Auditoria de Sistemas de Gestão de Segurança da Informação

Antes de verificar o escopo da auditoria de Sistema de Gestão de Segurança da Informação (SGSI), é necessário compreender a sua abrangência. A seguir serão apresentados alguns tópicos (ISO/IEC 27001, 2005, 2006) mais relevantes que norteiam o auditor ao adequar a abrangência da auditoria ao porte da empresa e do fator crítico de segurança da informação, analisando-lhe os passos desde a implantação até a execução do mesmo.

SGSI

Um Sistema de Gestão de Segurança da Informação é um conjunto de regras e normas adotado por uma empresa, com o intuito de garantir a segurança de suas informações quanto a controles, perdas, roubos, alterações e consultas indevidas. Não se trata de um sistema de informação convencional programado com uma linguagem de programação, mas de um procedimento para monitorar e analisar o comportamento das informações e garantir a segurança destas.

Os objetivos pretendidos do SGSI devem ser confrontados com os resultados esperados, desta maneira o SGSI deve ser parametrizado para adequar-se com os processos da empresa e garantir a segurança de continuidade dos negócios. Os riscos envolvidos com a perda da informação versus a segurança do SGSI devem ser analisados. A abrangência de auditoria de um SGSI vai desde a segurança física e lógica da informação até a verificação da legislação pertinente às obrigações contratuais.

A documentação do SGSI tem de estar sempre em conformidade com o que é praticado pela empresa e pelos funcionários envolvidos, sendo revista constantemente e reapresentada a todos os envolvidos pelos responsáveis em conferir a execução do SGSI.

Abrangência do SGSI

A delimitação da abrangência é muito importante para o auditor, pois é por meio desta que se consegue constatar as responsabilidades dos envolvidos. Normalmente, quando as responsabilidades, funções e limites não ficam bem definidos, por exemplo, nos casos de perda da informação, fica difícil encontrar o verdadeiro responsável. Assim, a abrangência atribui não somente as responsabilidades como também os requisitos cobertos pelo SGSI. Pode variar de empresa para empresa, devendo cobrir áreas como tecnologia envolvida em desenvolvimento de sistemas, sistemas operacionais, ferramentas de escritório, integração de sistemas, banco de dados, redes, controles organizacionais, equipes, etc. Em cada área de abrangência, o auditor deve checar se o SGSI está sendo cumprido e se condiz para que a segurança da informação realmente seja eficaz.

Alinhamento do SGSI com os negócios da empresa

O SGSI tem de estar alinhado com os negócios da empresa em relação a estratégias de negócio, competitividade, atuação no mercado, relação com clientes e fornecedores, dentre outros. O momento atual e o futuro pretendido devem estar alinhados com as normas e regras do SGSI.

Exemplo

Se a empresa pretende utilizar tecnologia WEB na totalidade de seus sistemas de gestão de vendas, o SGGI deve conter uma regra proibindo o desenvolvimento de novas soluções que não utilizem a tecnologia WEB, e assim por diante.

Outro ponto relevante a ser auditado é se a parte legal envolvida está implantada nos sistemas ou se esta pode gerar impedimento para novos negócios, como por exemplo, se as licenças dos softwares existentes são suficientes para futuros negócios.

Riscos

Os riscos devem ser mensurados e constados no SGSI e estar bem claros para todos os envolvidos, assim como para a alta gerência. O auditor tem de constatar se os riscos estão contemplados pelo SGSI e se condizem com a realidade. Os riscos podem ser divididos em atuais e futuros. Os atuais envolvem a integração dos sistemas existentes com o negócio atual. Os riscos futuros são derivados de futuros negócios que a empresa pretenda, como por exemplo, a fusão com outras empresas, aberturas de filiais, mudanças de tecnologia, expansão de negócios com fornecedores, que podem comprometer a utilização dos recursos de TI.

A importância de mensurar os riscos é tão relevante, porque, justamente através do conhecimento destes é que se implantam as regras de segurança no SGSI. Essencial que a alta gerência tenha conhecimento dos riscos que a empresa esteja correndo, para não ser surpreendida. Uma avaliação constante dos riscos deve ser realizada e a estratégia de recuperação, em caso de perda ou dano, tem que estar relacionada.

Muitas vezes, as políticas de contenção para evitar riscos demandam custos financeiros, tempo e consomem mais recursos computacionais e humanos. Por estes motivos, gerentes de informática ou diretores relegam o segundo plano de implantação de medidas, no sentido de evitar riscos, deixando que eles existam e possam acontecer. Nestes casos, cabe ao auditor responsabilizar pontualmente a pessoa pelo eventual risco que a empresa está correndo. O simples fato de atribuir um determinado risco a uma determinada pessoa faz com que esta delegue medidas para evitar o risco de segurança da informação.

Ameaças de invasão

Ameaça de invasão é o que toda empresa não quer. As invasões podem vir tanto de fora da empresa como de dentro. A proteção contra invasão tem de ser contemplada pelo SGSI e o auditor tem de verificar se existem tentativas de invasão ou se já ocorreram.

As invasões podem interferir na continuidade dos negócios da empresa, como perda de confiabilidade das informações, integridade e, principalmente, a continuidade de disponibilidade da mesma. O auditor avalia o grau de risco de cada possibilidade de invasão. Normalmente a proteção contra invasão está na constante atualização dos softwares de proteção. Ter evitado uma invasão não significa que a empresa não vá mais sofrer o mesmo ataque, por isso os controles contra acessos indevidos precisam estar ativos durante as 24 horas do dia, inclusive sobre dados e informações que saiam da empresa, como por exemplo, o envio de cópias de segurança para locais fora da empresa.

Recursos de TI abrangentes no SGSI

Os recursos de TI, hardware e software, devem estar documentados no SGSI. Ter os respectivos recursos autorizados pode não ser o suficiente, é preciso que estes sejam utilizados em conformidade com o estipulado pelo SGSI. Um exemplo de utilização pode ser conferido aos e-mails, os quais devem ser utilizados com a finalidade de efetuar operações relacionadas ao trabalho na empresa, e não para assuntos particulares. Atividades de trabalho inerentes às atividades da empresa também devem ser conferidas pelo auditor, pois é possível que funcionários tragam trabalhos externos à empresa, para serem executados ali. Este tipo de prática tem de ser verificado por softwares que realizem varreduras nas estações de trabalho, em busca de conteúdos suspeitos.

Implantação do SGSI

Antes de realizar a implantação do SGSI, é preciso checar se o mesmo condiz com as medidas e as regras condizentes, por sua vez, com a natureza da segurança da informação de que a empresa necessita. O auditor também deve averiguar se as pessoas envolvidas na elaboração do SGSI têm capacidade técnica para tal realização. Uma vez elaborado o SGSI, um plano de implantação deve ser tratado, visto que pode haver resistência por parte de alguns funcionários com relação a poder e antiguidade na empresa. O processo de implantação deve deixar clara a necessidade de um SGSI na empresa e o benefício do mesmo para a segurança da informação, como tornar evidente que este é um processo irreversível.

Execução do SGSI

Tudo não pode ficar excelente apenas no papel, é preciso averiguar se as normas e controles propostos no SGSI estão sendo executados pelos envolvidos e respaldados pela alta gerência. O auditor tem que conferir detalhadamente as normas contidas no SGSI e verificar in loco se estão sendo cumpridas. O não cumprimento do SGSI representa um risco de alto nível. Pior que não ter um SGSI é ter um que não é cumprido, é ter a sensação que as informações estão protegidas, quando não estão. O auditor deve realizar esta verificação em vários níveis e locais na empresa, inclusive realizando tentativas de violação das regras do SGSI para a verificação da eficiência dos controles de segurança. É relevante que uma avaliação periódica do SGSI seja feita e repassada ao conhecimento dos envolvidos, para, cada vez mais, ampliar as responsabilidades dos funcionários da empresa perante a aplicação do SGSI.

O início da implantação do SGSI tem que ser documentado e validado pela alta gerência e levado ao conhecimento de todos os funcionários envolvidos e, se for o caso, coletar um ciente de cada funcionário da empresa. A importância do conhecimento elimina, futuramente, a alegação de desconhecimento do SGSI para justificar práticas ilegais.

Acompanhamento do SGSI

Não basta implantar um SGSI e virar as costas e achar que tudo correrá perfeito: é necessário acompanhar a execução para analisar se o que foi elaborado está sendo cumprido e se o mesmo é suficiente para garantir a segurança da informação. O acompanhamento deve existir e um relatório deve ser divulgado constantemente a todos os envolvidos, inclusive os erros e ajustes que se fizeram necessários devem constar aí. Para que o SGSI não seja relegado a segundo plano, justifica-se a importância do acompanhamento, assim como é importante divulgar as ações de correção e se estas foram suficientes. O acompanhamento ainda deve verificar se as auditorias foram realizadas regularmente e a sua respectiva abrangência. A ausência de auditoria pode esconder deficiências do SGSI, e, conforme a gravidade dessas, colocar as informações em risco.

É possível que o SGSI fique defasado por falta de recursos humanos disponíveis na empresa, o que pode decorrer de uma forte mudança de estratégia em seus negócios. Esta constatação deve ser apontada pelo auditor para certificação de que o SGSI não esteja prejudicado em sua abrangência.

O relatório do acompanhamento, como o próprio auditor, também pode sugerir um aperfeiçoamento no SGSI. Manter um histórico do acompanhamento é muito útil para constatar se as ações passadas se tornaram eficazes. Um histórico é um forte respaldo para justificar uma ação futura, inclusive uma ação de conduta individual não apropriada.

Importante

Um aspecto relevante quanto ao acompanhamento é levar em consideração as constatações colocadas pelos funcionários, pois algumas sugestões podem trazer medidas de segurança eficazes, visto que são eles que lidam no dia a dia com as informações.

Ou seja, a leitura que se faz da necessidade de acompanhamento traduz-se na constatação de que o SGSI é eficaz, ou não, o que é muito importante para o auditor, pois, conforme o caso, pode levar a rever todo o modelo do SGSI, ou garantir a tranquilidade de que as informações estão seguras.

Referências

ISO/IEC 27001. Tecnologia da Informação, Técnicas de Segurança, Sistemas de Gerenciamento de Segurança da Informação, Necessidades ISO/IEC, 2005.

ISO/IEC 27001. Tecnologia da Informação, Técnicas de Segurança, Sistemas de Gerenciamento de Segurança da Informação, Requisitos ISO/IEC, 2006.

Autor: Marcio Ghisi Guimarães

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

One Response to “Auditoria de Sistemas de Gestão de Segurança da Informação”

  1. Rodrigo disse:

    Olá, Diego.
    Muito bom o artigo.
    Sou graduado em Segurança da Informação e trabalho mais focado em Auditoria e Conformidade há alguns anos.
    Se quiseres, podemos trocar algumas ideias e materiais, quem sabe compartilhar com o público em geral.
    Abraço.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *