Auditoria de Sistemas de Gestão de Segurança da Informação



Documentos relacionados
Regulamento paraa Certificação do Sistema de Gestão da Saúde e Segurança Ocupacional

Estrutura de gerenciamento do risco operacional

BONCRED LEASING S/A. - Arrendamento Mercantil MANUAL DE POLÍTICA DE RESPONSABILIDADE SOCIOAMBIENTAL (PRSA)

Abc BANCO STANDARD DE INVESTIMENTOS S.A. ( BSI ) ESTRUTURA DE GERENCIAMENTO DE RISCO OPERACIONAL

SISTEMÁTICA DE ACOMPANHAMENTO E AVALIAÇÃO DE DESEMPENHO

Apresentação Comercial Proposta de Suporte Técnico Informática

Monitorização e Controle de Projeto

Metodologias de alinhamento PETI. Prof. Marlon Marcon

TREINAMENTO PARA OS COLABORADORES DA ÁREA DE TI RESPONSÁVEIS PELO DESENVOLVIMENTO DO SERVIDOR WEB

FÓRUM: o SNA em debate - 15 e 16 de dezembro de 2006 Brasília - DF

Gabinete do Procurador-Geral da República. 3 Procedimento de Sistema de Auditoria Interna

Projeto Integrador Gestão em TI II Gestão em Pessoas. Organograma DIRETOR DEPARTAMENTO DE T.I ANALISTA TÉCNICO

Política de Comunicação Corporativa

Política de Gestão de Riscos

PLANO ANUAL AUDITORIA. Serviço de. Auditoria Interna. Aprovado na reunião n.º 54/2015 do Conselho de Administração, realizada a 30 de dezembro

Agenda. O que é Testar? Por que testar? Quando testar? Processo de teste Níveis de teste Tipos de teste Classificação dos testes.

Fundamentos de Auditoria

Qualidade de Software Normatização

Sistemas de Informação para Bibliotecas

5.1 Processo de Avaliação de Organizações Prestadoras de Serviços Hospitalares O processo de avaliação e visita deve ser orientado pela aplicação do

Curso Superior de Tecnologia em Gestão Pública. Ciclo de vida e organização do projeto

AUDITORIA INTERNA Secretaria de Educação

CONTRATAÇÃO DE SOLUÇÕES DE TI

POLÍTICA DE GESTÃO DE RISCO. Siguler Guff Brasil Gestora de Investimentos (Asset Management) Brasil Ltda.

BLOCO K Jan EFD ICMS/IPI Bloco K

Qualidade de Produto. Maria Cláudia F. P. Emer

PROCEDIMENTO GERAL Melhoria contínua

Gerenciamento de Integração. Prof. Anderson Valadares

Plataforma Mercer 360

Relatório Anual de Transparência Ano de 2015

1. Definir penalidade a ser aplicada por arquivo indevido em pasta corporativa.

IMPLANTAÇÃO DA GESTÃO AMBIENTAL

GESTAO DA QUALIDADE NA ADMINISTRAÇAO PUBLICA

Art. 2º A responsabilidade pelo cumprimento desta Instrução Normativa é da Gerência de Recursos Humanos ou equivalente.

IV Encontro Pedagógico do IFAM

POLÍTICA DE GESTÃO DE RISCOS

Introdução. Qualidade de Produto. Introdução. Introdução ISO/IEC Normas

A IMPORTÂNCIA DO CONTROLE INTERNO NA ADMINISTRAÇÃO PÚBLICA. ODILON INÁCIO TEIXEIRA Auditor do TCE/PA

INSTRUMENTOS DE GESTÃO DA POLÍTICA DE ASSISTÊNCIA SOCIAL. Prof. Eline Alcoforado Maranhão de Sá

MANUAL DE CONTROLES INTERNOS

Programa Competências Transversais

Gerenciamento das Comunicações em Projetos. Parte 09. Gerenciamento de Projetos Espaciais CSE-301. Docente: Petrônio Noronha de Souza

DECISÃO TÉCNICA DT-121 R00 CONTROLE DAS ATIVIDADES DE OBRAS E DE MANUTENÇÃO

Manual do Processo de Planejamento da UFSC. Departamento de Planejamento SEPLAN/UFSC

CERTIFICAÇÃO DE DESEMPENHO DOS PAINÉIS DE CONTRIBUIÇÃO

INTRODUÇÃO ÀS ESTRATÉGIAS DE TI

SISTEMA DE GESTÃO INTEGRADO - SGI (MEIO AMBIENTE, SEGURANÇA E SAÚDE NO TRABALHO) CONTROLE DE DOCUMENTOS e REGISTROS

Matriz Nine Box e Plano de Desenvolvimento Individual. Rogerio Leme rogerio@lemeconsultoria.com.br rogeriolemeoficial

I - bancos múltiplos, bancos comerciais, bancos de desenvolvimento, bancos de investimento e caixas econômicas;

Avaliação da Satisfação do Cliente de Informática

1.1. Definição do Problema

ANEXO 3 GERENCIAMENTO DE MODIFICAÇÕES

Gerenciamento de projetos (Project Management).

CIRCULAR SUSEP Nº 98, de 16 de julho de 1999.

A Função de Compliance na Banca Comercial

ALM Asset & Liability Management

Estrutura do Gerenciamento de Riscos

Unidade II Atividades em PDS: Testes. Unidade III Suporte e Manutenção. Processo Desenvolvimento Software

OpenPDV: Sistema aberto para gerenciamento de restaurantes

A Análise SWOT (FOFA)

EDITAL DO PROCESSO DE ADESÃO VOLUNTÁRIA À PARTICIPAÇÃO NO PROJETO DE CONSULTORIA PARA CERTIFICAÇÃO ISSO 9001 NA APAC DE NOVA LIMA

PO - Procedimento Operacional Revisão: 09 Página 1 de 5

PLANEJAMENTO SIMPLIFICADO DE PROJETOS

Questionário de Autoavaliação

Glossário Versão 1.0 Desenvolvimento do Sistema de Gestão de Documentos Doc Manager Histórico de Revisão

SUMÁRIO DE REVISÕES. Rev. Data DESCRIÇÃO E/OU ITENS REVISADOS. 0 21/01/2014 Emissão Original

OFICINA 3 IGM Indicadores de Governança Municipal Projeto SEP: PLANEJAMENTO E FORMAS ORGANIZACIONAIS DAS POLÍTICAS PÚBLICAS MUNICIPAIS / REGIONAIS

A IMPORTÂNCIA DA GESTÃO NA MANUTENÇÃO ou Como evitar armadilhas na Gestão da Manutenção Parte 2

Treinamento Auditores 5S 2ª fase fevereiro/08

Governança de Processos no Serpro. Palestrante: Adinilson Martins

Documento de Requisitos do Sistema SISFOTO Sistema de gerenciamento de eventos fotográficos Versão 1.0

Administração Prof. Esp. André Luís Belini Bacharel em Sistemas de Informações MBA em Gestão Estratégica de Negócios

PREFEITURA DO MUNICÍPIO DE PORTO VELHO

CO N T R O L A D O R I A E O U V I D O R I A

Prof. Raul Sidnei Wazlawick UFSC-CTC-INE. Fonte: Análise e Projeto de Sistemas de Informação Orientados a Objetos, 2ª Edição, Elsevier, 2010.

Orientações Para o Preenchimento do Formulário de Inscrição Preliminar dos Projetos

Categorização, Priorização e Balanceamento de Portfólio

Presidência da República Casa Civil da Presidência da República. PARTE II-1 DECLARAÇÃO DE REGRAS OPERACIONAIS DA AC-Raiz INTEGRANTE DA ICP-Brasil

LP EMPREENDIMENTOS CONSTRUÇÃO E MANUTENÇÃO LTDA.

LINHAS MESTRAS; FASES; DISCIPLINAS; PRINCÍPIOS E MELHORES PRÁTICAS.

NORMA GERAL PARA GESTÃO DE CONTENCIOSOS TRABALHISTAS DA CDP

Programa Nacional de Gestão Pública e Desburocratização CGI EM AÇÃO NEP-MA

DET NORSKE VERITAS. Paulo Franchi (Auditor Líder) 10 de dezembro de 2009.

PROCEDIMENTO INTERNO

Transcrição:

Auditoria de Sistemas de Gestão de Segurança da Informação Antes de verificar o escopo da auditoria de Sistema de Gestão de Segurança da Informação (SGSI), é necessário compreender a sua abrangência. A seguir serão apresentados alguns tópicos (ISO/IEC 27001, 2005, 2006) mais relevantes que norteiam o auditor ao adequar a abrangência da auditoria ao porte da empresa e do fator crítico de segurança da informação, analisando-lhe os passos desde a implantação até a execução do mesmo. SGSI Um Sistema de Gestão de Segurança da Informação é um conjunto de regras e normas adotado por uma empresa, com o intuito de garantir a segurança de suas informações quanto a controles, perdas, roubos, alterações e consultas indevidas. Não se trata de um sistema de informação convencional programado com uma linguagem de programação, mas de um procedimento para monitorar e analisar o comportamento das informações e garantir a segurança destas. Os objetivos pretendidos do SGSI devem ser confrontados com os resultados esperados, desta maneira o SGSI deve ser parametrizado para adequar-se com os processos da empresa e garantir a segurança de continuidade dos negócios. Os riscos envolvidos com a perda da informação versus a segurança do SGSI devem ser analisados. A abrangência de auditoria de um SGSI vai desde a segurança física e lógica da informação até a verificação da legislação pertinente às obrigações contratuais. A documentação do SGSI tem de estar sempre em conformidade com

o que é praticado pela empresa e pelos funcionários envolvidos, sendo revista constantemente e reapresentada a todos os envolvidos pelos responsáveis em conferir a execução do SGSI. Abrangência do SGSI A delimitação da abrangência é muito importante para o auditor, pois é por meio desta que se consegue constatar as responsabilidades dos envolvidos. Normalmente, quando as responsabilidades, funções e limites não ficam bem definidos, por exemplo, nos casos de perda da informação, fica difícil encontrar o verdadeiro responsável. Assim, a abrangência atribui não somente as responsabilidades como também os requisitos cobertos pelo SGSI. Pode variar de empresa para empresa, devendo cobrir áreas como tecnologia envolvida em desenvolvimento de sistemas, sistemas operacionais, ferramentas de escritório, integração de sistemas, banco de dados, redes, controles organizacionais, equipes, etc. Em cada área de abrangência, o auditor deve checar se o SGSI está sendo cumprido e se condiz para que a segurança da informação realmente seja eficaz. Alinhamento do SGSI com os negócios da empresa O SGSI tem de estar alinhado com os negócios da empresa em relação a estratégias de negócio, competitividade, atuação no mercado, relação com clientes e fornecedores, dentre outros. O momento atual e o futuro pretendido devem estar alinhados com as normas e regras do SGSI. Exemplo Se a empresa pretende utilizar tecnologia WEB na totalidade de seus sistemas de gestão de vendas, o SGGI deve conter uma regra proibindo o desenvolvimento de novas soluções que não utilizem a tecnologia WEB, e assim por diante. Outro ponto relevante a ser auditado é se a parte legal

envolvida está implantada nos sistemas ou se esta pode gerar impedimento para novos negócios, como por exemplo, se as licenças dos softwares existentes são suficientes para futuros negócios. Riscos Os riscos devem ser mensurados e constados no SGSI e estar bem claros para todos os envolvidos, assim como para a alta gerência. O auditor tem de constatar se os riscos estão contemplados pelo SGSI e se condizem com a realidade. Os riscos podem ser divididos em atuais e futuros. Os atuais envolvem a integração dos sistemas existentes com o negócio atual. Os riscos futuros são derivados de futuros negócios que a empresa pretenda, como por exemplo, a fusão com outras empresas, aberturas de filiais, mudanças de tecnologia, expansão de negócios com fornecedores, que podem comprometer a utilização dos recursos de TI. A importância de mensurar os riscos é tão relevante, porque, justamente através do conhecimento destes é que se implantam as regras de segurança no SGSI. Essencial que a alta gerência tenha conhecimento dos riscos que a empresa esteja correndo, para não ser surpreendida. Uma avaliação constante dos riscos deve ser realizada e a estratégia de recuperação, em caso de perda ou dano, tem que estar relacionada. Muitas vezes, as políticas de contenção para evitar riscos demandam custos financeiros, tempo e consomem mais recursos computacionais e humanos. Por estes motivos, gerentes de informática ou diretores relegam o segundo plano de implantação de medidas, no sentido de evitar riscos, deixando que eles existam e possam acontecer. Nestes casos, cabe ao auditor responsabilizar pontualmente a pessoa pelo eventual risco que a empresa está correndo. O simples fato de atribuir um determinado risco a uma determinada pessoa faz com que esta delegue medidas para evitar o risco de segurança da informação.

Ameaças de invasão Ameaça de invasão é o que toda empresa não quer. As invasões podem vir tanto de fora da empresa como de dentro. A proteção contra invasão tem de ser contemplada pelo SGSI e o auditor tem de verificar se existem tentativas de invasão ou se já ocorreram. As invasões podem interferir na continuidade dos negócios da empresa, como perda de confiabilidade das informações, integridade e, principalmente, a continuidade de disponibilidade da mesma. O auditor avalia o grau de risco de cada possibilidade de invasão. Normalmente a proteção contra invasão está na constante atualização dos softwares de proteção. Ter evitado uma invasão não significa que a empresa não vá mais sofrer o mesmo ataque, por isso os controles contra acessos indevidos precisam estar ativos durante as 24 horas do dia, inclusive sobre dados e informações que saiam da empresa, como por exemplo, o envio de cópias de segurança para locais fora da empresa. Recursos de TI abrangentes no SGSI Os recursos de TI, hardware e software, devem estar documentados no SGSI. Ter os respectivos recursos autorizados pode não ser o suficiente, é preciso que estes sejam utilizados em conformidade com o estipulado pelo SGSI. Um exemplo de utilização pode ser conferido aos e-mails, os quais devem ser utilizados com a finalidade de efetuar operações relacionadas ao trabalho na empresa, e não para assuntos particulares. Atividades de trabalho inerentes às atividades da empresa também devem ser conferidas pelo auditor, pois é possível que funcionários tragam trabalhos externos à empresa, para serem executados ali. Este tipo de prática tem de ser verificado por softwares que realizem varreduras nas estações de trabalho, em busca de conteúdos suspeitos. Implantação do SGSI

Antes de realizar a implantação do SGSI, é preciso checar se o mesmo condiz com as medidas e as regras condizentes, por sua vez, com a natureza da segurança da informação de que a empresa necessita. O auditor também deve averiguar se as pessoas envolvidas na elaboração do SGSI têm capacidade técnica para tal realização. Uma vez elaborado o SGSI, um plano de implantação deve ser tratado, visto que pode haver resistência por parte de alguns funcionários com relação a poder e antiguidade na empresa. O processo de implantação deve deixar clara a necessidade de um SGSI na empresa e o benefício do mesmo para a segurança da informação, como tornar evidente que este é um processo irreversível. Execução do SGSI Tudo não pode ficar excelente apenas no papel, é preciso averiguar se as normas e controles propostos no SGSI estão sendo executados pelos envolvidos e respaldados pela alta gerência. O auditor tem que conferir detalhadamente as normas contidas no SGSI e verificar in loco se estão sendo cumpridas. O não cumprimento do SGSI representa um risco de alto nível. Pior que não ter um SGSI é ter um que não é cumprido, é ter a sensação que as informações estão protegidas, quando não estão. O auditor deve realizar esta verificação em vários níveis e locais na empresa, inclusive realizando tentativas de violação das regras do SGSI para a verificação da eficiência dos controles de segurança. É relevante que uma avaliação periódica do SGSI seja feita e repassada ao conhecimento dos envolvidos, para, cada vez mais, ampliar as responsabilidades dos funcionários da empresa perante a aplicação do SGSI. O início da implantação do SGSI tem que ser documentado e validado pela alta gerência e levado ao conhecimento de todos os funcionários envolvidos e, se for o caso, coletar um ciente de cada funcionário da empresa. A importância do conhecimento elimina, futuramente, a alegação de desconhecimento do SGSI para justificar práticas ilegais.

Acompanhamento do SGSI Não basta implantar um SGSI e virar as costas e achar que tudo correrá perfeito: é necessário acompanhar a execução para analisar se o que foi elaborado está sendo cumprido e se o mesmo é suficiente para garantir a segurança da informação. O acompanhamento deve existir e um relatório deve ser divulgado constantemente a todos os envolvidos, inclusive os erros e ajustes que se fizeram necessários devem constar aí. Para que o SGSI não seja relegado a segundo plano, justifica-se a importância do acompanhamento, assim como é importante divulgar as ações de correção e se estas foram suficientes. O acompanhamento ainda deve verificar se as auditorias foram realizadas regularmente e a sua respectiva abrangência. A ausência de auditoria pode esconder deficiências do SGSI, e, conforme a gravidade dessas, colocar as informações em risco. É possível que o SGSI fique defasado por falta de recursos humanos disponíveis na empresa, o que pode decorrer de uma forte mudança de estratégia em seus negócios. Esta constatação deve ser apontada pelo auditor para certificação de que o SGSI não esteja prejudicado em sua abrangência. O relatório do acompanhamento, como o próprio auditor, também pode sugerir um aperfeiçoamento no SGSI. Manter um histórico do acompanhamento é muito útil para constatar se as ações passadas se tornaram eficazes. Um histórico é um forte respaldo para justificar uma ação futura, inclusive uma ação de conduta individual não apropriada. Importante Um aspecto relevante quanto ao acompanhamento é levar em consideração as constatações colocadas pelos funcionários, pois algumas sugestões podem trazer medidas de segurança eficazes, visto que são eles que lidam no dia a dia com as informações. Ou seja, a leitura que se faz da necessidade de acompanhamento

traduz-se na constatação de que o SGSI é eficaz, ou não, o que é muito importante para o auditor, pois, conforme o caso, pode levar a rever todo o modelo do SGSI, ou garantir a tranquilidade de que as informações estão seguras. Referências ISO/IEC 27001. Tecnologia da Informação, Técnicas de Segurança, Sistemas de Gerenciamento de Segurança da Informação, Necessidades ISO/IEC, 2005. ISO/IEC 27001. Tecnologia da Informação, Técnicas de Segurança, Sistemas de Gerenciamento de Segurança da Informação, Requisitos ISO/IEC, 2006. Autor: Marcio Ghisi Guimarães

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback