Artigo
09/06/2024
Atualizado em 22/04/2026

O que devo olhar na Auditoria da Gestão de Riscos Cibernéticos

Detalhamento das etapas essenciais para auditar a gestão de riscos cibernéticos, incluindo governança de TI, gestão de ativos, avaliação de riscos, planos de ação, cadeia de suprimentos, treinamento e conscientização dos usuários.

Imagem de capa do artigo

Queria dar continuidade a este tema da auditoria dos riscos cibernéticos que iniciei em um post anterior, e agora trazendo mais detalhes do passo a passo do que devo olhar, avaliar e fazer, com dicas para cada uma das etapas abaixo:

1) Avaliar Governança de TI:

A governança de TI é fundamental para garantir o uso eficaz e eficiente da tecnologia da informação para que a empresa alcance suas metas, assim esta avaliação da governança de TI envolve determinar desde a estrutura organizacional, passando pelas políticas e principalmente os procedimentos que regem a gestão de TI. Essa avaliação é essencial para identificar como a governança de TI suporta os objetivos de negócio e mitiga os riscos associados.

Procedimentos de Auditoria:

  • Revisar Estrutura Organizacional: Examinar organogramas, documentos de políticas de TI e procedimentos que detalham a estrutura de governança de TI.
  • Entrevistas com Executivos de TI: Conduzir entrevistas com CISO, CTOs e outros executivos de TI para entender a implementação e eficácia da governança de TI.
  • Avaliar Documentos de Governança: Revisar documentos de governança, incluindo políticas de segurança de TI, planos estratégicos de TI, e manuais de procedimentos operacionais.
  • Verificar Conformidade com Normas e Padrões: Verificar a conformidade com normas como: NIST, COBIT, ITIL, e ISO/IEC 38500.

2) Avaliar Gestão de Ativos de TI:

A gestão de ativos envolve o controle e gerenciamento de todos os ativos de TI, incluindo hardware, software e sistemas virtuais, onde uma gestão eficaz de ativos garante que a empresa tenha uma visão clara de todos os ativos presentes na rede, permitindo uma melhor gestão de riscos e conformidade.

Procedimentos de Auditoria:

  • Inventário de Ativos: Revisar o inventário de ativos para assegurar que todos os ativos estão listados e devidamente categorizados.
  • Políticas de Gerenciamento de Ativos: Avaliar as políticas de gerenciamento de ativos para garantir que estão em conformidade com as melhores práticas.
  • Ferramentas de Gerenciamento de Ativos: Examinar as ferramentas e sistemas usados para rastrear e gerenciar ativos.
  • Processos de Atualização e Substituição: Avaliar os processos de atualização e substituição de ativos para garantir que os ativos estão atualizados e em bom estado de funcionamento.

3) Avaliar Estratégia de Gestão de Riscos:

A estratégia de gestão de riscos deve identificar, avaliar e mitigar riscos associados ao uso e operação dos sistemas de informação da empresa, onde uma estratégia robusta de gestão de riscos inclui a avaliação contínua e o monitoramento dos riscos.

Procedimentos de Auditoria:

  • Revisar Documentos de Gestão de Riscos: Avaliar documentos como planos de gestão de riscos, avaliações de risco e relatórios de mitigação de risco.
  • Entrevistas com Gerentes de Risco: Conduzir entrevistas com gerentes de risco e outros stakeholders para entender a implementação e eficácia da estratégia de gestão de riscos.
  • Avaliar Ferramentas de Gestão de Riscos: Examinar as ferramentas e sistemas usados para identificar e gerenciar riscos.
  • Verificar Conformidade com Padrões de Risco: Verificar a conformidade com padrões de gestão de riscos, como ISO 31000.

4) Revisar Avaliação de Riscos:

A avaliação de riscos é o processo de identificar e considerar todas as ameaças e vulnerabilidades, identificando os maiores riscos e tomando decisões apropriadas sobre quais riscos aceitar e quais mitigar através de controles de segurança.

Procedimentos de Auditoria:

  • Revisar Metodologias de Avaliação de Riscos: Avaliar as metodologias usadas pela organização para realizar avaliações de risco.
  • Revisar Relatórios de Avaliação de Riscos: Analisar relatórios de avaliação de riscos para assegurar que todos os riscos significativos foram identificados e avaliados.
  • Entrevistas com Analistas de Risco: Conduzir entrevistas com analistas de risco para entender o processo de avaliação de riscos.
  • Avaliar Processos de Mitigação de Riscos: Verificar se os processos de mitigação de riscos são eficazes e implementados de acordo com os resultados da avaliação de riscos.

5) Revisar os Planos de Ação:

Os planos de ação são documentos que descrevem ações planejadas para corrigir deficiências e reduzir ou eliminar vulnerabilidades conhecidas no sistema, o que vai garantir a continuidade das melhorias de segurança.

Procedimentos de Auditoria:

  • Revisar Planos de Ação: Avaliar os planos de ação para assegurar que estão devidamente documentados e alinhados com as necessidades de mitigação de riscos.
  • Monitorar Implementação dos Planos: Verificar o progresso na implementação dos planos de ação e se os marcos estabelecidos estão sendo cumpridos.
  • Revisar Relatórios de Status: Analisar relatórios de status de implementação para garantir que as ações corretivas estão sendo efetivamente executadas.
  • Entrevistas com Responsáveis pela Implementação: Conduzir entrevistas com os responsáveis pela implementação dos planos de ação para entender os desafios e progressos.

6) Avaliar Gestão de Riscos da Cadeia de Suprimentos:

A gestão de riscos da cadeia de suprimentos envolve a identificação e mitigação de riscos que surgem dos fornecedores e outros usuários ao longo da cadeia de suprimentos com acesso privilegiado aos sistemas, aplicações e dados da empresa.

Procedimentos de Auditoria:

  • Revisar Políticas de Gestão da Cadeia de Suprimentos: Avaliar as políticas e procedimentos de gestão de riscos da cadeia de suprimentos.
  • Analisar Acordos com Fornecedores: Examinar acordos e contratos com fornecedores para assegurar que contêm cláusulas de segurança apropriadas.
  • Avaliar Programas de Monitoramento de Fornecedores: Verificar a eficácia dos programas de monitoramento de fornecedores e suas práticas de segurança.
  • Entrevistas com Gerentes de Cadeia de Suprimentos: Conduzir entrevistas com gerentes de cadeia de suprimentos para entender a gestão de riscos e os controles implementados.

7) Avaliar Requisitos de Treinamento e Expertise para Funcionários:

  • Revisar Políticas de Treinamento: Avaliar as políticas de treinamento para assegurar que todos os funcionários recebem treinamento adequado em segurança.
  • Analisar Registros de Treinamento: Verificar registros de treinamento para assegurar que todos os funcionários completaram os treinamentos necessários.
  • Avaliar Programas de Desenvolvimento de Expertise: Analisar programas de desenvolvimento de expertise para garantir que os funcionários têm as habilidades necessárias para proteger os ativos da organização.
  • Entrevistas com Responsáveis pelo Treinamento: Conduzir entrevistas com os responsáveis pelo treinamento para entender a eficácia dos programas de treinamento e desenvolvimento.

8) Determinar Conscientização dos Usuários sobre Políticas de Segurança:

  • Revisar Pesquisa de Conscientização: Avaliar os resultados de pesquisas de conscientização de segurança para entender o nível de conscientização dos usuários sobre as políticas de segurança.
  • Realizar Entrevistas com Usuários: Conduzir entrevistas com usuários para avaliar sua compreensão e conformidade com as políticas de segurança.
  • Avaliar Incidentes Relacionados à Conscientização: Revisar incidentes de segurança que possam ter sido causados por falta de conscientização dos usuários.
  • Recomendar Melhorias: Desenvolver recomendações para melhorar a conscientização dos usuários sobre políticas de segurança com base nos achados da auditoria.
As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante