Preview only show first 10 pages with watermark. For full document please download

Auditoria De Ti

Auditoria de TI

   EMBED


Share

Transcript

Auditoria de Sistemas de Informação e infraestrutura de TI com base nas melhoress práticas melhore Edson Vidal  JUNH !"#$ # Sumário 1 Intr Introd oduç ução ão sobr sobre e a au audi dito tori ria a de de TI TI%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%! #%# #%! #%+ #%/ &e'nição &e'niç ão e b(eti b(eti)os )os da Auditori Auditoria%%% a%%%%%% %%%%%% %%%%%% %%%%%% %%%%%% %%%%%% %%%%%% %%%%%%% %%%%%%%%% %%%%%%%%%% %%%%%%%%%% %%%%%%%%%% %%%%%%%%%% %%%%%%%%%%! %%%%%! &imens*es &imens*es da Auditoria Auditoria de TI%%%%%%%%% TI%%%%%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%! %%%%%%%%%%%%%%%! Se,ura Se,urança nça da Info Inform rmaçã ação o e Audito Auditoria ria Alia Aliada da - .estão .estão de de TI%%%%% TI%%%%%%%% %%%%%% %%%%%% %%%%%% %%%%%! %%! 0onsid 0onsidera eraç*e ç*ess Sobre Sobre a Auditor Auditoria ia de Sistem Sistemas as de Infor Informaç mação% ão%%%% %%%%%% %%%%%% %%%%%% %%%%%% %%%%! %! 2 Audito Auditoria ria de de Sistema Sistemas s de Infor Informaç mação ão e sua sua Inserç Inserção ão nas nas Melhor Melhores es Práticas%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%! !%# !%! !%+ !%/ !%$  TI 0onceitos 0onceitos 1ásicos 1ásicos do 0obiT%%%%%% 0obiT%%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%%%%%! %%%%%%%%%%%%%%%%%%! Estrutura Estrutura do 0obiT%%%% 0obiT%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%%%! %%%%%%%%%%%%%%%%%%! 0onclu 0onclus*e s*ess .erais .erais Sobr Sobre e o 0obiT 0obiT e sua sua Aplic Aplicabi abilid lidade ade%%%%% %%%%%%%%%% %%%%%%%%%% %%%%%%%%%% %%%%%%%%%%%%! %%%%%%%! 0obiT 0obiT e Auditor Auditoria ia de &emons &emonstra traç*e ç*ess 22ina inance nceira iras%% s%%%%%%% %%%%%%%%%% %%%%%%%%%% %%%%%%%%%% %%%%%%%%%% %%%%%%%%%% %%%%%%%%! %%%! 0onsid 0onsidera eraç*e ç*ess Sobre Sobre a Inser Inserção ção da da Audito Auditoria ria nas nas 3elho 3elhore ress 4rátic 4ráticas as de ! 3 Requis Requisito itos s da aud audito itoria ria ara ara anál análise ise da TI TI da da emr emresa esa%%%%%%%%%%%%%%%%%%%%%%%! +%# &e'nição &e'nição dos Testes Aplicados Aplicados na Empresa%%%% Empresa%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%! %%%%%! +%#%# "#%"#5T "#%"#5Transaç*es 0r6ticas dos Sistemas%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% Sistemas%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%! %%! +%#%! "#%"!54a "#%"!54arametr rametri7açã i7ação o de Senhas Senhas dos Aplicati)os%% Aplicati)os%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%! %%%%! +%#%+ "#%"+58e "#%"+58e)isão )isão dos 4er's 4er's de Acesso Acesso dos Usuários%%%% Usuários%%%%%%%%%% %%%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%! %%%%%%%%%%%! +%#%/ "#%"/58e "#%"/58e)o,aç )o,ação ão de Acessos Acessos - Aplicação%% Aplicação%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%%%%%! %%%%%%%%%%%%! +%#%$ "#%"$54o "#%"$54ol6tica l6tica de acesso acesso aos bancos bancos de de dados%%%%%%%%%%%%% dados%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%! %%%! +%#%9 "#%"95An "#%"95Anti)6r ti)6rus%%%% us%%%%%%%%% %%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%%%%%%! %%%%%%%%%%%%%%%%! +%#%: "#%":50one "#%":50one;ão ;ão 8emota%%% 8emota%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%% %%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%! %%%%! +%#%< "#%"<52 "#%"<52ire=a ire=all%%%% ll%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%% %%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%! %%%%%%%%%%%%%%%%%%%%! +%#%> "#%">5In)e "#%">5In)entári ntário o de Hard=ar Hard=are e e Soft=ar Soft=are%%%%%%% e%%%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%! %%%%%%%! +%#%#" "#%#"54 "#%#"54arame arametri7a tri7ação ção de Senhas Senhas da da 8ede%%%% 8ede%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%! %%%%%%! +%#%## "#%##5Util "#%##5Utili7açã i7ação o da 8ede 8ede ?irel ?ireless%% ess%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%%%%! %%%%%%%%%%%%%%%%%%%%! +%#%#! "#%#!58 "#%#!58e)o,a e)o,ação ção de Acesso Acessoss - 8ede%%%% 8ede%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%! %%%%%%%%! +%#%#+ "#%#+5 "#%#+5 Termo Termo de utili7aç utili7ação ão - ati)os ati)os de TI@ TI@ rede rede e intern internet%%%%%%%%%%% et%%%%%%%%%%%%%%%%! %%%%%! +%#%#/ "!%"#5.ere "!%"#5.erenciam nciamento ento de 3udanças%%% 3udanças%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%%%%%%! %%%%%%%%%%%%%%%%%%%%! +%#%#$ "!%"!5Se, "!%"!5Se,re, re,ação ação entre entre Ambiente Ambientes%%%%% s%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%%! %%%%%%%%%! +%#%#9 "!%"+5.estã "!