auditoria e controles de seguranÇa da...
TRANSCRIPT
AUDITORIA E CONTROLES DE SEGURANÇA DA INFORMAÇÃO
O papel da área de Controles Internos nas organizações
A necessidade constante de um excelente desempenho empresarial, leva à
busca da qualidade e confiabilidade da informação para o auxílio à decisão. O
mercado globalizado e o acesso fácil a todo tipo de informação tem
formado clientes cada vez mais seletivos e criteriosos. Em função disso
as empresas encontram-se levadas a desenvolver cada vez mais estratégias
de melhoria contínua que assegurem a busca pela excelência de produtos e
processos.
As organizações necessitam assegurar que os processos internos executados
pelos agentes humanos e computacionais não sofrerão desvios. Este elemento
interno responsável pelo controle dos processos da organização é chamado de
controle interno. O controle interno compreende todo o conjunto de
controles, implementados sob responsabilidade da gestão da organização.
Assim como a tecnologia evoluiu, ao longo do tempo o conceito de controles
internos também evoluiu nas organizações. O que era antes conhecido como
simplesmente procedimentos de controle modificou-se para uma estrutura de
controles internos. A estrutura de controles internos de uma organização pode
ser definida como os processos executados para apoiar e orientar a organização
no cumprimento dos objetivos da instituição quanto à eficiência e eficácia nas
operações e sua gestão.
As funções principais do controle interno estão relacionadas ao cumprimento
dos objetivos da entidade. Desta forma a existência de objetivos e metas é
condição principal para a existência dos controles internos. Ele será efetivo
quando as pessoas da organização souberem quais são suas responsabilidades,
seus limites de autoridade e sua competência.
Podemos então concluir que para a organização atingir seu objetivo deverá
realizar a avaliação contínua dos controles internos com o objetivo de identificar
e analisar os riscos associados ao não-cumprimento das metas e objetivos
operacionais. A identificação e gerenciamento dos riscos é uma ação proativa,
que permite evitar surpresas desagradáveis nas organizações. São os
administradores que devem definir os níveis de riscos operacionais e de
informação que estão dispostos a assumir.
Aspectos de controle e Segurança
Na sociedade da informação, ao mesmo tempo em que as informações são
consideradas o principal patrimônio de uma organização, estão também sob
constante risco, como nunca estiveram antes.
Orientação
Fiscalização
Auditoria
Controle Interno
Com isso, a segurança da informação tornou-se um ponto crucial para a
sobrevivência das instituições. Neste sentido um dos focos das fiscalizações de
Tecnologia da Informação (TI), realizadas pelas organizações é a verificação da
conformidade e do desempenho das ações organizacionais em aspectos de
segurança de tecnologia da informação, utilizando critérios fundamentados com
o objetivo de contribuir para o aperfeiçoamento da gestão organizacional,
assegurando que a tecnologia da informação agregue valor ao negócio da
organização.
A auditoria de segurança da informação só tem sentido por permitir melhoria do
tratamento da informação na organização. Ela cumpre basicamente as mesmas
funções de uma auditoria de sistemas de informação, tais como descritos por
Imoniana (2004) e por Schmidt, dos Santos e Arima (2005).
A informação é produzida, identificada, armazenada, distribuída, usada e
processada em todos os níveis da organização, visando o alcance dos objetivos
de negócio,suas práticas definidas pelos sistemas de informação que apoiam os
processos de trabalho na organização, sejam eles manuais ou automáticos.
A gestão da informação tem fundamentos na administração, na contabilidade,
na arquivologia, nas tecnologias da informação e da comunicação, nas ciências
da informação e da computação, entre outras.
Como ferramenta de segurança, a gestão da informação lança mão de
elementos organizacionais, humanos, físicos e tecnológicos, integrados por meio
de arquitetura e engenharia de sistemas, ou de forma mais geral através de
uma abordagem cibernética.
Metodologia de auditoria em TI;
A auditoria em ambiente de tecnologia da informação não muda a formação
exigida para a profissão de auditor. A diferença está nas informações até então
disponíveis em forma de papel são agora guardadas em forma eletrônica.
O enfoque de auditoria teve que se modificar para assegurar que essas
informações agora em formato eletrônica sejam confiáveis antes do auditor
emitir seu relatório, já que ele está calcado na confiança e controle interno.
Podemos então definir a auditoria como:
Desta forma, visam confirmar se os controles internos foram implementados e
se existem e em caso afirmativo, se são efetivos. Neste contexto, as auditorias
podem apresentar diferentes objetivos:
Um exame sistemático e independente
para determinar se as atividades e
seus resultados estão de acordo com
as disposições planejadas, se estas
foram implementadas com a eficácia e
se são adequadas à consecução dos
objetivos.”
Segundo Lyra, é possível pensarmos em uma metodologia de trabalho que seja
flexível e aderente a todas as modalidades de auditoria em sistemas de
informação. Esta metodologia é composta basicamente pelas seguintes fases:
Planejamento e controle do projeto de auditoria
Estabelece-se o planejamento inicial das ações e recursos necessários para a
execução da auditoria. Nesta fase leva-se em consideração a abrangência das
ações, o enfoque que se deseja, a definição dos procedimentos a serem
utilizados durante o trabalho de auditoria, a escolha de alternativas para a
realização dos trabalhos, acompanhamento e controle dos resultados obtidos.
Devem ser utilizados ferramentas e métodos de planejamento, como por
exemplo, o PMBOK e também deve ser formado o grupo de trabalho. Nesta fase
deverá ser elaborado o plano da auditoria onde deve ficar claro:
As expectativas de quem pediu a auditoria;
Os critérios da auditoria: padrões e confidencialidade;
As necessidades e interesses do auditado;
A documentação que deve estar disponível;
A agenda proposta para auditoria
Conformidade com padrões
Melhoria do sistema de gestão
Compliance Certificação
Melhoria de Processo
Levantamento das informações
Uma vez delimitado o escopo do trabalho, inicia-se o processo de levantamento
das informações relevantes para a auditoria. Este levantamento deverá ocorrer
de forma abrangente, mas que se tenha o entendimento do objeto da auditoria.
Podemos nesta fase utilizar técnicas de entrevista e análise da documentação
existente, colocando as informações de forma gráfica ou descritiva. O
importante aqui é identificar claramente o escopo. Esta fase é essencial para
evitar a possibilidade de execução de trabalho em áreas não pertencentes ao
escopo.
Identificação e inventário dos pontos de controles
Nesta etapa busca-se identificar os diversos pontos de controles que merecem
ser validados no contexto do escopo da auditoria. Cada ponto de controle deve
ser relacionado, seus objetivos descritos, assim como as suas funções,
parâmetros, fraquezas e técnicas de auditoria mais adequadas à sua validação.
O resultado deste levantamento deve ser encaminhado ao grupo de
coordenação da auditoria para uma validação quanto a sua pertinência para
garantir que o objetivo da auditoria será atingido.
Priorização e seleção dos pontos de controle
Esta etapa consiste na seleção e priorização dos pontos de controle que foram
inventariados na etapa anterior e que devem fazer parte da auditoria a ser
realizada. Podem ser considerados os seguintes critérios:
Grau de risco existente no ponto de controle
Existência de ameaças
Disponibilidade de recursos
Avaliação dos pontos de controles
Esta etapa consiste na realização de testes de validação dos pontos de controle,
Segundo as especificações e parâmetros determinados nas etapas anteriores. É
a auditoria propriamente dita. Devem ser utilizadas técnicas de auditoria que
evidenciem falhas ou fraquezas dos pontos de controles auditados.
Normalmente existe uma técnica de auditoria e ferramenta mais eficiente para
cada objetivo e característica do ponto de controle.
Conclusão da auditoria
Nesta etapa é realizada a elaboração do relatório de auditoria contendo o
resultado encontrado, qualquer que seja ele. Este relatório deve conter o
diagnóstico da situação atual, dos pontos de controle, caso existam, e as
fraquezas dos controles, segundo as especificações das etapas anteriores.
O fato de um ponto de controle apresentar uma fraqueza transforma-o em
ponto de auditoria, e, portanto deve constar no relatório de auditoria
recomendações para solução ou mitigação dessa fraqueza. Cada ponto de
auditoria deverá sofrer revisão e avaliação, após um prazo dado para tomada
de medidas corretivas.
