Mente Hacker

Auditoria sobre a segurança da informação: inimiga ou aliada?

Publicada em 04/01/2011 17:34

Há boas razões para celebrar os progressos alcançados nos programas de auditoria do Sistema de Gestão da Segurança da Informação (SGSI) sem cair na ilusão de que a estrada já está pronta. O comitê brasileiro sobre as normas de gestão de segurança da informação (série 27000), que colabora com o desenvolvimento de padrões internacionais através da ISO (International Organization for Standardization), está trabalhando no desenvolvimento de duas normatizações que tem como objetivo:

* Prover orientação para o gerenciamento do programa de auditoria do Sistema de Gestão da Segurança da Informação e a condução de auditorias internas e externas de acordo com a ISO/IEC 27001:2005 (Sistemas de gestão de segurança da informação – Requisitos), em adição e complemento àquelas contidas na ISO 19011 (Diretrizes para auditorias de sistema de gestão da qualidade e/ou ambiental);

* Orientar os processos de auditoria dos controles aplicados em um Sistema de Gestão de Segurança da Informação em harmonia com as normas ISO/IEC 27001 e ISO/IEC 27002.

As duas normas estão em fase de desenvolvimento, e o cenário traçado para o futuro do programa de auditoria parece claro.

Investir em treinamentos

Primeiro, convém que as equipes de auditorias reciclem suas competências especificas em segurança da informação. Um planejamento prévio deve criar um plano diferenciado de treinamento para os envolvidos com o processo de auditoria.

A aquisição de conhecimentos inicia-se formalmente através da formação de auditores líderes no Sistema de Gestão da Segurança da Informação (ISO/IEC 27001) e continuará evoluindo, muito em breve, através dos futuros padrões internacionais ISO IEC 27007: Guidelines for ISMS Auditing e a ISO IEC DTR 27008: Guidelines for auditors on ISMS controls. É importante ressaltar que estes dois documentos estão em fase de desenvolvimento no Brasil pelo Comitê Brasileiro sobre as normas de gestão de segurança da informação.

Reestruturar a auditoria

Segundo ponto: esse reposicionamento da auditoria, de acordo com os novos padrões (ISO IEC 27007 e a ISO IEC DTR 27008), exige uma capacidade maior de analisar informações técnicas cada vez mais complexas.

O fato ocorre porque as ameaças e os controles de segurança da informação evoluem constantemente. A segurança da informação e a tecnologia da informação são muito dinâmicas. Os livros, os cursos e as faculdades, não conseguem acompanhar essa evolução.

É por essa razão que a maioria dos profissionais da área de segurança da informação possui um perfil autodidata. Os criminosos que atuam na internet também são autodidatas. São  pessoas assim que desenvolvem novos golpes quase que diariamente.

Os auditores precisam desenvolver cada vez mais sua capacidade de analisar informações complexas em profundidade suficiente para identificar eventuais riscos e oportunidades de melhoria no processo de segurança da informação.

Uso prático de metodologia

Terceiro, as áreas de auditoria deverão atualizar suas metodologias para auditoria do Sistema de Gestão de Segurança da Informação, de acordo com os novos padrões (ISO IEC 27007 e a ISO IEC DTR 27008), incluindo uma série de passos a serem seguidos para garantir a aplicação correta de uma comparação da situação atual da organização com os resultados esperados.

A atualização da metodologia pode contar com o apoio dos departamentos Jurídico e de Compliance, que explicarão como obter informações derivadas de obrigações de conformidade legal e normas pertinentes ao setor de atuação da organização. As equipes de Segurança da Informação e Tecnologia da Informação podem fornecer dados sobre boas práticas adotadas pela organização e como são estabelecidos os controles.

Conclusão

A expectativa é de que as organizações realizem, o mais breve possível, a reestruturação da área de auditoria trazendo uma atualização no conhecimento dos auditores e também no uso de novas metodologias.

Essa evolução será necessária para sinalizar o compromisso dessa área com as metas de segurança da informação e gestão de risco da organização. Mas, para isso, é preciso olhar para um horizonte mais amplo. E buscar orientação de outras áreas de apoio na companhia para avaliar a adequação e efetividade dos controles estabelecidos e implementados, incluindo uma abordagem baseada na Governança da Segurança da Informação e nos riscos operacionais.

  • Estevao

    Ola, sou profissional de TI e gostaria de investir na área de auditoria, porém tenho tido dificuldade em encontrar instituições que oferecam treinamento focado em normas, você poderia me indicar algumas instituições em São Paulo?

    abçs

  • http://www.epsec.com.br/blog/ Denny Roger

    Caro Estevao, obrigado pelo comentário e por acompanhar o IDG Now!.

    Por favor, pesquise no Google por “Formação de Auditores Líderes em Sistema de Gestão de Segurança da Informação ISO/IEC 27001″. Observe também se a formação tem acreditação do IRCA (International Register of Certified Auditors).

    Caso haja qualquer outra dúvida, por favor, entre em contato.

