Cabeçalhos
...

Auditoria de sistemas de informação. Ameaças à segurança da informação. Tecnologia da informação

Auditoria de sistemas de informação fornece dados relevantes e precisos sobre como o IP funciona. Com base nos dados obtidos, é possível planejar atividades para melhorar a eficiência do empreendimento. A prática de conduzir uma auditoria de um sistema de informação é comparar o padrão, a situação real. Eles estudam as normas, padrões, regulamentos e práticas aplicáveis ​​em outras empresas. Ao realizar uma auditoria, um empreendedor tem uma ideia de como sua empresa difere de uma empresa bem-sucedida normal em uma área semelhante.

Visão geral

A tecnologia da informação no mundo moderno é extremamente desenvolvida. É difícil imaginar uma empresa que não tenha sistemas de informação em serviço:

  • global;
  • local.

É através do IP que uma empresa pode funcionar normalmente e acompanhar os tempos. Tais metodologias são necessárias para uma troca rápida e completa de informações com o meio ambiente, o que permite que a empresa se adapte às mudanças na infraestrutura e nas exigências do mercado. Os sistemas de informação devem satisfazer um número de requisitos que mudam com o tempo (novos desenvolvimentos, padrões são introduzidos, algoritmos atualizados são aplicados). Em qualquer caso, a tecnologia da informação permite que você acesse os recursos rapidamente, e esse problema é resolvido por meio do IP. Além disso, sistemas modernos:

  • escalável
  • flexível;
  • confiável;
  • seguro.

As principais tarefas da auditoria de sistemas de informação são identificar se o IP implementado atende aos parâmetros especificados.

auditoria de sistemas de informação

Auditoria: tipos

Frequentemente usada é a chamada auditoria de processo do sistema de informação. Exemplo: especialistas externos analisam sistemas implementados para diferenças de padrões, incluindo o estudo do processo de produção, cujo resultado é software.

Uma auditoria pode ser conduzida com o objetivo de identificar o quão corretamente o sistema de informação é usado no trabalho. A prática da empresa é comparada com os padrões do fabricante e exemplos bem conhecidos de corporações internacionais.

Uma auditoria do sistema de segurança da informação de uma empresa afeta a estrutura organizacional. O objetivo de tal evento é encontrar pontos fracos na equipe do departamento de TI e identificar problemas, bem como formular recomendações para sua solução.

Por fim, a auditoria do sistema de segurança da informação é destinada ao controle de qualidade. Em seguida, os especialistas convidados avaliam o estado dos processos dentro da empresa, testam o sistema de informações implementado e tiram algumas conclusões sobre as informações recebidas. Normalmente, o modelo TMMI é usado.

Objetivos da auditoria

Uma auditoria estratégica do estado dos sistemas de informação permite identificar os pontos fracos no IP implementado e identificar onde o uso da tecnologia tem sido ineficaz. Na saída desse processo, o cliente terá recomendações para eliminar as deficiências.

Uma auditoria permite avaliar quão caro será fazer alterações na estrutura atual e quanto tempo levará. Especialistas que estudam a atual estrutura de informação da empresa ajudarão você a escolher as ferramentas para implementar o programa de melhoria, levando em conta as características da empresa. Com base nos resultados, você também pode fornecer uma avaliação precisa de quanto recursos a empresa precisa.Serão analisados ​​produção intelectual, monetária e monetária.

Eventos

A auditoria interna dos sistemas de informação inclui a implementação de atividades como:

  • Inventário de TI;
  • identificação da carga nas estruturas de informação;
  • avaliação das estatísticas, dados obtidos durante o inventário;
  • determinar se os requisitos do negócio e as capacidades do IP implementado são consistentes;
  • geração de relatórios;
  • desenvolvimento de recomendações;
  • formalização do fundo NSI.

Resultado de auditoria

Uma auditoria estratégica do estado dos sistemas de informação é um procedimento que: permite identificar as razões da falta de eficácia do sistema de informação implementado; prever o comportamento do IP ao ajustar fluxos de informação (número de usuários, volume de dados); fornecer soluções informadas que ajudem a aumentar a produtividade (aquisição de equipamentos, melhoria do sistema implementado, substituição); dar recomendações que visem melhorar a produtividade dos departamentos da empresa, otimizando os investimentos em tecnologia. E também para desenvolver medidas que melhorem o nível de qualidade do serviço de sistemas de informação.