Nesta fase ocorre também o encerramento da auditoria com a apresentação do
relatório. O auditor Líder deverá apresentar um breve resumo do processo e
objetivo da auditoria. Deverá ser apresentado parecer por área auditada, assim
como as recomendações.
Neste momento deverão ser acordadas as datas para as ações corretivas e
distribuídas cópias do relatório entre todos os participantes.
Acompanhamento da auditoria
O acompanhamento da auditoria (follow-up) deve ser efetuado até que todas
as recomendações tenham sido executadas e as fraquezas tenham sido
eliminadas ou atinjam um nível tolerável pela organização.
Uma auditoria bem planejada aperfeiçoa a utilização do tempo da auditoria,
tornando as auditorias mais significativas, além de mostrar ao auditado que o
auditor está preparado e também demonstrar uma atitude profissional.
Documentação: papéis de trabalho, Relatórios de Auditoria e Pareceres
Os Papéis de Trabalho de auditoria constituem um registro permanente do
trabalho efetuado pelo auditor, dos fatos e informações obtidos, bem como as
conclusões sobre os exames. É com base nos papéis de trabalho que o
auditor irá relatar suas opiniões, criticas e sugestões. Eles servem de suporte
para a elaboração dos relatórios de auditoria.
Os Papéis de trabalho auxiliam o auditor na execução de exames, evidenciando
o trabalho feito e as conclusões emitidas. É através deste artefato que poderá
ser verificado se o serviço de auditoria foi feito de forma adequada e eficaz,
assim como a solidez das conclusões emitidas.
É importante que apresentem os detalhes do trabalho realizado, tais como: os
fatos e informações importantes, escopo do trabalho efetuado, fonte das
informações obtidas, opiniões e conclusões.
Devemos ter em mente que este será um material que poderá ser
posteriormente consultado por outros auditores, portanto o quanto mais
completos melhor será seu entendimento por outro auditor.
O Relatório de Fraquezas de controle interno apresenta o objetivo do projeto
de auditoria, a lista dos pontos de controle auditados, a conclusão alcançada a
cada ponto de controle, além das alternativas de solução propostas.
O Certificado de Controle Interno indica se o ambiente está em boa,
razoável ou má condição em relação aos parâmetros de controle interno e
apresenta o parecer da auditoria em termos globais e sintéticos.
O manual de auditoria do ambiente auditado armazena o planejamento da
auditoria, os pontos de controle testados e serve como referência para futuras
auditorias. É composto por toda a documentação anterior já citada.
AS pastas contendo a documentação da auditoria de sistemas irão conter toda
a documentação do ambiente e dos trabalhos realizados como: relação de
programas, relação de arquivos do sistema, relação de relatórios e telas, fluxos,
atas de reunião, etc.
Produtos gerados pela auditoria
Relatório de fraquezas de controle interno
Manual de auditoria do ambiente a ser auditado
Certificado de controle interno
Pastas contendo a documentação obtida
Papéis e responsabilidades
Existem diferentes papéis em um processo de auditoria.
O auditor é quem realiza as auditorias propriamente dita. Ele deve planejar e
realizar suas atribuições de forma eficaz e com competência, comunicar aos
clientes e esclarecer os requisitos da auditoria, quando necessário.
É primordial que ele documente as observações durante a realização da
auditoria, relate os resultados da auditoria e verifique a eficácia das ações
corretivas, quando solicitado.
É o cliente quem solicita a auditoria e determina o seu propósito. Ele deve
informar aos colaboradores envolvidos no processo de auditoria os objetivos e
escopo da auditoria, assim como indicar as pessoas guias responsáveis. É de
sua responsabilidade também receber o relatório de auditoria, realizar análise
crítica, determinar as ações de acompanhamento e informar ao auditado.
O papel do auditado é informar aos funcionários sobre a auditoria, indicar
acompanhantes e prover recursos à equipe de auditoria, assim como acesso
aos meios e ao material comprobatório. Deve cooperar com os auditores e após
a realização da auditoria deverá definir e iniciar ações corretivas.
O auditor líder é responsável em última instância por todas as fases da
auditoria. Participa da seleção da equipe e prepara o plano de auditoria. É ele
quem representa a equipe frente à Administração do auditado e entregar o
relatório de auditoria.
