O que são ITGCs?
- Por que os ITGCs são importantes?
- Principais categorias de ITGCs
- Como os ITGCs diferem dos controles de aplicações?
- ITGCs e regulamentações de conformidade
- Desafios na implementação de ITGCs
- Como o ADManager Plus pode ajudar na implementação de ITGCs
Os controles gerais de TI (ITGCs) são mecanismos fundamentais que abrangem todo o ambiente de tecnologia da informação de uma organização, com o objetivo de garantir a integridade, segurança e confiabilidade dos sistemas e dados. Eles sustentam o desenvolvimento e a operação corretos dos controles de aplicações, além de assegurar que o ambiente geral de controle seja robusto e confiável.
Com escopo amplo, os ITGCs afetam todos os sistemas, aplicações e usuários da organização. Normalmente incluem políticas, procedimentos e atividades relacionadas a acesso a sistemas, operações, gerenciamento de mudanças e backup de dados.
Por que os ITGCs são importantes?
Os ITGCs formam a base do controle interno nos sistemas de TI. Sem eles, até mesmo os melhores controles de aplicações podem ser ineficazes. Sua importância é evidente nas áreas a seguir.
- Requisitos regulatórios: Os ITGCs são necessários para atender a normas e estruturas de conformidade como LGPD, SOX, HIPAA, ISO 27001 e NIST.
- Preparação para auditorias: Auditores avaliam os ITGCs para determinar se podem confiar nos sistemas de TI de uma organização durante auditorias financeiras ou de conformidade.
- Segurança e gerenciamento de riscos: ITGCs eficazes reduzem o risco de acesso não autorizado, fraude, vazamentos de dados e erros operacionais.
- Continuidade do negócio: ITGCs fortalecem a resiliência por meio de backup de dados, recuperação de desastres e medidas de integridade de sistemas.
Principais categorias de ITGCs
Existem várias categorias principais de ITGCs, cada uma voltada para um aspecto crítico do gerenciamento e da segurança de sistemas.
- Controles de acesso
Garantem que apenas indivíduos autorizados tenham acesso aos sistemas e dados de TI, de acordo com funções e responsabilidades atribuídas.
- Controles de gerenciamento de mudanças
Regulam como modificações em sistemas, aplicações e infraestrutura são introduzidas.
- Segregação de funções (SoD)
Assegura que tarefas críticas sejam divididas entre diferentes pessoas para evitar conflitos de interesse, fraude ou erros.
- Controles de operações de sistemas
Relacionados ao funcionamento e manutenção diários dos sistemas de TI.
- Controles de backup e recuperação
Garantem que dados sejam regularmente copiados e possam ser recuperados em caso de desastres ou falhas.
- Registro e monitoramento de auditoria
Garantem que todas as atividades do sistema sejam registradas e monitoradas para detectar comportamentos suspeitos ou não autorizados.
Como os ITGCs diferem dos controles de aplicações?
Embora ITGCs e controles de aplicações possam parecer semelhantes, diferem em seu escopo.
- Os ITGCs aplicam-se a sistemas e processos de forma geral, garantindo que todo o ambiente de TI esteja controlado e seguro.
- Os controles de aplicações são específicos para cada aplicação e se concentram na precisão, completude e validade do processamento (ex.: validação de entradas).
Ambos são necessários para manter a postura de segurança de uma organização, mas os ITGCs fornecem a estrutura dentro da qual os controles de aplicações podem operar de forma eficaz.
ITGCs e regulamentações de conformidade
| Regulamentações de conformidade | Como elas se relacionam aos ITGCs | Principais áreas de ITGC impactadas | O que os auditores procuram |
|---|---|---|---|
| Lei Sarbanes-Oxley (SOX) | Garante a precisão dos dados financeiros por meio de sistemas de TI confiáveis | Controles de acesso, gerenciamento de mudanças, registro de auditoria e SoD | Evidências de acesso restrito a sistemas financeiros, aprovações formais de mudanças e trilhas de auditoria das modificações |
| Lei de Portabilidade e Responsabilidade de Seguro Saúde (HIPAA) | Protege a integridade e a confidencialidade das informações de saúde protegidas eletronicamente (ePHI) | Controles de acesso, logs de auditoria, operações de sistemas, backup e recuperação | Acesso aos dados dos pacientes baseado em função, registros de tentativas de acesso e preparo para recuperação de desastres |
| Lei Geral de Proteção de Dados Pessoais (LGPD) | Exige que as organizações protejam dados pessoais e demonstrem responsabilidade | Controles de acesso, logs de auditoria, backup e recuperação | Acesso controlado a dados pessoais, capacidade de detecção de violações e logs de direitos de acesso/modificação |
| Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) | Garante o tratamento seguro de dados de cartões de crédito e dos sistemas de informação relacionados | Controles de acesso, logs de auditoria e gerenciamento de mudanças | Acesso restrito a dados de titulares de cartão, monitoramento em tempo real de atividades e processos formais de controle de mudanças |
| Objetivos de controle de informação e tecnologias relacionadas (COBIT) | Estrutura de governança e gerenciamento de TI que enfatiza o alinhamento da TI aos objetivos de negócio | Todos os ITGCs, especialmente SoD e controle de mudanças | Estruturas de governança, atividades de controle e métricas de desempenho vinculadas a riscos de TI |
Desafios na implementação de ITGCs
Embora os ITGCs sejam importantes para manter a postura de segurança de uma organização, eles podem apresentar desafios como:
- Falta de visibilidade centralizada sobre acessos e mudanças.
- Preparação para auditoria manual e propensa a erros.
- Dificuldade em manter consistência em ambientes híbridos ou em nuvem.
- Limitações de conhecimento especializado em controles de governança.
Como o ADManager Plus pode ajudar na implementação de ITGCs
Embora compreender os ITGCs seja essencial, implementá-los em todo o seu ambiente do Active Directory (AD) pode ser desafiador sem a ferramenta certa. É aí que entra o ADManager Plus da ManageEngine.
O ADManager Plus é uma solução abrangente de gerenciamento e geração de relatórios do AD que ajuda as organizações a aplicar os ITGCs de forma eficaz.
Controles de acesso
- Aplicar acesso baseado em função para administradores delegados e técnicos.
- Automatizar o provisionamento e desativação de usuários para restringir modificações no AD.
- Definir permissões granulares para restringir modificações no AD.
- Rastrear atividade de logon/logoff, redefinições de senha e muito mais por meio de relatórios detalhados.
Controles de gerenciamento de mudanças
- Implementar aprovações personalizadas baseadas em workflows para qualquer alteração no AD.
- Manter trilhas de auditoria registrando quem fez cada alteração e quando.
- Agendar e automatizar tarefas recorrentes do AD com segurança e responsabilidade.
Operações de sistemas
- Automatizar tarefas rotineiras de manutenção, como limpeza de grupos e gerenciamento de contas obsoletas.
- Gerar relatórios prontos para conformidade sobre alterações de usuários, grupos e GPOs.
- Automatizar o rastreamento de alterações no AD com relatórios agendados.
Logs de auditoria e responsabilização
- Manter registros históricos de todas as ações executadas via console.
- Exportar relatórios para atender a requisitos de auditoria e conformidade.
Controles de backup e recuperação
