Baixe o app para aproveitar ainda mais
Prévia do material em texto
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 1 Auditoria e controles de seg. e classificação da informação AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 2 AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO O papel da área de controles internos nas organizações A necessidade constante de um excelente desempenho empresarial leva à busca da qualidade e confiabilidade da informação para o auxílio na tomada de uma decisão. O mercado globalizado e o acesso fácil a todo tipo de informação têm formado clientes cada vez mais seletivos e criteriosos. Em função disso, as empresas encontram-se levadas a desenvolver cada vez mais estratégias de melhoria contínua que assegurem a busca pela excelência de produtos e processos. As organizações necessitam assegurar que os processos internos executados pelos agentes humanos e computacionais não sofrerão desvios. Esse elemento interno responsável pelo controle dos processos da organização é chamado de controle interno. O controle interno compreende todo o conjunto de controles implementado sob responsabilidade da gestão da organização. Assim como a tecnologia evoluiu, ao longo do tempo o conceito de controles internos também evoluiu nas organizações. O que era antes conhecido como simplesmente procedimentos de controle modificou-se para uma estrutura de controles internos. A estrutura de controles internos de uma organização pode ser definida como os processos executados para apoiar e orientar a organização no cumprimento dos objetivos da instituição quanto à eficiência e à eficácia nas operações e sua gestão. AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 3 As funções principais do controle interno estão relacionadas ao cumprimento dos objetivos da entidade. Dessa forma, a existência de objetivos e metas é condição principal para a existência dos controles internos. Eles serão efetivos quando as pessoas da organização souberem quais são suas responsabilidades, seus limites de autoridade e sua competência. Podemos então concluir que, para a organização atingir seu objetivo, deverá realizar a avaliação contínua dos controles internos com o objetivo de identificar e analisar os riscos associados ao não cumprimento das metas e objetivos operacionais. A identificação e o gerenciamento dos riscos são uma ação proativa que permite evitar surpresas desagradáveis nas organizações. São os administradores que devem definir os níveis de riscos operacionais e de informação que estão dispostos a assumir. Aspectos de controle e segurança Na sociedade da informação, ao mesmo tempo em que as informações são consideradas o principal patrimônio de uma organização, estão também sob constante risco como nunca estiveram antes. Orientação Fiscalização Auditoria Controle interno AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 4 Com isso, a segurança da informação tornou-se um ponto crucial para a sobrevivência das instituições. Nesse sentido, um dos focos das fiscalizações de Tecnologia da Informação (TI), realizadas pelas organizações, é a verificação da conformidade e do desempenho das ações organizacionais em aspectos de segurança de tecnologia da informação, utilizando critérios fundamentados com o objetivo de contribuir para o aperfeiçoamento da gestão organizacional, assegurando que a tecnologia da informação agregue valor ao negócio da organização. A auditoria de segurança da informação só tem sentido por permitir a melhoria do tratamento da informação na organização. Ela cumpre basicamente as mesmas funções de uma auditoria de sistemas de informação, tal como foi descrito por Imoniana (2004) e por Schmidt, Santos e Arima (2005). A informação é produzida, identificada, armazenada, distribuída, usada e processada em todos os níveis da organização, visando ao alcance dos objetivos de negócio, suas práticas definidas pelos sistemas de informação que apoiam os processos de trabalho na organização, sejam eles manuais ou automáticos. A gestão da informação tem fundamentos na administração, na contabilidade, na arquivologia, nas tecnologias da informação e da comunicação, nas ciências da informação e da computação, entre outras. Como ferramenta de segurança, a gestão da informação lança mão de elementos organizacionais, humanos, físicos e tecnológicos, integrados por meio de arquitetura e engenharia de sistemas, ou, de forma mais geral, através de uma abordagem cibernética. Metodologia de auditoria em TI AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 5 A auditoria em ambiente de tecnologia da informação não muda a formação exigida para a profissão de auditor. A diferença está nas informações: até então disponíveis em forma de papel, elas são agora guardadas em forma eletrônica. O enfoque de auditoria teve de se modificar para assegurar que essas informações, agora em formato eletrônico, sejam confiáveis antes de o auditor emitir seu