testes a)aliem a cobertura dos riscos mencionados no ISA% [email protected] foram pre)iamente selecionados para esse [email protected] com uma )isão macro do ambiente [email protected] os controles e;postos na Tabela !% Esses controles foram escolhidos de)ido a sua rele)Rncia dentro do ambiente computacional da empresa em e de)ido a sua cobertura aos riscos descritos no ISA +#$%   Na Tabela [email protected] os controles [email protected] estão di)ididos em + dom6nios ISA Acesso a Pro"ramas e %[email protected] Mudanças de Pro"ramas e 'eraç0es $omutadori(adas% Não foram de'nidos controles a serem testados para o dom6nio de %esen,ol,imento de Pro"[email protected] pois foi identi'cado Due na [email protected] não há desen)ol)imento interno de sistemas aplicati)os% *1 #Acesso a Pro"ramas e %ados *2#Mudanças de Pro"ramas *3 #'eraç0es comutadori(adas "#%"#5Transaç*es cr6ticas dos sistemas "!%"#5.erenciamento de mudanças "!%"!5Se,re,ação entre Ambientes "!%"+5.estão de 4ro(etos "+%"#51acup "#%"!54arametri7aç*es de Senhas dos Aplicati)os "#%"+58e)isão dos 4er's de Acesso dos Usuários "#%"/58e)o,ação de Acessos a Aplicação "#%"$54ol6tica de acesso aos bancos de dados "#%"95Anti)6rus "#%":50one;ão remota "#%"<52ire=all "#%">5In)entário de Hard=are e Soft=are "#%#"54arametri7ação de senhas da rede "#%##5Utili7ação da rede ?ireless "#%#!58e)o,ação de acessos a rede "#%#+5Termo de utili7ação - ati)os de  [email protected] rede e internet "+%"!5Instalação do 04& "+%"+53onitoramento do Ambiente de TI "+%"/54lano e contin,Bncia e continuidade do ne,Ccio "+%"$58eDuisiç*es e Incidentes "+%"95.estão de 0atalo,o de Ser)iços de TI "+%":5.estão do conhecimento #/ Tabela 2 # %i,isão dos $ontroles a serem Testados entre os %om&nios do ISA  intuito do trabalho  )eri'car a e'cácia de cada um desses !+ controles de TI% 4ara )eri'car esse [email protected] como não e;istem práticas de'nidas no ISA +#[email protected] relacionaremos as estrat,ias de'nidas nas prC;imas !+ Seç*es% +%#%# "#%"#5Transaç*es 0r6ticas dos Sistemas Esse [email protected] pertencente ao dom6nio de Acesso a 4ro,ramas e [email protected] busca detectar a reali7ação de transaç*es cr6ticas de um sistema aplicati)o por pessoas não autori7adas% &essa [email protected] espera5 se Due em um ambiente tecnolC,ico comple;[email protected] pessoas se(am responsá)eis [email protected] [email protected] )eri'car se uma srie de transaç*es consideradas cr6ticas pela ,erBncia da empresa sC este(am sendo desempenhadas pelas pessoas a elas determinadas% 4or e;[email protected] para uma transação de Lapro)ação e bai;a manual de t6tulos a pa,[email protected] de)e5se )eri'[email protected] [email protected] se essa transação sC está sendo processada por ,estores da área 'nanceira da empresa% 4ara testar a e'cácia desse controle na [email protected]  necessário entre)istar as pessoas responsá)eis pelo sistema aplicati)o sobre a reali7ação dessa ati)idade% Nessa entre)[email protected] primeiramente será necessário )eri'car se o sistema permite esse monitoramento atra)s do Due chamamos de log Gte;tos Due re,istram o processamento do sistema% [email protected] Duestionando os responsá)eis se esses logs são utili7ados para o monitoramento e Dual a pol6tica de arma7enamento do lo, Gcom e)idBncia de sua reali7ação% +%#%! "#%"!54arametri7ação de Senhas dos Aplicati)os Esse [email protected] pertencente ao dom6nio de Acesso a 4ro,ramas e [email protected] busca di'[email protected] ao má;[email protected] a possibilidade Due sistemas se(am acessados por pessoas não autori7adas% 0omo muitos usuários costumam escolher senhas muito [email protected] há@ nos sistemas #$ [email protected] como restrin,ir a comple;idade de suas senhas atra)s de al,uns parRmetros% 4or e;[email protected] limitar o tamanho m6nimo da [email protected] fa7er com Due os usuários sempre este(am mudando suas senhas para no)os con(untos de [email protected] bloDuear usuários com tentati)as repetidas de acesso sem sucesso e de'nir a comple;idade das senhas Guso de mai[email protected] nmeros e caracteres especiais são al,uns parRmetros de senha Due podem ser con',urados nos sistemas de informação% 4ara testarmos a e'cácia de um controle desse [email protected] )eri'car5se