Auditoria de segurança de TI: Uma introdução

Espera-se que todas as organizações que processam dados de usuários garantam a confidencialidade, integridade e disponibilidade das informações, também conhecido como tríade CIA. Confidencialidade refere-se à proteção contra visualizadores não autorizados. Integridade significa manter a precisão dos dados durante todo o seu ciclo de vida. Além disso, os dados devem estar disponíveis quando necessário — um plano de recuperação de desastres deve estar em vigor para os piores cenários.

As organizações utilizam sistemas de gerenciamento de riscos para identificar vulnerabilidades e ameaças aos seus ativos de dados. A auditoria de segurança de TI é a coleta de evidências de que os controles de TI, sistemas de segurança e estratégias de mitigação de riscos utilizadas pela organização cumprem os padrões do setor.

Alguns desses padrões são a NIST Cyber Security Framework (NIST CSF), ISO 27001 e IEC 62443, que definem técnicas e diretrizes para a segurança cibernética. Os regulamentos de conformidade variam de acordo com o setor e região.

Como tanto o ambiente de negócios quanto o cenário de ameaças estão evoluindo constantemente, este é um processo iterativo. Portanto, o gerenciamento de riscos e sua auditoria subsequente devem ser um processo contínuo, e não uma avaliação realizada somente uma vez ou pouco frequente. É importante ter um sistema de auditoria de segurança de TI em vigor.

Em termos gerais, as auditorias de segurança de TI avaliam:

• Segurança
• Controles
• Desempenho
• Processos de mitigação de riscos

Segurança dos sistemas de TI refere-se à segurança do firewall na rede, de acesso físico, de senhas, configurações de segurança dos computadores, direitos de usuário etc. Os controles de TI incluem a organização e gerenciamento da infraestrutura de TI, acesso físico e lógico aos recursos da rede, controles de recuperação de desastres, e assim por diante.

O desempenho da rede, computadores e aplicações também é avaliado. Isso geralmente envolve mensurar parâmetros como tempo de resposta, tempo de processamento e uso e disponibilidade do disco, apenas para citar alguns exemplos. Processos de mitigação de riscos incluem as medidas preventivas, de detecção e corretivas tomadas pela organização para prever e comunicar incidentes e minimizar seu impacto. Isso envolve atividades como monitoramento de processos automatizados; identificação de atividades incomuns; monitoramento do acesso aos dados; teste, monitoramento e controle do acesso remoto, e geração de trilhas de auditoria.