Queria dar continuidade a este tema da auditoria dos riscos cibernéticos que iniciei em um post anterior, e agora trazendo mais detalhes do passo a passo do que devo olhar, avaliar e fazer, com dicas para cada uma das etapas abaixo:
1) Avaliar Governança de TI:
A governança de TI é fundamental para garantir o uso eficaz e eficiente da tecnologia da informação para que a empresa alcance suas metas, assim esta avaliação da governança de TI envolve determinar desde a estrutura organizacional, passando pelas políticas e principalmente os procedimentos que regem a gestão de TI. Essa avaliação é essencial para identificar como a governança de TI suporta os objetivos de negócio e mitiga os riscos associados.
Procedimentos de Auditoria:
- Revisar Estrutura Organizacional: Examinar organogramas, documentos de políticas de TI e procedimentos que detalham a estrutura de governança de TI.
- Entrevistas com Executivos de TI: Conduzir entrevistas com CISO, CTOs e outros executivos de TI para entender a implementação e eficácia da governança de TI.
- Avaliar Documentos de Governança: Revisar documentos de governança, incluindo políticas de segurança de TI, planos estratégicos de TI, e manuais de procedimentos operacionais.
- Verificar Conformidade com Normas e Padrões: Verificar a conformidade com normas como: NIST, COBIT, ITIL, e ISO/IEC 38500.
2) Avaliar Gestão de Ativos de TI:
A gestão de ativos envolve o controle e gerenciamento de todos os ativos de TI, incluindo hardware, software e sistemas virtuais, onde uma gestão eficaz de ativos garante que a empresa tenha uma visão clara de todos os ativos presentes na rede, permitindo uma melhor gestão de riscos e conformidade.
Procedimentos de Auditoria:
- Inventário de Ativos: Revisar o inventário de ativos para assegurar que todos os ativos estão listados e devidamente categorizados.
- Políticas de Gerenciamento de Ativos: Avaliar as políticas de gerenciamento de ativos para garantir que estão em conformidade com as melhores práticas.
- Ferramentas de Gerenciamento de Ativos: Examinar as ferramentas e sistemas usados para rastrear e gerenciar ativos.
- Processos de Atualização e Substituição: Avaliar os processos de atualização e substituição de ativos para garantir que os ativos estão atualizados e em bom estado de funcionamento.
3) Avaliar Estratégia de Gestão de Riscos:
A estratégia de gestão de riscos deve identificar, avaliar e mitigar riscos associados ao uso e operação dos sistemas de informação da empresa, onde uma estratégia robusta de gestão de riscos inclui a avaliação contínua e o monitoramento dos riscos.
Procedimentos de Auditoria:
- Revisar Documentos de Gestão de Riscos: Avaliar documentos como planos de gestão de riscos, avaliações de risco e relatórios de mitigação de risco.
- Entrevistas com Gerentes de Risco: Conduzir entrevistas com gerentes de risco e outros stakeholders para entender a implementação e eficácia da estratégia de gestão de riscos.
- Avaliar Ferramentas de Gestão de Riscos: Examinar as ferramentas e sistemas usados para identificar e gerenciar riscos.
- Verificar Conformidade com Padrões de Risco: Verificar a conformidade com padrões de gestão de riscos, como ISO 31000.
4) Revisar Avaliação de Riscos:
A avaliação de riscos é o processo de identificar e considerar todas as ameaças e vulnerabilidades, identificando os maiores riscos e tomando decisões apropriadas sobre quais riscos aceitar e quais mitigar através de controles de segurança.
Procedimentos de Auditoria:
- Revisar Metodologias de Avaliação de Riscos: Avaliar as metodologias usadas pela organização para realizar avaliações de risco.
- Revisar Relatórios de Avaliação de Riscos: Analisar relatórios de avaliação de riscos para assegurar que todos os riscos significativos foram identificados e avaliados.
- Entrevistas com Analistas de Risco: Conduzir entrevistas com analistas de risco para entender o processo de avaliação de riscos.
- Avaliar Processos de Mitigação de Riscos: Verificar se os processos de mitigação de riscos são eficazes e implementados de acordo com os resultados da avaliação de riscos.
5) Revisar os Planos de Ação:
Os planos de ação são documentos que descrevem ações planejadas para corrigir deficiências e reduzir ou eliminar vulnerabilidades conhecidas no sistema, o que vai garantir a continuidade das melhorias de segurança.
Procedimentos de Auditoria:
- Revisar Planos de Ação: Avaliar os planos de ação para assegurar que estão devidamente documentados e alinhados com as necessidades de mitigação de riscos.
- Monitorar Implementação dos Planos: Verificar o progresso na implementação dos planos de ação e se os marcos estabelecidos estão sendo cumpridos.
- Revisar Relatórios de Status: Analisar relatórios de status de implementação para garantir que as ações corretivas estão sendo efetivamente executadas.
- Entrevistas com Responsáveis pela Implementação: Conduzir entrevistas com os responsáveis pela implementação dos planos de ação para entender os desafios e progressos.
6) Avaliar Gestão de Riscos da Cadeia de Suprimentos:
A gestão de riscos da cadeia de suprimentos envolve a identificação e mitigação de riscos que surgem dos fornecedores e outros usuários ao longo da cadeia de suprimentos com acesso privilegiado aos sistemas, aplicações e dados da empresa.
Procedimentos de Auditoria:
- Revisar Políticas de Gestão da Cadeia de Suprimentos: Avaliar as políticas e procedimentos de gestão de riscos da cadeia de suprimentos.
- Analisar Acordos com Fornecedores: Examinar acordos e contratos com fornecedores para assegurar que contêm cláusulas de segurança apropriadas.
- Avaliar Programas de Monitoramento de Fornecedores: Verificar a eficácia dos programas de monitoramento de fornecedores e suas práticas de segurança.
- Entrevistas com Gerentes de Cadeia de Suprimentos: Conduzir entrevistas com gerentes de cadeia de suprimentos para entender a gestão de riscos e os controles implementados.
7) Avaliar Requisitos de Treinamento e Expertise para Funcionários:
- Revisar Políticas de Treinamento: Avaliar as políticas de treinamento para assegurar que todos os funcionários recebem treinamento adequado em segurança.
- Analisar Registros de Treinamento: Verificar registros de treinamento para assegurar que todos os funcionários completaram os treinamentos necessários.
- Avaliar Programas de Desenvolvimento de Expertise: Analisar programas de desenvolvimento de expertise para garantir que os funcionários têm as habilidades necessárias para proteger os ativos da organização.
- Entrevistas com Responsáveis pelo Treinamento: Conduzir entrevistas com os responsáveis pelo treinamento para entender a eficácia dos programas de treinamento e desenvolvimento.
8) Determinar Conscientização dos Usuários sobre Políticas de Segurança:
- Revisar Pesquisa de Conscientização: Avaliar os resultados de pesquisas de conscientização de segurança para entender o nível de conscientização dos usuários sobre as políticas de segurança.
- Realizar Entrevistas com Usuários: Conduzir entrevistas com usuários para avaliar sua compreensão e conformidade com as políticas de segurança.
- Avaliar Incidentes Relacionados à Conscientização: Revisar incidentes de segurança que possam ter sido causados por falta de conscientização dos usuários.
- Recomendar Melhorias: Desenvolver recomendações para melhorar a conscientização dos usuários sobre políticas de segurança com base nos achados da auditoria.