Auditor
Cliente
Auditado
Auditor Líder
A auditoria na Tecnologia da Informação
Com a dependência das organizações nos processos de Tecnologia da
Informação e nas informações geradas, nos investimentos realizados na área
de TI e na necessidade da garantia da segurança das informações críticas existe
a necessidade da aplicação correta e gerenciada dos recursos, de forma que a
TI atenda às necessidades de negócio de cada entidade, ou seja, que agregue
valor às suas funções finalísticas.
Assim, à medida que a tecnologia se confunde com os produtos da
organização, a TI e as informações geradas por meio dela deixam de ser uma
questão meramente operacional e administrativa para se tornar uma questão
estratégica.
Neste contexto, a Governança de TI é aplicada de forma a alinhar o uso da
Tecnologia da informação aos objetivos de negócio de cada organização
possibilitando que se garanta:
continuidade dos serviços
atendimento a marcos regulatórios
definição clara do papel da TI dentro da organização
alinhamento dos processos operacionais e de gestão a padrões que
atendam a necessidade do negócio
definição de regras claras acerca de responsabilidades sobre
decisões e ações dentro da organização
• Planos
• Políticas
Dirigir
• Propostas
Avaliar
• Desempenho
• Conformidade
Monitorar
Existem diversos modelos que podem ser implementados em diferentes níveis
organizacionais de forma complementares:
Desenvolvido pela ISACA, o COBIT é um modelo abrangente aplicável para a
auditoria e controle de processos de TI, desde o planejamento da
tecnologia até a monitoração e auditoria de todos os processos. Fornece
um modelo abrangente que auxilia as organizações a atingirem seus objetivos
de governança e gestão de TI e na versão atual apresenta 5 princípios:
Entre seus objetivos está a garantia de que, na organização, a informação é
Cobit
ITIL
ISO 27002
CMMI /MPS-BR
PMBOK
protegida contra exposição indevida (confidencialidade), alterações
impróprias (integridade) e impedimento de acesso (disponibilidade). É
constituído por:
O ITIL foi desenvolvido pelo atual OGC (Office of Government Commerce),
órgão público que busca otimizar e melhorar os processos internos do governo
britânico. O ITIL é uma biblioteca de melhores práticas voltada para a área de
TI, mais especificamente para a ares de infraestrutra.
O ITIL surgiu em 1986 com o desenvolvimento do conjunto de mais de 40livros
que abordavam uma variedade de melhores práticas de TI. A partir de 1999,
foram acrescentados sete livros principais que tratamos processos amplamente
aceitos como um framework de melhores práticas para Gerenciamento de
Serviços de TI (IT Service Management - ITSM). Em 2007, transcorridos 21
anos, em sua Versão 3, foi reorganizado para cinco livros principais e um livro
oficial de introdução.
COBIT
4 Domínios
34 processos
210 0bjetivos de controles
PO – Planejar e Organizar AI - Adquirir e Implementar
DS – Entregar e Suportar
ME – Monitorar e Avaliar
O PMBOK (Project Management Body of Knowledge) é um conjunto de
conhecimentos gerenciado pela organização Project Management Institute
(PMI). Tornou-se um padrão, de fato, em diversas indústrias. Não se trata de
uma metodologia de gerenciamento de projetos, e sim, de uma padronização
que identifica e nomeia processos, áreas de conhecimento, técnicas, regras e
métodos. Áreas de conhecimento do PMBOK:
Integração
Escopo
Tempo
Custo
Qualidade
Recursos humanos
Riscos
Aquisição
Partes Interessadas
O CMMI é um modelo internacional desenvolvido pelo Software Engineering
Institute-SEI em 1992. O modelo utiliza o conceito de constelação e são
apresentados três constelações:
Uma constelação é um conjunto de componentes CMMI utilizados para construir
modelos, materiais de treinamento e documentos de avaliação relacionados a
uma área de interesse.
Diretrizes para entrega de serviços dentro das organizações
e para clientes externos.
