Conceito, Tipos e Características de Auditoria de Segurança da Informação No decorrer dos anos, o mundo empresarial cresceu de forma significativa, integrando universos diversos, compostos por organizações de vários segmentos de mercado, e oferecendo um leque amplo de produtos, com variedade de formatos referentes à aquisição e utilização. A competitividade no mercado globalizado está mais voraz. Fatores como a interação das economias (ex: MERCOSUL, Europa e NAFTA), as constantes alterações geopolíticas e sociais, em conjunto com a evolução tecnológica, reforçam a competitividade. As organizações que fazem parte dessa nova realidade estão cada vez mais vulneráveis perante esse mercado, pois necessitam manter uma constante atualização em relação às diversas demandas emergentes. Uma solução para esse problema é juntar esforços. Em virtude disto, as organizações se unem, de forma cooperativa, com o objetivo de atender uma determinada demanda de negócio. Com isso, novas estruturas interorganizacionais, criadas e distribuídas com base na ajuda mútua, são, atualmente, uma realidade e uma solução cabível ante as obrigatoriedades estabelecidas por um novo mercado. A busca constante por novas soluções e produtos deve-se a essa crescente evolução do mercado, cada vez mais competitivo e volátil, que, junto à globalização da tecnologia e da economia, é fator influente na busca de soluções mais eficientes, com custos mais acessíveis. As empresas que estão vivenciando esta realidade vêm buscando unir forças para minimizar custos e obter soluções que atendam de forma objetiva os seus clientes. Nesse contexto, vem crescendo a utilização de organizações virtuais como solução, em conjunto com o conceito de Cloud Computing, pois asssegura uma saída para esta questão, possibilitando: coordenar recursos compartilhados de forma descentralizada (sem controle centralizado); fazer uso de protocolos e interfaces padrões, de propósito geral e aberta; e proporcionar qualidades de serviços não triviais. Organizações Visuais: Um estilo de computação escalável de recursos de TI é identificado como um fornecimento de “serviço” para clientes externos, por meio da tecnologia da internet. Os consumidores desses serviços visualizam-nos apenas para utilização, sem se preocupar com a arquitetura de implementação ou programação desses. Saiba mais em: <http://www.gartner.com>. Cloud Computing: É a designação aceita para redes independentes, formadas dinamicamente por meio de empresas e organizações convencionais de um modo geral, distribuídas geograficamente, com objetivos comuns, compartilhando tecnologia de informação e comunicação, trabalhando de forma cooperativa, de modo a possibilitar uma melhor qualidade de serviço e competências na solução de problemas comuns. (ZHANG; GU, 2003). Em paralelo, novas vulnerabilidades e ameaças foram criadas, tornando os negócios das organizações mais suscetíveis a ataques. Tal possibilidade forçou os administradores, em conjunto com a sua equipe de Tecnologia da Informação, a buscar alternativas de proteção com a finalidade de mitigar essas vulnerabilidades e, assim, reduzir a chance de ocorrer ataques ao seu negócio. Dessa forma, conforme citado em Sêmola (2010), a importância da Gestão da Segurança da Informação é hoje um fator fundamental para o sucesso do negócio de qualquer organização, independente de seu tamanho ou área de atuação. A implantação de um Sistema de Gestão de Segurança da Informação (SGSI), em conformidade com os requisitos descritos na norma ISO 27001, é fator estratégico e de sucesso para o negócio da organização. Em paralelo, a aplicação de boas práticas de segurança da informação, conforme citadas na ISO 27002, também deve ser adotada no projeto de segurança de informação da organização. A norma ISO 27001, responsável em estabelecer os requisitos do SGSI de uma organização, baseia-se no modelo de processo PDCA (Plan – Do – Check – Act), conforme pode ser visualizado na figura abaixo. Modelo PDCA aplicado ao processo do SGSI Como pode ser visto, o ciclo PDCA é representado por quatro fases: Planejamento: nesta, de