Conceito, Tipos e Características de Auditoria de Segurança da

Propaganda
Conceito,
Tipos
e
Características de Auditoria
de Segurança da Informação
No decorrer dos anos, o mundo empresarial cresceu de forma
significativa, integrando universos diversos, compostos por
organizações de vários segmentos de mercado, e oferecendo um
leque amplo de produtos, com variedade de formatos referentes
à aquisição e utilização. A competitividade no mercado
globalizado está mais voraz. Fatores como a interação das
economias (ex: MERCOSUL, Europa e NAFTA), as constantes
alterações geopolíticas e sociais, em conjunto com a evolução
tecnológica, reforçam a competitividade. As organizações que
fazem parte dessa nova realidade estão cada vez mais
vulneráveis perante esse mercado, pois necessitam manter uma
constante atualização em relação às diversas demandas
emergentes. Uma solução para esse problema é juntar esforços.
Em virtude disto, as organizações se unem, de forma
cooperativa, com o objetivo de atender uma determinada demanda
de negócio. Com isso, novas estruturas interorganizacionais,
criadas e distribuídas com base na ajuda mútua, são,
atualmente, uma realidade e uma solução cabível ante as
obrigatoriedades estabelecidas por um novo mercado.
A busca constante por novas soluções e produtos deve-se a essa
crescente evolução do mercado, cada vez mais competitivo e
volátil, que, junto à globalização da tecnologia e da
economia, é fator influente na busca de soluções mais
eficientes, com custos mais acessíveis. As empresas que estão
vivenciando esta realidade vêm buscando unir forças para
minimizar custos e obter soluções que atendam de forma
objetiva os seus clientes.
Nesse
contexto,
vem
crescendo
a
utilização
de
organizações virtuais como solução, em conjunto com o conceito
de Cloud Computing, pois asssegura uma saída para esta
questão, possibilitando:
coordenar
recursos
compartilhados
de
forma
descentralizada (sem controle centralizado);
fazer uso de protocolos e interfaces padrões, de
propósito geral e aberta; e
proporcionar qualidades de serviços não triviais.
Organizações Visuais: Um estilo de computação escalável de
recursos de TI é identificado como um fornecimento de
“serviço” para clientes externos, por meio da tecnologia da
internet. Os consumidores desses serviços visualizam-nos
apenas para utilização, sem se preocupar com a arquitetura de
implementação ou programação desses. Saiba mais em:
<http://www.gartner.com>.
Cloud Computing: É a designação aceita para redes
independentes, formadas dinamicamente por meio de empresas e
organizações convencionais de um modo geral, distribuídas
geograficamente, com objetivos comuns, compartilhando
tecnologia de informação e comunicação, trabalhando de forma
cooperativa, de modo a possibilitar uma melhor qualidade de
serviço e competências na solução de problemas comuns. (ZHANG;
GU, 2003).
Em paralelo, novas vulnerabilidades e ameaças foram criadas,
tornando os negócios das organizações mais suscetíveis a
ataques. Tal possibilidade forçou os administradores, em
conjunto com a sua equipe de Tecnologia da Informação, a
buscar alternativas de proteção com a finalidade de mitigar
essas vulnerabilidades e, assim, reduzir a chance de ocorrer
ataques ao seu negócio.
Dessa forma, conforme citado em Sêmola (2010), a importância
da Gestão da Segurança da Informação é hoje um fator
fundamental para o sucesso do negócio de qualquer organização,
independente de seu tamanho ou área de atuação. A implantação
de um Sistema de Gestão de Segurança da Informação (SGSI), em
conformidade com os requisitos descritos na norma ISO 27001, é
fator estratégico e de sucesso para o negócio da organização.
Em paralelo, a aplicação de boas práticas de segurança da
informação, conforme citadas na ISO 27002, também deve ser
adotada no projeto de segurança de informação da organização.
A norma ISO 27001, responsável em estabelecer os requisitos do
SGSI de uma organização, baseia-se no modelo de processo PDCA
(Plan – Do – Check – Act), conforme pode ser visualizado na
figura abaixo.
Modelo PDCA aplicado ao processo do SGSI
Como pode ser visto, o ciclo PDCA é representado por quatro
fases:
Planejamento: nesta, de forma geral, são planejadas e
projetadas as atividades referentes ao SGSI, como por
exemplo, políticas e procedimentos de segurança;
Execução: aqui, são implantadas e operacionalizadas as
políticas, controles, processos e procedimentos do SGSI;
Verificação: de uma forma geral, nessa etapa audita-se o
SGSI, analisando e avaliando a eficiência, por exemplo,
de suas políticas, procedimentos e controles;
Ações corretivas: com base na etapa de verificação, são
tomadas ações que previnam ou que venham a corrigir as
atividades referentes ao SGSI, especificadas na fase de
planejamento e implantadas na fase de execução.
O sucesso da implantação e manutenção do SGSI está baseado na
verificação constante das suas atividades. A auditoria dos
seus componentes possibilita que o SGSI esteja sempre alinhado
às necessidades de segurança da informação do negócio da
organização. Esse fato torna a auditoria, de forma ampla, uma
ferramenta fundamental à manutenção e adequação do SGSI à
estratégia do negócio.
Conceituar auditoria pode ser considerado um tanto quanto
fácil, pois existem algumas definições em torno desse assunto.
Todavia a NBR ISO 19011 define auditoria como um processo
sistemático, documentado e independente para obter evidências
de auditoria e avaliá-las objetivamente de modo a determinar a
extensão na qual os critérios de auditoria são atendidos.
Evidências de auditoria: são registros, apresentação de fatos
ou outras informações, pertinentes aos critérios de auditoria.
A auditoria pode ser quantitativa ou qualitativa.
Critérios de auditoria: consiste em um conjunto de políticas,
procedimentos ou requisitos. Os critérios de auditoria são
usados como uma referência contra a qual a evidência da
auditoria é comparada.
Outra definição interessante de auditoria está em UFERSA
(2010): são exames, análises, avaliações, levantamento e
comprovações, metodologicamente estruturados para a avaliação
da integridade, adequação, eficiência, eficácia e
economicidade dos processos, dos sistemas de informações e de
controles internos integrados da organização, visando a
atingir o cumprimento de seus objetivos.
Segundo Mello (2005), a auditoria pode ser definida como uma
atividade que engloba o exame das operações, processos,
sistemas e responsabilidades gerenciais de uma determinada
entidade, com o intuito de verificar a sua conformidade com
certos objetivos e políticas institucionais, orçamentos,
regras, normas ou padrões. Poderiam ser mencionadas, ainda,
algumas definições mais: acredita-se, entretanto, que essas
duas atendam às expectativas deste estudo.
Ressalta-se que uma auditoria caracteriza-se pela confiança e
princípios, tornando- se ferramenta eficiente e confiável.
Dessa forma, contribui para as políticas de gestão e controle,
provendo as organizações de informações que possibilitem
melhorar os seus processos de negócio.
A NBR ISO 19011 apresenta alguns desses princípios,
relacionados aos auditores, possibilitando que sejam
fornecidas conclusões de auditoria relevantes e suficientes e
permitindo que auditores trabalhem de forma independente e
cheguem a conclusões semelhantes em situações semelhantes.
Veja na sequência.
Conduta ética: consiste na alma do profissional, confiança,
integridade, confidencialidade e discrição. A ética consiste
em uma característica inerente às ações do ser humano,
tornando-se um componente fundamental à sociedade.
Obrigação: existe a obrigação de reportar com veracidade e
exatidão todas as informações pertinentes à auditoria,
relacionadas com as constatações e as conclusões da auditoria
e seus respectivos relatórios.
Consciência profissional: os auditores devem ter a preocupação
de realizar as tarefas da forma mais profissional, de acordo
com a importância e a confiança depositada em uma auditoria.
Independência: é a base para a imparcialidade e objetividade
das conclusões de uma auditoria, porque os auditores são
independentes em relação ao que será auditado, assim como não
se ligam aos interesses e às tendências apresentadas.
Evidência: a evidência de auditoria pode ser verificada, pois
ela é realizada com base em amostras de informações que se
encontram disponíveis.
Sendo assim, pode-se dizer que a auditoria é talvez um mal/bem
necessário a qualquer organização. Saber até quanto o seu
processo de negócio é eficiente, ou mesmo, até quanto o seu
sistema de informações é seguro, é uma necessidade estratégica
para o negócio. Logo, se for perguntado por que auditar, a
resposta pode ser imediata: é uma necessidade estratégica para
o negócio da organização, o qual pode ser validado pela
auditoria.
Tipos de Auditoria
As auditorias podem estar em conformidade com diversos
critérios, como por exemplo, o objetivo, a periodicidade e o
posicionamento do auditor/órgão fiscalizador. O objetivo de
uma auditoria pode estar relacionado à necessidade de se
verificarem falhas em um processo e, assim, poder corrigi-lo.
A periodicidade de uma auditoria pode estar relacionada à
necessidade ou ao tipo de negócio.
Sendo assim, Neto e Solonca (2007) apresentam um quadro com os
tipos de auditoria, separando-os em 3 classes abrangentes:
forma de abordagem; órgão fiscalizador e área envolvida. Com
isso, oferecem uma ampla visão dos diversos tipos de auditoria
que podem existir.
QUANTO A FORMA DE ABORDAGEM
1. Auditoria Horizontal – Auditoria com tema específico,
realizada em várias entidades ou serviços,
paralelamente.
2. Auditoria Orientada – Foca em uma atividade específica
qualquer ou atividades com fortes indícios de fraudes ou
erros.
QUANTO AO ÓRGÃO FISCALIZADOR:
1. Auditoria Interna – Auditoria realizada por um
departamento interno, responsável pela verificação e
avaliação dos sistemas e procedimentos internos de uma
entidade. Um de seus objetivos é reduzir a probabilidade
de fraudes, erros, práticas ineficientes ou ineficazes.
Esse serviço deve ser independente e prestar contas
diretamente à classe executiva da corporação.
2. Auditoria Externa – Auditoria realizada por uma empresa
externa e independente da entidade que está sendo
fiscalizada, com o objetivo de emitir um parecer sobre a
gestão de recursos da entidade, sua situação financeira,
a legalidade e regularidade de suas operações.
3. Auditoria Articulada – Trabalho conjunto de auditorias
internas e externas, devido à superposição de
responsabilidades
dos
órgãos
fiscalizadores,
caracterizado pelo uso comum de recursos e comunicação
recíproca dos resultados.
QUANTO A ÁREA ENVOLVIDA:
1. Auditoria de programas de governo – Acompanhamento,
exame e avaliação da execução de programas e projetos
governamentais. Auditoria do planejamento estratégico –
verifica se os principais objetivos da entidade são
atingidos e se as políticas e estratégias são
respeitadas.
2. A u d i t o r i a A d m i n i s t r a t i v a – E n g l o b a o p l a n o d a
organização, seus procedimentos, diretrizes e documentos
de suporte à tomada de decisão.
3. Auditoria Contábil – É relativa à fidedignidade das
contas da instituição. Essa auditoria, consequentemente,
tem como finalidade fornecer alguma garantia de que as
operações e o acesso aos ativos se efetuem de acordo com
as devidas autorizações.
4. Auditoria Financeira – Conhecida também como auditoria
das contas. Consiste na análise das contas, da situação
financeira, da legalidade e regularidade das operações e
aspectos contábeis, financeiros, orçamentários e
patrimoniais, verificando se todas as operações foram
corretamente autorizadas, liquidadas, ordenadas, pagas e
registradas. Auditoria de legalidade – conhecida como
auditoria de conformidade. Consiste na análise da
legalidade e regularidade das atividades, funções,
operações ou gestão de recursos, verificando se estão em
conformidade com a legislação em vigor.
5. Auditoria Operacional – Incide em todos os níveis de
gestão, nas fases de programação, execução e supervisão,
sob a ótica da economia, eficiência e eficácia. Analisa
também a execução das decisões tomadas e aprecia até que
ponto os resultados pretendidos foram atingidos.
6. Auditoria da Tecnologia da Informação – Tipo de
auditoria essencialmente operacional, por meio da qual
os auditores analisam os sistemas de informática, o
ambiente computacional, a segurança de informações e o
controle interno da entidade fiscalizada, identificando
seus pontos fortes e deficiências.
Auditoria Interna/Externa
A classificação quanto ao órgão fiscalizador/posicionamento do
auditor destaca 2 tipos de auditoria aplicados, em sua
maioria, nas organizações, independente da área de atuação ou
forma de abordagem. Essa terminologia é utilizada pela grande
maioria dos auditores para classificar um processo de
auditoria. Desta forma, este item busca um maior detalhamento
das características das auditorias internas e externas, dando
maior atenção à auditoria interna, tendo em vista a sua
aplicabilidade dentro das organizações.
Segundo CONAB e COAUD (2008, p. 5), a auditoria interna é
o conjunto de técnicas que visa avaliar, de forma amostral, a
gestão da companhia, pelos processos e resultados gerenciais,
mediante a confrontação entre uma situação encontrada com um
determinado critério técnico, operacional ou normativo.
Trata-se de um importante componente de controle das
corporações na busca da melhor alocação dos recursos do
contribuinte, não só atuando para corrigir os desperdícios,
as impropriedades/ disfunções, a negligência e a omissão,
mas, principalmente, antecipando- se a essas ocorrências,
buscando garantir os resultados pretendidos, além de destacar
os impactos e benefícios sociais advindos, em especial sob a
dimensão da equidade, intimamente ligada ao imperativo de
justiça social.
A necessidade de realizar auditorias internas vai de encontro
com os objetivos de controle, controle de processos, processos
e procedimentos do sistema de gestão. Logo, qualquer
organização deverá garantir que as auditorias sejam realizadas
em intervalos de tempo planejados, de acordo com os elementos
citados.
Quanto
à
auditoria
externa,
são
encontradas
algumas
definições,
principalmente
relacionadas
à
questão
financeira/contábil da organização, como a citada no portal da
auditoria, que a trata como o exame das demonstrações
financeiras feitas, com o propósito de expressar uma opinião
sobre a propriedade com que estas apresentam a situação
patrimonial e financeira da empresa e o resultado das
operações no período do exame. Entretanto uma definição mais
genérica
de auditoria externa ocorreria quando se audita um fornecedor
ou quando se é auditado por um cliente, por exemplo. Um
exemplo simples é quando uma organização sofre uma auditoria
de segurança da informação com base na norma ISO 27001. O
auditor externo, de forma macro, verifica se todos os
controles de segurança da informação necessários estão
implantados.
Iniciação de uma auditoria
Para que uma auditoria seja iniciada, os seus objetivos
globais devem estar alinhados aos objetivos do programa de
auditoria, bem como o escopo de abrangência e os seus
critérios.
Objetivos
determinar a extensão da conformidade dos documentos da
organização contra os critérios de auditoria;
avaliar a capacidade da documentação da organização de
garantir conformidade com requisitos legais, contratuais
e regulamentares;
determinar a eficácia da documentação da organização em
atender os objetivos especificados;
identificar as possíveis melhorias da documentação.
Escopo
O escopo de uma auditoria está relacionado à descrição da
extensão e limites da auditoria em termos de localização
física, unidades organizacionais, atividades, processos,
ativos de informação, avaliações de risco.
Critérios
Os critérios podem incluir políticas e procedimentos
aplicáveis à organização, normas, requisitos legais (leis),
regulamentos, requisitos contratuais, sistema de gestão, e
práticas, entre outros.
Atributos e responsabilidades de um
auditor
Um auditor deve possuir alguns atributos, como:
possuir capacidade de decisão;
ser rígido e possuir autoconfiança;
ser ético, educado e instruído;
ser versátil, ter a mente aberta, ser diplomático,
perceptivo e observador (BSI, 2008);
estar sempre em conformidade com os requisitos da
organização;
participar na confecção da agenda da auditoria, bem como
conduzi-la de forma adequada;
registrar e relatar as constatações;
manter a independência e confidencialidade, bem como
manter os registros de auditoria.
Boas práticas de uma auditoria
Conforme citado em BSI 2008, Curso Auditor Interno, algumas
boas práticas durante uma auditoria devem ser observadas:
notifique sempre e com antecedência a realização de uma
auditoria, seja ela externa ou interna, e também informe
a importância dela para a organização;
faça as perguntas às pessoas responsáveis pela área que
está sendo auditada. Não se esqueça de que as perguntas
devem ser claras e objetivas. Evite realizar várias
perguntas ao mesmo tempo;
seja imparcial durante todo o processo de auditoria,
buscando sempre evidências: com isso, você evita
quaisquer conclusões precipitadas;
seja sempre atencioso e educado, procure usar uma
linguagem polida, não argumente com qualquer pessoa ou
segmento da organização; não discuta, não faça críticas;
e
procure sempre apresentar as suas constatações durante o
processo da auditoria.
Terminologia
auditoria
adotada
em
uma
Este item visa a apresentar alguns conceitos, considerados
como gerais, utilizados, normalmente, durante um processo de
auditoria, independente de sua classificação. Conceitos como
campo, âmbito e natureza são básicos para qualquer tipo de
auditoria.
Campo: está relacionado ao objeto (pode ser uma instituição
pública ou privada ou um determinado setor da mesma) a ser
fiscalizado, período e o tipo da auditoria (operacional,
financeira, etc.).
Âmbito: define o grau de abrangência e a profundidade das
tarefas.
Área de verificação: delimita de modo preciso os temas da
auditoria, em função da entidade a ser fiscalizada e da
natureza da auditoria.
Controle: consiste na fiscalização exercida sobre as
atividades das pessoas, departamentos, produtos, etc., de
forma que as atividades executadas ou produtos mantenham-se
dentro das normas preestabelecidas.
Três tipos de controle são exercidos:
Preventivo – previne erros e invasões, por exemplo,
identificação e autenticação de usuários do sistema via
a utilização de senhas;
Detector – detecta erros, tentativas de invasões, etc.
(arquivos logs, realização de controle de acesso de
usuários);
Corretivo – minimiza o impacto causado por falhas ou
erros, corrigindo-os (política de segurança, plano de
contingência).
Objetivos de controle: são metas de controle a serem
alcançadas, ou aspectos negativos a ser evitados em cada
transação, atividade ou função fiscalizada.
Procedimentos de auditoria: é um conjunto de verificações e
averiguações que permite obter e analisar as informações
necessárias ao parecer do auditor. Esses procedimentos devem
ser de conhecimentos dos auditores antes do início da
auditoria.
Achados de auditoria: são fatos a ser considerados como
importantes para o auditor. Para que esses dados constem no
relatório, eles devem estar baseados em fatos e evidências.
Papéis de trabalho: são registros que evidenciam atos e fatos
observados pelo auditor (planilhas, documentos, etc.).
Recomendações de auditoria: realizada na fase de relatório,
isto é, são medidas corretivas exequíveis, sugeridas para
corrigir as falhas detectadas (DIAS, 2000).
Programa de auditoria
Um programa de auditoria, segundo a NBR ISO 19011, consiste em
uma ou um conjunto de auditorias planejado para um determinado
período de tempo e com um propósito específico. A quantidade
de auditorias que irão compor um programa de auditoria está
diretamente relacionada ao escopo de abrangência, à natureza
(ex.: corretiva ou punitiva) e ao tipo de negócio da
organização, o nível de complexidade da organização que será
auditada.
O programa de auditoria é responsável, também, por estabelecer
todas as atividades que possibilitam o planejamento e
organização, execução e manutenção de todas as auditorias que
fazem parte do programa, independente do tipo, fornecendo
todos os recursos necessários para que sejam executadas de
forma eficiente, em um determinado período de tempo (NBR,
2002).
Desta forma, pode-se dizer que o programa de auditoria é um
plano de ação, detalhado, com o objetivo de dar ao auditor as
diretivas necessárias à realização de seu trabalho. Possui
objetivos, escopo de abrangência, um conjunto de procedimentos
necessários à equipe de auditoria na realização de seu
trabalho.
O programa de auditoria deverá ser estruturado, com base em um
padrão, e poderá conter elementos como:
características do sistema organizacional
auditado;
áreas/segmentos de negócio envolvidos;
período de realização da auditoria;
a
ser
objetivos da auditoria;
cronograma dos trabalhos;
equipe de auditores;
custos envolvidos para a realização da auditoria;
procedimentos para a realização da auditoria;
questionários de coleta de informações;
campo para observações dos auditores;
orientações gerais (CONAB; COAUD, 2008).
