Claudio Dodt, CISA, CRISC, CISSP, ITIL Expert
Business Continuity & Security Senior Consultant
www.twitter.com/cdodt
www.daryus.com.br claudiododt.com
www.twitter.com/daryusbr
Auditando Segurança da Informação
Facilitador – Perfil Profissional
Cláudio Dodt
http://claudiododt.com
http://www.linkedin.com/pub/cl%C3%A1udio-dodt/5/1a4/723
Business Continuity & Security Senior Consultant, Gerente regional da Daryus
Strategic Risk Consulting, atua na área de tecnologia há mais de 10 anos
exercendo atividades como técnico e analista de suporte, Analista de Segurança
Sr., Security Officer e Supervisor de Infraestrutura e Segurança da Informação.
Desenvolveu atividades em empresas brasileiras e multinacionais participando,
no Brasil e exterior, em projetos de segurança de diversos segmentos como
Educacional, Financeiro, Saúde, Agroindústria, Indústria Alimentícia, Naval,
Metal-Mecânica e Têxtil.
Geek convicto, mergulhador autônomo nível 1(CMAS) e um grande amante da
leitura e dos videogames.
Especializações
ITIL® V2 Service Manager;
ITIL® Expert;
Certified Information Systems Security Professional (CISSP®);
Certified Information Systems Auditor (CISA);
Certified in Risk and Information Systems Control (CRISC);
ISO 27001 Lead Auditor;
ISO/IEC 20000 Foundation;
Information Security Foundation (ISFS) based on ISO/IEC 27002;
CobiT Foundation.
Agenda
A Daryus
Contexto atual
Papel da Segurança da Informação
Auditoria de Segurança da Informação
Desafios
Conclusões
Curso CISA® - Certified Information System
Auditor
Abertura a perguntas
Empresa 100% nacional especializada em
Continuidade, Riscos e Segurança da Informação;
Parceira educacional exclusiva desde 2005 do DRII –
Disaster Recovery Institute International;
Líder em serviços especializados de consultoria e
treinamentos para Continuidade de Negócios e
Recuperação de Desastres;
Reconhecida internacionalmente em Governança,
Riscos e Conformidade pela Infragard (USA) e ISSA;
Duas Unidades: Consultoria e Educação.
Quem é a DARYUS?
Nossas Unidades de Negócio Our Business Units
Copyright © 2011 DARYUS® Strategic Risk Consulting. BRASIL.
Restrito. www.daryus.com.br – Avenida Paulista, 1009 – 11o. Andar – cj 1102 - São Paulo – SP – +55 11 3285-6539
- Cursos acadêmicos em parceria com Faculdades:
- Pós em Gestão de Segurança da Informação (400 horas)
- Pós em Governança de TI (400 horas)
- Pós em Investig. Fraudes e Forense Computacional (150 hs)
- Cursos de especialização (venda direta ou parceiros)
- Gestão de Continuidade de Negócios
- Gestão de Riscos
- Segurança da Informação
- Certificações ISACA: CISA, CISM, CGEIT, CRISC, COBIT
- Certificações EXIN: Segurança (ISFS, ISMAS) e ITIL
- Certificações DRII: ABCP, CFCP, CBCP, MBCP
- Mapeamento de Processos
- Cursos de Riscos Financeiros e Conformidade
- Controles Internos
- Controles Contábeis
- Gestão de Conformidade
- Gestão de Riscos
- Prevenção a Fraude
- Prevenção a Lavagem de Dinheiro
Educação
Consultoria
• Continuidade de Negócios
• Segurança da Informação
• Gerenciamento de Processos de Negócios
• Governança, Risco e Compliance
Alguns clientes de consultoria
Responsabilidade
Social
Corporativa
Segurança
da
Informação
Governança
Corporativa e
de
TI
Gestão de riscos
Segurança, Saúde
e Meio Ambiente
sustentatibilidade
Continuidade
de
Negócios
Leis e
Regulamentações
ISO 26001
NBR 16001
ISO 27001
ISO 27002
ISO 27005
Cobit DS.5
ISO 38500
ISO 31000
ISO 14001
OHSAS 18001
BS 25999-1
BS 25999-2
BS 25777-1
Cobit DS.4
Leis e
Regulamentações
Visão holística da gestão de riscos - Inteligência de riscos, uma tendência mundial.
Contexto atual – No Mundo
“Fraude impactou 87% das
organizações.” Kroll's Global Fraud Report 2010-2011
“Auditores internos ainda são
vistos como a primeira linha de
defesa contra a fraude em 65%
das empresas. 11th Global Fraud Survey - Ernst & Young
Contexto atual – No Brasil
Incidência de fraude maior que a média global;
Roubo ou ataque a informação: Maior fonte de risco;
Complexidade de TI: Maior fator de exposição.
Motivadores Gestão de Riscos
PR
ES
SÃ
O P
EL
A G
ES
TÃ
O D
E R
ISC
OS
PR
ES
SÃ
O P
AR
A M
EL
HO
RA
R
Papel da Segurança da Informação
Confidencialidade
Integridade Disponibilidade
Segurança
da
Informação
Procedimentos e Orientações
Políticas
Normas e Padrões
Alta Direção • Política de SI
Comitê de SI • Entendimento do Negócio
• Seleção de estratégias
• Preparação da PSI
• Exercitar, manter e melhorar a
SI
Security Officer
• Análise de riscos;
• BIA;
• Cenários;
• Planos;
• Testes, exercícios;
• Conscientização.
Definir
Viabilizar
Realizar
Papéis Responsabilidades
Papel da Segurança da Informação
Confidencialidade
Integridade Disponibilidade
Segurança
da
Informação
Procedimentos e Orientações
Políticas
Normas e Padrões
Alta Direção • Política de SI
Comitê de SI • Entendimento do Negócio
• Seleção de estratégias
• Preparação da PSI
• Exercitar, manter e melhorar a
SI
Security Officer
• Análise de riscos;
• BIA;
• Cenários;
• Planos;
• Testes, exercícios;
• Conscientização.
Definir
Viabilizar
Realizar
Papéis Responsabilidades
Auditoria:
Garantir que tudo isso é feito;
Evitar que erros ou falhas sejam
encobertos;
Apoiar governança e prevenção de
fraudes.
Auditoria de SegInfo: Desafios
Disponibilidade
Confidencialidade Integridade
Infraestrutura
e Serviços
Disponibilidade
dos Dados
Planejamento
GCN
Backup e
Recuperação
Vazamentos,
Invasões
Requisitos
Legais
Comunicações
Bancos de
dados
Complexidade
Auditoria de SegInfo: Como NÃO fazer!
O Auditor tem sempre razão;
Se o Auditor não encontrou nada errado, é
por que a auditoria não foi bem feita;
Auditorias “Receita de bolo”;
Ausência de padrões;
Medo, incerteza, dúvida.
O Auditor
Auditoria de SegInfo: Abordagem correta!
O Auditor se comunica e é parceiro, mas
mantém a independência;
Se um bom trabalho é feito, auditorias
podem ter fiddings mínimos;
Abordagem sistemática, metodologias
focadas no conceito de risco;
Utilização de frameworks e melhores
práticas, facilitando atendimento a
requisitos de compliance (SOX, PCI).
O Auditor
Auditoria de SegInfo: O foco é o risco
“Uma abordagem sistemática, com uma
metodologia baseada em riscos é a
melhor forma de se identificar e combater
fraudes.”
Auditoria de SegInfo: Planejando e Executando
1 - Coletar informação e planejar:
Conhecimento do negócio e indústria;
Resultados anteriores;
Informações financeiras atuais;
Estatutos regulamentatórios;
Riscos específicos do cenário.
2 – Obter entendimento dos controles internos:
Controles do ambiente;
Procedimentos de controle;
Avaliação da detecção de riscos;
Controles de detecção de risco;
Resultado total de risco.
3 – Executar testes de compliance:
Identificar controles chave que devem ser testados; Realizar testes focados na confiabilidade,
prevenção de riscos e aderência a politicas e
procedimentos da organização.
4 – Executar testes substantivos:
Executar procedimentos analíticos;
Observar aspectos chave como gestão do acesso;
Identificar e executar demais testes substantivos
pertinentes ao cenário.
5 – Concluir a auditoria:
Criar e consolidar recomendações; Escrever e apresentar relatório de auditoria.
Auditoria de SegInfo: Conclusões
Demonstre claramente que o foco da auditoria é apoiar o
negócio e não apontar culpados;
Normas e frameworks como a ISO 27001, ISO 27005 e
CobiT fornecem uma excelente base para planejamento;
Sempre siga uma abordagem baseada nos riscos e entenda
as ameaças antes de avaliar controles existentes;
E pergunte-se: 1. Quais ativos de informação estamos tentando proteger?
2. Qual o valor deles para o negócio?
3. Qual o impacto da perda de integridade, confidencialidade ou
disponibilidade nesses ativos?
4. Os controles existentes ajudam a reduzir o risco? Se não, quais os
controles são necessários?
Dúvidas
Obrigado!