relatório, já que ele está calcado na confiança e no controle interno. Podemos então definir a auditoria como: Dessa forma, visam a confirmar se os controles internos foram implementados e se existem – e, em caso afirmativo, se são efetivos. Nesse contexto, as auditorias podem apresentar diferentes objetivos: Um exame sistemático e independente para determinar se as atividades e seus resultados estão de acordo com as disposições planejadas, se elas foram implementadas com eficácia e se são adequadas à consecução dos objetivos. AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 6 Segundo Lyra, é possível pensarmos em uma metodologia de trabalho que seja flexível e aderente a todas as modalidades de auditoria em sistemas de informação. Essa metodologia é composta basicamente pelas seguintes fases: Planejamento e controle do projeto de auditoria Estabelece-se o planejamento inicial das ações e dos recursos necessários para a execução da auditoria. Nessa fase, leva-se em consideração a abrangência das ações, o enfoque que se deseja, a definição dos procedimentos a serem utilizados durante o trabalho de auditoria, a escolha de alternativas para a realização dos trabalhos, acompanhamento e controle dos resultados obtidos. Devem ser utilizados ferramentas e métodos de planejamento, como, por exemplo, o PMBOK, e também deve ser formado o grupo de trabalho. Nessa fase, deverá ser elaborado o plano da auditoria em que deve ficar claro: • As expectativas de quem pediu a auditoria; • Os critérios da auditoria: padrões e confidencialidade; • As necessidades e interesses do auditado; Conformidade com padrões Melhoria do sistema de gestão ComplianceCertificação Melhoria de processo AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 7 • A documentação que deve estar disponível; • A agenda proposta para auditoria. Levantamento das informações Uma vez delimitado o escopo do trabalho, inicia-se o processo de levantamento das informações relevantes para a auditoria. Esse levantamento deverá ocorrer de forma abrangente, mas que se tenha o entendimento do objeto da auditoria. Podemos, nessa fase, utilizar técnicas de entrevista e análise da documentação existente, colocando as informações de forma gráfica ou descritiva. O importante aqui é identificar claramente o escopo. Essa fase é essencial para evitar a possibilidade de execução de trabalho em áreas não pertencentes ao escopo. Identificação e inventário dos pontos de controles Nessa etapa, busca-se identificar os diversos pontos de controles que merecem ser validados no contexto do escopo da auditoria. Cada ponto de controle deve ser relacionado, seus objetivos descritos,assim como as suas funções, parâmetros, fraquezas e técnicas de auditoria mais adequadas à sua validação. O resultado desse levantamento deve ser encaminhado ao grupo de coordenação da auditoria para uma validação quanto à sua pertinência para garantir que o objetivo da auditoria será atingido. Priorização e seleção dos pontos de controle Essa etapa consiste na seleção e priorização dos pontos de controle que foram inventariados na etapa anterior e que devem fazer parte da auditoria a ser realizada. Podem ser considerados os seguintes critérios: • Grau de risco existente no ponto de controle; • Existência de ameaças; AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 8 • Disponibilidade de recursos. Avaliação dos pontos de controles Essa etapa consiste na realização de testes de validação dos pontos de controle segundo as especificações e os parâmetros determinados nas etapas anteriores. É a auditoria propriamente dita. Devem ser utilizadas técnicas de auditoria que evidenciem falhas ou fraquezas dos pontos de controles auditados. Normalmente existe uma técnica de auditoria e ferramenta mais eficiente para cada objetivo e característica do ponto de controle. Conclusão da auditoria Nessa etapa, é realizada a elaboração do relatório de auditoria contendo o resultado encontrado, qualquer que seja ele. Esse relatório deve conter o diagnóstico da situação atual, dos pontos de controle, caso existam, e as fraquezas dos controles, segundo as especificações das etapas anteriores. O fato de um ponto de controle apresentar uma fraqueza transforma-o em ponto de auditoria, e isso, portanto, deve constar no relatório de auditoria recomendações para solução ou mitigação dessa fraqueza. Cada ponto de auditoria deverá sofrer revisão e avaliação após um prazo dado para tomada de medidas corretivas. Nessa fase, ocorre também o encerramento da auditoria com a apresentação do relatório. O auditor líder deverá apresentar um breve resumo do processo e objetivo da auditoria. Deverá ser apresentado parecer por área auditada, assim como as recomendações. Nesse momento, deverão ser acordadas as datas para as ações corretivas e distribuídas cópias do relatório entre todos os participantes. AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 9 Acompanhamento da auditoria