forma geral, são planejadas e projetadas as atividades referentes ao SGSI, como por exemplo, políticas e procedimentos de segurança; Execução: aqui, são implantadas e operacionalizadas as políticas, controles, processos e procedimentos do SGSI; Verificação: de uma forma geral, nessa etapa audita-se o SGSI, analisando e avaliando a eficiência, por exemplo, de suas políticas, procedimentos e controles; Ações corretivas: com base na etapa de verificação, são tomadas ações que previnam ou que venham a corrigir as atividades referentes ao SGSI, especificadas na fase de planejamento e implantadas na fase de execução. O sucesso da implantação e manutenção do SGSI está baseado na verificação constante das suas atividades. A auditoria dos seus componentes possibilita que o SGSI esteja sempre alinhado às necessidades de segurança da informação do negócio da organização. Esse fato torna a auditoria, de forma ampla, uma ferramenta fundamental à manutenção e adequação do SGSI à estratégia do negócio. Conceituar auditoria pode ser considerado um tanto quanto fácil, pois existem algumas definições em torno desse assunto. Todavia a NBR ISO 19011 define auditoria como um processo sistemático, documentado e independente para obter evidências de auditoria e avaliá-las objetivamente de modo a determinar a extensão na qual os critérios de auditoria são atendidos. Evidências de auditoria: são registros, apresentação de fatos ou outras informações, pertinentes aos critérios de auditoria. A auditoria pode ser quantitativa ou qualitativa. Critérios de auditoria: consiste em um conjunto de políticas, procedimentos ou requisitos. Os critérios de auditoria são usados como uma referência contra a qual a evidência da auditoria é comparada. Outra definição interessante de auditoria está em UFERSA (2010): são exames, análises, avaliações, levantamento e comprovações, metodologicamente estruturados para a avaliação da integridade, adequação, eficiência, eficácia e economicidade dos processos, dos sistemas de informações e de controles internos integrados da organização, visando a atingir o cumprimento de seus objetivos. Segundo Mello (2005), a auditoria pode ser definida como uma atividade que engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada entidade, com o intuito de verificar a sua conformidade com certos objetivos e políticas institucionais, orçamentos, regras, normas ou padrões. Poderiam ser mencionadas, ainda, algumas definições mais: acredita-se, entretanto, que essas duas atendam às expectativas deste estudo. Ressalta-se que uma auditoria caracteriza-se pela confiança e princípios, tornando- se ferramenta eficiente e confiável. Dessa forma, contribui para as políticas de gestão e controle, provendo as organizações de informações que possibilitem melhorar os seus processos de negócio. A NBR ISO 19011 apresenta alguns desses princípios, relacionados aos auditores, possibilitando que sejam fornecidas conclusões de auditoria relevantes e suficientes e permitindo que auditores trabalhem de forma independente e cheguem a conclusões semelhantes em situações semelhantes. Veja na sequência. Conduta ética: consiste na alma do profissional, confiança, integridade, confidencialidade e discrição. A ética consiste em uma característica inerente às ações do ser humano, tornando-se um componente fundamental à sociedade. Obrigação: existe a obrigação de reportar com veracidade e exatidão todas as informações pertinentes à auditoria, relacionadas com as constatações e as conclusões da auditoria e seus respectivos relatórios. Consciência profissional: os auditores devem ter a preocupação de realizar as tarefas da forma mais profissional, de acordo com a importância e a confiança depositada em uma auditoria. Independência: é a base para a imparcialidade e objetividade das conclusões de uma auditoria, porque os auditores são independentes em relação ao que será auditado, assim como não se ligam aos interesses e às tendências apresentadas. Evidência: a evidência de auditoria pode ser verificada, pois ela é realizada com base em amostras de informações que se encontram disponíveis. Sendo