Artigo
20/06/2024
Atualizado em 22/04/2026

Dicas do Passo a Passo de uma Auditoria de Riscos Cibernéticos

Framework detalhado para planejar, executar e relatar auditorias em programas de cibersegurança, incluindo coleta de evidências, análise e comunicação de resultados.

Imagem de capa do artigo

Quem me acompanha aqui sabe que estou sempre preocupado, e assim sempre falando também sobre riscos cibernéticos, e queria dar um novo olhar ao tema, sob a perspectiva da auditoria.

Para isto, vou trazer abaixo um framework estruturado para a execução de auditorias eficazes em programas de cibersegurança, passando pelo passo a passo das etapas de um processo completo de auditoria de programas de cibersegurança.

Vamos lá então do início ao fim o que precisa fazer de forma genérica:

1) Planejar e Projetar a Auditoria:

Iniciar Pesquisa de Antecedentes

Primeiro passo é ter um entendimento preliminar da empresa e destes seus riscos, o que pode fazer por exemplo revisando trabalhos de auditoria anteriores e outras fontes de informação pública, organogramas, documentos de políticas, relatórios de auditorias anteriores e artigos publicados relevantes. Pessoalmente acho particularmente importante a revisão de relatórios e recomendações previamente emitidos. Gosto de começar por aí, quando isto existe e é possível.

Determinar Objetivos da Auditoria

Desenvolver e documentar os objetivos da auditoria cibernética é importante, pois estes objetivos representam o que a auditoria pretende alcançar e podem ser visualizados como perguntas que os auditores buscam responder com base nas evidências obtidas e avaliadas contra critérios estabelecidos.

Normalmente estes objetivos podem ser ajustados conforme o trabalho é realizado e podem incluir:

- Avaliar controles de cibersegurança conforme exigido por legislações relevantes.

- Suplementar auditorias de desempenho avaliando a eficácia da cibersegurança dentro de um contexto mais amplo.

- Determinar a eficácia dos controles de cibersegurança e identificar riscos relacionados à sua implementação.

- Examinar processos e procedimentos de desenvolvimento de sistemas.

Conduzir Reunião de Início de Trabalhos

O time de auditoria deve realizar uma reunião inicial com a área auditada para informá-la sobre os objetivos, escopo preliminar, metodologia e cronogramas esperados.

E durante essa reunião, deve-se solicitar documentos relevantes, e deve incluir informações sobre processos de negócios, estrutura organizacional de TI, orçamento e financiamento, pessoal e localizações, arquitetura de rede e sistemas, eventos recentes e auditorias anteriores.

Identificar Critérios e Desenvolver Plano de Auditoria

Os critérios identificam o estado requerido ou desejado ou a expectativa em relação ao programa ou operação auditada. Incluem leis, regulamentos, políticas e diretrizes relevantes para TI na empresa, padrões tecnicamente desenvolvidos e práticas recomendadas. Exemplos de frameworks relevantes e usados são:

- Framework de Gestão de Riscos do NIST

- Publicação Especial do NIST 800-53

- Cybersecurity Framework do NIST

- Ordem Executiva Presidencial 14028

O plano de auditoria inicial deve ser desenvolvido documentando procedimentos específicos e ajustando a metodologia conforme necessário para alcançar os objetivos da auditoria.

2) Executar a Auditoria:

Coletar Evidências Iniciais

A evidência pode ser categorizada como física, documental ou testemunhal. A evidência física é obtida por inspeção direta, observação ou walk-through. A evidência documental inclui políticas e procedimentos existentes, resultados de varreduras realizadas pela empresa, registros de treinamento, logs de eventos e acesso, entre outros. A evidência testemunhal é obtida por meio de consultas, entrevistas, grupos focais, fóruns públicos ou questionários.

Finalizar o Plano de Auditoria

Antes de finalizar o plano de auditoria, a equipe deve realizar testes iniciais suficientes para assegurar a disponibilidade e confiabilidade dos dados essenciais. O plano deve ser atualizado para refletir quaisquer mudanças significativas nos objetivos, escopo, procedimentos, tempo e recursos.

Continuar a Coleta e Análise de Dados

A coleta contínua de dados deve seguir o plano de auditoria finalizado. A análise de evidências pode incluir exames, entrevistas e testes. O exame envolve a revisão, inspeção, observação, walk-throughs, estudo ou análise de objetos de avaliação. As entrevistas incluem discussões com indivíduos ou grupos dentro da empresa para facilitar a compreensão, alcançar clarificações ou obter evidências. Os testes incluem a execução de atividades ou mecanismos sob condições especificadas para comparar um estado real com um estado desejado ou comportamento esperado.

Determinar Conclusões da Auditoria

Ao analisar as evidências, a equipe de auditoria deve avaliar a suficiência das evidências, incluindo documentação da natureza, tempo e extensão dos testes, evidências da operação efetiva das técnicas de controle ou falta delas, controles compensatórios ou outros fatores, e a base para determinar sua eficácia. As conclusões e recomendações devem fluir das constatações avaliativas.

3) Relatar Resultados da Auditoria:

Revisar Conclusões com a Área Auditada

Após a conclusão do trabalho de auditoria, a equipe deve fornecer à área auditada uma declaração de fatos que descreva as conclusões da auditoria. A área pode comentar e discutir a declaração de fatos com os auditores e fornecer feedback e documentação de apoio que podem impactar as conclusões e recomendações.

Desenvolver Relatório Preliminar

Os relatórios de auditoria devem apresentar os resultados de forma clara e compreensível, incluindo os objetivos da auditoria, escopo, metodologia, constatações, conclusões e recomendações. Informações fornecidas pela área auditada devem ser incorporadas conforme apropriado.

Obter Opiniões da Área Auditada sobre o Relatório Preliminar

Fornecer um relatório preliminar para revisão e comentário pelos responsáveis da área auditada ajuda a desenvolver um relatório justo, completo e objetivo. Comentários escritos são preferíveis, mas comentários orais também são aceitáveis.

Finalizar Relatório

Após a área auditada ter tempo suficiente para revisar e comentar o relatório preliminar, a equipe de auditoria pode finalizar o relatório, incluindo abordando comentários feitos na resposta de comentário da área.

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante