A palavra “auditoria” ainda, infelizmente, é muito carregada de preconceitos e estereótipos inadequados. Muitos gestores entendem isso como uma ação de fiscalização do poder público para verificação de eventuais problemas com a legislação vigente. Mas não é bem assim.

Todo processo de auditoria é uma verificação detalhada realizada nas organizações que permite avaliar a conformidade com planos traçados em outro momento. Por exemplo, se você tem um Plano de Segurança da Informação, a auditoria tem o papel de avaliar se ele está sendo adotado na prática.

Preparamos, portanto, um guia completo sobe auditoria de segurança em TI. No final, você estará preparado para adotar todas as medidas necessárias para proteger o seu negócio no que diz respeito a essas questões. Vamos juntos nessa jornada? Boa leitura!

O que é uma auditoria de segurança em TI? 

A auditoria de segurança em TI é um procedimento realizado pelos profissionais especializados da área e, assim, eles avaliam se as políticas de segurança da informação estão sendo aplicadas corretamente, bem como identificar se há pontos de fragilidade que podem colocar o negócio em situação de risco.

Para que serve essa auditoria de TI? 

A auditoria de TI fornece um mapa completo do status de segurança da sua empresa como um todo, nos seguintes aspectos:

  • dispositivos físicos;
  • softwares e aplicações;
  • serviços;
  • rede;
  • Data Centers.

Assim, ela fornece uma espécie de fotografia instantânea do momento atual da sua empresa e quais questões estão com maior força e, portanto, devem ser reforçadas, e quais estão em maior vulnerabilidade e merecem maior atenção no seu dia a dia. Com isso, é um processo que permite responder perguntas importantes tais como:

  • há pontos fracos?
  • de que forma esses pontos fracos podem ser utilizados contra a minha empresa?
  • o negócio está preparado para lidar com essas questões de forma adequada e minimizar erros?
  • os responsáveis estão sendo devidamente orientados sobre o que fazer caso descubram uma falha de segurança?
  • os responsáveis estão cientes das consequências que as vulnerabilidades que não podem ser consertadas podem acarretar e de que forma minimizar os prejuízos?

Qual é a sua importância?

A auditoria de segurança em TI é fundamental para as organizações, independentemente de sua natureza ou porte. Isso porque os riscos de segurança da informação podem comprometer o seu negócio, seja com prejuízos financeiros ou com sua imagem no mercado.

Por exemplo, um pequeno e-commerce que tenha um vazamento dos dados de cartões de crédito dos clientes pode perder sua credibilidade, além de ter prejuízos financeiros com eventuais fraudes. Por isso, ela também precisa investir em plano de segurança em TI e auditorias periódicas, para avaliar se as medidas estão sendo cumpridas.

Além disso, é um bom mecanismo para avaliar a maturidade de TI da sua empresa. Por meio dele é possível identificar se o seu negócio ainda está começando a implementar as ações de proteção ou, ainda, se é preciso avançar. Afinal,

Quais os benefícios da auditoria de TI?

A auditoria de TI pode reverter em uma série de benefícios para as organizações, de forma a trazer um novo cenário mais moderno e mais seguro. Alguns dos benefícios possíveis de obter com esses processos são:

  • aumento da eficiência do setor de TI;
  • permite neutralização dos riscos relacionados com as atividades em TI;
  • permite trazer melhor aproveitamento dos recursos de TI;
  • reduz a não-conformidade com a legislação vigente. Um dos grandes exemplos é a LGPD;
  • promove melhoras significativas no setor de TI;
  • permite avaliar eventuais falhas presentes e propor soluções para melhorar resultados a médio e longo prazo;
  • permite tomadas de decisões mais assertivas, principalmente, no que diz respeito à medidas de proteção na área de segurança da informação;
  • alinhe o setor de TI com o planejamento estratégico do seu negócio, de forma que é possível permitir que a empresa cresça como um todo;
  • permite atualizar as estratégias recentes e identificar quais são as melhorias que precisam ser feitas;
  • garante a visibilidade da segurança da informação da empresa de forma holística;
  • permite identificar quais as melhores metodologias de segurança a serem implementadas em seu negócio;
  • garante a resolução de problemas de forma proativa;
  • melhora aproveitamento de recursos existentes;
  • garante maior fluidez para a gestão de TI;
  • garante a adesão de novas ferramentas de forma prática, eficiente e com menores riscos.