assim, pode-se dizer que a auditoria é talvez um mal/bem necessário a qualquer organização. Saber até quanto o seu processo de negócio é eficiente, ou mesmo, até quanto o seu sistema de informações é seguro, é uma necessidade estratégica para o negócio. Logo, se for perguntado por que auditar, a resposta pode ser imediata: é uma necessidade estratégica para o negócio da organização, o qual pode ser validado pela auditoria. Tipos de Auditoria As auditorias podem estar em conformidade com diversos critérios, como por exemplo, o objetivo, a periodicidade e o posicionamento do auditor/órgão fiscalizador. O objetivo de uma auditoria pode estar relacionado à necessidade de se verificarem falhas em um processo e, assim, poder corrigi-lo. A periodicidade de uma auditoria pode estar relacionada à necessidade ou ao tipo de negócio. Sendo assim, Neto e Solonca (2007) apresentam um quadro com os tipos de auditoria, separando-os em 3 classes abrangentes: forma de abordagem; órgão fiscalizador e área envolvida. Com isso, oferecem uma ampla visão dos diversos tipos de auditoria que podem existir. QUANTO A FORMA DE ABORDAGEM 1. Auditoria Horizontal – Auditoria com tema específico, realizada em várias entidades ou serviços, paralelamente. 2. Auditoria Orientada – Foca em uma atividade específica qualquer ou atividades com fortes indícios de fraudes ou erros. QUANTO AO ÓRGÃO FISCALIZADOR: 1. Auditoria Interna – Auditoria realizada por um departamento interno, responsável pela verificação e avaliação dos sistemas e procedimentos internos de uma entidade. Um de seus objetivos é reduzir a probabilidade de fraudes, erros, práticas ineficientes ou ineficazes. Esse serviço deve ser independente e prestar contas diretamente à classe executiva da corporação. 2. Auditoria Externa – Auditoria realizada por uma empresa externa e independente da entidade que está sendo fiscalizada, com o objetivo de emitir um parecer sobre a gestão de recursos da entidade, sua situação financeira, a legalidade e regularidade de suas operações. 3. Auditoria Articulada – Trabalho conjunto de auditorias internas e externas, devido à superposição de responsabilidades dos órgãos fiscalizadores, caracterizado pelo uso comum de recursos e comunicação recíproca dos resultados. QUANTO A ÁREA ENVOLVIDA: 1. Auditoria de programas de governo – Acompanhamento, exame e avaliação da execução de programas e projetos governamentais. Auditoria do planejamento estratégico – verifica se os principais objetivos da entidade são atingidos e se as políticas e estratégias são respeitadas. 2. A u d i t o r i a A d m i n i s t r a t i v a – E n g l o b a o p l a n o d a organização, seus procedimentos, diretrizes e documentos de suporte à tomada de decisão. 3. Auditoria Contábil – É relativa à fidedignidade das contas da instituição. Essa auditoria, consequentemente, tem como finalidade fornecer alguma garantia de que as operações e o acesso aos ativos se efetuem de acordo com as devidas autorizações. 4. Auditoria Financeira – Conhecida também como auditoria das contas. Consiste na análise das contas, da situação financeira, da legalidade e regularidade das operações e aspectos contábeis, financeiros, orçamentários e patrimoniais, verificando se todas as operações foram corretamente autorizadas, liquidadas, ordenadas, pagas e registradas. Auditoria de legalidade – conhecida como auditoria de conformidade. Consiste na análise da legalidade e regularidade das atividades, funções, operações ou gestão de recursos, verificando se estão em conformidade com a legislação em vigor. 5. Auditoria Operacional – Incide em todos os níveis de gestão, nas fases de programação, execução e supervisão, sob a ótica da economia, eficiência e eficácia. Analisa também a execução das decisões tomadas e aprecia até que ponto os resultados pretendidos foram atingidos. 