Categorias
Auditoria

ITGC na pandemia: 6 controles importantes

ITGC: Information Technology General Controls. Veja 6 controles essenciais para uma auditoria de TI e o que deve ser testado.

ITGC é a sigla para Information Technology General Controls, ou controles gerais da tecnologia da informação.

A intensificação do home office durante a pandemia do COVID-19 trouxe à tona uma série de mudanças no ambiente de TI. A maioria dessas mudanças estão  sendo realizadas de forma emergencial, com a divulgação de medidas provisórias da noite para o dia. 

De repente tivemos a redução de jornada de trabalho, a antecipação de férias, a antecipação de feriados, interrupção temporária de contrato de trabalho, benefícios emergenciais e etc..

Na grande maioria dos escritórios a necessidade de isolamento social acelerou ou implementou definitivamente a prática de home office (trabalho flexível).

Veja 6 controles essenciais para uma auditoria de TI:

ITGC: controles gerais

No ITGC há pelo menos 6 controles gerais para se testar:

  • Segurança física e ambiental;
  • Segurança lógica;
  • Gestão de mudanças;
  • Cópia e recuperação de dados;
  • Gestão de Incidentes;
  • Segurança da Informação.

Pergunte-se:

  • Os acessos remotos estão sendo realizados em uma conexão segura (VPN)? Minha organização usa autenticação de dois fatores (2FA ou MFA)? O acesso remoto é amplo ou limitado para atividades essenciais?
  • As mudanças em produção passam por avaliações mínimas de revisão, teste e homologação?
  • Tenho condições de gerenciar incidentes à distância? Como fica o atendimento para configuração e instalação de softwares? Tenho ferramentas para realizar o atendimento remotamente?
  • Meu data center está preparado para sobreviver à incêndios, inundações ou outros acidentes ambientais? Avaliei o tier adequado na contratação?
  • O data center possui espelhamento ou site backup para assumir a operação em caso de queda? Há distanciamento geográfico entre o site principal e o site backup?
  • Como estão configuradas as permissões de uso de mídias removíveis (pen drive, HD externo) e armazenamento em nuvem (google drive, dropbox, onde drive)?
  • Tenho um plano de continuidade de negócios (PCN) com todos os documentos finalizados e formalizados? Os papéis e responsabilidades estão claros para todos os stakeholders?

Saiba mais lendo este post em inglês sobre controles de TI.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

você está offline!