AUDITORIA DE TI E RISCOS CORPORATIVOS  
 

 AUDITORIA DE SISTEMAS

Serviço - Auditoria dos processos automatizados para processamento de dados e geração de informações.

Visa expressar opinião sobre a integridade das informações demonstradas nos resultados corporativos.

Este serviço proporciona ao gestor uma avaliação do ambiente tecnológico da empresa, em consequência da análise dos processos automatizados, avaliação dos ambientes físico (instalações e recursos de TI) e lógico (controles de acesso aos sistemas e serviços de TI). Atividades inerentes a essa análise e que representam um valor agregado importantíssimo para o gestor da organização, considerando a distância que muitas vezes os separa da área de TI devido à diferença de perfil profissional e própria estrutura da organização. Frequentemente desenvolvida em conjunto com os trabalhos de auditoria contábil, a Auditoria de TI visa obter condições necessárias para uma avaliação íntegra das demonstrações financeiras e contábeis, bem como complementar a análise dos controles internos. A metodologia que utilizamos é baseada nos princípios da ciência da computação e nas melhores práticas de gestão da segurança da informação, estabelecidos pela ABNT através do Código de prática para a gestão da segurança da informação ISO/IEC 27002 , anteriormente conhecido como – NBR ISO/IEC 17799:2005.

1 A ISO/IEC 17799 foi atualizada para numeração ISO/IEC 27002 em julho de 2007. É uma norma de Segurança da Informação revisada em 2005 pela ISO e pela IEC. A versão original foi publicada em 2000, que por sua vez era uma cópia fiel do padrão britânico (BS) 7799-1:1999.

O padrão é um conjunto, de recomendações para práticas na gestão de Segurança da Informação. Ideal para aqueles que querem criar, implementar e manter um sistema. A ISO/IEC-17799 tem como objetivos: confidencialidade, integridade e disponibilidade das informações, os quais são fatores muito importantes para a segurança da informação.

Equivalência com Padrões Nacionais

A norma ISO/IEC 27002 tem correspondência direta com padrões nacionais de vários países. A tradução e a publicação local geralmente ocorre com vários meses de atraso em relação a data de publicação da norma publicada originalmente pelo ISO/IEC. Entretanto, os comitês regionais empregam grande esforço para garantir que o conteúdo traduzido corresponde com precisão a norma ISO/IEC 27002.

PAÍSES PADRÃO EQUIVALENTE

 Australia

 New Zealand

 AS/NZS ISO/IEC 27002:2006
 Brazil ISO/IEC NBR 17799/2007 - 27002
 Czech Republic ČSN ISO/IEC 27002:2006
 Denmark DS484:2005
 Estonia EVS-ISO/IEC 17799:2003, 2005 tradução em andamento
 Japan JIS Q 27002
 Lithuania LST ISO/IEC 17799:2005
 Netherlands NEN-ISO/IEC 17799:2002 nl, 2005 tradução em andamento
 Poland PN-ISO/IEC 17799:2007, baseada na ISO/IEC 17799:2005
 Peru NTP-ISO/IEC 17799:2007
 South Africa SANS 17799:2005
 Spain UNE 71501
 Sweden SS 627799
 Turkey TS ISO/IEC 27002
 United Kingdom BS ISO/IEC 27002:2005
 Uruguay UNIT/ISO 17799:2005
 Russia ГОСТ/Р ИСО МЭК 17799-2005
 China GB/T 22081-2008
[14:19:53] MCF: Licença Creative Commons
Este trabalho foi licenciado com uma Licença Creative Commons - Atribuição - CompartilhaIgual 3.0 Não Adaptada

AUDITORIA DO VOTO ELETRÔNICO

Agilidade e modernidade nas eleições

O Voto Eletrônico moderniza as fases da eleição via Internet ou redes internas. Geralmente é composto por um software 100% Web, podendo ser complementado por sistemas digitais URA.

Objetivo

A Auditoria da Votação Eletrônica - AVE é um produto especial e personalizado de auditoria e destina-se à avaliação e monitoramento por auditores capacitados.

Nossa metodologia está preparada para auditar:

- A implementação completa do produto terceirizado pela empresa;

- O progresso das "melhores práticas" nos conselhos ou comitês eleitorais, objetivando o adequado "compliance" (políticas-normas) de segurança do prestador da Tecnologia da Informação, responsável pela:

- Hospedagem da solução;

- Desenvolvimento das regras (críticas do sistema) e

- Qualidade visual para o usuário final (votante).

Benefícios

Dentre os inúmeros benefícios para as entidades que utilizam a implementação do Voto Eletrônico, pode-se destacar:

- Inovação – Para os procedimentos de eleição;

- Modernização - Ampliar quorum de votação (possibilitar maior número de eleitores participantes).

- Pragmatismo - Praticidade na execução das tarefas principais da eleição (facilitar o trabalho da comissão/comitê eleitoral);

- Segurança e transparência dos dados – Todo processo é auditado pelo método “end-to-end" (solução desde a fabricação até a homologação após teste).

Clientes

Algumas empresas para as quais prestamos serviços:

- INFRAPREV - INSTITUTO INFRAERO DE SEGURIDADE SOCIAL

- REFER - FUNDAÇÃO REDE FERROVIÁRIA DE SEGURIDADE SOCIAL

Caso você queira um projeto com características específicas, entre em contato conosco. Nossa equipe de especialistas avaliará suas necessidades e elaborará um produto sob medida para atendê-lo.

Divulgue: http://www.lopesmachado.com/projetos/webmail_voto/webmail_voto.html

 GESTÃO DA SEGURANÇA DA INFORMAÇÃO

Serviço - Desenvolvimento de projetos na área de segurança da informação.

Visa avaliar, orientar, definir, implementar e auditar mecanismos de controle que permitam garantir a integridade, a confidencialidade e a disponibilidade da informação.

Projetos dessa natureza permitem minimizar os riscos sobre o negócio relativos aos ativos de informação da organização, tais como: fraudes por manipulação de resultados, vazamento de informações, multas e sanções, perda de credibilidade no mercado relacionada à falta de integridade de informações, entre outros.

 GESTÃO OU VISTORIA DA ÁREA DE TECNOLOGIA DA INFORMAÇÃO (TI)

Com base, orientação e/ou influência de framework ou normas de orgãos fiscalizadores – COBIT, ITIL, CMMI, Sarbanes-Oxley Act, Basiléia II, Resolução 3380/BACEN...

Serviço - Gestão da TI

As corporações de hoje são cada vez mais responsabilizadas e exigidas quanto à segurança das informações que processam e produzem. Sejam por organismos de regulamentação (BACEN, SUSEP, CVM, etc..), por leis (Sarbannes-Oxley) ou mesmo por padrões de avaliação dos mercados interno e externo. Por isso, a adoção das melhores práticas do mercado, por corporações inseridas nesse contexto, como padrão para medir e orientar a qualidade dos serviços relacionados à Tecnologia da Informação, tornou-se uma prática obrigatória.

A gestão do ambiente de Tecnologia da Informação, considerando os ambientes físico e lógico, recursos de conectividade, servidores e estações, sistemas e serviços, baseada nos objetivos de controle estabelecidos ou exigidos, proporciona a avaliação necessária para garantir o atendimento, não somente às exigências legais e do mercado, mas principalmente os objetivos de negócio da corporação.

 POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Serviço - A Política de Segurança da Informação (PSI) é o principal documento de segurança da informação da empresa, provendo as diretrizes para o tratamento e proteção das informações. Por isso, defini-la e implementá-la adequadamente é fundamental para a gestão segura da informação.

Independentemente do ambiente em que se encontra armazenada uma informação (ambiente computacional, papel, outros), como todo ativo da empresa, ela tem valor e precisa ser adequadamente protegida de uma forma profissional e estruturada. O desenvolvimento de uma PSI deve expressar o pensamento da alta administração da empresa em relação ao uso da informação por todos aqueles que de alguma forma o fazem.

 ANÁLISE DE RISCO DE SEGURANÇA DA INFORMAÇÃO

Serviço - O resultado desse trabalho proporciona diretrizes para investimentos e esforços em segurança da informação na medida certa.

Conhecer e monitorar o risco dos principais ativos tecnológicos, bem como dos processos envolvidos, é imprescindível para a gestão de riscos no ambiente de TI. Nesse serviço é realizado um mapeamento dos processos e recursos envolvidos no ambiente de TI, o qual oferece condições para estabelecer um "Gap Analysis" entre a situação atual e a desejada. Com base nessa ferramenta, é possível ter uma clara visão da maturidade dos processos e dos riscos envolvidos no ambiente de TI, permitindo assim dispender esforços e investimentos na medida certa para mitigar ao máximo os riscos inerentes a TI.

 GESTÃO DA INFORMAÇÃO

Atualmente medidas devem ser alinhadas com as estratégias de negócio, a partir de um monitoramento contínuo dos processos, métodos e ações.

Objetivo

IDENTIFICAR, FORTALECER ou REVISAR o pronto restabelecimento dos sistemas e, consequentemente, o acesso à informação de forma SEGURA e ÍNTEGRA.

Serviço – Gestão da TIC

"Acreditamos e incentivamos a melhoria da sociedade através da melhor gestão da informação nas empresas que a servem, e dos colaboradores e funcionários que a formam. São "Elos" fundamentais para o fortalecimento de nossa economia e de nosso equilíbrio social".

Esta visão proporciona a "avaliação macro" dos Ativos da Governança de TI
- Empresas Pequenas, Médias ou de Grande porte no mercado (PMG).

Os ativos geralmente são organizados em:

  • Ativos financeiros: investimentos da empresa, contas a receber/pagar, fluxo de caixa;

  • Ativos físicos: o patrimônio da corporação;

  • Ativos de informação e TI: toda informação local ou externa armazenada de clientes, finanças, sistemas, dados, diretamente com conexão com a segurança da informação, etc;

  • Ativos de propriedade intelectual: são valores históricos e avanços intrínsecos originários dos "Ativos Humanos" dentro da empresa, homologado por empresas patenteadas e registradas;

  • Ativos humanos: são as pessoas, um dos ativos mais importantes da organização, capaz de gerar habilidades e diferenciais do mercado;

  • Ativos de relacionamento (comunicação interna ou externa): é a metodologia de "orientação dos relacionamentos dentro das organizações", ou seja, uniformização operacional dos departamentos, ações de conduto com o cliente e a forma de apresentação de documentação homologada com padrões internos de qualidade acessível a todos. Geralmente acompanha a hierarquia de segurança da empresa em relação a exposição adequada da informação e dos controles internos.

A metodologia de um ou mais processos acima, possibilitam ampliar processos de auditoria que podem expandir a análise ou aprofundar o estudo em determinado departamento ou serviço da empresa, entre eles:

  • Auditoria da Tecnologia e Sistemas vigentes ou em migração:
    Processos - manutenção - revisão

  • Auditoria da Votação Eletrônica:
    Implementação total com empresas homologadas e/ou acompanhamento dos processos para auditoria

  • Segurança, normas, condutas, documentos e confidencialidade - Compliance
    Diagnóstico do ambiente

"A visão perfeita da governança ultrapassa o perímetro das "melhores práticas" do mercado e, define um NORTE: utilizando-se a consolidação de metodologias na continuidade do negócio; no alinhamento estratégico da tecnologia ao negócio e, quando aplicável; as bases "compliances dos órgãos fiscalizadores."

 CONSULTORIA TI

Oferecemos a amplitude e a profundidade dos recursos e experiência combinado com uma solução de visão end-to-end. Esta abordagem focaliza sua empresa, decisões e desafios das novas tecnologias em sinergia, entre elas: cloud computing (informação acessível em todo o mundo); redes sociais; gestão de segurança; e mobile development (mobilidade).

Nossas soluções para "Business Performance Management" - BPM podem ajudar a empresa expandir a capacidade do negócio, reduzir a complexidade e assegurar o sistema de disponibilidade e segurança, possibilitando a sua organização o êxito em atender as demandas de um ambiente empresarial competitivo.
     
     
  Topo^