Segurança da informação e apontamentos de auditorias: faça a gestão!

Pequenas empresas que prestam serviço sob manto do Banco Central terão de atender rígidos requisitos de segurança e serão auditadas

Cada vez mais as auditorias internas ou externas contemplam os controles de segurança da informação. Antes restrito às grandes organizações, atualmente praticamente todas as organizações são afetadas. Organizações de pequeno porte que prestam serviço para instituições sob manto do Banco Central, terão que atender rígidos requisitos de segurança e consequentemente, serão auditadas. Recomendo abaixo algumas ações que facilitam a gestão e controle dos pontos de auditoria e a gestão da segurança da informação.

1. Pró atividade é responsabilidade do Gestor de Segurança da Informação.
É de responsabilidade do Gestor da Segurança da Informação estruturar e operacionalizar o Processo Corporativo de Segurança da Informação. Desta maneira, todos os controles básicos, vide Norma NBR ISO/IEC 27002:2013, estão contemplados e planejados. Não quer dizer implementados. Porém quando uma auditoria for realizada, com certeza todos ou a grande maioria dos pontos identificados, já estarão mapeados. Apresentar para a Direção da Organização uma situação em que a organização não foi pega de surpresa e sabia das suas falhas, demonstra uma abordagem profissional. Seja pró ativo.

2. Pontos de auditoria serão apresentados – Explicite e detalhe.
Bem, mesmo a organização sabendo das suas fraquezas, ela receberá formalmente pontos de auditoria. Para começar a resolver este problema, inicialmente:

a. Valide com o auditor se realmente você concorda com o ponto apresentado. O objetivo é esclarecer o entendimento e se não há problema de comunicação.

b. Verifique se a solução para o ponto apresentado pode ser estruturada em itens parciais. O auditor apresenta a vulnerabilidade, o Gestor da Segurança da Informação é que tem a obrigação de elaborar como este ponto pode ser atendido.

c. Converse com o auditor explicando sua abordagem para atender o ponto. É importante para a auditoria que seja uma resposta coerente, estruturada, bem definida, com controles eficazes e que atenderá o ponto.

d. Havendo consenso, elabore o Documento de Resposta aos Pontos de Auditora, que deve conter o ponto apresentado, as considerações da área de segurança, a solução proposta para atendimento ao ponto e os prazos para a realização destas atividades.

e. Formalize a aceitação da auditoria em relação ao Documento Resposta aos Pontos de Auditoria.

3. Considere a solução dos Pontos de Auditoria no Planejamento de Ações de Segurança da Informação.
a. As atividades para atendimento aos pontos de auditoria formam um grupo de atividades que consomem os recursos da Área de Segurança da Informação e de outras áreas da organização.

b. Não esqueça de envolver e comprometer as demais áreas. Por exemplo, se você vai ter que realizar um levantamento sobre impacto na indisponibilidade no negócio, quando recursos de informação ficam indisponíveis, é necessário que as áreas de negócio dediquem tempo, previamente planejado.

4. Se impossibilidade de atender ao Ponto de Auditoria – Avise o mais cedo possível.
Caso exista alguma impossibilidade de atendimento de Ponto de Auditoria, avise aos auditores quanto mais cedo for possível. Normalmente é dado um prazo de adiamento. Mas, pode ser o caso que você tenha sido otimista e a tarefa é maior do que você tinha estimado. Refaça e garanta que não haverá falha na sua segunda chance.

5. Ao concluir suas tarefas, valide com os auditores o que foi realizado.
Recomendo uma reunião prévia, antes da reunião formal de entrega das atividades de atendimento ao Ponto de Auditoria. Nesta reunião você pode ainda não estar com a resposta completa, mas valida o que tem. Por exemplo se você precisa apresentar uma gestão de dois ambientes, apresente um ambiente validando se os aspectos que você considerou e a maneira como você estruturou a resposta está ok.

6. Elabore o Documento de Atendimento aos Pontos de Auditoria.
a. Neste documento cite o Documento de Resposta aos Pontos de Auditoria e explicite as atividades realizadas e a solução implementada para atendimento aos Pontos de Auditoria.

b. Estando tudo adequado e tendo a Auditoria aceito sua solução implementada, solicite a formalização pela auditoria de atendimento aos pontos apresentados.

7. Comunique à Direção da Organização.
Verifique na sua organização como isto deve ser realizado, mas recomendo que ao receber Pontos de Auditoria e ao resolver os mesmos, comunique formalmente ao Corpo Diretivo da Organização. Atendimento a pontos de auditoria exigem muito esforço e muitos vezes a direção fica sem saber esta sua grande tarefa. Além do que, independente do esforço, eu entendo que qualquer auditoria deve ser comunicada aos executivos da organização: recebi, está sobre controle e atendemos ao ponto apresentado. Esta informação os gestores entendem.

Conclusão
Os pontos apresentados pela Auditoria têm uma característica: são vulnerabilidades, porém, não consideram as prioridades da organização. Quem tem a obrigação de considerar as prioridades da organização é o Gestor de Segurança da Informação alinhado com o Corpo Diretivo da Organização. Quando temos este alinhamento e conhecemos verdadeiramente o assunto segurança da informação, atenderemos os pontos de auditoria dentro da realidade da organização. Afinal vivemos em um mundo real.