Como a auditoria de TI é realizada?

Mas afinal, como a auditoria de TI é realizada? Compreender o passo a passo realizado nesse processo é fundamental, principalmente, para que seja possível avaliar se o processo está sendo feito de forma adequada pelos especialistas terceirizados.

É claro que alguns pontos podem variar de acordo com a empresa responsável por realizar a auditoria. Mas alguns pontos básicos precisam estar presentes. Vejamos a seguir os principais pontos a serem avaliados.

Definir objetivos

O que você pretende com a auditoria de segurança em TI? Esse é o ponto de partida para que os profissionais possam analisar os pontos específicos do que você deseja ver em seu negócio. Alguns exemplos são:

  • verificar conformidade com a legislação vigente;
  • analisar se os documentos e regras da empresa estão sendo devidamente cumpridos;
  • pesquisar se as medidas traçadas previamente ainda são atuais ou se são passíveis de revisão;
  • verificar se há pontos de vulnerabilidade que não estejam cobertos pelas documentações e regras existentes;
  • analisar quais são os sistemas que deseja testar e avaliar (por exemplo, não é necessário que uma auditoria abarque todos os pontos de TI da empresa. Você pode realizar para um ponto específico naquele momento);
  • identificar se deseja analisar a infraestrutura digital, física, instalações ou todos os pontos?
  • verificar se o plano de recuperação de desastres é, de fato, efetivo.

Planejar os processos

Como a auditoria será feita? Quais são os pontos que serão analisados nesse processo? Planejar o processo é importante para que ele seja feito com melhor custo-benefício e não delongue tempo demais. Assim, é possível tornar o processo mais efetivo. Vejamos a seguir alguns pontos que, normalmente, estão sempre presentes nas auditorias:

  • análise de inventário;
  • revisão da política e arquitetura de segurança;
  • avaliação dos riscos internos e externos;
  • avaliação de configuração de firewall;
  • teste de penetração (também conhecido como PenTest).

Aqui também são definidos quais são os profissionais que estarão envolvidos e quais são suas atribuições no processo. Assim, em caso de qualquer falha, você sabe a quem buscar para pedir explicações.

Realizar um backup de dados

Além disso, como a auditoria pode fazer com que algumas alterações ocorram e, com isso, alguns dados podem ser perdidos. Por exemplo, problemas podem ocorrer em um PenTest e eventualmente alguns arquivos serem perdidos.

Por mais que essa seja uma possibilidade pequena, é fundamental que você tome os cuidados necessários para não ter algum problema. Assim, antes de começar a realizar toda a auditoria, faça um backup de dados eficiente.

Para isso, é importante realizá-lo por meio de boas práticas, entre elas:

  • conte com servidor reserva;
  • defina mais de uma forma de armazenamento para o backup de dados (físico e na nuvem);
  • selecione o que precisa ser armazenado;
  • realize automação de processos de backup;
  • faça testes de backup;
  • mantenha uma rotina de segurança de backup, entre outros pontos.

Analisar resultados

Essa é uma fase muito importante e, portanto, ela reflete tanto a qualidade da etapa de levantamento de objetivos quanto para verificar se os processos foram feitos de forma adequada. Por meio dessa etapa é possível elaborar um relatório do que foi realizado.

Por exemplo, é possível verificar a eficácia de um PenTest e analisar quais foram os pontos que responderam melhor ao cenário de crise e quais precisam de atenção, pois podem representar pontos críticos no futuro.

Outros 

Também é preciso considerar nesse processo outros pontos que costumam estar fora dessas questões. Por exemplo, se ocorre um rollout de TI, você tem uma alteração significativa de pontos de vulnerabilidade e necessidade de retraçar estratégias que tinham sido feitas anteriormente.

Assim, é importante considerar na auditoria a necessidade de avaliar se esse processo foi, de fato, bem realizado e se ocorreu algum tipo de problema que pode comprometer a segurança da empresa.

