*Sillas Martins
A busca por conformidade aumenta a cada dia, é notável que as auditorias externas e internas estão contemplando os controles de Segurança da Informação, área que vem ganhado força no mercado e a percepção positiva das organizações perante sua importância, principalmente quando é necessário a implementação de controles de privacidade (GPDR/LGPD), requerimentos que a pouco tempo atrás eram exclusivos a corporações de grande porte, atualmente afetam quase todas organizações, sendo elas de médio e pequeno porte.
Apesar de muitas vezes os membros das empresas terem uma visão negativa referente aos trabalhos de auditoria, por apontar e identificar não conformidades no ambiente em que atuam, temos que entender que esta atividade serve para propor melhorias contínuas e aumentar o nível de maturidade da organização, a auditoria possui um papel muito mais importante do que se pode notar.
Em geral, possuem o objetivo de informar quais pontos a empresa tem necessidade em se adequar, para que os riscos sejam minimizados e os processos sejam otimizados, podendo reduzir custos de operações através da mitigação de erros e consequentemente abrir caminhos para adequação e compliance no ambiente, com um time produtivo que conhece melhor os seus processos de negócio.
Quando pensamos em auditoria de Segurança da Informação não fugimos muito do conceito, tem como proposta fundamental o desenvolvimento tecnológico baseado em boas práticas do mercado e a preocupação com a segurança de todos os ativos. Assim, a corporação terá uma visão geral de todos os pontos positivos, negativos e oportunidades de melhorias que deverão atuar para que os impactos sejam menores.
Você sabe o que é auditoria?
Auditar significa avaliar. A auditoria é uma metodologia, que através de um check list baseado em normas, tem como princípio avaliar controles internos se estão sendo executados de maneira adequada, conforme as exigências da corporação. No caso da Segurança da Informação, a auditoria trabalha para verificar se pontos essenciais utilizados para a proteção do ambiente corporativo atendem aos requisitos de Segurança da Informação com base em frameworks específicos.
Papel do auditor dentro do processo de auditoria
O auditor tem o papel de avaliar se as rotinas adotadas pela corporação estão sendo executadas de maneira correta, são diversos pontos que são avaliados para que possa ser feita uma análise realmente efetiva, podemos destacar abaixo alguns pontos críticos de controle:
- Desenvolvimento de políticas: Manter as políticas periodicamente atualizadas e que estas, sejam divulgadas para os colaboradores, de forma que todos tenham o conhecimento das regras e restrições da empresa;
- Controles de acesso: Realizar o monitoramento e controle de acessos físicos e lógicos da empresa, assim como dos logs gerados e armazená-los para análises futuras;
- Controle e atualizações de softwares: Manter todas as soluções como antivírus e softwares utilizados pela corporação, devidamente documentadas, homologadas e atualizadas;
- Adesão a certificações: Adequar a empresa se baseando nas boas práticas e se possível, obter uma certificação que atenda da melhor forma o ambiente e a empresa, para que os processos seguidos pela organização sejam realizados de maneira mais segura e atendam os controles estabelecidos.
Relembrando os principais conceitos de Segurança da Informação
A definição de Segurança da Informação baseia-se no conceito de proteger os principais ativos da organização dos danos catastróficos e preservar os três pilares: confidencialidade, integridade e disponibilidade.
Sendo que:
- Confidencialidade:Garante que o acesso à informação seja realizado apenas por partes ou pessoas que possuem as devidas autorizações;
- Integridade:Garante que uma informação não seja excluída ou alterada de forma indevida;
- Disponibilidade:Garante que as informações sejam acessadas quando houver a necessidade.
Absorvendo estas informações, é possível identificar a necessidade de uma boa implementação de controles de Segurança da Informação, baseados em frameworks reconhecidos no mercado e normas como a ISO/IEC 27001:2013, é importante destacar que uma manutenção constante e a realização de auditorias periódicas no ambiente corporativo, são fundamentais para manter a qualidade dos processos e serviços ofertados.
Realizar uma avaliação através de uma auditoria eficaz, proporciona identificar previamente os pontos fracos e negativos de um ambiente, assim como corrigir a causa raiz dos problemas conhecidos, trazendo como benefício a maturidade, o aumento da confiança e consecutivamente eleva o nível competitivo da organização dentro do mercado ao qual atua.
*Sillas Martins é Consultant in GRC & Information Security na Safeway
Sobre a [SAFEWAY]
A SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio.
Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil.
Hoje através de mais de 20 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.
Vamos tornar o mundo um lugar mais seguro para viver e fazer negócios!