%"+5.estão o de pro(etos% pro(etos%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%% %%%%%%%%%%%! %%! +%#%#: "+%"#51 "+%"#51ac acup%%%% up%%%%%%%%% %%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%! %%%! +%#%#< "+%"!5Ins "+%"!5Instalaç talaç*es *es do 04&%%%%%%%%% 04&%%%%%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%! %%%%%%%%%%%%%%%%%%! +%#%#> "+%"+53on "+%"+53onitora itoramento mento do Ambiente Ambiente de TI%%%%%%%%%% TI%%%%%%%%%%%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%! %%%%%%%%%%%%%%%%! +%#%!" "+%"/54la "+%"/54lano no de 0ontin,Bn 0ontin,Bncia cia e 0ontin 0ontinuidad uidade e do do Ne,Cc Ne,Ccio%%%%%%%%%%%%%%%%! io%%%%%%%%%%%%%%%%! +%#%!# "+%"$58 "+%"$58eDuis eDuisiç*es iç*es e Incidentes% Incidentes%%%%%%% %%%%%%%%%%% %%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%% %%%%%%%%%%%%%%%! %%%%%%%%%! +%#%!! "+%"95.estã "+%"95.estão o de 0atalo,o 0atalo,o de Ser)iços Ser)iços de de TI%%%%%% TI%%%%%%%%%%%% %%%%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%%! %%%%%%%%%%%%! ! / +%#%!+ "+%":51ase de conhecimentos%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%! .losário%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%! + 1 Introdução sobre a auditoria de TI A auditoria de TI poderá ser de'nida como parte inte,rante dos trabalhos de uma auditoria de demonstraç*es 'nanceiras% &e'nindo Duais são seus ob(eti)os e e;plicando sua di)isão ,enrica e fa7endo uma relação dessa ati)idade com o processo de ,estão da empresa% #%# &e'nição e b(eti)os da Auditoria A auditoria  um termo muito amplo% 4ara o pesDuisador 8on ?eber  de'nida como um processo de recolhimento e a)aliação de e)idBncias para determinar o Duanto uma estrutura de TI controla seus sistemas e sal)a,uarda os bens@ mantendo a inte,ridade de seus dados@ permitindo atin,ir os ob(eti)os da or,ani7ação de forma e'ca7 e utili7ando os recursos de forma e'ciente% F poss6)el perceber@ Due não há de'nição dos ob(eti)os de uma auditoria da mesma forma@ tambm não há re,ras ,erais de como condu7ir um trabalho desse tipo% Esses dois aspectos Gob(eti)os e metodolo,ia dependerá de onde partiu a necessidade de se instaurar o processo de auditoria% Ela pode ser solicitada como uma tentati)a de descobrir e )eri'car pontos de melhoria nos controles de TI% 4ro(eto este@ Due será reali7ado por uma área de auditoria e;terna da empresa% 4or 'm@ a prCpria área de TI pode reali7ar este tipo de trabalho com um enfoDue maior na se,urança dos dados e na e'ciBncia dos recursos% A seção +#$ do ISA não possui uma de'nição clara e ob(eti)a do Due  um trabalho de auditoria de sistemas dentro de um pro(eto de auditoria contábil% Apenas de'nindo riscos de inconsistBncias nas demonstraç*es 'nanceiras Due de)em ser obser)ados pela empresa e um e;ame para a eDuipe de auditoria obter o chamado conforto nos controles de TI% #%! &imens*es da Auditoria de TI / A seção +#$ do ISA di)ide os riscos de TI para a eDuipe de auditoria em Duatro dimens*es Acesso a pro,ramas e dados@ 3udanças de pro,ramas@ peraç*es computadori7adas e &esen)ol)imento de pro,ramas% 4ara a dimensão de Acesso a pro,ramas e dados o ISA  de'nido + riscos • • •  acesso não autori7ado a dados pode resultar em sua destruição ou alteração inde)ida@ incluindo o re,istro de transaç*es não autori7adas% uando )ários usuários acessam um banco de dados comum@ riscos espec6'cos podem sur,irK A possibilidade do pessoal de TI ,anhar pri)il,ios de acesso alm do necessário para e;ecutar suas funç*es@ apresenta risco para a auditoria e descaracteri7a a se,re,ação de funç*esK Inter)enç*es manuais inadeDuadas nos processos de TI ,eram riscos para a auditoria% 4ara a dimensão de 3udanças de pro,ramas o ISA de'ne + riscos • 3udanças sem autori7ação nos LarDui)os mestreMK • 3udanças sem autori7ação nos sistemas ou pro,ramasK • 2alha em fa7er mudanças necessárias nos sistemas ou pro,ramas% 4ara a dimensão de peraç*es computadori7adas o ISA de'ne apenas um risco • 4otencial perda dos dados ou impossibilidade de acessá5los% 4ara a dimensão de &esen)ol)imento de pro,ramas o ISA de'ne ! riscos • • 3udanças sem autori7ação em sistemas ou pro,ramasK 2alha em fa7er mudanças necessárias nos sistemas ou pro,ramas% $ Note Due os riscos da dimensão de &esen)ol)imento de pro,ramas estão inclu6dos nos da dimensão de 3udanças de pro,ramas% &essa forma@ mesmo para empresas Due não possuam área de desen)ol)imento interno@ a eDuipe de auditoria pode con'ar@ dependendo do caso@ nos controles apresentados pela eDuipe de TI% As áreas de tecnolo,ia da informação das empresas costumam (á apresentar controles Due miti,am al,uns dos riscos apresentados% &essa forma@ o ob(eti)o da auditoria  de )eri'car se esses controles funcionam de forma adeDuada e se estão em bom nmero% s controles de TI mais comuns estão apresentados na 2i,ura # !i"ura 1 # $ontroles de TI 3aterial e;tra6do de SATOIT.0O)2inal!%ppt;@ de posse da 4rice?aterhouse0oopers Auditores Independentes #%+ Se,urança da Informação e Auditoria Aliada - .estão de TI A informação@ na )isão de 8e7ende e Abreu G!"""@ são os dados com uma interpretação lC,ica ou natural a,re,ada pelo usuário% A informação  um ati)o Due@ como DualDuer outro ati)o importante 9 para os ne,Ccios@ tem um )alor para a or,ani7ação e@ conseDuentemente@ necessitando ser adeDuadamente prote,ida GN18 ISSPIE0 #::>>@ !""+% A informação  o principal patrimQnio da empresa e está sob constante risco% 0onstata5se a alta rele)Rncia da informação e sabe5se da sua indispensabilidade no processo de ,estão de uma empresa@ para suportar as decis*es% s ,erentes de TI modernos@ ou 0Is G Chief  Information Ocer  ou 0ISs G Chief Information Security Ocer  de)em estar constantemente preocupados com os controles de TI% 4ara a(udar os ,estores a monitorar os controles de TI e para propor melhorias nesses controles e;iste a auditoria de TI% 4ara nosso caso espec6'co este trabalho poderá ser parte inte,rante da auditoria contábil@ essa ati)idade tambm au;ilia os ,estores de TI% Isso porDue na carta de controles internos Due  en)iada no relatCrio de auditoria@ estarão todos os pontos identi'cados pelo auditor para serem reportados - administração% A auditoria au;iliará e muito os ,estores de TI@ de forma a aprimorar os controles da área% Em contrapartida@ para Due isso aconteça@ um trabalho dessa ma,nitude de)e possuir o apoio da alta administração e dos prCprios ,estores de TI% #%/ 0onsideraç*es Sobre a Auditoria de Sistemas de Informação Uma auditoria de sistemas e processos de TI como parte inte,rante de um trabalho e auditoria contábil@ permite o fornecimento de um e;ame para a empresa em e;ame@ com um panorama dos controles de TI da empresa% 0omo DualDuer empresa bem estruturada dese(a sempre estar no n6)el mais alto de padr*es de ,o)ernança@ isso  um )alor a,re,ado Due não pode ser dispensado% 0aso necessário ao 'nal o trabalho de auditoria recomendará para a empresa em e;ame@ os pontos de melhorias identi'cados se,undo as melhores práticas do mercado% Esse  um pri)il,io Due os ,estores de TI possuirão@ sempre Due recebem )isitas de auditores de sistemas% 4ortanto@  poss6)el perceber Due a inserção do trabalho da auditoria com base nas melhores práticas  um fator determinante : para@ alm do respaldo das recomendaç*es reportadas@ au;iliará na maturidade e crescimento or,ani7acional estruturado da empresa% 2 Auditoria de Sistemas de Informação e sua Inserção nas Melhores Práticas Este 0ap6tulo Due se se,ue@ irá mostrar a relação entre o framework  0obiT e as recomendaç*es de poss6)eis testes Due serão reali7ados pela auditoria% 4ara isso@ esse o 0ap6tulo inicia5se com a introdução de conceitos básicos@ estruturas@ conclus*es ,erais e aplicabilidade desse framework   de alta rele)Rncia no mercado atual de TI de forma básica% ApCs essa etapa inicial@ será reali7ada a relação do contedo do 0obiT com as recomendaç*es da auditoria% !%# 0onceitos 1ásicos do 0obiT  0obiT GControl Objectives for Information and related Technology   um modelo para ,o)ernança e ,estão de TI desen)ol)ido pela ISA0A GInformation Systems Audit and Control  Association% A ISA0A@ or,ani7ação Due te)e sua fundação em #>>9@  uma or,ani7ação l6der de pro'ssionais de controle em TI% Ela  uma entidade pri)ada e )oluntária Due possui mais de <9%""" membros ao redor do mundo e  reconhecida como entidade l6der ,lobal em ,o)ernança de TI% A ISA0A possui mais de #<$ cap6tulos Gsedes em apro;imadamente :$ pa6ses%  foco da associação  na área de auditoria de sistemas@ controles de TI e Duest*es de se,urança da informação% 0om a criação do 0obiT Gseu principal produto@ a ISA0A de'niu seus ob(eti)os% Em sua criação@ 'cou acertado Due o ob(eti)o do 0obiT seria fornecer ao ,erenciamento dos processos de ne,Ccio@ um modelo de ,o)ernança em TI@ desenhado para a(udar no entendimento e ,erenciamento dos riscos associados% Tambm se tornou ob(eti)o do 0obiT o fato dele ser orientado ao ne,Ccio@ ou se(a@ < o fato dele direcionar a ,o)ernança de TI e seus recursos para as estrat,ias de ne,Ccio% Atualmente@ o 0obiT está em sua $ edição Glançada no in6cio de !"#! e  di)idido em a,rupamento de a'nidades dos principais processos e ati)idades de TI% Ele pro)B boas práticas atra)s de sua estrutura Due distribui controles atra)s de uma estrutura lC,ica e ,erenciá)el% !%! Estrutura do 0obiT  0obiT@ em sua recente )ersão $@ possui@ ao todo@ +: processos descritos de acordo com as melhores práticas do mercado de TI% O framework, nessa recente )ersão@ começa a separar os seus processos entre ati)idades de ,o)ernança de TI e ati)idades de administração de TI% &entro dessas duas perspecti)as@ o 0obiT possui os se,uintes dom6nios Esses dom6nios intera,em entre si de acordo com a relação da ',ura !% > !i"ura 2 # Relação entre os %om&nos do $obiT A lista,em completa dos +: processos do 0obiT@ bem como uma melhor )isuali7ação de sua or,ani7ação entre os dom6nios do framework, pode ser )isuali7ada na ',ura + !i"ura 3 # 'r"ani(ação dos Processos do $obiT #" !