PROJETOS DE AUDITORIA DE TI

Transcrição

1 PROJETOS DE AUDITORIA DE TI Elaborado pelo professor André Campos Uma visão mais ampla sobre segurança da informação poderá ser obtida no livro Sistema de Segurança da Informação Controlando os riscos, de André Campos, Editora Visual Books.

2 PROJETOS DE AUDITORIA DE TI Este material foi produzido como apoio didático para disciplinas de graduação e pós-graduação relacionadas com Tecnologia da Informação. O uso é permitido a todo e qualquer docente ou discente das referidas disciplinas, ou correlatas, desde que sejam respeitados os direitos autorais, ou seja, que os créditos sejam mantidos. Este material não pode ser vendido. Seu uso é permitido sem qualquer custo. Diversas figuras foram obtidas a partir do acesso em sites de imagens. Estas imagens foram utilizadas em seu estado original, com 72DPI. Algumas imagens foram obtidas da obra "Sistema de Segurança da Informação Controlando Riscos". Todas as imagens são utilizadas para fins exclusivamente acadêmicos e não visam a obtenção de lucro. Informações específicas sobre segurança da informação podem ser obtidas na obra Sistemas de segurança da informação Controlando Riscos; Campos, André; Editora Visual Books, 2007.

3 Iniciando a auditoria A auditoria é conduzida por um líder, ou auditor líder, que é designado pelo gerente responsável pelo programa de auditoria. Quando acontecem auditorias conjuntas é importante que as organizações envolvidas na auditoria cheguem a um consenso quanto a que será o auditor líder e qual será sua autoridade sobre a equipe de auditoria, que neste caso será mista. Não podem haver dois auditores líderes para a mesma auditoria.

4 Iniciando a auditoria Ca deve possuir uma definição dos objetivos, escopo e critério de auditoria, documentados. Os objetivos podem ser: 1 Avaliação de conformidade (compliance); 2 Avaliação da capacidade do Sistema de Gestão; 3 Avaliação da eficácia do Sistema de Gestão; 4 Identificação de áreas do Sistema de Gestão para potencial melhoria.

5 Iniciando a auditoria O escopo determina a abrangência e os limites, envolvendo inclusive os limites físicos, da estrutura hierárquica formal ou informal, dos processos, e do período de auditoria. O critério de auditoria é a referência contra a qual a conformidade será determinada, podendo ser políticas, normas, procedimentos, leis, regulamentos, requisitos do Sistema de Gestão, requisitos contratuais, entre outros.

6 Iniciando a auditoria Os objetivos são definidos pelo cliente, e o escopo e critério de auditoria são acordados entre o cliente e o auditor líder. Qualquer eventual mudança de objetivos, escopo ou critério após o início, deve ser devidamente documentado e assinado pelo cliente e pelo auditor líder. Nos casos de auditorias combinadas é especialmente importante que o auditor líder garanta que os objetivos, escopo e critério sejam adequados para a auditoria em questão.

7 Iniciando a auditoria É importante, antes de executar um projeto de auditoria, determinar a viabilidade deste projeto. Existem informações suficientes para suportar a auditoria? O auditado está disposto a cooperar ou é resistente ao processo? O tempo e os recursos planejados são realmente suficientes? Não vale a pena começar um projeto que não poderá ser concluído. O cliente, o auditado e o auditor líder devem garantir a viabilidade.

8 Iniciando a auditoria Após o estudo de viabilidade, o próximo passo é definir a equipe de auditores. É importante que a equipe, coletivamente, possua os conhecimentos e as habilidades necessárias para conduzir a auditoria em questão. Devem ser considerados aspectos tais como: a) objetivos, escopo e critério ; b) se a auditoria é simples, combinada ou conjunta; c) requisitos legais, regulamentares, certificações, etc; d) a garantia de independência e imparcialidade; e) bom relacionamento inter-pessoal do grupo); f) o idioma, se for o caso.