Isso é importante!

Não existe tal IP universal que seja adequado a qualquer empresa. Existem duas bases comuns com base nas quais você pode criar um sistema exclusivo para os requisitos de uma empresa específica:

  • 1C.
  • Oracle

Mas lembre-se que esta é apenas a base, não mais. Todas as melhorias para tornar um negócio eficaz, você precisa programar, tendo em conta as características de uma determinada empresa. Certamente você terá que inserir funções que estão faltando anteriormente e desabilitar aquelas que são fornecidas pela montagem básica. A tecnologia moderna para auditar sistemas de informações bancárias ajuda a entender exatamente quais recursos um IP deve ter e o que precisa ser excluído para que o sistema corporativo seja ideal, eficiente, mas não muito “pesado”.

auditoria estratégica do estado dos sistemas de informação

Auditoria de Segurança da Informação

Uma análise para identificar ameaças à segurança da informação pode ser de dois tipos:

  • externo;
  • interno.

O primeiro envolve um procedimento único. Organizado pelo seu chefe da empresa. Recomenda-se a prática regular de tal medida, a fim de manter a situação sob controle. Diversas sociedades anônimas e organizações financeiras introduziram um requisito para que uma auditoria externa de segurança de TI seja implementada.

Interno - estas atividades são regularmente realizadas e reguladas pelo ato regulador local “Regulação da Auditoria Interna”. Um plano anual é formado para a reunião (é preparado pelo departamento responsável pela auditoria), diz o CEO, outro gerente. Auditoria de TI - várias categorias de eventos, auditoria de segurança não é o último em importância.

Objetivos

O principal objetivo da auditoria de sistemas de informação em termos de segurança é identificar os riscos relacionados a IP associados a ameaças de segurança. Além disso, os eventos ajudam a identificar:

  • fragilidades do sistema atual;
  • conformidade do sistema com padrões de segurança da informação;
  • nível de segurança no momento atual.

Ao conduzir uma auditoria de segurança, serão formuladas recomendações que melhorarão as soluções atuais e introduzirão novas soluções, tornando o IP atual mais seguro e protegido de várias ameaças.

ameaças de segurança

Se uma auditoria interna é realizada para identificar ameaças à segurança da informação, então é considerado adicionalmente:

  • política de segurança, a capacidade de desenvolver novos, bem como outros documentos que protegem os dados e simplificam a sua aplicação no processo de produção da corporação;
  • a formação de tarefas de segurança para funcionários do departamento de TI;
  • análise de situações envolvendo violações;
  • treinamento de usuários do sistema corporativo, pessoal de manutenção em aspectos gerais de segurança.

Auditoria Interna: Recursos

As tarefas listadas que são definidas para os funcionários ao conduzir uma auditoria interna dos sistemas de informação, em essência, não são auditorias. Teoricamente, a realização de eventos apenas como especialista avalia os mecanismos pelos quais o sistema é seguro. A pessoa envolvida na tarefa torna-se um participante ativo no processo e perde a independência, não pode mais avaliar objetivamente a situação e controlá-la.

Por outro lado, na prática, em uma auditoria interna, é quase impossível ficar longe. O fato é que, para realizar o trabalho, um especialista da empresa está envolvido, outras vezes, envolvido em outras tarefas em um campo similar. Isso significa que o auditor é o mesmo empregado que tem a competência para resolver as tarefas mencionadas acima. Portanto, você tem que comprometer: em detrimento da objetividade, envolver o empregado na prática, a fim de obter um resultado digno.

Auditoria de Segurança: Passos

Em muitos aspectos, elas são semelhantes às etapas de uma auditoria geral de TI. Alocar:

  • início dos eventos;
  • coletando uma base para análise;
  • análise;
  • formação de conclusões;
  • relatórios.