%+ 0onclus*es .erais Sobre o 0obiT e sua Aplicabilidade  0obiT  um frame=or aplicado para di)ersos tipos de stakeholders% Tanto para o comitB e;ecuti)o de uma empresa@ para os ,estores de ne,Ccio@ para o ,erente de TI@ para o ,erente de pro(etos@ para os desen)ol)edores@ para a área de operaç*es@ para os usuários da área de TI@ para o Chief Information Security Ocer  e para auditores de sistemas% &e todos esses poss6)eis en)ol)idos com a aplicabilidade do 0obiT@ seu principal pblico5al)o são os ,erentes de TI@ os usuários da área de TI e os auditores de sistemas% s ,erentes de TI precisam do framework  para a)aliar as decis*es de in)estimento em TI@ para balancear riscos e controles de in)estimentos em TI Due ,eralmente são impre)is6)eis e para fa7er comparaç*es com ambientes de TI atuais e futuros% s usuários dos sistemas pro)idos pela área de TI de uma empresa precisam do 0obiT para obter ,arantia na se,urança e controle de produtos e ser)iços fornecidos internamente e por terceiros% 4or 'm@ os auditores de sistemas de)em possuir um alto embasamento sobre esse modelo de melhores práticas para substanciar as opini*es para a ,erBncia de controles internos e para conse,uir entender Duais são os controles m6nimos necessários para cada ne,Ccio% !%/ 0obiT e Auditoria de &emonstraç*es 2inanceiras 0onforme (á abordado o ISA de'ne al,uns riscos de distorç*es nas demonstraç*es 'nanceiras de uma empresa Due de)em ser cobertos por controles de TI% E;istem !< controles Gdi)ididos em / dom6nios de  TI ditos como mais comuns nos ambientes de informática das empresas brasileiras Due procuram miti,ar o efeito desses riscos%  trabalho da auditoria@ será de a)aliar a e'cácia dos controles de  TI e em seu trabalho@ a,re,ando o embasamento nas melhores práticas@ ## A Tabela # e;ibe uma relação entre a auditoria@ o framework  de melhores práticas do mercado trabalhado nesse documento% Essa tabela relaciona os processos do 0obiT de maior rele)Rncia para auditoria de sistemas com os dom6nios do ISA% 4rocesso 0obit &om6nio ISA P A4#!5Adm% 8iscos 1AI"#5Adm% 4ro(etos 1AI"95Adm% 3udanças 1AI#"5Adm% 0on',uraç*es &SS"#5Adm% peraç*es &SS"!5Adm Solicitaç*es e Incidentes de Ser)iços &SS"/5Adm% 0ontinuidade Acesso a pro,ramas e &ados 3udança de 4ro,rama s peraç*es 0omputadori7a das &esen)ol)imento de 4ro,ramas          Tabela 1 # Relação dos Processos $obiT com %om&nios ISA F ressaltada a alta rele)Rncia do processo AP'12@ pois ele aborda os mesmos princ6pios do dom6nio de Acesso a Pro"ramas e %ados% Esse processo fala sobre a ,arantia Due apenas acessos autori7ados se(am concedidos para os recursos de informação% Assim@ podendo ,arantir a inte,ridade dos dados% &a mesma forma@ ressaltamos a alta rele)Rncia dos processos )AI*1 e )AI*+@ pois eles abordam os mesmos princ6pios do dom6nio de %esen,ol,imento e Mudanças de Pro"ramas% Esses processos@ com au;6lio de outros@ atestam Due no)os e as alteraç*es em pro,ramas e;istentes e componentes de infraestrutura relacionados se(am@ plane(ados@ solicitadas@ autori7adas@ e;ecutadas@ testadas e adeDuadamente implementadas%  Tambm na tabela@ )eri'ca5se Due o processo )AI1*  abran,e tanto o dom6nio de Mudanças de Pro"ramas quanto o de #! %esen,ol,imento de Pro"ramas% Isso acontece@ porDue uma boa -er.ncia de $on/"uração  imprescind6)el para um ambiente de 0ontroles de TI estruturado e@ dessa forma@ de)e ser al)o freDuente de auditorias% Veri'ca5se tambm da tabela@ Due o dom6nio de 'eraç0es $omutadori(adas possui tr.s rocessos Due caracteri7am muito bem sua essBncia ,arantir o adeDuado funcionamento ser)iço e componentes de tecnolo,ia da empresa% Atualmente@ nesse dom6nio@ as ,randes empresas tBm se preocupado bastante com a Dualidade dos ser)iços@ planos de contin,Bncia e de recuperação de desastres% !%$ 0onsideraç*es Sobre a Inserção da Auditoria nas 3elhores 4ráticas de TI F fácil notar a ,rande dimensão de aplicaç*es Due o modelo de ,o)ernançaP,estão de TI Due  proposta pelo 0obiT abran,e% Este especi'camente dentre )ários outros con(untos de melhores práticas citados@ tem enorme importRncia para uma auditoria em TI% No entanto a auditoria@ em suas recomendaç*es@ pode se basea em outros modelos@ não especi'camente pr5formatados%  bom senso ePou a e;periBncia acumulada@ será utili7ada para compor o trabalho% 3 Requisitos da auditoria ara análise da TI da emresa Este 0ap6tulo demonstrará uma formali7ação da auditoria com suporte para um pro(eto de auditoria contábil ou de sucessão% A auditoria está@ com )isto nos cap6tulos anteriores@ fundamentada nas melhores práticas abordadas no mercado% Serão e;postos testes para !+ controles pre)iamente identi'cados como necessários para conclusão do trabalho%  0apitulo ! e;plicará os mtodos utili7ados em cada teste@ (á o 0apitulo / Due ainda não fa7 parte deste documento@ irá e;por os resultados obtidos em cada um dos !+ testes aplicados na empresa% #+ As formali7aç*es Due se se,uem@ contemplarão nomes de pessoas@ ferramentas espec6'cas@ datas@ documentos Ge)idBncias e;ternos@ com o intuito de formali7ar e tornar claro o entendimento da situação atual% +%# &e'nição dos Testes Aplicados na Empresa% 0omo )isto anteriormente@ o ISA +#$ de'ne apenas riscos para a área de TI e não controles@ a auditoria tem a liberdade de auditar essa área conforme e;periBncia e entendimento da necessidade@ desde Due os testes a)aliem a cobertura dos riscos mencionados no ISA% Assim@ foram pre)iamente selecionados para esse trabalho@ com uma )isão macro do ambiente computacional@ os controles e;postos na Tabela !% Esses controles foram escolhidos de)ido a sua rele)Rncia dentro do ambiente computacional da empresa em e de)ido a sua cobertura aos riscos descritos no ISA +#$%   Na Tabela !@ os controles selecionados@ estão di)ididos em + dom6nios ISA Acesso a Pro"ramas e %ados@ Mudanças de Pro"ramas e 'eraç0es $omutadori(adas% Não foram de'nidos controles a serem testados para o dom6nio de %esen,ol,imento de Pro"ramas@ pois foi identi'cado Due na empresa@ não há desen)ol)imento interno de sistemas aplicati)os% *1 #Acesso a Pro"ramas e %ados *2#Mudanças de Pro"ramas *3 #'eraç0es comutadori(adas "#%"#5Transaç*es cr6ticas dos sistemas "!%"#5.erenciamento de mudanças "!%"!5Se,re,ação entre Ambientes "!%"+5.estão de 4ro(etos "+%"#51acup "#%"!54arametri7aç*es de Senhas dos Aplicati)os "#%"+58e)isão dos 4er's de Acesso dos Usuários "#%"/58e)o,ação de Acessos a Aplicação "#%"$54ol6tica de acesso aos bancos de dados "#%"95Anti)6rus "#%":50one;ão remota "#%"<52ire=all "#%">5In)entário de Hard=are e Soft=are "#%#"54arametri7ação de senhas da rede "#%##5Utili7ação da rede ?ireless "#%#!58e)o,ação de acessos a rede "#%#+5Termo de utili7ação - ati)os de  TI@ rede e internet "+%"!5Instalação do 04& "+%"+53onitoramento do Ambiente de TI "+%"/54lano e contin,Bncia e continuidade do ne,Ccio "+%"$58eDuisiç*es e Incidentes "+%"95.estão de 0atalo,o de Ser)iços de TI "+%":5.estão do conhecimento #/ Tabela 2 # %i,isão dos $ontroles a serem Testados entre os %om&nios do ISA  intuito do trabalho  )eri'car a e'cácia de cada um desses !+ controles de TI% 4ara )eri'car esse desempenho@ como não e;istem práticas de'nidas no ISA +#$@ relacionaremos as estrat,ias de'nidas nas prC;imas !+ Seç*es% +%#%# "#%"#5Transaç*es 0r6ticas dos Sistemas Esse controle@ pertencente ao dom6nio de Acesso a 4ro,ramas e &ados@ busca detectar a reali7ação de transaç*es cr6ticas de um sistema aplicati)o por pessoas não autori7adas% &essa forma@ espera5 se Due em um ambiente tecnolC,ico comple;o@ pessoas se(am responsá)eis por@ periodicamente@ )eri'car se uma srie de transaç*es consideradas cr6ticas pela ,erBncia da empresa sC este(am sendo desempenhadas pelas pessoas a elas determinadas% 4or e;emplo@ para uma transação de Lapro)ação e bai;a manual de t6tulos a pa,arM@ de)e5se )eri'car@ periodicamente@ se essa transação sC está sendo processada por ,estores da área 'nanceira da empresa% 4ara testar a e'cácia desse controle na empresa@  necessário entre)istar as pessoas responsá)eis pelo sistema aplicati)o sobre a reali7ação dessa ati)idade% Nessa entre)ista@ primeiramente será necessário )eri'car se o sistema permite esse monitoramento atra)s do Due chamamos de log Gte;tos Due re,istram o processamento do sistema% &epois@ Duestionando os responsá)eis se esses logs são utili7ados para o monitoramento e Dual a pol6tica de arma7enamento do lo, Gcom e)idBncia de sua reali7ação% +%#%! "#%"!54arametri7ação de Senhas dos Aplicati)os Esse controle@ pertencente ao dom6nio de Acesso a 4ro,ramas e &ados@ busca di'cultar@ ao má;imo@ a possibilidade Due sistemas se(am acessados por pessoas não autori7adas% 0omo muitos usuários costumam escolher senhas muito simples@ há@ nos sistemas #$ modernos@ como restrin,ir a comple;idade de suas senhas atra)s de al,uns parRmetros% 4or e;emplo@ limitar o tamanho m6nimo da senha@ fa7er com Due os usuários sempre este(am mudando suas senhas para no)os con(untos de caracteres@ bloDuear usuários com tentati)as repetidas de acesso sem sucesso e de'nir a comple;idade das senhas Guso de maisculas@ nmeros e caracteres especiais são al,uns parRmetros de senha Due podem ser con',urados nos sistemas de informação% 4ara testarmos a e'cácia de um controle desse tipo@ )eri'car5se se a pol6tica de se,urança da informação possuir e)idencias de sua de'nição e parametri7ação@ e analise da tela de opç*es do sistema em Duestão e relacionarmos a pol6tica de senhas da empresa% +%#%+ "#%"+58e)isão dos 4er's de Acesso dos Usuários Esse controle@ pertencente ao dom6nio de Acesso a 4ro,ramas e &ados@ busca ,arantir Due os acessos dos usuários no sistema de informação utili7ado se(am re)isados% F bastante claro Due usuários de um sistema de informação comple;o e inte,rador de diferentes áreas não de)em ter acesso a todas as transaç*es poss6)eis do sistema% 4or e;emplo@ não fa7 sentido Due a prCpria pessoa Due reali7ou uma transação de solicitação de reembolso no sistema a apro)e% &e)ido a concessão de acessos a transaç*es nas empresas ser bastante dinRmica e mutá)el@ recomenda5se como uma boa prática de mercado