Auditoria de Sistemas: Responsabilidades e Competências

A garantia dos recursos tecnológicos também deve ser auditada, pois, sem estes recursos prometidos, fatalmente alguma interferência na segurança das informações ocorrerá. As responsabilidades podem ser atribuídas a recursos humanos, competência de auditoria, parecer da alta gerência, do mesmo modo que a responsabilidade sobre o futuro da aplicação das auditorias.

Responsabilidades e competências da alta gerência

Quando a alta gerência define uma linha a ser tomada pelo Sistema de Gestão de Segurança da Informação (ISO/IEC 27001, 2006), esta deve assumir a responsabilidade do sucesso ou do fracasso. Se os resultados não forem os esperados, uma auditoria pode revelar os motivos de tal resultado. Influências alheias (crises internacionais, enchentes, etc.) à vontade da alta gerência podem ocasionar desvios de resultados, mas o não cumprimento das regras estipuladas deve ser apurado, e verificadas as devidas responsabilidades (GIL, 2000).

Em muitos casos, a execução do SGSI requer recursos financeiros que foram garantidos previamente pela alta gerência. A liberação parcial desses recursos pode comprometer os objetivos esperados. De forma independente, se for o caso, o auditor deve apontar esta constatação em seu relatório de auditoria.

A competência da alta gerência não deve influenciar diretamente os trabalhos técnicos dos funcionários. Para a comunicação entre ambos existem os chefes intermediários, os quais devem ser acionados para tal comunicação. A ação direta da alta gerência sobre os funcionários pode violar a estrutura organizacional da empresa e acarretar o constrangimento de chefes intermediários e descontentamentos por parte de outros.

A responsabilidade e a competência mais relevante da alta gerência residem no cumprimento da liberação dos recursos autorizados inicialmente e limitam- se a sua abrangência de competência. (GIL, 2000). Também não deve trocar os objetivos ou metas anteriormente estipuladas sem uma razão consistente, pelo fato de que mudanças de objetivos podem acarretar perdas de trabalho ou retrabalho.

Responsabilidades da garantia de recursos tecnológicos

Recursos previamente estipulados com relação a hardware, software e recursos humanos devem ser garantidos e liberados pela alta gerência, conforme estipulados no SGSI (ISO/IEC 27001, 2006). A falta desses pode comprometer os objetivos, as metas e os prazos. O não comprometimento de recursos justifica- se quando as ocorrências alheias à vontade da alta gerência ocorrem, como por exemplo: enchentes, colapsos na economia, perda de clientes potenciais, etc. De forma independente, se a falta de recursos comprometer a segurança da informação, o auditor deve apontar no relatório de auditoria o detalhamento ocasionado pelo não cumprimento dos recursos previamente autorizados.

Responsabilidades de recursos humanos

Não é suficiente aos recursos humanos a capacidade técnica apenas; também é necessário o comprometimento com os projetos de desenvolvimento, relativo ao cumprimento dos prazos já estabelecidos (GIL, 2000). A existência de uma estrutura organizacional bem definida e respeitada faz com que os recursos humanos não sejam submetidos a tarefas além das já assumidas. O descontrole na deliberação de atividades para recursos humanos pode comprometer prazos e qualidade dos projetos. Normalmente os recursos humanos têm um limite na capacidade de atividade e a sobrecarga pode gerar insatisfação. A delegação de atividades, responsabilidades no cumprimento de prazos tem de ser auditada; igualmente deve ser checada no SGSI a existência ou não de algum controle neste sentido.

A TI sofre atualizações tecnológicas constantemente, deste modo o treinamento dos recursos humanos faz-se necessário, evitando que a empresa fique tecnologicamente defasada e tenha dificuldades de continuação de negócio (ISO/IEC 27001, 2006). O treinamento deve ocorrer por responsabilidade dos funcionários, da empresa ou de forma mista. Cabe ao auditor verificar a quem compete a responsabilidade de treinamento.

As atribuições de atividades aos recursos humanos não capacitados comprometem diretamente os prazos, a qualidade de software, a satisfação dos clientes. Recurso humano não capacitado à tarefa ao qual é submetido pode chegar ao ponto de ele não cumprir os projetos, além de estender os prazos de entrega. Por isso, é relevante ao auditor apurar a responsabilidade de cada recurso humano com relação à atividade que executa.

Rotatividade de recursos humanos não é um bom sinal. Repassar o conhecimento de sistemas integrados de informação não é uma tarefa que se faça em curto espaço de tempo. Quando uma pessoa decide sair da empresa, o tempo do aviso prévio determinado pela Consolidação das Leis Trabalhistas (CLT) era de trinta dias corridos. Com o advento da Constituição Federal a duração do aviso prévio era, até outubro/2011, de 30 (trinta) dias, independentemente do tempo de serviço do empregado na empresa. Com a publicação da Lei 12.506/2011, a partir de 13/10/2011 a duração passou a ser considerada de acordo com o tempo de serviço do empregado, podendo chegar até a 90 (noventa) dias. Assim, em um curto espaço de tempo, a empresa tem de selecionar, admitir e treinar uma nova pessoa. Este fato pode comprometer a segurança da informação, pois na área da Tecnologia da Informação nem sempre em um curto espaço de tempo é possível repassar o funcionamento e a arquitetura dos sistemas para outra pessoa facilmente. Desta forma, o auditor deve averiguar as responsabilidades de comprometimento de trabalho dos empregados com a empresa e vice-versa. A rotatividade é de difícil normatização em um SGSI, mas uma linha de comunicação com os recursos humanos sobre satisfação, problemas ocorridos, casos de sucesso, é bem-vinda.

Responsabilidade e competência de auditoria no SGSI

A auditoria no Sistema de Gestão de Segurança da Informação tem que analisar desde a elaboração, implantação, execução e documentação (GIL, 2000). Todas estas etapas devem ser auditadas constantemente, conforme o grau crítico de segurança das informações. Neste sentido, cabe ao auditor verificar a quem cabe a responsabilidade de autorizar as auditorias no SGSI.

Durante a auditoria no SGSI, o auditor tem que estar ciente das suas competências, de forma a não prejudicar o andamento dos trabalhos dos auditados. A auditoria no SGSI deve ficar limitada ao escopo do SGSI, ou seja, à abrangência do mesmo. Caso o auditor descubra um fato relevante e irrefutável, o auditor deve apontar este fato para outra auditoria, de modo a não comprometer a já existente em termos de qualidade e prazo. Lembra-se que o auditor tem de possuir caráter imparcial, para não deixar que o relatório de auditoria seja influenciado por quem encomendou a auditoria. Se o auditor não for imparcial, coloca em risco a sua reputação perante a empresa, os auditados e os colegas auditores.

A auditoria no SGSI deve ter um planejamento, com data inicial e final de auditoria e o escopo da mesma. Após definidos estes parâmetros no planejamento, o custo financeiro é definido. Estes parâmetros não devem ser alterados, pois quem encomenda a auditoria espera receber o relatório da mesma na data final planejada e pelo custo financeiro previamente acordado. Desta forma, o auditor tem responsabilidade com o planejamento da auditoria.

Parecer da alta gerência sobre a auditoria no SGSI

É importante que o auditor entregue o seu relatório final de auditoria somente para quem encomendou a auditoria (ISO/IEC 27001, 2005). Por questões de sigilo, resultados de auditoria devem ser divulgados para o conhecimento de terceiros somente por quem encomendou a auditoria. Mesmo assim, é interessante ao auditor conhecer o parecer da alta gerência sobre o relatório final da auditoria, pois este parecer pode influenciar na qualidade e no planejamento de futuras auditorias. Assim como as auditorias, os pareceres também devem ficar documentados para formar o histórico das auditorias no SGSI. O histórico serve de justificativa para novas ações de auditorias. A satisfação, ou não, da alta gerência pode levar a alteração na elaboração, melhoramento ou até a uma revisão mais profunda.

Futuro da auditoria no SGSI

Como as empresas utilizam recursos de TI e dependem deles cada vez mais, faz-se necessária a realização de auditorias no SGSI para a segurança das informações, pois as empresas não podem, em hipótese nenhuma, perdê-las. Com a perda da informação, muitas empresas param de operar, mesmo sem perda de nenhum produto de estoque, por exemplo.

Mas como a complexidade tecnológica dos recursos de informática aumenta a capacidade técnica do auditor, também deve acompanhar a evolução tecnológica (ISO/IEC 27001, 2005). Muitas vezes, fica difícil a uma só pessoa dominar o conhecimento de várias áreas. Nestes casos, o auditor deve assessorar-se de outras pessoas que detêm o conhecimento necessário. Sem o conhecimento técnico das diversas áreas tecnológicas, fica difícil realizar a auditoria com a qualidade pretendida. A auditoria deve ser o mais breve possível, para não atrapalhar as atividades dos auditados, não estender os custos e apresentar o retorno o mais breve possível a quem encomendou a auditoria. Portanto realizar auditoria sem conhecimento técnico fará com que o tempo de execução aumente, além de lhe comprometer a eficácia.

Assim pode-se deduzir que a necessidade de auditoria é crescente, mas a capacidade de realização, de parte dos auditores passa pela evolução e acompanhamento tecnológico destes.

Referências

GIL, Antonio de Loureiro. Auditoria de computadores. São Paulo: Atlas, 2000. ISO/IEC 27001. Tecnologia da Informação, Técnicas de Segurança, Sistemas de

Gerenciamento de Segurança da Informação, Necessidades ISO/IEC, 2005.

ISO/IEC 27001. Tecnologia da Informação, Técnicas de Segurança, Sistemas de Gerenciamento de Segurança da Informação, Requisitos ISO/IEC, 2006.

Autor: Marcio Ghisi Guimarães

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

2 Responses to “Auditoria de Sistemas: Responsabilidades e Competências”

  1. Edi disse:

    Gostaria de saber se uma auditoria for feita por uma empresa externa, para o resultado ser aceito perante a justiça quais são os pré-requisitos que a empresa precisa cumprir, como certificações ou outras características que são consideradas como essenciais?.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *