Segurança informática em auditoria

Notas de rodapé

[1] Consulte http://www.bportugal.pt/; http://www.oecd.org/; http://www.ine.pt/ e http://epp.eurostat.cec.eu.int/ para mais dados sobre esta questão.

[2] Auditor de SI certificado pela associação americana ISACA. Publicou um artigo recente “The value to IT of Using International Standards, in Informations Systems Control Journal da ISACA, Vol 3, 2005.

[3] www.bsi-global.com.

[4] www.dsd.gov.au/infosec/publications/acsi33.html - instruções para a segurança das comunicações electrónicas Australianas.

[5] www.nist.gov.

[6] www.isfsecuritystandard.com.

[7] www.standards.com.au.

[8] SINFIC - Newsletter Sinfic Insight n.º15 - ERM (Enterprise Risk Management).

[9] O COBIT tem sido amplamente patrocinado pela associação americana Information Systems Audititng and Control Association (www.isaca.org).

[10] ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission).

[11] http://www.cidadevirtual.pt/croc/index.html.

[12] Os ROC são um exemplo destes profissionais .

[13] Fórmula apresentada pela OROC, que traduz um dos modelos existentes para a avaliação do risco de revisão/auditoria, descreve o risco de revisão/auditoria não nos três componentes de risco aqui apresentados, mas através de quatro componentes do risco. O risco de detecção é dividido em duas componentes: o risco dos procedimentos analíticos e outros relevantes testes substantivos poderem falhar na detecção de distorções iguais às distorções toleráveis e o risco tolerável de aceitação incorrecta para os testes substantivos de pormenor.

[14] O texto original é o seguinte: “Enterprise risk management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives”.

[15] veja www.theiia.org.

[16] veja www.isaca.org.

[17] CISA = Certified Information Systems Auditor; CISM = Certified Information Security Manager.

[18] Veja o esquema dos anéis de insegurança que apresentámos no início deste trabalho.

[19] Alguns autores incluem os controlos de utilização nos controlos aplicacionais. Esta opção pode ser útil em alguns casos, mas em regra é melhor separar a utilização porque cobre aspectos relacionados com a necessidade de informação para determinadas funções e processos de negócio.

[20] ENISA = European Network and Information Security Agency. Veja em http://europa.eu.int/agencies/enisa/index_en.htm.

[21] Information Systems Audit and Control Association (ISACA) got its start in 1967, when a small group of individuals with similar jobs—auditing controls in the computer systems that were becoming increasingly critical to the operations of their organizations—sat down to discuss the need for a centralized source of information and guidance in the field. In 1969, the group formalized, incorporating as the EDP Auditors Association. In 1976 the association formed an education foundation to undertake large-scale research efforts to expand the knowledge and value of the IT governance and control field.

[22] Para os americanos o conceito de sistemas de informação inclui os circuitos de informação e as TIC. Na Europa usa-se ainda o conceito de sistema de informação independente do de TIC.

[23] Houve alguns tempos em que parecia o contrário, isto é, primeiro compravam-se os computadores e o software, porque estava na moda, e depois decidia-se para que serviam. Esta visão é considerada muito errada nos nossos dias.

[24] http://www.isaca.org – naturalmente que só os membros têm acesso à informação mais detalhada.

[25] Consulte http://www.isaca.org.

[26] http://www.coso.org.

[27] O texto original é o seguinte: "Enterprise risk management is a process, effected by an entity's board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives".

[28] ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.

[29] http://www.ansi.org/; http://www.bsi-global.com/index.xalter; http://www.iso.org.

[30] Consulte a história do Standard 7799 em http://www.gammassl.co.uk/bs7799/history.html.

[31] ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.

[32] Para obter mais informação consulte http://www.ogc.gov.uk e http://www.itil.co.uk.

[33] A itSMF - IT Service Management Forum - é uma organização independente e sem fins lucrativos, que reúne cerca de 3 mil organizações em todo o mundo nos sectores das Tecnologias de Informação, Administração Pública, Retalho, Banca, Telecomunicações e Grande consumo. Em Portugal desde 2003, esta organização representa um importante passo no processo de desenvolvimento e promoção dos standards e Melhores Práticas nos Serviços de Gestão de TI. Consulte http://www.itsmf.pt/.

[34] Para mais informação sobre o BS15000 visite http://www.bs15000.org.uk/index.htm.

[35] NIST = National Institute of Standards and Technology - Technology Administration - U.S. Department of Commerce. Generally Accepted Principles and Practices for Securing Information Technology Systems.

[36] TickIT Office at BSI (Floor 8E), 389 Chiswick High Road, London W4 4AL.

CISA - Auditor Certificado em Sistemas de Informação pela ISACA (Associação Americana de Auditores de Sistemas de Informação)