Em 1890 Louis D. Brandeis escreveu sobre o direito de “Ser deixado esquecido”. Este direito (em inglês mais moderno) de não ser incomodado ou interferido, acabou se tornando a base qual artigo 12 da Declaração Universal dos Direitos Humanos (UHDR) foi fundado em 1948. Ninguém será sujeito a interferências arbitrárias em sua privacidade, família, lar ou…
A Internet não é apenas um serviço mas uma poderosa ferramenta de investigação e obtenção de dados. Para aproveitar suas fontes de informação ricas, os auditores devem aprender a construir consultas adequadas; ou seja, eles têm que aprender a pedir o que eles querem. Os motores de busca têm todas suas limitações, mas o impedimento…
Um título de notícias recente perguntou: “A falha de sistema do Grupo Knight, de $ 440 milhões, é o erro de computador mais caro já gerado?” De acordo com o artigo do CNN Money (http://money.cnn.com/2012/08/09/technology/knight-expensive-computer-bug/index.html) em menos de uma hora um defeito no software do Knight Capital Group fez com que seus computadores executem uma…
Como vimos no artigo anterior a seção 315 do ISA divide os riscos de TI em quatro áreas de risco: Acesso a programas de dados: Acesso lógico e físico aos dados relevantes da empresa, como por exemplo: profissionais com acesso ao Data Center; profissionais com permissões privilegiadas nos sistemas; contas de usuários genéricos. Mudança de…
Conforme visto em outros artigos, muitas empresas necessitam de atender legislações e regulamentações internacionais, principalmente as empresas com capital e atuação ativa no mercado internacional. Devido ao alcance global dessas firmas e à tendência de convergência das normas de contabilidade ao redor do mundo algumas empresas preferem possuir metodologias de auditorias próprias e baseadas em…
É com grande prazer que informo a publicação de um artigo sobre Análise de Risco na edição 6 da revista Segurança Digital. Nesse artigo abordamos sobre a importância da análise de risco e, de forma prática, como executar uma análise de risco no parque tecnológico da empresa. A revista pode ser lida integralmente no link…
A Durante o processo de auditoria muitas vezes nos deparamos com a necessidade de cruzar informações entre duas ou mais bases de dados, bases que podem ser resultado de extração entre sistemas e disponibilizadas pela própria empresa auditada. Um exemplo claro disso seria na auditoria de redes em busca de usuários desligados da empresa com…
Statement on Auditing Standards (SAS) No. 70, Service Organizations, é um padrão de auditoria amplamente reconhecido desenvolvido pelo Instituto Americano de Certificação de Contadores Públicos (AICPA). Uma auditoria de serviços realizada de acordo com a SAS n º 70 (também comumente referido como uma “auditoria SAS 70”) é amplamente reconhecida, porque representa que uma organização…
Por definição a entrevista é “uma técnica de pesquisa com o intuito de obter informações de interesse a uma investigação, onde o pesquisador formula perguntas orientadas, com um objetivo definido, frente a frente com o entrevistado e dentro de uma interação social”. No âmbito da auditoria de sistemas a entrevista é uma ferramenta primordial para…
O Control Objectives for Information and related Technology (CobiT®) fornece boas práticas através de um modelo de domínios e processos e apresenta atividades em uma estrutura lógica e gerenciável. As boas práticas do CobiT representam o consenso de especialistas. Elas são fortemente focadas mais nos controles e menos na execução. Essas práticas irão ajudar a…
Durante o mês de março ocorreram várias apresentações e encontros oficiais da ISACA para apresentar a mais nova versão do COBIT, a versão 5. “COBIT 5 será uma extensão estratégica da versão existente, proporcionando a próxima geração das diretrizes da ISACA sobre a gestão de negócios”, disse Derek Oliver, Ph.D., CISA, CISM, ECF, FISM, co-presidente…
Continuando nosso post sobre usuários genéricos hoje vamos auditar o ambiente de rede de nosssa empresa XPTO em busca de usuários genéricos. Já vimos anteriormente que o uso de usuários genéricos e compartilhados são um risco ao ambiente de TI devido a impossibilidade de, no caso de fraudes, rastrear o autor da ação que possibilitou a fraude.…