se a pol6tica de se,urança da informação possuir e)idencias de sua de'nição e parametri7açã[email protected] e analise da tela de opç*es do sistema em Duestão e relacionarmos a pol6tica de senhas da empresa% +%#%+ "#%"+58e)isão dos 4er's de Acesso dos Usuários Esse [email protected] pertencente ao dom6nio de Acesso a 4ro,ramas e [email protected] busca ,arantir Due os acessos dos usuários no sistema de informação utili7ado se(am re)isados% F bastante claro Due usuários de um sistema de informação comple;o e inte,rador de diferentes áreas não de)em ter acesso a todas as transaç*es poss6)eis do sistema% 4or e;[email protected] não fa7 sentido Due a prCpria pessoa Due reali7ou uma transação de solicitação de reembolso no sistema a apro)e% &e)ido a concessão de acessos a transaç*es nas empresas ser bastante dinRmica e mutá)[email protected] recomenda5se como uma boa prática de mercado estar sempre re)isando os acessos dos usuários% 4ara testarmos a e'cácia desse controle [email protected] em con)ersa com a área de TI da [email protected] será analisado se e;iste al,um processo periCdico desse [email protected] obtendo e)idBncias da reali7ação%  Tambm a documentação dos per's de acesso como entre,a das e)idBncias de sua parametri7ação% #9 +%#%/ "#%"/58e)o,ação de Acessos - Aplicação Esse [email protected] pertencente ao dom6nio de Acesso a 4ro,ramas e [email protected] )eri'cando se não e;istem no sistema de informação usuários ,enricos Gusuários utili7ados por mais de uma pessoa@ usuários desconhecidos da [email protected] usuários duplicados e usuários Due (á foram desli,ados da empresa% As melhores práticas do mercado di7em Due a e;istBncia desses usuários acarreta riscos de processamentos cu(os autores não podem ser identi'cados pela empresa% 4ara o teste da e'cácia desse [email protected] iremos obter uma lista,em de funcionários ati)os e desli,ados da empresa e reali7ação de uma análise dos usuários dos sistemas de informação em planilha eletrQnica% +%#%$ "#%"$54ol6tica de acesso aos bancos de dados Esse [email protected] pertencente ao dom6nio de Acesso a 4ro,ramas e [email protected] funciona de maneira bastante semelhante e possui os mesmos princ6pios do controle descrito na Seção "#%"#% A nica diferença entre os dois  Due o primeiro funciona no n6)el da aplicação e esse funciona no n6)el da base de [email protected] se considerarmos uma arDuitetura de sistemas de informação tradicional% 0omo nos sistemas de informaçã[email protected] muitos usuários possuem acesso para editar informaç*es diretamente na base de [email protected] temos Due nos preca)er Due isso não acontece por pessoas não autori7adas% 4or causa disso de)e e;istir uma pol6tica de acesso formal e um forte monitoramento dessa ati)idade% 0omo no primeiro [email protected] para teste da e'cácia desse controle na [email protected] são entre)istadas as pessoas responsá)eis pelo banco de [email protected] sobre a reali7ação dessa ati)idade% Nessa inda,açã[email protected] primeiramente e )eri'car se o S.1& GSistema de .erenciamento de 1anco de &ados permite esse monitoramento atra)s do Due chamamos de log Gte;tos Due re,istram o processamento do sistema% [email protected] temos Due Duestionar os responsá)eis se esses logs #: são utili7ados para o monitoramento e Dual a pol6tica de arma7enamento Gcom e)idBncia de sua reali7ação% +%#%9 "#%"95Anti)6rus Esse [email protected] pertencente ao dom6nio de Acesso a 4ro,ramas e [email protected] tem como ob(eti)o a proteção do ambiente computacional da empresa% Essa proteção tem tanto como 'nalidade a continuidade do ne,Ccio da empresa Duanto - proteção de seus dados cr6ticos% &ependendo do tipo de ne,Ccio desempenhado pela [email protected] esse controle de)e ser mais ou menos ri,oroso% 4or e;[email protected] empresas Due ,uardam dados de clientes de)em preser)ar ao má;imo o si,ilo de suas informaç*es% 4ara o teste da e'cácia desse [email protected] antes de tudo  necessário )eri'car se a empresa utili7a al,uma ferramenta com amplo respaldo do mercado% Em se,undo lu,[email protected] identi'ca5se se os funcionários utili7am a ferramenta de forma adeDuada com todas suas [email protected] se o pessoal de TI efetua o monitoramento adeDuado da ferramenta e se