O acompanhamento da auditoria (follow-up) deve ser efetuado até que todas as recomendações tenham sido executadas e as fraquezas tenham sido eliminadas ou atinjam um nível tolerável pela organização. Uma auditoria bem planejada aperfeiçoa a utilização do tempo da auditoria, tornando as auditorias mais significativas, além de mostrar ao auditado que o auditor está preparado e também demonstrar uma atitude profissional. Documentação: papéis de trabalho, relatórios de auditoria e pareceres Os papéis de trabalho de auditoria constituem um registro permanente do trabalho efetuado pelo auditor, dos fatos e informações obtidos, bem como das conclusões sobre os exames. É com base nos papéis de trabalho que o auditor irá relatar suas opiniões, criticas e sugestões. Eles servem de suporte para a elaboração dos relatórios de auditoria. Os papéis de trabalho auxiliam o auditor na execução de exames, evidenciando o trabalho feito e as conclusões emitidas. É através desse artefato que poderá ser verificado se o serviço de auditoria foi feito de forma adequada e eficaz, assim como a solidez das conclusões emitidas. É importante que apresentem os detalhes do trabalho realizado, tais como: os fatos e informações importantes, escopo do trabalho efetuado, fonte das informações obtidas, opiniões e conclusões. Devemos ter em mente que esse será um material que poderá ser posteriormente consultado por outros auditores; portanto, quanto mais completo, melhor será seu entendimento por outro auditor. AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 10 O relatório de fraquezas de controle interno apresenta o objetivo do projeto de auditoria, a lista dos pontos de controle auditados, a conclusão alcançada a cada ponto de controle, além das alternativas de solução propostas. O certificado de controle interno indica se o ambiente está em boa, razoável ou má condição em relação aos parâmetros de controle interno e apresenta o parecer da auditoria em termos globais e sintéticos. O manual de auditoria do ambiente auditado armazena o planejamento da auditoria, os pontos de controle testados e serve como referência para futuras auditorias. É composto por toda a documentação anterior já citada. As pastas contendo a documentação da auditoria de sistemas irão conter toda a documentação do ambiente e dos trabalhos realizados, como: relação de programas, relação de arquivos do sistema, relação de relatórios e telas, fluxos, atas de reunião etc. Produtos gerados pela auditoria Relatório de fraquezas de controle interno Manual de auditoria do ambiente a ser auditado Certificado de controle interno Pastas contendo a documentação obtida AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 11 Papéis e responsabilidades Existem diferentes papéis em um processo de auditoria: O auditor é quem realiza as auditorias propriamente ditas. Ele deve planejar e realizar suas atribuições de forma eficaz e com competência, comunicar aos clientes e esclarecer os requisitos da auditoria quando necessário. É primordial que ele documente as observações durante a realização da auditoria, relate os resultados da auditoria e verifique a eficácia das ações corretivas quando solicitado. É o cliente quem solicita a auditoria e determina o seu propósito. Ele deve informar aos colaboradores envolvidos no processo de auditoria os objetivos e o escopo da auditoria, assim como indicar as pessoas guias responsáveis. É de sua responsabilidade também receber o relatório de auditoria, realizar análise crítica, determinar as ações de acompanhamento e informar ao auditado. O papel do auditado é informar aos funcionários sobre a auditoria, indicar acompanhantes e prover recursos à equipe de auditoria, assim como o acesso aos meios e ao material comprobatório. Deve cooperar com os auditores e, após a realização da auditoria, deverá definir e iniciar ações corretivas. Auditor Cliente Auditado Auditor Líder AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 12 O auditor líder é responsável, em última instância, por todas as fases da auditoria. Participa da seleção da equipe e prepara o plano de auditoria. É ele quem representa a equipe frente à administração do auditado e entrega o relatório de auditoria. A auditoria na Tecnologia da Informação Com a dependência das organizações nos processos de Tecnologia da Informação e nas informações geradas, nos investimentos realizados na área de TI e na inevitabilidade da garantia da segurança das informações críticas existe a necessidade da aplicação correta e gerenciada dos recursos de forma que a TI atenda às necessidades de negócio de cada entidade, ou seja, que agregue valor às suas funções finalísticas. Assim, à medida que a tecnologia se confunde com os produtos da organização, a TI e as informações geradas por meio dela deixam de ser uma questão meramente operacional e administrativa para se tornarem uma questão estratégica. Nesse contexto, a governança de TI é aplicada de