    Abraços,

    Denny Roger
    denny@epsec.com.br

  • Flavio

    So complementando o comentário do Denny, a MODULO SECURITY é uma boa referência para cursos de auditoria em SI.

  • Tec_fernando

    Começe bem, faça um preparatório para o exame CISA do ISACA, é o que há de melhor em auditoria de Sistemas, para segurança da informação pesquise sobre o CISSP e CISM. São as melhores referências do mercado. Adicionalmente procure por treinamentos do AUDIBRA, são baseados no material oficial do The IIA, referência nº1 em Auditoria Interna em todo o mundo!!! Sucesso em sua jornada!!!

  • Auditor, CISA, CISM, CIA, CCSA

    Você só escreve baboseira mesmo em Denny? Olha, você é tão desinformado sobre auditoria que deveria ter vergonha de falar sobre o assunto! Procure o The IIA, ISACA, ITGI, ISC2, com certeza eles tem material e treinamento para que você fale com propriedade sobre o assunto! Suas matérias tem repercutido muito mal, um CEO deveria se preocupar com sua imagem!!! Reestruturação da auditoria por causa de uma norma? O máximo que vai acontecer é treinamento! Fora que ISO não é um material adequado para ser utilizado em auditoria de Segurança da Informação, existem materiais muito mais completos e de renome como o ISACA e ISC2. Denny, se você não sabe, as normas internacionais para o exercício da auditoria requerem que os auditores tenham pelo menos 40 horas anuais de treinamento, para assegurar seu contínuo desenvolvimento. Adicionalmente é prerequisito para auditores que possuam qualquer certificação de renome investir em treinamento. As normas ISO não são a solução para os problemas da socidedade e nem determinam o futuro como você diz, muito pelo contrário elas acabam fazendo com que os “profissionais” de segurança da informação as copiem sem procurar entender sua aplicação correta, o que causa muitos problemas de aderência, eles escrevem igual à ISO mas não fazem nem a metade e o que fazem é mal aplicado.

  • http://www.epsec.com.br/blog/ Denny Roger

    Caro Auditor, CISA, CISM, CIA, CCSA, muito obrigado por acompanhar os meus artigos e enviar seus comentários.

    As ameaças na internet expandiram de forma acelerada nos últimos anos. Aumento de fraudes, vazamento de informações através dos próprios funcionários, disseminação de programas espiões, espionagem industrial, entre outras. A grande transformação no padrão dos programas de trabalho da auditoria se faz necessária para conseguir acompanhar essa área tão dinâmica que é a segurança da informação. Diante deste cenário, algumas empresas já começaram a reestruturar seu sistema de gestão de auditoria para acompanhar essa evolução dos temas relacionados a TI e Segurança da Informação – por exemplo, cloud computing – e estão acompanhando de perto a crescente tendência de novos controles e regulamentações – por exemplo, o Projeto de Lei 84/99.

    Outra freqüente mudança que está ocorrendo atual no Brasil, principalmente nas empresas em crescimento acelerado ou que negociam suas ações na bolsa de valores, é a modernização dos processos internos de Segurança da Informação e TI. Cada vez mais os profissionais estão melhorando seus conhecimentos, desenvolvendo projetos complexos e trabalhando com alinhamento estratégico. A melhoria continua faz parte do processo e os padrões internacionais, como as normas ISO da série 27000 (segurança da informação) e 20000 (gerenciamento de serviços de TI), podem ser utilizadas como um guia de referências para otimização dos processos internos.

    As normas de qualidade (ISO 9000) e meio ambiente (ISO 14000) são amplamente aplicadas a diversas organizações. Em alguns casos são pré-requisitos para o desenvolvimento de novos negócios. Ou seja, as empresas que buscam a melhoria do seu sistema de gestão, apoiadas em padrões internacionais, estão conseguindo criar condições para o fornecimento de um nível cada vez melhor dos seus produtos e serviços.

    Conclusão: as organizações podem usar como referencia as normas ISO para melhorarem a performance dos seus serviços e produtos, incluindo os processos de auditoria, melhorando inclusive a satisfação dos acionistas e clientes.

    Forte abraço e mais uma vez obrigado pelos comentários. ;-)

    Denny Roger

  • Abadio Junior

    TI – Junior
    Olá, sou um profissional TI , e realmente concordo com o que voçê colocou, mas para que isso realmente tenha um resultado satisfatório e necessário que os TI “s sejam tão aplicados quanto os hackers pois, só quando pudermos estar antecipando os seus próximos passos e que poderemos ter uma segurança eficaz para o sistema isso deve ser deixado bem claro para o TI de segurança informação

  • Abadio Junior

    TI – Junior
    Olá, sou um profissional TI , e realmente concordo com o que voçê colocou, mas para que isso realmente tenha um resultado satisfatório e necessário que os TI “s sejam tão aplicados quanto os hackers pois, só quando pudermos estar antecipando os seus próximos passos e que poderemos ter uma segurança eficaz para o sistema isso deve ser deixado bem claro para o TI de segurança informação