Vale a pena ressaltar que o programa de auditoria deve ser
flexível o suficiente para sofrer alterações, no caso de
situações não previstas ou intempestivas durante o processo de
auditoria. Ele também deve apoiar-se no processo de decisão da
equipe de auditoria, caso exista a necessidade de ampliar a
coleta de informações, análises e/ou realizações de teste de
auditoria.
A gerência de um programa de
auditoria
O modelo de gerência do programa de auditoria segue as
prerrogativas descritas pelo modelo de processos do ciclo
PDCA, conforme pode ser visualizado na figura abaixo.
Normalmente, em uma auditoria interna, a autoridade da
gerência do programa de auditoria é delegada pela alta direção
da organização ao seu respectivo responsável, o gerente do
programa. Esse gerente é responsável em estabelecer,
implantar, monitorar, analisar e melhorar o programa de
auditoria, além de identificar e garantir que todos os
recursos necessários a sua execução sejam providos (NBR,
2002). No caso de uma auditoria externa, o auditor chefe será
o responsável em conduzir todo o processo que está relacionado
a ela, do início ao final das atividades.
Processo de gestão do programa de auditoria
Referências
AUDITORIA externa ou auditoria independente. Portal da
auditoria.
nov.
2011.
Disponível
em:
<http://www.portaldeauditoria.com.br/sobreauditoria/o-que-e-Au
ditoria-Externa.asp>. Acesso em: 14 dez. 2011.
ÀVILA, Rafael. Imagem de lupa sobre gráficos financeiros:
auditoria. Blog luz loja de consultoria. 2 nov. 2011.
Disponível
em:
<http://blog.lojadeconsultoria.com.br/inspiracao/
conhecaas-10-empresas-mais-sustentaveis-do-mundo-seramesmo/attachment/imagem- de-lupa-sobre-graficos-financeirosauditoria-luz-loja-de-consultoria/>. Acesso em: 7 dez. 2011.
BRITISH STANDARDS INSTITUTE (BSI). Auditor Interno ISO/IEC
27001:2005 Sistema de Gestão de Segurança da Informação – BSI
Learning, 2008.
BRITISH STANDARDS INSTITUTE (BSI). Curso Auditor Interno
ISO/IEC 27001: 2005 SGSI, BSI Learning, 2008.
DIAS,
Cláudia.
Segurança
e
auditoria
da
tecnologia
da
informação. Rio de Janeiro: Excel Books, 2000.
ISO/IEC 27001. Tecnologia da Informação, Técnicas
Segurança, Sistemas de Gerenciamento de Segurança
Informação, Necessidades ISO/IEC, 2005.
de
da
ISO/IEC 27002. Information technology, Security techniques,
Code of practice for information security management,
Redesignation of ISO/IEC 17799: 2005.
MANUAL de auditoria interna. 2a versão. Companhia Nacional de
Abastecimento – CONAB; Coordenadoria de Auditoria Interna
(COAUD),
2008.
Disponível
em:
<http://www.conab.gov.br/downloads/regulamentos/ManualdeAudito
riaInterna.pdf>. Acesso em: 9 dez. 2011.
MELLO, Agostinho de Oliveira. Instituto dos auditores internos
do Brasil. Organização básica da auditoria interna. Biblioteca
Técnica de Auditoria Interna, 2005.
NBR ISO 19011. Diretrizes para auditorias de sistema de gestão
da qualidade, NBR. 2002.
NETO, Abílio Bueno; SOLONCA, Davi. Auditoria de sistemas
informatizados. Palhoça: UnisulVirtual, 2007.
SÊMOLA, Marcos. A importância da gestão da segurança da
informação.
2010.
Disponível
em:
<http://www.lyfreitas.com/artigos_mba/GestaoSegurancaInformaca
o.pdf>. Acesso em: 9 dez. 2011.
SHAO-HUA Zhang, NING Gu. Research on Workflow of Virtual
Organization, The Eighth International Conference on Computer
Supported Cooperative Work in Design, Xiamen, China, 2003.
UNIDADE de auditoria interna. Definições de auditoria interna.
Universidade Federal Rural do Semi-Árido (UFERSA), 05 mar.
2009.
Disponível
em:
<http://www2.ufersa.edu.br/portal/divisoes/audint/1315>.
Acesso em: 9 dez. 2011.
Autor: Prof. MSc. Luiz Otávio Botelho Lento
Download