estar sempre re)isando os acessos dos usuários% 4ara testarmos a e'cácia desse controle basta@ em con)ersa com a área de TI da empresa@ será analisado se e;iste al,um processo periCdico desse tipo@ obtendo e)idBncias da reali7ação%  Tambm a documentação dos per's de acesso como entre,a das e)idBncias de sua parametri7ação% #9 +%#%/ "#%"/58e)o,ação de Acessos - Aplicação Esse controle@ pertencente ao dom6nio de Acesso a 4ro,ramas e &ados@ )eri'cando se não e;istem no sistema de informação usuários ,enricos Gusuários utili7ados por mais de uma pessoa@ usuários desconhecidos da empresa@ usuários duplicados e usuários Due (á foram desli,ados da empresa% As melhores práticas do mercado di7em Due a e;istBncia desses usuários acarreta riscos de processamentos cu(os autores não podem ser identi'cados pela empresa% 4ara o teste da e'cácia desse controle@ iremos obter uma lista,em de funcionários ati)os e desli,ados da empresa e reali7ação de uma análise dos usuários dos sistemas de informação em planilha eletrQnica% +%#%$ "#%"$54ol6tica de acesso aos bancos de dados Esse controle@ pertencente ao dom6nio de Acesso a 4ro,ramas e &ados@ funciona de maneira bastante semelhante e possui os mesmos princ6pios do controle descrito na Seção "#%"#% A nica diferença entre os dois  Due o primeiro funciona no n6)el da aplicação e esse funciona no n6)el da base de dados@ se considerarmos uma arDuitetura de sistemas de informação tradicional% 0omo nos sistemas de informação@ muitos usuários possuem acesso para editar informaç*es diretamente na base de dados@ temos Due nos preca)er Due isso não acontece por pessoas não autori7adas% 4or causa disso de)e e;istir uma pol6tica de acesso formal e um forte monitoramento dessa ati)idade% 0omo no primeiro controle@ para teste da e'cácia desse controle na empresa@ são entre)istadas as pessoas responsá)eis pelo banco de dados@ sobre a reali7ação dessa ati)idade% Nessa inda,ação@ primeiramente e )eri'car se o S.1& GSistema de .erenciamento de 1anco de &ados permite esse monitoramento atra)s do Due chamamos de log Gte;tos Due re,istram o processamento do sistema% &epois@ temos Due Duestionar os responsá)eis se esses logs #: são utili7ados para o monitoramento e Dual a pol6tica de arma7enamento Gcom e)idBncia de sua reali7ação% +%#%9 "#%"95Anti)6rus Esse controle@ pertencente ao dom6nio de Acesso a 4ro,ramas e &ados@ tem como ob(eti)o a proteção do ambiente computacional da empresa% Essa proteção tem tanto como 'nalidade a continuidade do ne,Ccio da empresa Duanto - proteção de seus dados cr6ticos% &ependendo do tipo de ne,Ccio desempenhado pela empresa@ esse controle de)e ser mais ou menos ri,oroso% 4or e;emplo@ empresas Due ,uardam dados de clientes de)em preser)ar ao má;imo o si,ilo de suas informaç*es% 4ara o teste da e'cácia desse controle@ antes de tudo  necessário )eri'car se a empresa utili7a al,uma ferramenta com amplo respaldo do mercado% Em se,undo lu,ar@ identi'ca5se se os funcionários utili7am a ferramenta de forma adeDuada com todas suas possibilidades@ se o pessoal de TI efetua o monitoramento adeDuado da ferramenta e se a mesma está em constante atuali7ação na empresa%  Tambm  analisado se os controles e per's do anti)6rus@ são formalmente documentados e estão atuali7ados +%#%: "#%":50one;ão 8emota Esse controle@ pertencente ao dom6nio de Acesso a 4ro,ramas e &ados@ busca controlar os acessos - rede da empresa por seus funcionários e parceiros de ne,Ccio@ Duando eles estão fora de seus dom6nios f6sicos% &essa maneira@ uma empresa com alta maturidade em controles não de)e liberar esse tipo de acesso a DualDuer funcionário% A empresa de)e institucionali7ar uma ,estão de concessão de acessos e'ciente para casos como esse% 4ara o teste da e'cácia desse controle@  necessário entender@  (unto aos funcionários da área de TI@ como os colaboradores reali7am #< acesso remoto aos sistemas% Alm disso@ precisamos entender como ocorre a concessão de no)os acessos a essa funcionalidade%  Tambm  analisado se as concess*es de acesso@ são formalmente documentados e estão atuali7ados +%#%< "#%"<52ire=all Esse controle@ tambm pertencente ao dom6nio de Acesso a 4ro,ramas e &ados@ possui ob(eti)os semelhantes ao do controle da Seção "#%"$% Esse controle busca a proteção do ambiente computacional da empresa atra)s de ferramentas Due controlam o tráfe,o de dados entre o ambiente interno e e;terno% 4ara o teste da e'cácia desse controle@  necessário )eri'car se a empresa utili7a uma ferramenta de irewall de respaldo do mercado% Alm disso@ )eri'ca5se tambm se essa ferramenta  utili7ada de maneira e'ca7 com@ dentre outras 'nalidades@ o bloDueio de sites considerados peri,osos para a empresa% 0omo muitas ferramentas de irewall  (á )Bm acopladas com ferramentas de I&S G Intrusion !etection System@ nesse teste@ )eri'ca5se tambm se a empresa utili7a uma ferramenta desse tipo para pre)enir a intrusão da rede interna%  Tambm  analisado se os controles de acesso Due passam pelo 2ire=all@ são formalmente documentados e estão atuali7ados +%#%> "#%">5In)entário de Hard=are e Soft=are Esse controle@ pertencente ao dom6nio de Acesso a 4ro,ramas e &ados@ tem dois ob(eti)os principais%  primeiro  Due a empresa controle@ de forma estruturada Gatra)s de al,uma ferramenta do mercado@ a Duantidade de eDuipamentos de hard=are e licenças de soft=are Due possui%   Seu se,undo ob(eti)o  Due a empresa co6ba a instalação de soft=ares não autori7ados por sua administração% 4re)enindo@ portanto@ a instalação de soft=ares peri,osos ao ambiente computacional% #> 4ara analisar a e'cácia desse controle@ primeiramente  procurado entender se a empresa possui al,uma ferramenta@ mesmo Due simplCria@ Due controle seus ati)os de TI% Em se,uida tenta5se reali7ar a instalação de um pro,rama DualDuer em uma máDuina aleatCria da empresa% 0om essa tentati)a  identi'cado se a empresa está bloDueando a instalação de softwares não autori7ados% F analisado se há documentação destes in)entários se(a impressão ou em m6dia e tambm se há mecanismos de atuali7ação automati7ados ou manuais% +%#%#" "#%#"54arametri7ação de Senhas da 8ede Esse controle@ pertencente ao dom6nio de Acesso a 4ro,ramas e &ados@ possui os mesmos princ6pios do controle da Seção "#%"!% A diferença entre esses dois controles  Due o primeiro funciona no n6)el da aplicação e esse funciona no n6)el da rede da empresa% &a mesma forma Due para o controle da Seção "#%"!@ testa5se a e'cácia desse controle@ )eri'car Duais parRmetros de comple;idade de senha estão con',urados para acesso - rede da empresa% 4ara a ,rande maioria das empresas@ Due utili7am sistemas operacionais "indows@ a ,estão da rede da empresa se dá atra)s da ferramenta  Active !irectory# +%#%## "#%##5Utili7ação da 8ede ?ireless Esse controle@ pertencente ao dom6nio de Acesso a 4ro,ramas e &ados@ tem como 'nalidade ,arantir Due o acesso - rede sem 'o da empresa se(a adeDuado% Seu principal ponto de atenção  a ,arantia de Due o acesso - rede sem 'o para )isitantes se(a diferenciado do acesso - rede sem 'o para funcionários% Isso ,arante Due arDui)os con'denciais não se(am acessados por pessoas não autori7adas@ por e;emplo% 4ara análise da e'cácia desse controle@ de)e5se entender como está montada a topo,ra'a da rede sem 'o da empresa% Isso )isa a ,arantir essa se,re,ação entre rede de )isitantes e rede de funcionários% !" +%#%#! "#%#!58e)o,ação de Acessos - 8ede Esse controle@ pertencente ao dom6nio de Acesso a 4ro,ramas e &ados@ busca princ6pios parecidos ao do controle da Seção "#%"/% A diferença entre esses dois controles  Due o primeiro funciona no n6)el da aplicação e esse a n6)el da rede da empresa% &a mesma forma Due para o primeiro controle@ este analisa se não e;istam na rede da empresa usuários ,enricos Gusuários utili7ados por mais de uma pessoa@ usuários desconhecidos da empresa@ usuários duplicados e usuários Due (á foram desli,ados da empresa% 4ara analise da e'cácia desse controle@ podemos obtm5se uma lista,em de funcionários ati)os e desli,ados da empresa em e;ame e reali7armos uma análise dos usuários da rede em planilha eletrQnica% +%#%#+ "#%#+5Termo de utili7ação - ati)os de TI@ rede e internet Esse controle@ ltimo pertencente ao dom6nio de Acesso a 4ro,ramas e &ados@ busca Due os funcionários da empresa este(am cientes de suas responsabilidades no uso dos ati)os de TI@ rede e internet% 4ara isso@ muitas empresas se utili7am de termos Due de)em ser assinados por seus funcionários% 4ara analisar a e'cácia desse controle@ obtm5se uma lista dos no)os funcionários da empresa e feita uma seleção aleatoriamente al,uns deles% ApCs essa etapa  solicitado - área Due 'ca de posse desses documentos os mesmos para )eri'carmos se eles estão de)idamente assinados% +%#%#/ "!%"#5.erenciamento de 3udanças Esse controle@ pertencente ao dom6nio de 3udanças de 4ro,ramas@ tem como ob(eti)o Due a empresa possua um adeDuado !# procedimento formali7ado para o ,erenciamento das mudanças reali7adas em seus sistemas% Alm disso@ a empresa de)e possuir em seu procedimento fases como testes e reDuisição de usuário% 4or 'm@ não se pode falar em ,erenciamento de mudanças sem um controle de )ersão adeDuada% 4ara analisarmos a e'cácia desse controle@ primeiramente  )eri'cado se a empresa possui um procedimento desse tipo e se ele está formali7ado% ApCs essa etapa@ se a empresa possuir um procedimento de controle de )ersão adeDuado  solicitado e)idBncias da reali7ação das fases descritas para al,umas mudanças reali7adas% +%#%#$ "!%"!5Se,re,ação entre Ambientes Esse controle@ pertencente ao dom6nio de 3udanças de 4ro,ramas@ tem como ob(eti)o a separação entre os ambientes onde as diferentes )ers*es do sistema estão instaladas% F importante Due a empresa possua ambientes de teste e de produção% Alm disso@ as boas práticas di7em Due a responsabilidade Duanto a mi,ração dos ambientes  da eDuipe de TI% 4ara analise da e'cácia desse controle@ procurar5se entender como está - disposição das diferentes )ers*es do sistema nos ser)idores% Alm disso@ entende5se tambm como ocorre a mi,ração das mudanças desen)ol)idas para o ambiente de produção% Nessa ltima etapa@ de)e5se atentar se o procedimento utili7ado para esta 'nalidade permite a re)ersão do processo% +%#%#9 "!