6. Auditoria da Tecnologia da Informação – Tipo de auditoria essencialmente operacional, por meio da qual os auditores analisam os sistemas de informática, o ambiente computacional, a segurança de informações e o controle interno da entidade fiscalizada, identificando seus pontos fortes e deficiências. Auditoria Interna/Externa A classificação quanto ao órgão fiscalizador/posicionamento do auditor destaca 2 tipos de auditoria aplicados, em sua maioria, nas organizações, independente da área de atuação ou forma de abordagem. Essa terminologia é utilizada pela grande maioria dos auditores para classificar um processo de auditoria. Desta forma, este item busca um maior detalhamento das características das auditorias internas e externas, dando maior atenção à auditoria interna, tendo em vista a sua aplicabilidade dentro das organizações. Segundo CONAB e COAUD (2008, p. 5), a auditoria interna é o conjunto de técnicas que visa avaliar, de forma amostral, a gestão da companhia, pelos processos e resultados gerenciais, mediante a confrontação entre uma situação encontrada com um determinado critério técnico, operacional ou normativo. Trata-se de um importante componente de controle das corporações na busca da melhor alocação dos recursos do contribuinte, não só atuando para corrigir os desperdícios, as impropriedades/ disfunções, a negligência e a omissão, mas, principalmente, antecipando- se a essas ocorrências, buscando garantir os resultados pretendidos, além de destacar os impactos e benefícios sociais advindos, em especial sob a dimensão da equidade, intimamente ligada ao imperativo de justiça social. A necessidade de realizar auditorias internas vai de encontro com os objetivos de controle, controle de processos, processos e procedimentos do sistema de gestão. Logo, qualquer organização deverá garantir que as auditorias sejam realizadas em intervalos de tempo planejados, de acordo com os elementos citados. Quanto à auditoria externa, são encontradas algumas definições, principalmente relacionadas à questão financeira/contábil da organização, como a citada no portal da auditoria, que a trata como o exame das demonstrações financeiras feitas, com o propósito de expressar uma opinião sobre a propriedade com que estas apresentam a situação patrimonial e financeira da empresa e o resultado das operações no período do exame. Entretanto uma definição mais genérica de auditoria externa ocorreria quando se audita um fornecedor ou quando se é auditado por um cliente, por exemplo. Um exemplo simples é quando uma organização sofre uma auditoria de segurança da informação com base na norma ISO 27001. O auditor externo, de forma macro, verifica se todos os controles de segurança da informação necessários estão implantados. Iniciação de uma auditoria Para que uma auditoria seja iniciada, os seus objetivos globais devem estar alinhados aos objetivos do programa de auditoria, bem como o escopo de abrangência e os seus critérios. Objetivos determinar a extensão da conformidade dos documentos da organização contra os critérios de auditoria; avaliar a capacidade da documentação da organização de garantir conformidade com requisitos legais, contratuais e regulamentares; determinar a eficácia da documentação da organização em atender os objetivos especificados; identificar as possíveis melhorias da documentação. Escopo O escopo de uma auditoria está relacionado à descrição da extensão e limites da auditoria em termos de localização física, unidades organizacionais, atividades, processos, ativos de informação, avaliações de risco. Critérios Os critérios podem incluir políticas e procedimentos aplicáveis à organização, normas, requisitos legais (leis), regulamentos, requisitos contratuais, sistema de gestão, e práticas, entre outros. Atributos e responsabilidades de um auditor Um auditor deve possuir alguns atributos, como: possuir capacidade de decisão; ser rígido e possuir autoconfiança; ser ético, educado e instruído; ser versátil, ter a mente aberta, ser diplomático, perceptivo e observador (BSI, 2008); estar sempre em conformidade com os requisitos da organização; participar na confecção da agenda da auditoria, bem como conduzi-la de forma adequada; registrar e relatar as constatações; manter a independência e confidencialidade, bem como manter os registros de auditoria. Boas práticas de uma auditoria Conforme citado