ITGC é a sigla para Information Technology General Controls, ou controles gerais da tecnologia da informação.
A intensificação do home office durante a pandemia do COVID-19 trouxe à tona uma série de mudanças no ambiente de TI. A maioria dessas mudanças estão sendo realizadas de forma emergencial, com a divulgação de medidas provisórias da noite para o dia.
De repente tivemos a redução de jornada de trabalho, a antecipação de férias, a antecipação de feriados, interrupção temporária de contrato de trabalho, benefícios emergenciais e etc..
Na grande maioria dos escritórios a necessidade de isolamento social acelerou ou implementou definitivamente a prática de home office (trabalho flexível).
Veja 6 controles essenciais para uma auditoria de TI:
ITGC: controles gerais
No ITGC há pelo menos 6 controles gerais para se testar:
- Segurança física e ambiental;
- Segurança lógica;
- Gestão de mudanças;
- Cópia e recuperação de dados;
- Gestão de Incidentes;
- Segurança da Informação.
Pergunte-se:
- Os acessos remotos estão sendo realizados em uma conexão segura (VPN)? Minha organização usa autenticação de dois fatores (2FA ou MFA)? O acesso remoto é amplo ou limitado para atividades essenciais?
- As mudanças em produção passam por avaliações mínimas de revisão, teste e homologação?
- Tenho condições de gerenciar incidentes à distância? Como fica o atendimento para configuração e instalação de softwares? Tenho ferramentas para realizar o atendimento remotamente?
- Meu data center está preparado para sobreviver à incêndios, inundações ou outros acidentes ambientais? Avaliei o tier adequado na contratação?
- O data center possui espelhamento ou site backup para assumir a operação em caso de queda? Há distanciamento geográfico entre o site principal e o site backup?
- Como estão configuradas as permissões de uso de mídias removíveis (pen drive, HD externo) e armazenamento em nuvem (google drive, dropbox, onde drive)?
- Tenho um plano de continuidade de negócios (PCN) com todos os documentos finalizados e formalizados? Os papéis e responsabilidades estão claros para todos os stakeholders?
Saiba mais lendo este post em inglês sobre controles de TI.