Auditoria de TI é uma das linhas de defesa voltada para a avaliação de riscos e controles (ITGC) que envolvem tecnologia da Informação (GTAG-1), segurança da Informação e uso de dados pessoais na Auditoria Interna.
Auditar o ITGC (Information Technology General Controls) é um dos primeiros aprendizados do auditor com formação em TI.
ITGC
ITGC é sigla em inglês para o conjunto de Controles Gerais de Tecnologia da Informação. O ITGC é dividido em 4 grupos:
Access to Program and Data
Acesso a Programas e Dados geralmente considera os seguintes itens:
- Políticas e procedimentos;
- Revisões periódicas de acessos;
- Parâmetros de senha;
- Contas de acessos privilegiados (root, superuser);
- Acesso físico;
- Segregação de funções de acesso;
- Criptografia;
- Autenticação de sistemas;
- Logs de auditoria;
- Segurança de rede.
Program Changes and Development
Programa de Mudanças ou gestão de mudanças e desenvolvimento envolve os seguintes temas:
- Políticas e Procedimentos;
- Metodologia de desenvolvimento de sistemas;
- Migração entre ambientes e segregação de funções (desenvolvimento, homologação e produção);
- Configuração de mudanças;
- Mudanças emergenciais;
- Migração de dados e controle de versões;
- Pós implementação: testes e revisão.
Computer Operations
Operação de Computadores abrange atividades cotidianas como:
- Processamento Batch;
- Monitoramento de jobs;
- Procedimentos de cópia de segurança (backup) e recuperação (recovery) de dados;
- Mudanças no agendamento de jobs batch;
- Controles de ambiente (temperatura, fumaça, inundação);
- Plano de Recuperação de Desastres (DRP);
- Plano de Continuidade de Negócio (BCP);
- Gerenciamento de atualizações.
GTAG
Como complemento ao ITGC, o GTAG (Global Technology Audit Guide) é um guia de boas práticas para auditar TI. Este guia foi desenvolvido pelo Instituto de Auditores Internos (IIA).
- GTAG 1: Information Technology Controls
- GTAG 2: Change and Patch Management Controls: Critical for Organizational Success
- GTAG 3: Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment
- GTAG 4: Management of IT Auditing
- GTAG 5: Managing and Auditing Privacy Risks
- GTAG 6: Managing and Auditing IT Vulnerabilities
- GTAG 7: Information Technology Outsourcing
- GTAG 8: Auditing Application Controls
- GTAG 9: Identity and Access Management
- GTAG 10: Business Continuity Management
- GTAG 11: Developing the IT Audit Plan
- GTAG 12: Auditing IT Projects
- GTAG 13: Fraud Prevention and Detection in the Automated World
- GTAG 14: Auditing User-developed Applications
- GTAG 15: Formerly Information Security Governance–Removed and combined with GTAG 17
- GTAG 16: Data Analysis Technologies
- GTAG 17: Auditing IT Governance
Gestão de Acessos Lógicos
A gestão de acessos lógicos é a célula responsável por conceder, bloquear e revogar acessos lógicos. Estes acessos podem ser à sistemas (AD, aplicações, bancos de dados), infraestrutura (pastas de rede, firewall, VPN) ou hardware (usb, impressoras, servidores, data centers).
Auditar este processo (GTAG-9) envolve verificar:
- Há exigência de senhas fortes (tamanho mínimo, caracteres especiais, letras e números, caracteres especiais)?
- Na troca, as senhas anteriores podem ser reutilizadas?
- Há expiração por tempo de uso?
- Há bloqueio por tentativas incorretas e consecutivas?
- As senhas são armazenadas com criptografia?
- Há senhas compartilhadas?
- Há usuários genéricos, sem responsável ou sem senha definida?
- Os acessos são revisados periodicamente?
- Movimentações e desligamentos são comunicados para revogação ou adequação de acessos?
Existem companhias que centralizam a Gestão de Acessos em um departamento de Segurança da Informação.
Segurança da Informação
ISO27000 é talvez um dos principais guias na condução de trabalhos que avaliem riscos de segurança da informação.
Geralmente são avaliados os seguintes temas: gestão de acessos de software e rede, atualizações de segurança, atualização de antivírus, regras de firewall, acesso remoto (VPN – Virtual Private Network), gestão de incidentes de segurança, prevenção de vazamento de informações (DLP – Data Loss Prevention), uso de dispositivos móveis, mídias removíveis, proteção contra hackers e ciber ataques. (GTAG-15).
A segurança dos dados pessoais é especialmente importante com a implantação da nova lei de proteção de dados pessoais – LGPD. Os dados de uma empresa podem conter inúmeras informações pessoais. A proteção destes dados exige criptografia, armazenamento seguro, anonimizar dados pessoais completos e novos cuidados na coleta de dados web.
Desenvolvimento de Software
Avaliar o SDLC (Software Development Life Cycle) envolve o controle de versões, armazenamento seguro de código fonte, uso seguro de bibliotecas e API’s. (GTAG-8)
Operação
Avaliar os riscos e controles que garantem o funcionamento do negócio. Como garantir que os dados estejam disponíveis, acessíveis e íntegros?
Quando algo deixa de funcionar, como são os processos de Suporte, solução de Incidentes e Problemas?
Propriedade e Uso de Software
Existem controles de Licenciamento de software? Há uso de software livre (open source) e shadown IT (GTAG-14)?
Projetos e Terceirização
Há gestão de projetos que permita o acompanhamento do uso de recursos, qualidade das entregas, cumprimento de cronograma? (GTAG-12)
Há projetos terceirizados? Existe risco trabalhista? Conflito de interesses? (GTAG-7)
Os terceiros têm acesso a dados desnecessários, sensíveis, sigilosos ou estratégicos? (GTAG-5)
Continuidade
O programa de Continuidade ou BCM (Business Continuity Management) contém uma série de documentos e atividades para garantir a retomada de sistemas críticos. (GTAG-10)
DRP (Disaster Recovery Plan) é o plano de recuperação de desastres.
No caso de um evento negativo que interrompa as atividades da Companhia, o DRP indica as ações que devem ser tomadas para a retomada dos serviços e quem são os responsáveis por cada uma delas.
Governança
Cada vez mais comum nos departamentos de TI, a área de governança de TI participa e auxilia na primeira linha de defesa de riscos e controles.
Algumas das atividades podem ser: gestão de SLA (Service Level Agreement), acompanhamento de indicadores, orçamento, gestão de fornecedores, mudanças, incidentes, problemas e etc (GTAG-2).
Curso de auditoria de TI
Em geral, não há muitas opções de curso de auditoria de tecnologia da informação. Há pós-graduações, matérias em alguns cursos de graduação, certificações profissionais, mas poucos cursos de base profissionalizante.
Como começar na auditoria de TI?
Normalmente, o profissional inicia a sua carreira em um processo de trainee em uma Big 4. Estão neste grupo as 4 maiores empresas de Consultoria ou Auditoria Externa. São elas: Deloitte, E&Y, KPMG e PwC.
Auditoria Contínua de TI
Quando o teste de riscos e controles é realizado de forma automatizada e periódica chamamos a atividade de Auditoria Contínua (GTAG-3). O ACL Analytics é uma das principais ferramentas de Auditoria Interna. Leia mais aqui.