Quem me acompanha aqui sabe que estou sempre preocupado, e assim sempre falando também sobre riscos cibernéticos, e queria dar um novo olhar ao tema, sob a perspectiva da auditoria.
Para isto, vou trazer abaixo um framework estruturado para a execução de auditorias eficazes em programas de cibersegurança, passando pelo passo a passo das etapas de um processo completo de auditoria de programas de cibersegurança.
Vamos lá então do início ao fim o que precisa fazer de forma genérica:
1) Planejar e Projetar a Auditoria:
Iniciar Pesquisa de Antecedentes
Primeiro passo é ter um entendimento preliminar da empresa e destes seus riscos, o que pode fazer por exemplo revisando trabalhos de auditoria anteriores e outras fontes de informação pública, organogramas, documentos de políticas, relatórios de auditorias anteriores e artigos publicados relevantes. Pessoalmente acho particularmente importante a revisão de relatórios e recomendações previamente emitidos. Gosto de começar por aí, quando isto existe e é possível.
Determinar Objetivos da Auditoria
Desenvolver e documentar os objetivos da auditoria cibernética é importante, pois estes objetivos representam o que a auditoria pretende alcançar e podem ser visualizados como perguntas que os auditores buscam responder com base nas evidências obtidas e avaliadas contra critérios estabelecidos.
Normalmente estes objetivos podem ser ajustados conforme o trabalho é realizado e podem incluir:
- Avaliar controles de cibersegurança conforme exigido por legislações relevantes.
- Suplementar auditorias de desempenho avaliando a eficácia da cibersegurança dentro de um contexto mais amplo.
- Determinar a eficácia dos controles de cibersegurança e identificar riscos relacionados à sua implementação.
- Examinar processos e procedimentos de desenvolvimento de sistemas.
Conduzir Reunião de Início de Trabalhos
O time de auditoria deve realizar uma reunião inicial com a área auditada para informá-la sobre os objetivos, escopo preliminar, metodologia e cronogramas esperados.
E durante essa reunião, deve-se solicitar documentos relevantes, e deve incluir informações sobre processos de negócios, estrutura organizacional de TI, orçamento e financiamento, pessoal e localizações, arquitetura de rede e sistemas, eventos recentes e auditorias anteriores.
Identificar Critérios e Desenvolver Plano de Auditoria
Os critérios identificam o estado requerido ou desejado ou a expectativa em relação ao programa ou operação auditada. Incluem leis, regulamentos, políticas e diretrizes relevantes para TI na empresa, padrões tecnicamente desenvolvidos e práticas recomendadas. Exemplos de frameworks relevantes e usados são:
- Framework de Gestão de Riscos do NIST
- Publicação Especial do NIST 800-53
- Cybersecurity Framework do NIST
- Ordem Executiva Presidencial 14028
O plano de auditoria inicial deve ser desenvolvido documentando procedimentos específicos e ajustando a metodologia conforme necessário para alcançar os objetivos da auditoria.
2) Executar a Auditoria:
Coletar Evidências Iniciais
A evidência pode ser categorizada como física, documental ou testemunhal. A evidência física é obtida por inspeção direta, observação ou walk-through. A evidência documental inclui políticas e procedimentos existentes, resultados de varreduras realizadas pela empresa, registros de treinamento, logs de eventos e acesso, entre outros. A evidência testemunhal é obtida por meio de consultas, entrevistas, grupos focais, fóruns públicos ou questionários.
Finalizar o Plano de Auditoria
Antes de finalizar o plano de auditoria, a equipe deve realizar testes iniciais suficientes para assegurar a disponibilidade e confiabilidade dos dados essenciais. O plano deve ser atualizado para refletir quaisquer mudanças significativas nos objetivos, escopo, procedimentos, tempo e recursos.
Continuar a Coleta e Análise de Dados
A coleta contínua de dados deve seguir o plano de auditoria finalizado. A análise de evidências pode incluir exames, entrevistas e testes. O exame envolve a revisão, inspeção, observação, walk-throughs, estudo ou análise de objetos de avaliação. As entrevistas incluem discussões com indivíduos ou grupos dentro da empresa para facilitar a compreensão, alcançar clarificações ou obter evidências. Os testes incluem a execução de atividades ou mecanismos sob condições especificadas para comparar um estado real com um estado desejado ou comportamento esperado.
Determinar Conclusões da Auditoria
Ao analisar as evidências, a equipe de auditoria deve avaliar a suficiência das evidências, incluindo documentação da natureza, tempo e extensão dos testes, evidências da operação efetiva das técnicas de controle ou falta delas, controles compensatórios ou outros fatores, e a base para determinar sua eficácia. As conclusões e recomendações devem fluir das constatações avaliativas.
3) Relatar Resultados da Auditoria:
Revisar Conclusões com a Área Auditada
Após a conclusão do trabalho de auditoria, a equipe deve fornecer à área auditada uma declaração de fatos que descreva as conclusões da auditoria. A área pode comentar e discutir a declaração de fatos com os auditores e fornecer feedback e documentação de apoio que podem impactar as conclusões e recomendações.
Desenvolver Relatório Preliminar
Os relatórios de auditoria devem apresentar os resultados de forma clara e compreensível, incluindo os objetivos da auditoria, escopo, metodologia, constatações, conclusões e recomendações. Informações fornecidas pela área auditada devem ser incorporadas conforme apropriado.
Obter Opiniões da Área Auditada sobre o Relatório Preliminar
Fornecer um relatório preliminar para revisão e comentário pelos responsáveis da área auditada ajuda a desenvolver um relatório justo, completo e objetivo. Comentários escritos são preferíveis, mas comentários orais também são aceitáveis.
Finalizar Relatório
Após a área auditada ter tempo suficiente para revisar e comentar o relatório preliminar, a equipe de auditoria pode finalizar o relatório, incluindo abordando comentários feitos na resposta de comentário da área.