a mesma está em constante atuali7ação na empresa%  Tambm  analisado se os controles e per's do anti)[email protected] são formalmente documentados e estão atuali7ados +%#%: "#%":50one;ão 8emota Esse [email protected] pertencente ao dom6nio de Acesso a 4ro,ramas e [email protected] busca controlar os acessos - rede da empresa por seus funcionários e parceiros de ne,[email protected] Duando eles estão fora de seus dom6nios f6sicos% &essa [email protected] uma empresa com alta maturidade em controles não de)e liberar esse tipo de acesso a DualDuer funcionário% A empresa de)e institucionali7ar uma ,estão de concessão de acessos e'ciente para casos como esse% 4ara o teste da e'cácia desse [email protected]  necessário [email protected]  (unto aos funcionários da área de [email protected] como os colaboradores reali7am #< acesso remoto aos sistemas% Alm [email protected] precisamos entender como ocorre a concessão de no)os acessos a essa funcionalidade%  Tambm  analisado se as concess*es de [email protected] são formalmente documentados e estão atuali7ados +%#%< "#%"<52ire=all Esse [email protected] tambm pertencente ao dom6nio de Acesso a 4ro,ramas e [email protected] possui ob(eti)os semelhantes ao do controle da Seção "#%"$% Esse controle busca a proteção do ambiente computacional da empresa atra)s de ferramentas Due controlam o tráfe,o de dados entre o ambiente interno e e;terno% 4ara o teste da e'cácia desse [email protected]  necessário )eri'car se a empresa utili7a uma ferramenta de irewall de respaldo do mercado% Alm [email protected] )eri'ca5se tambm se essa ferramenta  utili7ada de maneira e'ca7 [email protected] dentre outras '[email protected] o bloDueio de sites considerados peri,osos para a empresa% 0omo muitas ferramentas de irewall  (á )Bm acopladas com ferramentas de I&S G Intrusion !etection System@ nesse [email protected] )eri'ca5se tambm se a empresa utili7a uma ferramenta desse tipo para pre)enir a intrusão da rede interna%  Tambm  analisado se os controles de acesso Due passam pelo [email protected] são formalmente documentados e estão atuali7ados +%#%> "#%">5In)entário de Hard=are e Soft=are Esse [email protected] pertencente ao dom6nio de Acesso a 4ro,ramas e [email protected] tem dois ob(eti)os principais%  primeiro  Due a empresa [email protected] de forma estruturada Gatra)s de al,uma ferramenta do mercado@ a Duantidade de eDuipamentos de hard=are e licenças de soft=are Due possui%   Seu se,undo ob(eti)o  Due a empresa co6ba a instalação de soft=ares não autori7ados por sua administração% 4re)[email protected] [email protected] a instalação de soft=ares peri,osos ao ambiente computacional% #> 4ara analisar a e'cácia desse [email protected] primeiramente  procurado entender se a empresa possui al,uma [email protected] mesmo Due [email protected] Due controle seus ati)os de TI% Em se,uida tenta5se reali7ar a instalação de um pro,rama DualDuer em uma máDuina aleatCria da empresa% 0om essa tentati)a  identi'cado se a empresa está bloDueando a instalação de softwares não autori7ados% F analisado se há documentação destes in)entários se(a impressão ou em m6dia e tambm se há mecanismos de atuali7ação automati7ados ou manuais% +%#%#" "#%#"54arametri7ação de Senhas da 8ede Esse [email protected] pertencente ao dom6nio de Acesso a 4ro,ramas e [email protected] possui os mesmos princ6pios do controle da Seção "#%"!% A diferença entre esses dois controles  Due o primeiro funciona no n6)el da aplicação e esse funciona no n6)el da rede da empresa% &a mesma forma Due para o controle da Seção "#%"[email protected] testa5se a e'cácia desse [email protected] )eri'car Duais parRmetros de comple;idade de senha estão con',urados para acesso - rede da empresa% 4ara a ,rande maioria das [email protected] Due utili7am sistemas operacionais "[email protected] a ,estão da rede da empresa se dá atra)s da ferramenta  Active !irectory# +%#%## "#%##5Utili7ação da 8ede ?ireless Esse [email protected] pertencente ao dom6nio de Acesso a 4ro,ramas e [email protected] tem como 'nalidade ,arantir Due o acesso - rede sem 'o da empresa se(a adeDuado% Seu principal ponto de atenção  a ,arantia de Due o acesso - rede sem 'o para )isitantes se(a diferenciado do acesso - rede sem 'o