Avaliação do ambiente de controlo dos SI/TI e do risco de segurança de informação

Abstract

Os sistemas de informação de uma empresa podem apresentar riscos ao nível da segurança de informação, e o impacto que estes podem ter, refletem-se tanto na saúde financeira como na continuidade de negócio. Uma empresa angolana operadora de telecomunicações com problemas na correta captação da receita, contactou a Deloitte para identificar e corrigi-los. Para iniciar o trabalho foi necessário realizar um levantamento dos processos de negócio da operadora com impacto na receita, para descobrir todos os fluxos da mesma. Simultaneamente, realizaram-se testes de integração da receita nos SI/TI, para os processos de consumos e carregamentos. Estando os processos de negócio levantados, identificaram-se os riscos associados à receita da operadora, que foram apresentados à administração da mesma. Esta, com base na conclusão dos testes de integração, decidiu que seria necessário realizar uma auditoria aos SI/TI, que realizam o processo de faturação. Esta decisão, direcionou o trabalho apenas para os riscos de segurança de informação, onde foram identificados os respetivos objetivos e atividades de controlo. De forma a avaliar a implementação das atividades de controlo, desenharam-se testes que permitiram identificar vulnerabilidades aos controlos realizados aos SI/TI. Com esta auditoria elaborou-se uma listagem de oportunidades de melhoria que, sendo implementadas, irão mitigar os riscos associados aos SI/TI.

The information systems of an enterprise may present risks in terms of information security, and the impact they may have, are reflected both in the financial health and in business continuity. An Angolan telecommunications operator company with problems in the correct capture of revenue, contacted Deloitte to identify and correct them. To start the work it was necessary to conduct a survey of the operator's business processes with an impact on revenue flows to discover all of it. Simultaneously, there were revenue integration testing’s in IS / IT to the processes of consumption and loads. Being the business processes raised the associated operator revenues risks were identified, which were presented to the respective administration. They, based on the completion of integration testing, decided it would be necessary to conduct an audit of IS / IT, which perform the billing process. This decision, directed the work only for the information security risks, where the respective objectives and control activities have been identified. In order to assess the implementation of control activities, tests were designed to have identified vulnerabilities in the controls carried out to IS / IT. With this audit it was drawn up an improvement opportunities list, that if being implemented, will mitigate the risks associated with IS / IT.