em BSI 2008, Curso Auditor Interno, algumas boas práticas durante uma auditoria devem ser observadas: notifique sempre e com antecedência a realização de uma auditoria, seja ela externa ou interna, e também informe a importância dela para a organização; faça as perguntas às pessoas responsáveis pela área que está sendo auditada. Não se esqueça de que as perguntas devem ser claras e objetivas. Evite realizar várias perguntas ao mesmo tempo; seja imparcial durante todo o processo de auditoria, buscando sempre evidências: com isso, você evita quaisquer conclusões precipitadas; seja sempre atencioso e educado, procure usar uma linguagem polida, não argumente com qualquer pessoa ou segmento da organização; não discuta, não faça críticas; e procure sempre apresentar as suas constatações durante o processo da auditoria. Terminologia auditoria adotada em uma Este item visa a apresentar alguns conceitos, considerados como gerais, utilizados, normalmente, durante um processo de auditoria, independente de sua classificação. Conceitos como campo, âmbito e natureza são básicos para qualquer tipo de auditoria. Campo: está relacionado ao objeto (pode ser uma instituição pública ou privada ou um determinado setor da mesma) a ser fiscalizado, período e o tipo da auditoria (operacional, financeira, etc.). Âmbito: define o grau de abrangência e a profundidade das tarefas. Área de verificação: delimita de modo preciso os temas da auditoria, em função da entidade a ser fiscalizada e da natureza da auditoria. Controle: consiste na fiscalização exercida sobre as atividades das pessoas, departamentos, produtos, etc., de forma que as atividades executadas ou produtos mantenham-se dentro das normas preestabelecidas. Três tipos de controle são exercidos: Preventivo – previne erros e invasões, por exemplo, identificação e autenticação de usuários do sistema via a utilização de senhas; Detector – detecta erros, tentativas de invasões, etc. (arquivos logs, realização de controle de acesso de usuários); Corretivo – minimiza o impacto causado por falhas ou erros, corrigindo-os (política de segurança, plano de contingência). Objetivos de controle: são metas de controle a serem alcançadas, ou aspectos negativos a ser evitados em cada transação, atividade ou função fiscalizada. Procedimentos de auditoria: é um conjunto de verificações e averiguações que permite obter e analisar as informações necessárias ao parecer do auditor. Esses procedimentos devem ser de conhecimentos dos auditores antes do início da auditoria. Achados de auditoria: são fatos a ser considerados como importantes para o auditor. Para que esses dados constem no relatório, eles devem estar baseados em fatos e evidências. Papéis de trabalho: são registros que evidenciam atos e fatos observados pelo auditor (planilhas, documentos, etc.). Recomendações de auditoria: realizada na fase de relatório, isto é, são medidas corretivas exequíveis, sugeridas para corrigir as falhas detectadas (DIAS, 2000). Programa de auditoria Um programa de auditoria, segundo a NBR ISO 19011, consiste em uma ou um conjunto de auditorias planejado para um determinado período de tempo e com um propósito específico. A quantidade de auditorias que irão compor um programa de auditoria está diretamente relacionada ao escopo de abrangência, à natureza (ex.: corretiva ou punitiva) e ao tipo de negócio da organização, o nível de complexidade da organização que será auditada. O programa de auditoria é responsável, também, por estabelecer todas as atividades que possibilitam o planejamento e organização, execução e manutenção de todas as auditorias que fazem parte do programa, independente do tipo, fornecendo todos os recursos necessários para que sejam executadas de forma eficiente, em um determinado período de tempo (NBR, 2002). Desta forma, pode-se dizer que o programa de auditoria é um plano de ação, detalhado, com o objetivo de dar ao auditor as diretivas necessárias à realização de seu trabalho. Possui objetivos, escopo de abrangência, um conjunto de procedimentos necessários à equipe de auditoria na realização de seu trabalho. O programa de auditoria deverá ser estruturado, com base em um padrão, e poderá conter elementos como: características do sistema organizacional auditado; áreas/segmentos de negócio envolvidos; período de realização da auditoria; a ser objetivos da auditoria; cronograma dos trabalhos; equipe de auditores; custos envolvidos para a realização da auditoria; procedimentos para a realização da auditoria; questionários de coleta de informações; campo para observações dos auditores; orientações gerais (CONAB; COAUD, 2008). Vale a pena ressaltar que o programa de auditoria deve ser flexível o suficiente para sofrer alterações, no caso de situações não previstas ou intempestivas durante o processo de auditoria. Ele também deve apoiar-se no processo de decisão da equipe de auditoria, caso exista a necessidade de ampliar a coleta de informações, análises e/ou realizações de teste de auditoria. A gerência de um programa de auditoria O modelo de gerência do programa de auditoria segue as prerrogativas descritas pelo modelo de processos do ciclo PDCA, conforme pode ser visualizado na figura abaixo. Normalmente, em uma auditoria interna, a autoridade da gerência do programa de auditoria é delegada pela alta direção da organização ao seu respectivo responsável, o gerente do programa. Esse gerente é responsável em estabelecer, implantar, monitorar, analisar e melhorar o programa de auditoria, além de identificar e garantir que todos os recursos necessários a sua execução sejam providos (NBR, 2002). No caso de uma auditoria externa, o auditor chefe será o responsável em conduzir todo o processo que está relacionado a ela, do início ao final das atividades. Processo de gestão do programa de auditoria Referências AUDITORIA externa ou auditoria independente. Portal da auditoria. nov. 2011. Disponível em: <http://www.portaldeauditoria.com.br/sobreauditoria/o-que-e-Au ditoria-Externa.asp>. Acesso em: 14 dez. 2011. ÀVILA, Rafael. Imagem de lupa sobre gráficos financeiros: auditoria. Blog luz loja de consultoria. 2 nov. 2011. Disponível em: <http://blog.lojadeconsultoria.com.br/inspiracao/ conhecaas-10-empresas-mais-sustentaveis-do-mundo-seramesmo/attachment/imagem- de-lupa-sobre-graficos-financeirosauditoria-luz-loja-de-consultoria/>. Acesso em: 7 dez. 2011. BRITISH STANDARDS INSTITUTE (BSI). Auditor Interno ISO/IEC 27001:2005 Sistema de Gestão de Segurança da Informação – BSI Learning, 2008. BRITISH STANDARDS INSTITUTE (BSI). Curso Auditor Interno ISO/IEC 27001: 2005 SGSI, BSI Learning, 2008. DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: Excel Books, 2000. ISO/IEC 27001. Tecnologia da Informação, Técnicas Segurança, Sistemas de Gerenciamento de Segurança Informação, Necessidades ISO/IEC, 2005. de da ISO/IEC 27002. Information technology, Security techniques, Code of practice for information security management, Redesignation of ISO/IEC 17799: 2005. MANUAL de auditoria interna. 2a versão. Companhia Nacional de Abastecimento – CONAB; Coordenadoria de Auditoria Interna (COAUD), 2008. Disponível em: <http://www.conab.gov.br/downloads/regulamentos/ManualdeAudito riaInterna.pdf>. Acesso em: 9 dez. 2011. MELLO, Agostinho de Oliveira. Instituto dos auditores internos do Brasil. Organização básica da auditoria interna. Biblioteca Técnica de Auditoria Interna, 2005. NBR ISO 19011. Diretrizes para auditorias de sistema de gestão da qualidade, NBR. 2002. NETO, Abílio Bueno; SOLONCA, Davi. Auditoria de sistemas informatizados. Palhoça: UnisulVirtual, 2007. SÊMOLA, Marcos. A importância da gestão da segurança da informação. 2010. Disponível em: <http://www.lyfreitas.com/artigos_mba/GestaoSegurancaInformaca o.pdf>. Acesso em: 9 dez. 2011. SHAO-HUA Zhang, NING Gu. Research on Workflow of Virtual Organization, The Eighth International Conference on Computer Supported Cooperative Work in Design, Xiamen, China, 2003. UNIDADE de auditoria interna. Definições de auditoria interna. Universidade Federal Rural do Semi-Árido (UFERSA), 05 mar. 2009. Disponível em: <http://www2.ufersa.edu.br/portal/divisoes/audint/1315>. Acesso em: 9 dez. 2011. Autor: Prof. MSc. Luiz Otávio Botelho Lento