Baixe o app para aproveitar ainda mais
Prévia do material em texto
Segurança da informação: Relatório de auditoria Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com SST MARUBIN, M. L. Segurança da informação: Relatório de auditoria / Maria Lúcia Marubin Ano: 2020 nº de p.: 10 páginas Copyright © 2020. Delinea Tecnologia Educacional. Todos os direitos reservados. Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com 3 Segurança da informação: Relatório de auditoria Apresentação Este material é dedicado ao aprofundamento dos conhecimentos relacionados ao processo de auditoria. Por meio deste estudo, entenderemos melhor sobre o relatório de auditoria, os envolvidos nesse documento e conceitos relacionados. Relatório de auditoria de segurança da informação Atualmente, as empresas estão expostas a uma grande variedade de ameaças, que inclui atividades criminosas, eventos associados ao uso indevido da marca do produto, sinistros, catástrofes naturais e ataques em nível nacional, bem como o terrorismo. Porém, os temores mais sérios são relacionados com a segurança em TI. Entre as principais preocupações das corporações, podemos listar os ataques efetuados à internet seguidos por incidentes de TI causados por colaboradores internos e ameaças geradas internamente. No relatório de auditoria de segurança da informação deve constar a criação, implementação e atualização dos procedimentos, ferramentas e meios de revogação de acessos às listas de e-mail, e e-mail institucional, dos servidores que integram e mesmo que não trabalhem mais na empresa. Deve-se receber procedimento formalizado para o gerenciamento de riscos de TI, e precisa ser executado conforme as necessidades técnicas da área e institucionais, observando a redução dos riscos residuais e pertencentes à área de TI. Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com 4 Segurança e tecnologia. Fonte: Plataforma Deduca (2020). Um auditor normalmente utiliza vários modelos de instrumentos para a coleta de dados, dependendo do tipo de auditoria e dos objetos a serem verificados. Existem muitos formulários ou questionários impressos, com suporte de software especializado ou mesmo criados dentro da empresa a partir de planilhas eletrônicas de pacotes office. São esses instrumentos que darão origem aos documentos de trabalho do auditor. Pode-se fazer um modelo de lista (check-list) simplificado e que pode ser usado como instrumento para a coleta de dados. Nesse check-list, além de constar o nome do auditor e a data de início e finalização, pode conter questões para verificação como SIM, NÃO e NÃO SE APLICA, como os exemplos descritos no quadro a seguir: Modelo para coleta de dados na auditoria Objeto averiguado Ponto a ser controlado Verificação (S, N, N/A) Computadores Os equipamentos de rede estão catalogados e protegidos fisicamente. Os acessos aos computadores estão protegidos com protocolo de segurança. Os programas de antivírus estão atualizados. Os acessos aos computadores e aos sistemas de informação utilizando celulares estão protegidos e atualizados com encriptação. Rede sem fio A instalação do protocolo de criptografia está atualizada. Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com 5 Criptografia O acesso aos serviços críticos é feito por meio de certificados digitais. Existem medidas de proteção dos dados armazenados, por criptografia. Rede LAN A configuração do firewall é controlada, revisada e atualizada periodicamente. O acesso ao ambiente de rede é controlado. O acesso remoto é controlado somente para sistemas específicos. Redes virtuais privadas (VPN) usam IPSEC. Existe proteção de cabeamento da rede. Protocolos Existem rotinas adequadas de proteção e controle do fluxo de dados. Possui protocolos adequados de acordo com a exigência dos sistemas de informação. Scanners de portas de redes que detectam possíveis vulnerabilidades e falhas em sistemas são atualizados e verificados. Fonte: Adaptado de Rodrigues e Fernandes (2011). Os critérios de avaliação incluem políticas e procedimentos aplicáveis à corporação, às normas, aos requisitos legais vigentes, aos regulamentos, às cláusulas contratuais e aos métodos de gestão e de práticas, entre outros requisitos. Tecnologia e auditoria Fonte: Plataforma Deduca (2020). Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com 6 Em relação à terminologia adotada em uma auditoria, Macêdo (2012) apresenta alguns conceitos, considerados como gerais, mas utilizados, frequentemente, no decorrer de um processo de auditoria, livre de sua classificação. Alguns conceitos como o campo, o âmbito e a natureza dos fatos são básicos para qualquer tipo de auditoria. Conceito de campo: esse conceito está relacionado ao objeto, que nesse caso pode ser uma instituição pública ou privada ou mesmo um setor da empresa. Esse objeto deve ser fiscalizado, constar o período e o tipo da auditoria, se administrativa, contábil, financeira, operacional, da tecnologia da informação, entre outras. Conceito de âmbito: esse conceito define o grau de cobertura e a complexidade das atividades a serem realizadas. Conceito da área de verificação: esse conceito determina, de modo preciso, os objetos da auditoria, em função da entidade que será fiscalizada e sobre a natureza da auditoria. Conceito de controle: esse conceito baseia-se na fiscalização elaborada sobre as atividades das pessoas, dos setores, produtos, e outros, de maneira que as atividades exercidas ou que os produtos se mantenham dentro dos regulamentos que serão determinados com antecedência. São três os tipos de controle exercidos: Preventivo: faz-se a prevenção de erros e invasões, como identificação e autenticação de usuários no sistema com a utilização de senhas. Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com 7 Detector: detectam-se erros ou tentativas de invasões de arquivos. Aqui é realizado o controle de acesso de usuários. Corretivo: minimiza o impacto causado por falhas ou erros, possibilitando que sejam corrigidos usando política de segurança ou algum plano de contingência. Procedimentos de auditoria Caracteriza-se por um conjunto de investigações que permite atingir e analisar as informações necessárias ao relatório do auditor. Esses procedimentos devem ser de conhecimento dos auditores antes do início da auditoria. • Achados de auditoria: são os fatos que devem ser considerados como im- portantes para o auditor. Para que esses dados constem no relatório, essas informações devem ser baseadas em ocorrências e provas. • Papéis de trabalho: São documentos de registros que evidenciam os atos e fatos observados pelo auditor como documentos, planilhas, mídias de arma- zenamento. • Recomendações de auditoria: recomenda-se que na fase de relatório sejam realizadas medidas corretivas exequíveis, sugeridas para corrigir as falhas de- tectadas (DIAS, 2000). Lyra (2008) afirma que um controle de segurança é uma medida de segurança ou contramedida de natureza gerencial, operacional ou técnica, prescrita para um sistema de informações, de modo a proteger a confidencialidade, integridade e disponibilidade do sistema de sua informação. Controle interno é o objeto responsável pelo controle dos processos da organização. O controle interno abrange todo o conjunto de controles, realizado sob a responsabilidade da gestão da organização (LAUREANO, 2005). Conforme Almeida (1996), os passos do processo de auditoria são assim definidos: Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com 8 1. o gestor deve declarar os fatos sobre o desempenho das atividades na orga- nização para os envolvidos; 2. faz-se necessário recorrer a um profissional especializado para o processo de auditoria e para averiguação dos controles internos; 3. é também necessário que a organização empregue um profissional especia- lizado, no caso o auditor, para que opine sobre a veracidade das declarações contidas no parecer;4. o auditor também deve verificar se as declarações do gestor estão satisfato- riamente adequadas com as condições observadas no controle interno, emi- tindo uma opinião baseada nessas declarações. Nessa fase o fluxo do processo deve ser elaborado. De com os procedimentos, objetivos e os riscos envolvidos são executados, precisam ser documentados, juntamente com os controles responsáveis pelo suporte de sua eficiência. A documentação do processo será fundamental quanto à execução das fases seguintes de execução da avaliação dos controles internos (IMONIANA, 2010). Conforme Imoniana (2010), o principal objetivo em uma auditoria de controles organizacionais de área de informática verificar a essência do controle interno, assim é possível a promoção da eficácia visando uma auditoria satisfatória e responsável. Certificações Certificações são documentos que comprovam se um profissional está capacitado para atuar em determinada área do conhecimento. Geralmente, esses documentos são concedidos por órgãos e empresas respeitados no meio de TI. A figura a seguir ilustra os principais objetivos das certificações. Características do certificado Certificado Comprovação de habilidade Concedido por órgãos de TI Elaborada pelo autor (2020). Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com 9 Algumas entidades possuem centros educacionais onde são oferecidos cursos em que é testado, por meio de provas, se o aluno adquiriu o conhecimento sobre o tema. No final do curso, caso o profissional sair satisfatoriamente, é concedido o certificado. As certificações são importantes para que a atividade de auditor seja reconhecida perante as organizações. Com certificação, o profissional demonstra experiência comprovada, demonstra maior potencial de ganho e progressão na carreira aumentando a credibilidade e reconhecimento. As certificações para auditores de sistemas de informação são emitidas por alguns órgãos como Information Systems Auditand Control Association (ISACA), que fornece a Certified Information Systems Auditor (CISA). Atenção Essa certificação profissional é reconhecida mundialmente como um padrão de realização para aqueles que exercem auditoria, controle, monitoramento e avaliação dos sistemas de informação de negócio nas organizações. No Brasil, a academia CLAVIS fornece um curso preparatório e também as provas necessárias para a aquisição do mesmo. Fechamento Neste material, estudamos os principais componentes do relatório de auditoria de segurança da informação, procedimentos para o processo de auditoria e os requisitos para a obtenção de certificações, Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com 10 Referências ALMEIDA, M. C. Auditoria: um curso moderno e completo. 5. ed. São Paulo: Atlas, 1996. DIAS, C. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: Axcel Books, 2000. IMONIANA, J. O. Auditoria de sistemas de informação. São Paulo: Atlas, 2010. LAUREANO, M. A. P. Gestão de segurança da informação. 2005. Disponível em: http://www.mlaureano.org/aulas_material/gst/apostila_versao_20.pdf. Acesso em: 15 set. 2020. LYRA, M. R. Segurança e auditoria em sistemas de informação. Rio de Janeiro: Ciência Moderna, 2008. MACÊDO, D. Conceito, tipos e características de auditoria de segurança da informação. 2012. Disponível em: http://www.diegomacedo.com.br/conceito-tipos- e-caracteristicas-de-auditoria-de-seguranca-da-informacao/. Acesso em: 15 set. 2020. RODRIGUES, R. W. da S.; FERNANDES, J. H. C. Auditoria e conformidade de segurança da informação. 2011. Disponível em: http://www.facom.ufu.br/~miani/ site/teaching_files/seguranca/GSIC345_Auditoria_Conformidade_Seguranca_ Informacao.pdf. Acesso em: 14 set. 2020. Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com http://www.mlaureano.org/aulas_material/gst/apostila_versao_20.pdf http://www.diegomacedo.com.br/conceito-tipos-e-caracteristicas-de-auditoria-de-seguranca-da-informacao/ http://www.diegomacedo.com.br/conceito-tipos-e-caracteristicas-de-auditoria-de-seguranca-da-informacao/ http://www.facom.ufu.br/~miani/site/teaching_files/seguranca/GSIC345_Auditoria_Conformidade_Seguranca_Informacao.pdf http://www.facom.ufu.br/~miani/site/teaching_files/seguranca/GSIC345_Auditoria_Conformidade_Seguranca_Informacao.pdf http://www.facom.ufu.br/~miani/site/teaching_files/seguranca/GSIC345_Auditoria_Conformidade_Seguranca_Informacao.pdf
Compartilhar