Diretrizes para Suportar as decisões relacionadas à aquisição de produtos e
serviços
Diretrizes para monitorar, mensurar e gerenciar processos de
desenvolvimento
Possui representação: estágios (5 níveis) ou contínua (6 níveis). Na
representação contínua a organização escolhe uma determinada área de
processo e trabalha na melhoria desses processos. Já na representação por
estágio é utilizado conjuntos predefinidos de área de processo para
estabelecer um caminho de melhoria para a organização.
O processo de auditoria de Tecnologia da Informação deverá tomar como
referência os padrões e modelos já adotados pelas organizações. Existem
diversos modelos e padrões, como vimos acima, que podem ser utilizados em
diferentes momentos e área tecnológica. No caso da inexistência de tal modelo
na organização, deverá ser adotado modelos de referência já utilizados no
mercado de TI.
A auditoria de tecnologia da informação como já estudaos anteriormente é um
exame sistêmico dos controles internos dentro do ambiente computacional da
organização. O objetivo de uma auditoria de TI é levantar e documentar
"evidências" das práticas e operações no âmbito da tecnologia da informação
e realizar uma avaliação sobre a conformidade destas ações.
Ela verifica se estas operações e ações da organização estão sendo realizadas
de forma eficaz e eficiente para alcançar os objetivos de negócio da
organização. São utilizadas para avaliar a capacidade da organização para
proteger seus ativos de informação e dispensar corretamente as informações
para as partes autorizadas.
Desta forma, a auditoria poderá avaliar o risco das informações mais valiosas
para as organizações e estabelecer métodos de minimizar os riscos. Neste caso
a auditoria de TI tem como objetivo avaliar:
Se os sistemas de computador da organização estão disponíveis para o
negócio em todos os momentos, quando necessário. (Disponibilidade)
Que as informações da organização estão sendo divulgadas apenas para
usuários autorizados. (Confidencialidade)
Se as informações fornecidas estão exatas, confiáveis e em tempo
oportuno. (Integridade)
Auditoria de sistemas
O Objetivo da auditoria de sistemas é proporcionar através da inspeção e
elaboração de relatório de auditoria a adequação, revisão, avaliação e
Auditoria
Controles organizacionais e
operacionais
Aquisição, Desenvolvimento,
Manutenção e Documentação de
sistemas
Controles de hardware
Controles de acesso
Operação e computador
Suporte técnico
Sistemas Aplicativo
Plano de contingência e de recuperação de
desastres
Redes de computadores
recomendação para o aprimoramento dos controles internos nos sistemas de
informação das organizações. Neste contexto são avaliados a utilização dos
recursos humanos, materiais e tecnológicos envolvidos nos processamento dos
mesmos e desta forma devem ocorrer em todos os sistemas da organização
seja no nível estratégico, tático ou operacional.
Para a realização desta verificação é necessário um processo sistêmico que
envolve os seguintes passos:
Metodologia
Planejamento
Levantamento do sistema
Identificação e inventário dos pontos de controle
Priorização e seleção dos pontos de controle
Avaliação dos pontos de controle
Conclusão da auditoria
Acompanhamento
Devido à complexidade dos sistemas informatizados, existem diferentes
momentos para a realização das auditorias de sistemas:
A auditoria durante o desenvolvimento de sistemas compreende auditar
todo o processo de construção do sistema: fase de requisitos até a sua
implantação, assim como o processo e metodologia. Já a auditoria de
sistemas em produção preocupa-se com os procedimentos e resultados dos
sistemas já implantados: segurança, corretude e tolerância a falhas.
Auditoria Sistemas de Informação
Auditoria durante o desenvolvimento
de sistemas
Auditoria de sistemas em
produção
Auditoria no ambiente
tecnológico
Auditoria em eventos
específicos
A Auditoria no ambiente tecnológico preocupa-se com a estrutura
organizacional, contratos, normas técnicas, custos, nível de utilização dos
equipamentos e planos de segurança e contingência. A auditoria em eventos
específicos tem como foco a análise das causas, consequências e ações
corretivas cabíveis em eventos não cobertos pelas auditorias anteriores.
Técnicas de auditoria de sistemas
As técnicas de auditoria tem como objetivo auxiliar os auditores em seus
processos de trabalho de forma a diminuir os custos envolvido no processo de
auditoria, melhorar a qualidade do trabalho realizado, além de melhorar a
produtividade. Existem diferentes técnicas que podem ser utilizadas juntas ou
separadas.
