Projeto de Auditoria de Segurança de TI

Por definição, podemos dizer que um projeto é algo único, exclusivo e temporário que possui começo, meio e fim e que deve ser gerenciado e monitorado. Bem, um projeto de auditoria de segurança de TI, possui a mesma definição sobre projeto, porém seu escopo está relacionado à área da segurança da informação ou segurança cibernética.

Um projeto de auditoria de segurança de TI não é algo fácil de ser realizado e concluído, muito pelo contrário, trata-se de um projeto complexo que irá durante as fases de planejamento e execução abranger todos os aspectos relacionados à segurança da informação e segurança cibernética, além de questões relacionadas a gerenciamento, gestão, políticas, normas e procedimentos adotados por parte da organização para garantir a proteção de seus ativos de TI.

Além do mencionado anteriormente, um projeto de auditoria da segurança de TI deve considerar no seu escopo:

  1. a arquitetura e design da segurança da informação e segurança cibernética;
  2. os sistemas de rede e telecomunicações;
  3. os sistemas de autenticação e autorização de acessos físicos e lógicos a usuários;
  4. os planos de continuidade de negócio;
  5. os planos de continuidade de TI;
  6. os planos de contingência de TI.
  7. os planos de recuperação de desastre;
  8. a gestão de risco e compliance da área de TI e, demais outros aspectos que a própria auditoria julgar necessária em relação o modelo de negócio da organização.

Como práticas para a elaboração de um projeto de auditoria de segurança de TI, apresentamos:

  1. Reunião de Kick-Off – momento em que o auditor irá conduzir uma reunião com a alta administração da organização, para realizar um brainstorming que terá como objetivo fomentar todas as necessidades e expectativas da alta administração com relação a auditoria que será realizada;
  2. Planejamento – momento em que o auditor coloca no papel tudo aquilo que será realizado durante a auditoria. Ou seja, é o momento em que o auditor irá construir o escopo do projeto de auditoria, baseando-se em diversos fatores tais como:
    1. objetivo da auditoria;
    2. itens envolvidos durante o processo de exame e avaliação realizado pela auditoria;
    3. necessidades e expectativas das partes interessadas;
    4. premissas e restrições;
    5. tempo de execução da auditoria;
    6. mecanismos de controle e check point da auditoria;
    7. custo (para auditorias externas) da auditoria;
    8. fatores críticos de TI a serem auditados;
    9. mecanismos de avaliação;
    10. formato dos resultados (não conformidade) encontrados;
    11. modelos de entrega de evidências;
    12. recursos necessários à realização da auditoria; e demais itens que julgar necessários a realização da auditoria;
  3. Execução – momento em que o auditor realiza a auditoria, ou seja, momento em que o auditor realiza os processos relacionados ao exame e avaliação dos ativos de TI, incluindo políticas, planos, normas, controles, procedimentos e mecanismos de segurança da informação e segurança cibernética. Em geral, a fase de execução é uma fase que requer uma atenção redobrada do auditor, devido ao fato de que ele irá realizar o exame e a avaliação de uma série de documentos, procedimentos e mecanismos de proteção. Costuma-se dizer que é a fase em que o auditor está em “campo” realizando todo o trabalho de auditoria.
  4. Monitoramento/Controle – é o momento em que o auditor estabelece os “checkpoints” de auditoria, para que possa verificar o relacionamento entre o que foi planejado na fase do escopo e o que está sendo executado na fase de execução da auditoria. Nesta fase, caso o auditor precise reconsiderar, ajustar ou corrigir o escopo da auditoria, ele o fará durante o monitoramento e controle.
  5. Relatório Final – é o momento em que o auditor irá apresentar no formato de relatório, todo o trabalho realizado durante a auditoria, incluindo:
    1. as não conformidades encontradas;
    2. as evidências que comprovam as não conformidades apresentadas;
    3. as bases legais de acordo com as leis e regulamentações que validam as não conformidades;
    4. as sugestões de correção, conforme leis, regulamentações, políticas, normas, regras e frameworks de melhores práticas;
    5. os riscos que a organização está sujeita perante a não tratativa das não conformidades encontradas;
    6. a classificação dos riscos encontrados e demais itens que o auditor julgar necessário acrescentar no relatório;
  6. Respostas a Não conformidade – é o momento em que a organização fornece as devidas respostas em relação à concordância ou não das não conformidades encontradas, bem como as ações que serão tomadas para corrigir as não conformidades e o tempo em que serão executadas e concluídas.

Dicas para a criação de um Projeto de Auditoria de Segurança de TI