9 Iniciando a auditoria Se a equipe de auditores não for suficiente para garantir o conjunto de conhecimentos e habilidades necessárias, será necessário convidar (contratar) especialistas que atendam a esta demanda. Membros da equipe poderão ser substituídos a pedido do cliente ou do auditado, caso haja conflito de interesses ou relato de conduta inapropriada de um dos auditores ou especialistas.

10 Iniciando a auditoria No início, é adequado que o contato inicial com o cliente seja estabelecido de maneira formal (apesar de não ser obrigatório), onde são definidos: a) Canais de comunicação; b) Confirmar a autoridade; c) Detalhamento do projeto de auditoria; d) Solicitação de acessos a informação; e) Definição das regras de segurança física e lógica pertinentes; f) Explicitar se haverão observadores e e guias.

11 Análise crítica de documentos Na fase de execução, antes das atividades no local, é importante fazer uma análise crítica dos documentos, que podem incluir documentos e registros específicos do Sistema de Gestão e relatórios de auditorias anteriores. No caso da ISO é importante avaliar o documento de definição de escopo e a declaração de aplicabilidade, além do registro de incidentes de segurança da informação.

12 Análise crítica de documentos Caso a documentação não se encontre nas condições mínimas necessárias para o início, é provável que a auditoria seja interrompida até que a documentação seja providenciada. Esta decisão deve ser tomada entre o auditor líder e o cliente.

13 Preparando atividades no local O auditor líder deve apresentar para o cliente e para o auditado um plano de auditoria, que sirva de base central para a comunicação entre todos os participantes e interessados no projeto. Este plano deve ser detalhado e dar uma idéia clara do escopo, do tempo, dos recursos e dos resultados esperados par ao projeto. Uma prática adequada é construir um cronograma do projeto que inclua todas estas informações. Uma ferramenta muito utilizada é o MS Project.

14 Preparando atividades no local O plano de auditoria deve conter pelo menos as seguintes informações: 1 Os objetivos ; 2 O critério de auditoria selecionado; 3 O escopo ; 4 As datas e locais onde ocorrerão as atividades de auditoria; 5 O tempo estimado das atividades; 6 As funções e responsabilidades dos envolvidos;

15 Preparando atividades no local Continuação... 7 A alocação de recursos; 8 A identificação dos stakeholders (partes interessadas); 9 O idioma vigente para auditoria, se for diferente do idioma nativo; 10 As principais entregas, a serem apresentadas no relatório de auditoria; 11 Questões de logística (viajens, etc); 12 Termos de sigilo e confidencilidade; 13 Termos sobre ações de acompanhamento.

16 Preparando atividades no local É essencial que o plano de auditoria seja avaliado pelos principais envolvidos, ou seja, a equipe de auditoria, o cliente e o auditado. O cliente deverá expressar formalmente sua aprovação para o plano de auditoria, através de um documento assinado por ele. Eventuais alterações no plano de auditoria deverão ser aprovadas novamente, também de maneira formal.

17 Preparando atividades no local O auditor líder, conhecendo melhor o auditado, tendo analisado os documentos da organização ou área, tendo avaliado a viabilidade, e tendo elaborado o plano de auditoria, agora tem totais condições de dividir o trabalho para sua equipe. Ele considerará a competência de cada auditor frente à demanda de cada tarefa, além de observar a questão da independência dos auditores.

18 Preparando atividades no local O auditor líder conduzirá sua equipe na preparação dos documentos para trabalho. Este documentos são compostos basicamente de listas de verificação (check-lists) e eventualmente formulários para o registro de informações de suporte, tais como evidências e constatações, entre outros. Os documentos de trabalho devem ser preservados, pelo menos, até a conclusão da auditoria.