Test deck
Conjunto de dados de entrada especialmente preparado com o objetivo de
testar os controles programados e os controles dos sistemas aplicativos
Simulação paralela
Elaboração de massa de teste a ser submetida ao programa ou rotina
Questionários à distância
Verifica a adequação do ponto de controle aos parâmetros de controle interno
(segurança física, lógica, eficácia, eficiência, etc).
Visita in loco
Consiste na atuação do equipe de auditoria junto ao pessoal de sistemas e
instalações
Rastreamento e mapeamento
Desenvolvimento e implementação de trilha de auditoria para acompanhar
certos pontos da lógica do processamento de algumas transações
Análise da lógica de programação
Verificação da lógica de programação para certificar que as instruções dadas ao
computador são as mesmas já identificadas nas documentações dos sistemas
aplicativos.
Lógica de auditoria embutida no sistema
Inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos.
Periodicamente, os relatórios de auditoria são emitidos para a revisão e o
acompanhamento dos procedimentos operacionais.
Rastreamento de programas
Possibilita seguir o caminho de uma transação durante o processamento do
programa. Objetiva identificar as inadequações e ineficiência na lógica de um
programa.
Entrevistas no ambiente computacional
Realização de reuniões entre o auditor e o auditado. Existem diversas técnicas
que podemos utilizar para a realização de entrevistas como por exemplo,
5W+1H (What, Who, Where,When, Why e How).
Análise de relatórios / telas
Analise de relatórios e tela no que se refere ao nível de utilização pelo usuário,
ao grau de confidencialidade, forma de utilização de integração com outras telas
/ relatórios, padronização dos layouts e distribuição das informações.
Análise de log / accounting
Permite verifica a utilização de todos os ativos de TI envolvidos no objeto da
auditoria.
Análise do programa fonte
Consiste na análise visual do programa e na comparação da versão do objeto
que está sendo executado com o objeto resultante da última versão do
programa fonte compilado.
Exibição parcial da memória snap shot
Técnica que fornece uma listagem ou gravação do conteúdo do programa
(acumuladores, chaves, áreas de armazenamento), quando determinado
registro está sendo processado (dump parcial de memória).
Ferramentas de auditoria
Dentro do contexto tecnológico atual é necessário que o auditor utilize
ferramentas. Em todo e qualquer trabalho de auditoria seja interna ou externa,
é importante que o auditor utilize instrumentos que auxilie e agilize o
desenvolvimento dos trabalhos. Neste sentido existem ferramentas que apoiam
os auditores a conseguir alcançar suas metas, tal como elas foram definidas no
planejamento prévio da auditoria.
Existem diferentes modalidades de ferramentas assistidas por computador com
objetivo e funcionalidades diferentes e que podem ser utilizadas em conjunto ou
separadas.
Uma ferramenta generalista envolve o uso de software aplicativo ou um
conjunto de programas e podem realizar as seguintes funções:
Simulação paralela
Extração de dados de amostra
Testes globais
Geração de dados estatísticos
Sumarização
Composição de arquivo
Apontamento de duplicidade de registro
Sequência incorreta de registro
São ferramentas com capacidade de processar, analisar e simular amostras,
sumarizar, apontar possíveis duplicidades, gerar dados estatísticos, e diversas
outras funções.
Ferramentas de Auditoria
Generalista
Especializadas
Utilidade geral
As ferramentas especialistas, são programas desenvolvidos especificamente
para executar certas tarefas numa circunstância definida. Já os programas
especializados são utilizados para executar algumas funções muito comuns de
processamento,como por exemplo, ordenar sumarizar, concatenar e gerar
relatório.
A grande vantagem desse tipo de ferramenta é que o auditor pode desenvolver
um software especializado, em uma área muito complexa, utilizando isso como
uma vantagem competitiva
As ferramentas de utilidade geral podem ser classificadas com softwares
utilitários, próprios para a execução de funções muito comuns de
processamento, como sortear arquivos, concatenar, sumarizar e gerar
relatórios. Sua grande vantagem está na capacidade que possuem de servir
como substitutos na ausência de recursos mais completos.
Controles de Segurança da Informação
A Norma ABNT NBR ISO 27001 é uma norma de segurança que oferece um
modelo para estabelecer, implementar, operar, monitorar, analisar criticamente,
manter e melhorar um Sistema de Gestão de Informação (SGSI). Oferece um
anexo com controles de segurança baseados e definidos na norma ISO 27002
(norma de melhores práticas em segurança da informação):
Política de segurança
Organizando a segurança da informação
Gestão de ativos
Segurança em recursos humanos
Segurança física e do ambiente
Segurança nas operações e comunicações
Controle de acessos
Aquis., desenv. e manut. de sistemas
Gestão de incidentes de segurança da informação
Gestão da cont. do negócio
Conformidade
O COBIT apresenta orientações sobre como manter os riscos das organizações
em níveis aceitáveis, a disponibilidade de sistemas e serviços e ainda estar em
conformidade com a regulamentação vigente. Com a sua implementação
garante que, na organização, a informação será protegida contra exposição
indevida (confidencialidade), alterações impróprias (integridade) e impedimento
de acesso (disponibilidade). Apresenta 12 princípios :
Foco no negócio
Entregar qualidade e valor às partes interessadas
Estar em conformidade com os requisitos legais e regulatórios relevantes
Prover informação tempestiva e precisa sobre o desempenho da
segurança da Informação
Avaliar ameaças atuais e futuras à informação
Promover melhorias contínuas na informação
Promover melhorias contínuas na informação
Adotar uma abordagem baseada em risco
Proteger informação classificada
Concentrar-se em aplicações críticas de negócio
Desenvolver sistemas de forma segura
Atuar de uma maneira profissional e ética
Promover uma cultura de Segurança da Informação positiva
O Processo APO 13 – Gerenciar a segurança, pertence ao domínio Alinhar,
planejar e Organizar. Tem como objetivo definir, operar e monitorar um sistema
de gestão de segurança da informação (SI). Manter o impacto e ocorrências de
incidentes de SI dentro dos níveis aceitáveis de risco na organização. Define as
seguintes ações:
Estabelecer e manter um ISMS
Definir e gerenciar um plano de tratamento para o risco de SI
Monitorar e revisar o ISMS
O processo DSS - 05 Gerenciar Serviços de Segurança, pertence ao
domínio Monitorar, Avaliar e Analisar. Tem como objetivo proteger as
informações da organização para manter o nível de risco aceitável para a
segurança da informação da organização, de acordo com a política de
segurança. Ele estabelece e mantém as funções de segurança da informação,
os privilégios de acesso e realiza o monitoramento. São ações definidas pelo
processo DSS 05:
APO 13
Gerenciar a Segurança
DSS 05
Gerenciar Serviços de Segurança
Proteger contra malware
Gerenciar segurança de rede e conectividade
Gerenciar segurança de endpoints
Gerenciar identidade e acesso lógico e de usuários
Gerenciar acesso físico a ativos de TI
Gerenciar documentos e dispositivos de saída sensíveis
Monitorar a infraestrutura quanto a eventos relacionados a segurança
O SANS Institute, mantém uma lista com os 20 controles de segurança mais
críticos para as organizações. O objetivo é apresentar os principais controles
que todas as empresas e entidades devem priorizar no momento de criar e
investir em sua infraestrutura de segurança:
Controles de Segurança críticos
Inventário de dispositivos autorizados e não autorizados
Inventário de Software autorizados e não autorizados
Configurações de segurança para hardware e software
Avaliação e correção contínuas de vulnerabilidades
Defesas contra Malware
Segurança de software de aplicação
Controle de acesso Wireless
Recurso de recuperação de dados
Avaliação de habilidades de segurança e treinamento adequado para
corrigir falhas
Configurações seguras para dispositivos de rede
Limitação e controle de portas de rede, protocolos e serviços
Uso controlado de privilégios administrativos
Defesa de limites
Manutenção, monitoramento e análise de registros de auditoria
Acesso controlado com base na necessidade de saber
Monitoramento e Controle de Conta
Proteção de dados
Resposta a incidentes e gerenciamento
Engenharia de rede segura
Testes de Penetração e Exercícios da equipe vermelha
Matriz RACI
No contexto da segurança da informação e do controle é essencial que as
atribuições e responsabilidades estejam formalizadas e documentadas a fim de
evitar dúvidas e posteriores conflitos entre os membros das equipes envolvidas.