para funcionários% Isso ,arante Due arDui)os con'denciais não se(am acessados por pessoas não [email protected] por e;emplo% 4ara análise da e'cácia desse [email protected] de)e5se entender como está montada a topo,ra'a da rede sem 'o da empresa% Isso )isa a ,arantir essa se,re,ação entre rede de )isitantes e rede de funcionários% !" +%#%#! "#%#!58e)o,ação de Acessos - 8ede Esse [email protected] pertencente ao dom6nio de Acesso a 4ro,ramas e [email protected] busca princ6pios parecidos ao do controle da Seção "#%"/% A diferença entre esses dois controles  Due o primeiro funciona no n6)el da aplicação e esse a n6)el da rede da empresa% &a mesma forma Due para o primeiro [email protected] este analisa se não e;istam na rede da empresa usuários ,enricos Gusuários utili7ados por mais de uma pessoa@ usuários desconhecidos da [email protected] usuários duplicados e usuários Due (á foram desli,ados da empresa% 4ara analise da e'cácia desse [email protected] podemos obtm5se uma lista,em de funcionários ati)os e desli,ados da empresa em e;ame e reali7armos uma análise dos usuários da rede em planilha eletrQnica% +%#%#+ "#%#+5Termo de utili7ação - ati)os de [email protected] rede e internet Esse [email protected] ltimo pertencente ao dom6nio de Acesso a 4ro,ramas e [email protected] busca Due os funcionários da empresa este(am cientes de suas responsabilidades no uso dos ati)os de [email protected] rede e internet% 4ara [email protected] muitas empresas se utili7am de termos Due de)em ser assinados por seus funcionários% 4ara analisar a e'cácia desse [email protected] obtm5se uma lista dos no)os funcionários da empresa e feita uma seleção aleatoriamente al,uns deles% ApCs essa etapa  solicitado - área Due 'ca de posse desses documentos os mesmos para )eri'carmos se eles estão de)idamente assinados% +%#%#/ "!%"#5.erenciamento de 3udanças Esse [email protected] pertencente ao dom6nio de 3udanças de 4ro,[email protected] tem como ob(eti)o Due a empresa possua um adeDuado !# procedimento formali7ado para o ,erenciamento das mudanças reali7adas em seus sistemas% Alm [email protected] a empresa de)e possuir em seu procedimento fases como testes e reDuisição de usuário% 4or '[email protected] não se pode falar em ,erenciamento de mudanças sem um controle de )ersão adeDuada% 4ara analisarmos a e'cácia desse [email protected] primeiramente  )eri'cado se a empresa possui um procedimento desse tipo e se ele está formali7ado% ApCs essa [email protected] se a empresa possuir um procedimento de controle de )ersão adeDuado  solicitado e)idBncias da reali7ação das fases descritas para al,umas mudanças reali7adas% +%#%#$ "!%"!5Se,re,ação entre Ambientes Esse [email protected] pertencente ao dom6nio de 3udanças de 4ro,[email protected] tem como ob(eti)o a separação entre os ambientes onde as diferentes )ers*es do sistema estão instaladas% F importante Due a empresa possua ambientes de teste e de produção% Alm [email protected] as boas práticas di7em Due a responsabilidade Duanto a mi,ração dos ambientes  da eDuipe de TI% 4ara analise da e'cácia desse [email protected] procurar5se entender como está - disposição das diferentes )ers*es do sistema nos ser)idores% Alm [email protected] entende5se tambm como ocorre a mi,ração das mudanças desen)ol)idas para o ambiente de produção% Nessa ltima [email protected] de)e5se atentar se o procedimento utili7ado para esta 'nalidade permite a re)ersão do processo% +%#%#9 "!%"+5.estão de pro(etos Esse [email protected] pertencente ao dom6nio de 3udanças de 4ro,[email protected] tem como ob(eti)o analisar se há controle de pro(etos para no)as implementaç*es na infraestrutura e sistemas da empresa% 4ara análise da e'cácia desse [email protected] procurar5se entender se as implementaç*es na TI passaram por controle de pro([email protected] com termo de abertura apro)ado pela alta administraçã[email protected] plano de pro([email protected] e)idencias de controle de pro(etos e encerramento% &iferentemente da Seção "!%"# Due trata de mudanças em sistemas (á e;[email protected] está seção aborda no)as implementaç*es em !! sistemas no)os ou infraestrutura da TI +%#%#: e;istentes e alteraç*es si,ni'cante na "+%"#51acup Esse [email protected] pertencente ao dom6nio de peraç*es [email protected] tem como ob(eti)o ,arantir Due a empresa sal)a,uarda de seus dados no caso de problemas Due )isem continuidade de seus ne,Ccios% 4ara [email protected] Duase todas as empresas possuem al,um procedimento de arma7enamento e;terno de seus [email protected] o Due se chama popularmente de backu$% As empresas ,eralmente utili7am al,uma ferramenta para reali7ar esse procedimento de forma automá[email protected] arma7enam suas 'tas de backu$  em lu,ares se,[email protected] reali7am testes de restore Greinserir os dados arma7enados no sistema entre outros procedimentos% Em empresas mais [email protected] todos os procedimentos relati)os a esse controle constam em pol6ticas amplamente disseminadas entre os funcionários da área de TI% 4ara e)idenciar a reali7ação desse controle em todos os seus [email protected] de)e5se reali7ar profundo entendimento da área (unto aos funcionários de TI% +%#%#< "+%"!5Instalaç*es do 04& Esse [email protected] pertencente ao dom6nio de peraç*es [email protected] procura fa7er com Due o ambiente f6sico onde estão instalados os ser)idores da empresa se(a o melhor poss6)el% Esse [email protected] se,undo as melhores prá[email protected] de)e possuir controles de [email protected] [email protected] combate a [email protected] nobreas entre outros artif6cios para prote,er ao má;imo os dados da empresa% 4ara analise da e'cácia desse [email protected] uma )isita - sala onde estão locali7ados os ser)idores da empresa resol)e Duestão% [email protected] nessa )[email protected] atenta5se a todos os aspectos da sala bem como a documentação do mapeamento da mesma% !+ +%#%#> "+%"+53onitoramento do Ambiente de TI Esse [email protected] pertencente ao dom6nio de peraç*es [email protected] tem como ob(eti)o o constante monitoramento da ocorrBncia de poss6)eis problemas na estrutura do ambiente de TI da empresa Gbai;a capacidade de [email protected] falta de espaço em [email protected] entre outros problemas% 4ara esse constante [email protected] as melhores práticas recomendam o uso de softwares% 4ara análise do adeDuado monitoramento do ambiente de [email protected] )eri'casse se a empresa utili7a al,uma ferramenta do mercado para esse 'm e como ela  utili7ada% +%#%!" "+%"/54lano de 0ontin,Bncia e 0ontinuidade do Ne,Ccio Esse [email protected] pertencente ao dom6nio de peraç*es [email protected] certi'ca Due a empresa este(a pre)enida para DuaisDuer e)entuais catástrofes não esperadas como [email protected] ala,amentos e outros desastres naturais% 4ara [email protected] com o intuito de ,arantir sua continuidade do ne,[email protected] muitas empresas desen)ol)em planos de ação para casos como esses% 4ara analise da utili7ação desse [email protected] certi'ca se a empresa possui al,um plano desse tipo formali%ado% Alm [email protected] um plano desse tipo de)e ser amplamente di)ul,ado entre os funcionários da área de TI e de)e ha)er treinamentos e teste para casos como os descritos% +%#%!# "+%"$58eDuisiç*es e Incidentes Esse [email protected] pertencente ao dom6nio de peraç*es [email protected] certi'ca se a empresa possui controle de re&uisi'(es e incidentes de TI% 4ara análise da utili7ação desse [email protected] certi'ca se a empresa possui re,istros de controle de reDuisiç*es e ser)iços re,istrados por usuários e áreas da empresa !/ +%#%!! "+%"95.estão de 0atalo,o de Ser)iços de TI Esse [email protected] pertencente ao dom6nio de peraç*es [email protected] certi'ca se a empresa possui a identi'cação e controle de todos os ser)iços Due a TI presta - empresa% 4ara análise da utili7ação desse [email protected] certi'ca se a empresa possui re,istros Due possam e)idenciar este controle com a identi'cação dos [email protected] [email protected] SA acordado e etc% +%#%!+ "+%":51ase de conhecimentos Esse [email protected] pertencente ao dom6nio de peraç*es [email protected] certi'ca se a empresa possui controle para arma7enamento e di)ul,ação dos processos de controle de manuais operacionais dos sistemas% 4ara análise da utili7ação desse [email protected] certi'ca se a empresa possui re,istros Due possam e)idenciar esta prá[email protected] e Due tenham pol6tica de atuali7ação dos mesmos% / .losário Incidente 8eDuisição !$