*Por Lucas Bezerra
Geral
A digitalização das companhias ao redor do mundo, por meio da implementação de variados recursos tecnológicos aos seus processos de negócio, traz inúmeros benefícios, como o aumento da capacidade do processamento de informações e, consequentemente, aumento da capacidade do atendimento de demandas, a redução da chance de eventuais erros e omissões relacionados a processos manuais e um menor custo com mão de obra humana.
A digitalização dos processos de negócio de uma organização, entretanto, resulta no surgimento de novos riscos associados aos ativos (pessoas, processos e tecnologias) encarregados da sustentação do seu ambiente tecnológico. Para garantir que estes riscos sejam mapeados, de forma a mitigar a probabilidade e/ou reduzir o impacto de eventos prejudiciais, as organizações devem estruturar uma série de controles relacionados à Tecnologia da Informação (TI).
Controles de TI
O conceito de ITGC (Information Technology General Controls – Controles Gerais de Tecnologia da Informação) serve como suporte para a identificação de controles que tem por objetivo mitigar os riscos relacionados à TI dentro das organizações. A identificação destes controles como “gerais” se deve ao fato de serem desenhados de forma a cobrir risco em diversos fatores dentro da organização, como, por exemplo, segurança física e lógica do ambiente tecnológico, cópias de segurança dos dados da organização, gestão dos incidentes de TI e Segurança da Informação (SI).
Além da implementação dos controles, é recomendada a atividade de avaliação dos destes, a fim de avaliar sua eficácia mantendo-os atualizados e adequados ao negócio, de forma a cobrir os riscos de TI identificados.
Auditoria ITGC
A maneira mais comum de avaliar os ITGCs implementados pela organização é através do processo de auditoria interna. Este processo tem por objetivo avaliar a efetividade e eficiência dos controles para mitigação dos riscos de TI aos quais a organização possa estar exposta.
A atividade de auditoria interna deve ser executada por uma área e/ou terceiro independente das áreas e equipes responsáveis pela execução dos controles, garantido que a avaliação será performada de forma imparcial e objetiva.
Os ITGC implementados pela organização devem ser identificados e associados aos riscos aos quais estes cobrem. Uma abordagem utilizada em algumas organizações é elaborar uma Matriz de Riscos e Controles (MRC), onde essa associação é descrita. Este material serve como um ponto de partida para o auditor responsável pela execução das atividades de avaliação dos controles. Os controles identificados pela organização como aplicáveis são relacionados no documento conhecido como SOA (Statement of Applicability – Declaração de Aplicabilidade, em português). Este documento traz, de forma sumária, todos os controles aplicáveis ao negócio e quais os processos executados pela organização que suportam estes controles.
Etapas da Auditoria ITGC
Uma vez em posse da MRC e/ou do SOA da organização, o auditor poderá iniciar a fase de TOD (Test of Design – Teste de Desenho, em português), onde o objetivo é avaliar se os processos implementados pela organização foram desenhados de forma satisfatória a atender aos controles aos quais estes estão relacionados e a boas práticas do mercado. Nesta fase, o auditor pode recorrer a um ou mais dos seguintes métodos para avaliar o desenho de um controle:
- Indagação: questionar o responsável pelo processo (chamado, às vezes, de Control Owner) para obter a descrição e visão geral deste. Este método é geralmente utilizado em conjunto com outra técnica, devido ao baixo nível de confiabilidade das informações;
- Observação: observar a execução do processo por parte do responsável ou alguém por este designado;
- Inspeção: analisar documentos, gravações, capturas de tela ou outros tipos de evidências da execução do processo avaliado. Este método pode ser associado à indagação para obter a descrição do processo de forma mais precisa;
- Reperformance: reexecutar o processo do início ao fim. Esta etapa, por vezes, pode ser identificada como “walkthrough”.
Além do teste de desenho, os controles são avaliados também quanto à sua efetividade, no TOE (Test of Effectiveness – Teste de Efetividade, em português), onde o objetivo é validar que um controle, de fato, reduz ou mitiga o(s) risco(s) ao(s) qual(is) este está associado em determinado período.
Para avaliar a efetividade de um controle, são selecionadas amostras, baseadas no período escopo da avaliação, a periodicidade e forma de execução do controle (manual, automático ou híbrido), de maneira que o auditor consiga garantir que o controle está funcionando no ambiente em que está implementado. Por exemplo, em uma auditoria cujo período de avaliação é de 1 ano, a expectativa é que haja apenas 1 execução de um controle anual, 12 execuções de um controle mensal e assim em diante. Assim sendo, o auditor deve selecionar uma quantidade razoável de amostras e, quando aplicável, relacionados a períodos (meses, semanas ou dias) distantes, para garantir que a eficácia do controle não foi comprometida com o passar do tempo.
Além dos testes de desenho e efetividade dos controles, o auditor poderá também executar o teste conhecido como “rollforward”. Este teste consiste no teste de efetividade performado sobre a execução de um controle complementar ao período escopo, de forma a cobrir um período planejado. Por exemplo, se o período escopo de uma auditoria é de janeiro a agosto de um determinado ano, o teste rollforward será executado sobre o período entre setembro e dezembro deste ano, de forma a avaliar a execução do controle por todo o ano avaliado. Este teste demanda uma quantidade menor de amostras, comparado aos testes de desenho e de efetividade, devido ao período menor de escopo.
Após a execução dos testes, o auditor deve emitir um relatório de auditoria para formalizar o resultado de suas avaliações. Caso identifique controles cujo desenho não está aderente ao risco relacionado ou aos requisitos da organização, bem como controles ineficientes, o auditor deve descrever o problema (também chamado de “gap”) e pode sugerir um plano de ação corretiva para este desvio.
Considerações Finais
A Auditoria ITGC é indispensável para organizações que buscam a conformidade com diversas regulamentações, por exemplo a Lei Sarbanes-Oxley ou para empresas que buscam aprimorar a gestão de riscos de TI.
A dinamicidade da indústria tecnológica resulta no constante surgimento de riscos relacionados à TI; portanto, a avaliação periódica de eficiência dos controles implementados para minimizar a probabilidade e impacto destes riscos ao ambiente é de suma importância para empresas de diversos ramos de negócio e portes, facilitando a gestão destes riscos e preparar as empresas para a constante renovação tecnológica ao redor do mundo.
— Lucas Bezerra é GRC, Privacy and Information Security Senior Consultant at [SAFEWAY]
Como podemos Ajudar?
A SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 14 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.
Hoje por meio de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. Possuímos tanto a habilidade técnica quanto a experiência necessária para auxiliar sua empresa no processo de estruturação de controles e preparação do ambiente para implantação de SGSI, SGS ou SGCN e, consequentemente, certificação de operações, serviços ou empresas as normas ISO27001, ISO20000 ou ISO22301.
Com o intuito de apoiar as empresas nesse processo de avaliação e adequação aos requisitos da LGPD, a [SAFEWAY] possui em seu portfólio de serviços, o Cybersecurity Health Check cujo objetivo é executar um diagnóstico dos controles de CyberSecurity, Segurança da Informação e Privacidade de Dados implementados na sua empresa, contemplando os pilares de Processos, Pessoas e Tecnologia.
Por meio do Cybersecurity Health Check, são identificados os riscos associados a segurança da informação e privacidade dos processos e atividades internas, os controles existentes e avaliados novos controles de acordo com o porte de sua organização para aumentar o nível de maturidade e compliance, de acordo com as boas práticas de segurança da informação. Caso deseje mais informações, entre em contato com um de nossos especialistas!
