Segurança informática em auditoria

6. Síntese dos actuais standards de auditoria da segurança informática

6.1. CobiT – Control Objectives for Information Technology [21]

Foi desenvolvido pela associação americana ISACA (Information Systems Audit and Control Association).

O Cobit é um modelo orientado para a gestão das tecnologias de informação. A sua visão sustenta que a sobrevivência das organizações depende da gestão efectiva da informação e da tecnologia associada a quatro problemas actuais:

• O aumento da dependência da generalidade das organizações relativamente às TIC [22];



• Aumento das vulnerabilidades e ameaças, muito conhecidas actualmente em alguns sectores de actividade, por exemplo, o sector bancário que não pode deixar de usar as TIC;



• Escala de custos com os SI. Todas as empresas investem somas consideráveis nas suas TIC independentemente do sector de actividade onde actuam;



• Potencial das TIC.

Há um grande potencial associado à utilização adequada das TIC em todos os processos organizacionais desde os recursos, à produção e às vendas e apoio ao cliente. Este standard ou modelo assenta da ideia de que o negócio determina as necessidades de informação e esta determina as necessidades de tecnologia [23].

É muito fácil entender a lógica deste modelo, talvez seja por isso que tem tanto êxito: a estratégia e os correspondentes processos de negócio definem as necessidades de informação bem como as condições da sua utilização; a informação e as condições em que deve ser tratada determinam os recursos a afectar.

As exigências a considerar nos sistemas de informação para que possam fornecer a informação necessária ao negócio são as seguintes:

• Eficácia: a informação deve ser relevante, pertinente, entregue a tempo, correcta, utilizável e consistente;



• Eficiência: os recursos são aproveitados de modo óptimo para a sua produção;



• Confidencialidade: a informação deve ser protegida de acessos não autorizados;



• Integridade: a informação deve ser completa e correcta;



• Disponibilidade: a informação deve estar disponível quando necessário. Afectar recursos que garantam a continuidade da disponibilidade;



• Conformidade: Respeita as normas e exigências legais, ou contratuais do negócio;



• Fiabilidade: a informação dever ser fiável relativamente às fontes, aos circuitos e conteúdos para permitir tomar decisão de qualidade.

Os recursos são tratados de uma forma abrangente, incluindo os seguintes tipos:

• Dados - Sentido amplo (estruturados, não-estruturados, vídeo, som, gráficos, …);



• Aplicações - Procedimentos manuais e automáticos;



• Tecnologia - Hardware, Sistemas Operativos, Rede, Sistemas de Gestão de Base de Dados (SGBD) ... ;



• Instalações - Recursos necessários para alojar e suportar os SI, edifícios, ar condicionado, energia, …;



• Pessoas - Competências necessárias para motivar, planear, organizar, adquirir, entregar, suportar e monitorar os SI e serviços associados.

Uma vez clarificados os objectivos relativos à informação e os recursos a afectar este standard considera quatro domínios da gestão das TIC desde o planeamento até a monitorização do seu funcionamento:

• Planeamento e Organização: Estratégia; Identificação do modo com a função IT vai contribuir para os objectivos do negócio;



• Aquisição e Implementação: A realização da estratégia. Identificação das soluções IT adequadas, aquisição ou desenvolvimento e integração nos processos de negócio;



• Disponibilização e Suporte: Preocupa-se com a continuidade das operações, a sua segurança e o treino das equipas de TIC;



• Monitorização: Todos os processos IT necessitam de avaliação regular da sua qualidade e conformidade com os requisitos de controlo e de negócio.

Cada um destes domínios inclui diversos processos, num total de 34, a avaliar através dos níveis do CMM como já se referiu. Para cada processo IT é possível obter informação de apoio à auditoria muito pormenorizada a partir do Cobit-Online no site da associação ISACA [24] sobre:

• Framework (enquadramento metodológico do modelo);



• Control Objectives (explicação dos objectivos de controlo);



• Audit Guidelines (orientações de auditoria);



• Key Goal Indicators (indicadores chave dos objectivos de controlo a usar);



• Key Performance Indicators (indicadores chave de performance);



• Critical Success Factors (factores críticos de sucesso);



• Maturity Models (níveis de maturidade ajustados do CMM).

O Cobit On-line está preparado para filtrar o material aplicável a uma missão de auditoria e fornecê-lo por via electrónica.

A associação ISACA tem vindo a expandir o número de utilizadores em todo o mundo. Em 2005 candidataram-se mais de 20000 profissionais à certificação em todo o mundo [25]. Oferece actualmente dois tipos de certificação profissional com algumas exigência de formação contínua para quem quiser manter o título:

• CISA - Certified Informations Systems Auditor. Obriga a exame em matérias como Processo de Auditoria de Sistemas de Informação, Gestão, Planeamento e Organização dos SI, Insfraestrutura Tecnológica e Práticas Operacionais, Protecção de Activos de Informação, Recuperação de Desastres e Continuidade de Negócio, Desenvolvimento de Sistemas Aplicacionais, Aquisição, Implantação e Manutenção e Avaliação de Processos de Negócio e Gestão de Risco;



• CISM - Certified Information Security Manager. Obtido com exame de certificação sobre Gestão da segurança, Gestão de risco e Gestão de programas de segurança da informação. Além disso deve aderir à associação ISACA, ter cinco anos de experiência em segurança informática e três anos de gestão da segurança informática.