forma a alinhar o uso da Tecnologia da informação aos objetivos de negócio de cada organização, possibilitando que se garanta: • continuidade dos serviços; • atendimento a marcos regulatórios; • definição clara do papel da TI dentro da organização; • alinhamento dos processos operacionais e de gestão a padrõesque atendam à necessidade do negócio; • definição de regras claras acerca de responsabilidades sobre decisões e ações dentro da organização. AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 13 Existem diversos modelos que podem ser implementados em diferentes níveis organizacionais de forma complementares: Desenvolvido pela Isaca, o Cobit é um modelo abrangente aplicável para a auditoria e o controle de processos de TI, desde o planejamento da tecnologia até a monitoração e auditoria de todos os processos. Fornece um modelo abrangente que auxilia as organizações a atingirem seus objetivos de governança e gestão de TI; na versão atual, ele apresenta 5 princípios: Cobit ITIL ISO 27002 CMMI /MPS- BR PMBOK • Planos • Políticas Dirigir • Propostas Avaliar • Desempenho • Conformidade Monitorar AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 14 Entre seus objetivos, está a garantia de que, na organização, a informação é protegida contra exposição indevida (confidencialidade), alterações impróprias (integridade) e impedimento de acesso (disponibilidade). No atual modelo de referência, os processos de governança e gestão de TI da organização são divididos em dois domínios de processo principais conforme indica a figura abaixo: AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 15 O processo de governança é constituído por um domínio com cinco processos de governança: O processo de gestão contém quatro domínios que estão em consonância com as áreas responsáveis por planejar, construir, executar e monitorar, oferecendo cobertura Governança • Avaliar, dirigir e monitorar Gestão • Alinhar, planejar e organizar • Construir, adquirir e implementar • Entregar, serviços e suporte • Monitorar, analisar e avaliar Governança Avaliar, dirigir e monitorar Definição e atualização da estrutura de governança Entrega de valor Otimização dos riscos Otimização dos recursos Transparência das partes interessadas AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 16 de TI de ponta a ponta. As figuras abaixo identificam as principais habilidades de TI tratadas em cada domínio: Alinhar, planejar e organizar (APO) Formulação da política de TI Estratégia de TI Arquitetura coporativa Inovação Gestão financeira Gestão de portfólio Entregar, serviços e suporte (DSS) Gestão de disponibilidade Gestão de problemas Central de atendimento e gestão incidentes Administração da segurança Operações de TI Administração de banco de dados Construir, adquirir e implementar (BAI) Análise de negócio Gerenciamento de projetos Avaliação de usabilidade Definição e gestão de requisitos Programação Ergonomia do sistema Desativação de software Gestão de capacidade AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 17 O ITIL foi desenvolvido pelo atual OGC (Office of Government Commerce), órgão público que busca otimizar e melhorar os processos internos do governo britânico. O ITIL é uma biblioteca de melhores práticas voltada para a área de TI, mais especificamente para a área de infraestrutra. O ITIL surgiu em 1986 com o desenvolvimento do conjunto de mais de 40 livros que abordavam uma variedade das melhores práticas de TI. A partir de 1999, foram acrescentados sete livros principais em que tratamos processos amplamente aceitos como um framework de melhores práticas para gerenciamento de serviços de TI (IT Service Management - ITSM). Em 2007, transcorridos 21 anos, em sua Versão 3, ele foi reorganizado para cinco livros principais e um livro oficial de introdução. Monitorar, avaliar e analisar (MEA) Análise de conformidade Monitoramento de desempenho Auditoria de controles AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 18 O PMBOK (Project Management Body of Knowledge) é um conjunto de conhecimentos gerenciado pela organização Project Management Institute (PMI). Tornou-se um padrão, de fato, em diversas indústrias. Não se trata de uma metodologia de gerenciamento de projetos, e sim de uma padronização que identifica e nomeia processos, áreas de conhecimento, técnicas, regras e métodos. Áreas de conhecimento do PMBOK: • Integração; • Escopo; • Tempo; • Custo; • Qualidade; • Recursos humanos; • Comunicações; • Riscos; • Aquisição; • Partes interessadas. AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 19 O CMMI é um modelo internacional desenvolvido pelo Software Engineering Institute (SEI) em 1992. O modelo utiliza o conceito de constelação em que são apresentadas três constelações: Uma constelação é um conjunto de componentes do CMMI utilizados para construir modelos, materiais de treinamento e documentos de avaliação relacionados a uma área de interesse. Possui representação: estágios (5 níveis) ou contínua (6 níveis). Na representação contínua, a organização escolhe uma determinada área de processo e trabalha na melhoria desses processos. Já na representação por estágio, são utilizados conjuntos predefinidos de área de processo para estabelecer um caminho de melhoria para a organização. O processo de auditoria de Tecnologia da Informação deverá tomar como referência os padrões e modelos já adotados pelas organizações. Existem diversos modelos e padrões, como vimos acima, que podem ser utilizados em diferentes momentos e em diferentes áreas tecnológicas. No caso da inexistência de tal modelo na organização, deverão ser adotados modelos de referência já utilizados no mercado de TI. A auditoria de tecnologia da informação, como já estudamos anteriormente, é um exame sistêmico dos controles internos dentro do ambiente computacional da organização. O objetivo de uma auditoria de TI é levantar e documentar "evidências" Diretrizes para monitorar, mensurar e gerenciar processos de desenvolvimento Diretrizes para suportar as decisões relacionadas à aquisição de produtos e serviços Diretrizes para entrega de serviços dentro das organizações e para clientes externos AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 20 das práticas e operações no âmbito da Tecnologia da Informação e realizar uma avaliação sobre a conformidade dessas ações. Ela verifica se essas operações e ações da organização estão sendo realizadas de forma eficaz e eficiente para alcançar os objetivos de negócio da organização. É utilizada para avaliar a capacidade da organização de proteger seus ativos de informação e dispensar corretamente as informações para as partes autorizadas. Dessa forma, a auditoria poderá avaliar o risco das informações mais valiosas para as organizações e estabelecer métodos de minimizar os riscos. Nesse caso, a auditoria de TI tem como objetivo avaliar: • Se os sistemas de computador da organização estão disponíveis para o negócio em todos os momentos quando necessário (disponibilidade); • Se as informações da organização estão sendo divulgadas apenas para usuários autorizados (confidencialidade); • Se as informações fornecidas estão exatas, confiáveis e em tempo oportuno (integridade). AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 21 Auditoria de sistemas O objetivo da auditoria de sistemas é proporcionar, através da inspeção e elaboração de relatório de auditoria, a adequação, revisão, avaliação e recomendação para o aprimoramento dos controles internos nos sistemas de informação das organizações. Auditoria Controles organizacionais e operacionais Aquisição, desenvolvimento, manutenção e documentação de sistemas Controles de hardware Controles de acesso Operação e computador Suporte técnicoSistemas aplicativos Plano de contingência e de recuperação de desastres Redes de computadores AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 22 Nesse contexto, é avaliada a utilização dos recursos humanos, materiais e tecnológicos envolvidos nos processamento dos mesmos, e as avaliações devem ocorrer dessa forma em todos os sistemas da organização, seja no nível estratégico, tático ou operacional. Para a realização dessa verificação, é necessário um processo sistêmico que envolva os seguintes passos: • Metodologia; • Planejamento; • Levantamento do sistema; • Identificação e inventário dos pontos de controle; • Priorização e seleção dos pontos de controle; • Avaliação dos pontos de controle; • Conclusão da auditoria; • Acompanhamento. Devido à complexidade dos sistemas informatizados, existem diferentes momentos para a realização das auditorias de sistemas: Auditoria de sistemas de informação Auditoria durante o desenvolvimento de sistemas Auditoria de sistemas em produção Auditoria no ambiente tecnológico Auditoria em eventos específicos AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 23 A auditoria durante o desenvolvimento de sistemas compreende auditar todo o processo de construção do sistema: fase de requisitos até a sua implantação, assim como o processo e a metodologia. Já a auditoria de sistemas em produção preocupa-se com os procedimentos e resultados dos sistemas já implantados: segurança, corretude e tolerância a falhas. A auditoria no ambiente tecnológico preocupa-se com a estrutura organizacional, contratos, normas técnicas, custos, nível de utilização dos equipamentos e planos de segurança e contingência. A auditoria em eventos específicos tem como foco a análise das causas, consequências e ações corretivas cabíveis em eventos não cobertos pelas auditorias anteriores. Técnicas de auditoria de sistemas As técnicas de auditoria têm como objetivo auxiliar os auditores em seus processos de trabalho de forma a diminuir os custos envolvidos no processo de auditoria, melhorar a qualidade do trabalho realizado, além de melhorar a produtividade. Existem diferentes técnicas que podem ser utilizadas juntas ou separadas. Test deck Conjunto de dados de entrada especialmente preparado com o objetivo de testar os controles programados e os controles dos sistemas aplicativos. Simulação paralela Elaboração de um programa de computador para simular as funções de rotina do sistema sob auditoria. Enquanto no test deck simulamos dados e os submetemos ao programa de computador, na simulação paralela simulamos o programa e submetemos os mesmos dados que foram utilizados pelo programa auditado em sua rotina de processamento. AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 24 Questionários a distância Verifica a adequação do ponto de controle aos parâmetros de controle interno (segurança física, lógica, eficácia, eficiência etc.). Visita in loco Consiste na atuação de equipe de auditoria junto ao pessoal de sistemas e instalações. Rastreamento e mapeamento Desenvolvimento e implementação de trilha de auditoria para acompanhar certos pontos da lógica do processamento de algumas transações. Análise da lógica de programação Verificação da lógica de programação para certificar que as instruções dadas ao computador são as mesmas já identificadas nas documentações dos sistemas aplicativos. Lógica de auditoria embutida no sistema Inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos. Periodicamente, os relatórios de auditoria são emitidos para a revisão e o acompanhamento dos procedimentos operacionais. Rastreamento de programas Possibilita seguir o caminho de uma transação durante o processamento do programa. Objetiva identificar as inadequações e ineficiência na lógica de um programa. Entrevistas no ambiente computacional Realização de reuniões entre o auditor e o auditado. Existem diversas técnicas que podemos utilizar para a realização de entrevistas, como, por exemplo, 5W+1H (what, who, where, when, why e how). Análise de relatórios/telas AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 25 Análise de relatórios e tela no que se refere ao nível de utilização pelo usuário, ao grau de confidencialidade, à forma de utilização de integração com outras telas/relatórios, à padronização dos layouts e à distribuição das informações. Análise de log/accounting Permite verificar a utilização de todos os ativos de TI envolvidos no objeto da auditoria. Análise do programa fonte Consiste na análise visual do programa e na comparação da versão do objeto que está sendo executado com o objeto resultante da última versão do programa fonte compilado. Exibição parcial da memória snap shot Técnica que fornece uma listagem ou gravação do conteúdo do programa (acumuladores, chaves, áreas de armazenamento) quando determinado registro estiver sendo processado (dump parcial de memória). Ferramentas de auditoria Dentro do contexto tecnológico atual, é necessário que o auditor utilize ferramentas. Em todo e qualquer trabalho de auditoria, seja ela interna ou externa, é importante que o auditor utilize instrumentos que auxiliem e agilizem o desenvolvimento dos trabalhos. Nesse sentido, existem ferramentas que apoiam os auditores a conseguir alcançar suas metas tal como elas foram definidas no planejamento prévio da auditoria. Existem diferentes modalidades de ferramentas assistidas por computador com objetivos e funcionalidades diferentes – e que podem ser utilizadas em conjunto ou separadamente. AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 26 Uma ferramenta generalista envolve o uso de software aplicativo ou um conjunto de programas – e pode realizar as seguintes funções: • Simulação paralela; • Extração de dados de amostra; • Testes globais; • Geração de dados estatísticos; • Sumarização; • Composição de arquivo; • Apontamento de duplicidade de registro; • Sequência incorreta de registro. São ferramentas com capacidade de processar, analisar e simular amostras, sumarizar, apontar possíveis duplicidades, gerar dados estatísticos, além de diversas outras funções. As ferramentas especialistas ou especializadas são programas desenvolvidos especificamente para executar certas tarefas numa circunstância definida. Podem ser desenvolvidas pelo próprio auditor, por algum especialista ou por alguém contratado para esse fim. A vantagem da sua utilização está no atendimento a demandas específicas de auditoria a segmentos especializados de mercado ou de alta Ferramentas de auditoria Generalista Especializadas Utilidade geral AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 27 complexidade cujas ferramentas generalistas de auditoria não atendam. A grande desvantagem está no alto custo para seu desenvolvimento. Já os programas utilitários são utilizados para executar funções comuns de processamento, como, por exemplo, ordenar, sumarizar, concatenar e gerar relatório. Sua grande vantagem está na capacidade que possuem de servir como substitutos na ausência de ferramentas de auditoria mais completas. Controles de segurança da informação A Norma ABNT NBR ISO 27001 é uma norma de segurança que oferece um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Informação (SGSI). Oferece um anexo com controles de segurança baseados e definidos na Norma ISO 27002 (norma de melhores práticas em segurança da informação): • Política de segurança; • Organizando a segurança da informação;• Gestão de ativos; • Segurança em recursos humanos; • Segurança física e do ambiente; • Segurança nas operações e comunicações; • Controle de acessos; • Aquisição, desenvolvimento e manutenção de sistemas; • Gestão de incidentes de segurança da informação; • Gestão da continuidade do negócio; • Conformidade. AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 28 O Cobit apresenta orientações sobre como manter os riscos das organizações em níveis aceitáveis, a disponibilidade de sistemas e serviços e ainda estar em conformidade com a regulamentação vigente. Com a sua implementação, garante que, na organização, a informação será protegida contra exposição indevida (confidencialidade), alterações impróprias (integridade) e impedimento de acesso (disponibilidade). Possui 12 princípios: • Foco no negócio; • Entregar qualidade e valor às partes interessadas; • Estar em conformidade com os requisitos legais e regulatórios relevantes; • Prover informação tempestiva e precisa sobre o desempenho da segurança da informação; • Avaliar ameaças atuais e futuras à informação; • Promover melhorias contínuas na informação; • Promover melhorias contínuas na informação; • Adotar uma abordagem baseada em risco; • Proteger informação classificada; • Concentrar-se em aplicações críticas de negócio; • Desenvolver sistemas de forma segura; • Atuar de uma maneira profissional e ética; • Promover uma cultura de segurança da informação positiva. AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 29 O Processo APO 13 – Gerenciar a segurança pertence ao domínio Alinhar, planejar e organizar. Tem como objetivo definir, operar e monitorar um sistema de gestão de segurança da informação (SI). Manter o impacto e ocorrências de incidentes de SI dentro dos níveis aceitáveis de risco na organização. Define as seguintes ações: • Estabelecer e manter um ISMS; • Definir e gerenciar um plano de tratamento para o risco de SI; • Monitorar e revisar o ISMS. O processo DSS 05 Gerenciar serviços de segurança pertence ao domínio Monitorar, avaliar e analisar. Tem como objetivo proteger as informações da organização para manter o nível de risco aceitável para a segurança da informação da organização de acordo com a política de segurança. Ele estabelece e mantém as APO 13 Gerenciar a segurança DSS 05 Gerenciar serviços de segurança AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 30 funções de segurança da informação, os privilégios de acesso, e realiza o monitoramento. São ações definidas pelo processo DSS 05: • Proteger contra malware; • Gerenciar segurança de rede e conectividade; • Gerenciar segurança de endpoints; • Gerenciar identidade e acesso lógico e de usuários; • Gerenciar acesso físico a ativos de TI; • Gerenciar documentos e dispositivos de saída sensíveis; • Monitorar a infraestrutura quanto a eventos relacionados à segurança. O SANS Institute mantém uma lista com os 20 controles de segurança mais críticos para as organizações. O objetivo é apresentar os principais controles que todas as empresas e entidades devem priorizar no momento de criar e investir em sua infraestrutura de segurança: • Controles de segurança críticos; • Inventário de dispositivos autorizados e não autorizados; • Inventário de softwares autorizados e não autorizados; • Configurações de segurança para hardware e software; • Avaliação e correção contínuas de vulnerabilidades; • Defesas contra malware; • Segurança de software de aplicação; • Controle de acesso wireless; • Recurso de recuperação de dados; • Avaliação de habilidades de segurança e treinamento adequado para corrigir falhas; • Configurações seguras para dispositivos de rede; • Limitação e controle de portas de rede, protocolos e serviços; • Uso controlado de privilégios administrativos; • Defesa de limites; • Manutenção, monitoramento e análise de registros de auditoria; http://www.sans.org/ AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 31 • Acesso controlado com base na necessidade de saber; • Monitoramento e controle de conta; • Proteção de dados; • Resposta a incidentes e gerenciamento; • Engenharia de rede segura; • Testes de penetração e exercícios da equipe vermelha. Matriz RACI No contexto da segurança da informação e do controle, é essencial que as atribuições e responsabilidades estejam formalizadas e documentadas a fim de evitar dúvidas e posteriores conflitos entre os membros das equipes envolvidas. Nesse sentido, a matriz de responsabilidades ou matriz de designação de responsabilidades, também conhecida como Matriz RACI, é um eficiente instrumento cujo principal objetivo é a atribuição de funções e responsabilidades dentro de um determinado