19 Conduzindo projeto de auditoria A reunião de abertura é importante, e deve ser conduzida com a alta direção da organização auditado e envolver as lideranças das áreas, funções e processos a serem auditados. Esta reunião tem os seguintes objetivos: 1 Confirmar o plano de auditoria; 2 Fornecer informações sobre como será conduzida a auditoria; 3 Confirmar os canais de comunicação; 4 Abrir espaço para perguntas.

20 Conduzindo projeto de auditoria A comunicação durante a auditoria é um fator chave de sucesso, e deve ser feita adequadamente. É impressionante o fato de que todos os envolvidos em projetos, de qualquer espécie, estão cientes da importância da comunicação. No entanto, um grande número de problemas ocorrem durante o projeto exatamente em decorrência de falhas ligadas a comunicação.

21 Conduzindo projeto de auditoria Um plano formal de comunicação precisa ser elaborado. Os stakeholders são identificados e comunicados do andamento, tanto no que se refere aos resultados positivos quanto aos resultados negativos. Problemas que estejam inviabilizando ou prejudicando a auditoria precisam ser levadas ao cliente imediatamente, para que as devidas providências sejam tomadas. Caso contrário, o inteiro projeto de auditoria poderá fracassar.

22 Conduzindo projeto de auditoria Caso, durante a auditoria, sejam encontradas falhas graves, que possam gerar prejuízo para a organização, devem ser comunicados imediatamente ao cliente e ao auditado, e não aguardar a conclusão para isso. Qualquer necessidade de mudança de escopo durante a auditoria, deve ser devidamente documentada e amplamente comunicada para todos os stakeholders.

23 Conduzindo projeto de auditoria É comum que as auditorias contem com observadores e guias. Estes indivíduos não devem interferir de maneira alguma na auditoria. O guia pode ser designado pelo auditado para cumprir as seguintes responsabilidades: 1 Estabelecer contados e programar visitas; 2 Organizar as visitas; 3 Garantir o respeito às normas e regras; 4 Testemunhar a auditoria; 5 Ajudar na coleta de informações.

24 Conduzindo projeto de auditoria Informações disponíveis Coletar por amostragem Evidências Avaliar contra critério De acordo com os objetivos, escopo e critério, serão coletadas informações por amostragem. Isto inclui informações sobre funções, processos e atividades. Apenas informações verificáveis são válidas. Constatações Analisar criticamente Conclusões

25 Conduzindo projeto de auditoria Informações disponíveis Coletar por amostragem Evidências Avaliar contra critério Os métodos mais utilizados para a coleta de informações são: 1 Entrevistas; 2 Observação das atividades; 3 Análise de documentos. Constatações Analisar criticamente Conclusões

26 Conduzindo projeto de auditoria Informações disponíveis Coletar por amostragem Evidências Avaliar contra critério As evidências serão avaliadas contra o critério de auditoria. Esta avaliação demonstrará conformidade ou não conformidade com o critério. As não conformidades serão oportunidades de melhoria. Constatações Analisar criticamente Conclusões

27 Conduzindo projeto de auditoria Informações disponíveis Coletar por amostragem Evidências Avaliar contra critério A identificação das conformidades, não conformidades, e oportunidades de melhoria são chamadas de constatações. A equipe de auditoria, durante o projeto, deverá se reunir para avaliar as constatações de auditoria. Constatações Analisar criticamente Conclusões

28 Conduzindo projeto de auditoria Informações disponíveis Coletar por amostragem Evidências Avaliar contra critério Se for objeto, todas a conformidades individuais serão registradas, e com elas, o registro da evidência (verificável) que a suporta. Deve estar claro em que local, ativo, função, ou processo a conformidade foi encontrada. Constatações Analisar criticamente Conclusões

29 Conduzindo projeto de auditoria Informações disponíveis Coletar por amostragem Evidências Avaliar contra critério Do mesmo modo, e principalmente, as não conformidades devem ser registradas. Estas não conformidades podem ser graduadas, se for o caso. O auditado deve estar ciente e concordar com a constatação. Constatações Analisar criticamente Conclusões