Mas além disso, temos outros pontos importantes que precisam ser considerados. Vamos vê-los a seguir:

  • definição do responsável: afinal, quais são os atores responsáveis por questões importantes, como a elaboração e atualização da documentação? Quem tem controle total ou parcial sobre os dados do negócio? Quem tem acesso aos servidores? Saber todos esses pontos é fundamental para saber quem teve acesso a quais dados e por quanto tempo;
  • quais ações são feitas por cada colaborador: afinal, aquela pessoa que tem autorização sobre determinados dados deveria, de fato, poder visualizar aquilo? Isso pode comprometer a segurança do negócio como um todo? Um exemplo simples é: um profissional da área de marketing precisa ter acesso aos dados financeiros de um cliente? Se não, é uma falha de segurança considerável;
  • quais foram as mudanças entre uma auditoria e outra: quais são os processos internos que podem ter potencializado pontos que mereciam atenção? Por exemplo, a contratação de um novo funcionário que tem acesso a dados internos é uma alteração que precisa ser levada em consideração no processo de auditoria e precisa estar presente nas documentações de planejamento;
  • em que momento a mudança aconteceu: quando foi que essa alteração ocorreu? A empresa esteve exposta? Ocorreu algum tipo de incidente após esse momento? Questões como essa pode evidenciar qual ponto ficou frágil e merece atenção. Voltemos ao exemplo do novo funcionário: problemas de vazamentos e tentativas de atacar vulnerabilidades passaram a ocorrer após a contratação e nos pontos em que há a presença dessa pessoa? Se sim, mesmo que não seja de forma intencional, é fundamental atentar-se para o que pode estar trazendo essas complicações a partir dela;
  • há um bom suporte de TI na empresa: fato é que, mesmo com as auditorias, problemas podem ocorrer. Por isso é importante analisar na auditoria se o suporte é capaz de responder de forma ágil e eficiente aos problemas. Uma das principais formas que encontramos para isso é, por exemplo, por meio do PenTest;
  • avaliar se ações automatizadas estão ocorrendo: por exemplo, se a empresa opta pela atualização automática do Sistema Operacional (SO), ela está ocorrendo? Ou algum patch novo ainda não ocorreu por falhas no processo? Esse tipo de questão pode ser consequência de alguma questão de configuração e exige atenção para que seja consertado.

Qual é a diferença entre auditoria de segurança e avaliação de risco?

A avaliação de riscos é um processo que faz parte da auditoria de segurança em TI, que é realizado em conjunto com outras práticas que nós já listamos anteriormente.

É importante ressaltar que a auditoria por si só não é o suficiente. É preciso também analisar os resultados obtidos e identificar o que é preciso para tornar as ações internas em maior conformidade com as documentações definidas previamente e melhores práticas.

Também queremos frisar a necessidade da periodicidade deste tipo de processo. Ele deve ser feito pelo menos uma vez por ano. Isso porque avanços significativos ocorrem, principalmente, no que diz respeito à redução de vulnerabilidades, o que torna fundamental realizar atualizações das medidas já implementadas.

Em contrapartida, temos outro movimento: os cibercrimes também sofisticam-se ao longo do tempo. Por exemplo, até pouco tempo não tínhamos a presença do ransomware, considerado atualmente um dos mais perigosos ataques realizados online. Por isso é tão importante que você realize a auditoria pelo menos anualmente.

Além disso, muitas mudanças de percurso vão sendo realizadas ao longo do trajeto, de forma que torna-se importante conferir se isso vai causar algum tipo de alteração na segurança do seu negócio.

Com a auditoria anual é possível ter uma imagem completa da atual situação e, assim, verificar se há brechas novas ou que não tenham sido percebidas em momentos anteriores.

Por isso é tão importante perder o estigma sobre a auditoria de segurança em TI. Ela é fundamental para proteger sua organização de eventuais ataques e problemas e ter sempre a adoção dos melhores protocolos. Por isso, não deixe de realizá-lo, ok?

Esperamos que este guia tenha ajudado você nessa jornada e tirado suas dúvidas sobre este tema tão importante. Ficou ainda alguma questão? Então deixe nos comentários e responderemos a elas, ok?