Iniciando um procedimento

Uma auditoria dos sistemas de informação em termos de segurança começa quando o chefe da empresa dá sinal verde, já que os patrões são as pessoas mais interessadas na verificação efetiva do empreendimento. Uma auditoria não é possível se o gerenciamento não suportar o procedimento.

Auditoria de sistemas de informação é geralmente complexa. Envolve o auditor e vários indivíduos representando diferentes departamentos da empresa. A colaboração de todos os participantes da auditoria é importante. Ao iniciar uma auditoria, é importante prestar atenção aos seguintes pontos:

  • documentar obrigações, direitos do auditor;
  • preparação, aprovação do plano de auditoria;
  • documentar o fato de que os funcionários são obrigados a prestar toda a assistência possível ao auditor e fornecer todos os dados solicitados por ele.

Já no momento do início da auditoria, é importante estabelecer em que medida os sistemas de informação são auditados. Embora alguns subsistemas IP sejam críticos e requeiram atenção especial, outros não são e não são muito importantes, portanto, sua exclusão é permitida. Certamente haverá tais subsistemas, cuja verificação será impossível, já que todas as informações armazenadas são confidenciais.

Plano e bordas

Antes de iniciar o trabalho, é formada uma lista de recursos que devem ser verificados. Pode ser:

  • informativo;
  • software;
  • técnico.

Eles identificam em quais sites a auditoria é conduzida, em quais ameaças o sistema é verificado. Existem limites organizacionais do evento, aspectos de segurança que são obrigatórios para consideração durante a auditoria. Uma classificação de prioridade é formada indicando o escopo da auditoria. Tais limites, assim como o plano de ação, são aprovados pelo Diretor Geral, mas são submetidos preliminarmente pelo tópico da reunião geral de trabalho, onde chefes de departamento, um auditor e executivos da empresa estão presentes.

Recuperação de dados

Ao realizar uma auditoria de segurança, os padrões de auditoria dos sistemas de informação são tais que o estágio de coleta de informações é o mais longo e trabalhoso. Como regra geral, o IP não possui documentação para ele, e o auditor é forçado a trabalhar de perto com vários colegas.

Para que as conclusões sejam consideradas competentes, o auditor deve receber um máximo de dados. O auditor aprende sobre como o sistema de informação é organizado, como funciona e em que condições é da documentação organizacional, administrativa e técnica, no decorrer da pesquisa e aplicação independentes de software especializado.

Documentos exigidos no trabalho do auditor:

  • estrutura organizacional dos departamentos que servem IP;
  • estrutura organizacional de todos os usuários.

O auditor entrevista os funcionários, identificando:

  • Provedor
  • proprietário dos dados;
  • dados do usuário.

objetivo da auditoria de sistemas de informação

Para fazer isso, você precisa saber:

  • principais tipos de aplicações IP;
  • número, tipos de usuários;
  • serviços prestados aos usuários.

Se a empresa tiver documentos sobre IP da lista abaixo, é necessário fornecê-los ao auditor:

  • descrição de metodologias técnicas;
  • Descrição de métodos para automação de funções;
  • diagramas funcionais;
  • trabalhando, documentos do projeto.

Identificação da estrutura do IP

Para conclusões corretas, o auditor deve ter total compreensão das características do sistema de informação implementado na empresa. Você precisa saber quais são os mecanismos de segurança, como eles são distribuídos no sistema por níveis. Para fazer isso, descubra:

  • a presença e características dos componentes do sistema utilizado;
  • funções componentes;
  • gráficos;
  • insumos
  • interação com vários objetos (externos, internos) e protocolos, canais para isso;
  • plataformas aplicadas ao sistema.

Benefícios trará esquemas:

  • estrutural;
  • fluxos de dados.

Estruturas:

  • instalações técnicas;
  • Software
  • suporte de informação;
  • componentes estruturais.

Na prática, muitos dos documentos são preparados diretamente durante a auditoria. As informações podem ser analisadas somente ao coletar a quantidade máxima de informações.

Auditoria de Segurança IP: Análise

Existem várias técnicas utilizadas para analisar os dados obtidos. A escolha em favor de uma específica é baseada nas preferências pessoais do auditor e nas especificidades de uma tarefa particular.

normas de auditoria de sistemas de informação

A abordagem mais complexa envolve a análise de riscos. Para o sistema de informação, os requisitos de segurança são formados. Eles são baseados nos recursos de um determinado sistema e seu ambiente, bem como nas ameaças inerentes a esse ambiente. Os analistas concordam que essa abordagem exige os maiores custos de mão-de-obra e a qualificação máxima do auditor. A qualidade do resultado será determinada pela metodologia de análise das informações e pela aplicabilidade das opções selecionadas ao tipo de PI.

Uma opção mais prática é recorrer a padrões de segurança para dados. Estes são um conjunto de requisitos. Isto é adequado para vários IPs, uma vez que a metodologia é desenvolvida com base nas maiores empresas de diferentes países.

Dos padrões segue quais são os requisitos de segurança, dependendo do nível de proteção do sistema e sua afiliação a uma instituição particular. Muito depende do propósito do IP. A principal tarefa do auditor é determinar corretamente qual conjunto de requisitos de segurança é relevante em um determinado caso. Escolha uma técnica pela qual eles avaliam se os parâmetros do sistema existentes estão em conformidade com os padrões. A tecnologia é bastante simples, confiável e, portanto, difundida. Com pequenos investimentos, o resultado pode ser conclusões precisas.

Negligenciar é inaceitável!

A prática mostra que muitos gerentes, especialmente pequenas empresas, bem como aqueles cujas empresas operam há muito tempo e não buscam dominar todas as tecnologias mais recentes, são bastante descuidados com a auditoria dos sistemas de informação porque simplesmente não percebem a importância dessa medida. Normalmente, apenas danos ao negócio provocam as autoridades a tomar medidas para verificar, identificar riscos e proteger a empresa. Outros se deparam com o fato de roubar informações de clientes, outros vazarem dos bancos de dados de contrapartes ou deixar informações sobre as principais vantagens de uma determinada entidade. Os consumidores não confiam mais na empresa assim que o caso é tornado público, e a empresa sofre mais danos do que apenas perda de dados.

tecnologia da informação

Se houver uma chance de vazamento de informações, é impossível construir um negócio eficaz que tenha boas oportunidades agora e no futuro. Qualquer empresa possui dados que são valiosos para terceiros e precisam ser protegidos. Para que a proteção esteja no nível mais alto, é necessária uma auditoria para identificar os pontos fracos. Deve levar em conta normas internacionais, metodologias, os mais recentes desenvolvimentos.

Na auditoria:

  • avaliar o nível de proteção;
  • analisar tecnologias aplicadas;
  • ajustar documentos de segurança;
  • simular situações de risco em que o vazamento de dados é possível;
  • recomendar a implementação de soluções para eliminar vulnerabilidades.

Conduza esses eventos de uma das três maneiras:

  • ativo;
  • especialista;
  • revelando a conformidade com os padrões.

Formulários de auditoria

A auditoria ativa envolve a avaliação do sistema que um hacker em potencial está analisando. É seu ponto de vista que os auditores “experimentam” a si mesmos - eles estudam a proteção da rede, para a qual eles usam software especializado e técnicas exclusivas. É também necessária uma auditoria interna, também conduzida do ponto de vista do suposto criminoso que deseja roubar dados ou interromper o sistema.

tecnologia para auditar sistemas de informação bancária

Uma auditoria especializada verifica se o sistema implementado é ideal. Ao identificar a conformidade com os padrões, uma descrição abstrata dos padrões com os quais o objeto existente é comparado é tomada como base.

Conclusão

Auditoria realizada de forma correta e qualitativa permite obter os seguintes resultados:

  • minimizar a probabilidade de um ataque de hackers bem-sucedido, dano causado por ele;
  • a exceção de um ataque baseado em uma mudança na arquitetura do sistema e nos fluxos de informações;
  • seguro como meio de reduzir riscos;
  • minimização do risco a um nível em que um pode ser completamente ignorado.


Adicione um comentário
×
×
Tem certeza de que deseja excluir o comentário?
Excluir
×
Razão para reclamação

A garota tentou não gastar dinheiro por um mês. O experimento deixou seus sentimentos mistos

Negócio

Histórias de sucesso

Equipamentos