30 Conduzindo projeto de auditoria Informações disponíveis Coletar por amostragem Evidências Avaliar contra critério Caso haja qualquer divergência entre o auditado e a equipe de auditoria, deve ser feito todo o esforço possível para se chegar a um consenso. Não sendo possível, um registro detalhado da divergência deverá fazer parte dos registros da auditoria. Constatações Analisar criticamente Conclusões

31 Conduzindo projeto de auditoria Informações disponíveis Coletar por amostragem Evidências Avaliar contra critério Após toda a atividade de coleta de informações e avaliação das evidências, é a hora de analisar todo este material e gerar as conclusões. Geralmente, isto é feito em uma longa reunião com todos os membros da equipe de auditoria. Constatações Analisar criticamente Conclusões

32 Conduzindo projeto de auditoria Informações disponíveis Coletar por amostragem Evidências Avaliar contra critério O objetivo da reunião é: 1 Analisar todas as constatações, e qualquer informação adicional; 2 Acordar sobre as conclusões ; 3 Preparar recomendações (se for o caso); 4 Discutir eventuais ações de acompanhamento. Constatações Analisar criticamente Conclusões

33 Conduzindo projeto de auditoria Ao final o auditor líder conduzirá uma reunião de encerramento, onde participarão a equipe de auditoria, o auditado, o cliente, e eventualmente outros stakeholders. O objetivo é deixar claro todas as constatações e eventualmente definir prazos para que o auditado alcance a conformidade. Estes prazos não devem ser definidos sem a presença e concordância do auditado.

34 Conduzindo projeto de auditoria Este é o momento para que as divergências entre a equipe de auditoria e o auditado sejam trazidas à tona, e que haja um esforço conjunto no sentido de resolver estas divergências. Se constar dos objetivos, as recomendações de melhoria poderão ser apresentadas também neste momento, bem como a proposta de ações de acompanhamento.

35 O relatório de auditoria Ao final o auditor líder providenciará a elaboração do relatório de auditoria. Não há um modelo oficial para este tipo de relatório, mas é importante que ele garanta um registro completo, preciso, conciso e claro. No entanto, é importante que pelo menos alguns elementos fundamentais componham este relatório.

36 O relatório de auditoria Entre estes elementos podemos citar: 1 Os objetivos ; 2 O escopo ; 3 A identificação do cliente; 4 A identificação do auditor líder; 5 As datas e locais onde as atividades foram realizadas; 6 O critério de auditoria; 7 As constatações ; 8 As conclusões.

37 O relatório de auditoria Outras informações opcionais: 1 O plano de auditoria; 2 Lista de representantes do auditado; 3 Resumo do processo de auditoria; 4 Retorno sobre o atendimento dos objetivos; 5 Áreas planejadas mas não cobertas; 6 Divergências não resolvidas; 7 Recomendações para melhoria; 8 Plano de ação para acompanhamentos; 9 Lista de distribuição do relatório.

38 O relatório de auditoria Geralmente, o relatório de auditoria é entregue em uma data posterior à conclusão da mesma. Caso haja qualquer tipo de atraso, isto deve ser informado ao cliente e ao auditado e também constar como registro no próprio relatório. Este relatório é de propriedade do cliente, e a confidencialidade dele deve ser amplamente respeitada. Qualquer registro ou documento referente a auditoria deve ser devolvido ou destruído completamente.

39 Concluindo a auditoria Quando todas estas atividades foram realizadas e o plano de auditoria seguido até o fim, a auditoria é data por encerrada. Caso tenham havido contratações de qualquer tipo ou o estabelecimento de acordos para viabilizar a realização, este é o momento para encerrar estes contratos e acordos de maneira formal. Todos os envolvidos, incluindo terceiros, deverão assinar termos de sigilo e confidencialidade a fim de preservar o cliente e o auditado.