processo, projeto, serviço ou departamento/função. Pessoas Quem faz o quê Quem decide o quê AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 32 A sigla RACI significa: R Responsible - responsável por executar uma atividade (o executor); A Accountable - quem deve responder pela atividade, o dono (apenas uma autoridade pode ser atribuída por atividade); C Consult - quem deve ser consultado e participar da decisão ou atividade no momento em que for executada; I Inform - quem deve receber a informação de que uma atividade ou ação foi executada. Na construção de uma tabela RACI, devemos atribuir as responsabilidades R, A, C e I em tarefas de um processo, serviço ou departamento. Dessa forma, devemos criar uma tabela cujas linhas correspondam às atividades e as colunas, aos responsáveis envolvidos. Cada célula dessa tabela deverá ser preenchida com uma ou mais letras (R, A, C e/ou I), associando cada atividade da linha com os responsáveis descritos em cada coluna, conforme a tabela abaixo: Dono do processo Usuário 1 Usuário 2 Área A Atividade 1 A/R C I C Atividade 2 A R I C Atividade 3 A R I I Atividade 4 A C I R Matriz RACI de um processo de segurança qualquer. AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 33 Existem duas regras básicas que devem ser seguidas na construção de qualquer tabela RACI: • Para toda atividade, deve existir pelo menos (1) um responsável para executá-la (R) e um dono (A); • Não pode existir mais de um dono para uma mesma atividade (A). AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 34 Bibliografia: _______________. A importância da auditoria interna nas corporações. Disponível em: <http://www.portaldeauditoria.com.br/auditoria-interna/A- importanciia-da-auditoria-interna.asp>. Acesso em: 29 ago. 2017. _______________. CISA review manual. Isaca, 2014. _______________. Cobit 5 for assurance. Disponível em: <http://www.isaca.org/COBIT/Pages/Assurance-product-page.aspx>. Acesso em: 29 ago. 2017. _______________. Cobit 5 for information security. Disponível em: <http://www.isaca.org/COBIT/Pages/Information-Security-Product-Page.aspx>. Acesso em: 29 ago. 2017. _______________. The critical security controls. Solution providers. San institute. Disponível em: <https://www.sans.org/media/critical-security-controls/fall-2014- poster.pdf?utm_medium=Social&utm_source=Twitter&utm_content=SANSInstitute+ POSTER+20+Critical+Controls&utm_campaign=SANS+20+Critical+Security+Control s+>. Acesso em: 29 ago. 2017. CAMPOS, A. L. N. Sistema de segurança da informação: controlando os riscos. São Paulo: Visual Books, 2005. DAYCHOUM, M. 40 + 8 ferramentas e técnicas de gerenciamento. 4. ed. Rio de Janeiro: Brasport, 2012. DIAS,C. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: Axcel Books, 2000. http://www.portaldeauditoria.com.br/auditoria-interna/A-importanciia-da-auditoria-interna.asp http://www.portaldeauditoria.com.br/auditoria-interna/A-importanciia-da-auditoria-interna.asp http://www.isaca.org/COBIT/Pages/Assurance-product-page.aspx http://www.isaca.org/COBIT/Pages/Assurance-product-page.aspx http://www.isaca.org/COBIT/Pages/Information-Security-Product-Page.aspx https://www.sans.org/media/critical-security-controls/fall-2014-poster.pdf?utm_medium=Social&utm_source=Twitter&utm_content=SANSInstitute+POSTER+20+Critical+Controls&utm_campaign=SANS+20+Critical+Security+Controls https://www.sans.org/media/critical-security-controls/fall-2014-poster.pdf?utm_medium=Social&utm_source=Twitter&utm_content=SANSInstitute+POSTER+20+Critical+Controls&utm_campaign=SANS+20+Critical+Security+Controls https://www.sans.org/media/critical-security-controls/fall-2014-poster.pdf?utm_medium=Social&utm_source=Twitter&utm_content=SANSInstitute+POSTER+20+Critical+Controls&utm_campaign=SANS+20+Critical+Security+Controls https://www.sans.org/media/critical-security-controls/fall-2014-poster.pdf?utm_medium=Social&utm_source=Twitter&utm_content=SANSInstitute+POSTER+20+Critical+Controls&utm_campaign=SANS+20+Critical+Security+Controls AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 35 FERREIRA, F. N. F.; ARAÚJO, M. T. Política de segurança da informação. Rio de Janeiro: Ciência Moderna, 2006. GIL, A. de L. Auditoria de computadores. São Paulo: Atlas, 1998. IMONIANA, J. O. Auditoria e sistemas de informação. 2. ed. São Paulo: Atlas, 2008. LYRA, M. R. Segurança e auditoria em sistemas de informação. Rio de Janeiro: Ciência Moderna, 2008. MARTINS, J. C. C. Gestão de projetos de segurança da informação. Rio de Janeiro: Brasport. 2003. PALMA, F. A matriz RACI é a solução de seus problemas. Disponível em: <http://www.portalgsti.com.br/2013/04/matriz-raci.html>. Acesso em: 29 ago. 2017. PEIXOTO, M. C. P. Engenharia social e segurança da informação. Rio de Janeiro: Brasport, 2006. SCHMIDT, P.; Santos, J. L. dos; Arima, C. H. Fundamentos de auditoria de sistemas. Rio de Janeiro: Atlas, 2006. http://www.portalgsti.com.br/2013/04/matriz-raci.html
Compartilhar