Neste sentido a matriz de responsabilidades ou matriz de designação de
responsabilidades, também conhecida como Matriz RACI é um eficiente
instrumento cujo principal objetivo é a atribuição de funções e
responsabilidades dentro de um determinado processo, projeto, serviço ou
departamento/função.
Pessoas
Quem faz o quê
Quem decide o quê
A sigla RACI significa:
R Responsible - Responsável por executar uma atividade (o
executor);
A Accountable - Quem deve responder pela atividade, o dono (apenas
uma autoridade pode ser atribuída por atividade);
C Consult - quem deve ser consultado e participar da decisão ou atividade no momento que for executada;
I Inform - quem deve receber a informação de que uma atividade ou ação foi executada.
Na construção de uma tabela RACI devemos atribuir às responsabilidades R, A,
C e I em tarefas de um processo, serviço ou departamento. Desta forma
devemos criar uma tabela, onde as linhas correspondem as atividades e as
colunas os responsáveis envolvidos. Cada célula desta tabela deverá ser
preenchida com um ou mais letras (R, A, C e/ou I) associando cada atividade
da linha com os responsáveis descritos em cada coluna, conforme a tabela
abaixo:
Dono do
Processo
Usuário1 Usuário2 Área A
Atividade 1 A/R C I C
Atividade 2 A R I C
Atividade 3 A R I I
Atividade 4 A C I R Matriz RACI de um processo de segurança qualquer.
Existem duas regras básicas que devem ser seguidas na construção de qualquer
tabela RACI:
Para toda atividade, deve existir pelo menos 01 um responsável em
executá-la (R) e um dono (A);
Não pode existir mais de um dono para uma mesma atividade (A).
Referências:
SCHMIDT, Paulo; Santos, Jose Luiz dos; Arima, Carlos Hideo. Fundamentos de
Auditoria de Sistemas. Rio de Janeiro, Atlas, 2006
FERREIRA, Fernando N. Freitas ; ARAÚJO, Márcio T. Política de Segurança da
Informação. Ciência Moderna, 2006.
PEIXOTO, Mario Cesar Pintaudi. Engenharia Social e Segurança da Informação.
Brasport, 2006.
CAMPOS, Andre L.N. Sistema de Segurança da Informação: Controlando os
Riscos. São Paulo, Visual Books, 2005.
Cobit for assurancce: http://www.isaca.org/COBIT/Pages/Assurance-product-
page.aspx , última consulta em 24/10/2015.
COBIT 5 for security: http://www.isaca.org/COBIT/Pages/Information-Security-
Product-Page.aspx , última consulta em 24/10/2015.
Daychoum, Merhi 40 + 8 ferramentas e técnicas de gerenciamento / Merhi
Daycoum; prefácio Ana Cláudia Baumotte. – 4. Ed. – Rio de Janeiro: Barsport,
2012.
DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. Rio de
Janeiro, Axcel Books, 2000.
GIL, Antonio de Loureiro. Auditoria de Computadores. SAO PAULO: ATLAS,
1998. CISA, Review Manual. Edição 2014, ed. ISACA
Imoniana, Joshua Onome, Auditoria e Sistemas de Informação, 2. Ed. – São
Paulo: atlas, 2008.
Lyra, Maurício Rocha Segurança e Auditoria em Sistemas de Informação Rio de
Janeiro: Editora Ciência Moderna Ltda. , 2008.
MARTINS, José Carlos Cordeiro. Gestão de Projetos de segurança da
Informação. Brasport. 2003.
Matriz RAcI: http://www.portalgsti.com.br/2013/04/matriz-raci.html , acessado
em 20/11/2015.
Portal de Auditoria: http://www.portaldeauditoria.com.br/auditoria-interna/A-
importanciia-da-auditoria-interna.asp, última consulta em 24/10/2015
San institute: https://www.sans.org/media/critical-security-controls/fall-2014-
poster.pdf?utm_medium=Social&utm_source=Twitter&utm_content=SANSInstit
ute+POSTER+20+Critical+Controls&utm_campaign=SANS+20+Critical+Securit
y+Controls+ , última consulta em 24/10/2015