%"+5.estão de pro(etos Esse controle@ pertencente ao dom6nio de 3udanças de 4ro,ramas@ tem como ob(eti)o analisar se há controle de pro(etos para no)as implementaç*es na infraestrutura e sistemas da empresa% 4ara análise da e'cácia desse controle@ procurar5se entender se as implementaç*es na TI passaram por controle de pro(etos@ com termo de abertura apro)ado pela alta administração@ plano de pro(eto@ e)idencias de controle de pro(etos e encerramento% &iferentemente da Seção "!%"# Due trata de mudanças em sistemas (á e;istentes@ está seção aborda no)as implementaç*es em !! sistemas no)os ou infraestrutura da TI +%#%#: e;istentes e alteraç*es si,ni'cante na "+%"#51acup Esse controle@ pertencente ao dom6nio de peraç*es 0omputadori7adas@ tem como ob(eti)o ,arantir Due a empresa sal)a,uarda de seus dados no caso de problemas Due )isem continuidade de seus ne,Ccios% 4ara isso@ Duase todas as empresas possuem al,um procedimento de arma7enamento e;terno de seus dados@ o Due se chama popularmente de backu$% As empresas ,eralmente utili7am al,uma ferramenta para reali7ar esse procedimento de forma automática@ arma7enam suas 'tas de backu$  em lu,ares se,uros@ reali7am testes de restore Greinserir os dados arma7enados no sistema entre outros procedimentos% Em empresas mais estruturadas@ todos os procedimentos relati)os a esse controle constam em pol6ticas amplamente disseminadas entre os funcionários da área de TI% 4ara e)idenciar a reali7ação desse controle em todos os seus aspectos@ de)e5se reali7ar profundo entendimento da área (unto aos funcionários de TI% +%#%#< "+%"!5Instalaç*es do 04& Esse controle@ pertencente ao dom6nio de peraç*es 0omputadori7adas@ procura fa7er com Due o ambiente f6sico onde estão instalados os ser)idores da empresa se(a o melhor poss6)el% Esse ambiente@ se,undo as melhores práticas@ de)e possuir controles de temperatura@ umidade@ combate a incBndios@ nobreas entre outros artif6cios para prote,er ao má;imo os dados da empresa% 4ara analise da e'cácia desse controle@ uma )isita - sala onde estão locali7ados os ser)idores da empresa resol)e Duestão% 0ontudo@ nessa )isita@ atenta5se a todos os aspectos da sala bem como a documentação do mapeamento da mesma% !+ +%#%#> "+%"+53onitoramento do Ambiente de TI Esse controle@ pertencente ao dom6nio de peraç*es 0omputadori7adas@ tem como ob(eti)o o constante monitoramento da ocorrBncia de poss6)eis problemas na estrutura do ambiente de TI da empresa Gbai;a capacidade de processamento@ falta de espaço em disco@ entre outros problemas% 4ara esse constante monitoramento@ as melhores práticas recomendam o uso de softwares% 4ara análise do adeDuado monitoramento do ambiente de TI@ )eri'casse se a empresa utili7a al,uma ferramenta do mercado para esse 'm e como ela  utili7ada% +%#%!" "+%"/54lano de 0ontin,Bncia e 0ontinuidade do Ne,Ccio Esse controle@ pertencente ao dom6nio de peraç*es 0omputadori7adas@ certi'ca Due a empresa este(a pre)enida para DuaisDuer e)entuais catástrofes não esperadas como incBndios@ ala,amentos e outros desastres naturais% 4ara isso@ com o intuito de ,arantir sua continuidade do ne,Ccio@ muitas empresas desen)ol)em planos de ação para casos como esses% 4ara analise da utili7ação desse controle@ certi'ca se a empresa possui al,um plano desse tipo formali%ado% Alm disso@ um plano desse tipo de)e ser amplamente di)ul,ado entre os funcionários da área de TI e de)e ha)er treinamentos e teste para casos como os descritos% +%#%!# "+%"$58eDuisiç*es e Incidentes Esse controle@ pertencente ao dom6nio de peraç*es 0omputadori7adas@ certi'ca se a empresa possui controle de re&uisi'(es e incidentes de TI% 4ara análise da utili7ação desse controle@ certi'ca se a empresa possui re,istros de controle de reDuisiç*es e ser)iços re,istrados por usuários e áreas da empresa !/ +%#%!! "+%"95.estão de 0atalo,o de Ser)iços de TI Esse controle@ pertencente ao dom6nio de peraç*es 0omputadori7adas@ certi'ca se a empresa possui a identi'cação e controle de todos os ser)iços Due a TI presta - empresa% 4ara análise da utili7ação desse controle@ certi'ca se a empresa possui re,istros Due possam e)idenciar este controle com a identi'cação dos mesmos@ fornecedores@ SA acordado e etc% +%#%!+ "+%":51ase de conhecimentos Esse controle@ pertencente ao dom6nio de peraç*es 0omputadori7adas@ certi'ca se a empresa possui controle para arma7enamento e di)ul,ação dos processos de controle de manuais operacionais dos sistemas% 4ara análise da utili7ação desse controle@ certi'ca se a empresa possui re,istros Due possam e)idenciar esta prática@ e Due tenham pol6tica de atuali7ação dos mesmos% / .losário Incidente 8eDuisição !$