Segurança da Informação

Exercício de Cenas de Auditoria Interna

Uma empresa de hosting, que foi fundada há 5 anos por dois ex-alunos formados da faculdade e se expandiu ao longo do tempo, está buscando a
conformidade para o seu Sistema de Gestão de Segurança da Informação. Neste exato momento, está ocorrendo uma Auditoria Interna. Você é um
auditor, e deverá indicar qual o requisito da norma ISO/IEC 27001:2013 está relacionando com a respectiva ocorrência relatada. Preencha o
formulário a seguir da seguinte maneira: marque “Sim” se o relato apresentado possuir evidências suficientes para ser considerado uma Não
Conformidade, indicando os itens da norma que deveriam ser seguidos junto com a descrição; marque “Simples Observação” se o relato somente
justificar uma cena/ocorrência. Caso faltem informações para o julgamento, marque “Falta informação”, e indique o que falta ser informado.

Cenas / Ocorrência Registro da Não Conformidade (NC)

Req. ISO/IEC Existe NC? Descrição da NC e da Evidência Objetiva
27001 ou indicação do que fazer a seguir
1- Não existe uma metodologia escrita para análise/avaliação de ( ) Sim
riscos dos equipamentos. Os riscos são identificados nos ( ) Não
momentos necessários pelo pessoal especializado com base ( ) Simples Obs.
em seus conhecimentos, e repassados para avaliação. ( ) Falta Informação
2- A organização não fornece treinamento referente às tarefas ( ) Sim
requeridas pelo SGSI, pelo fato da equipe ser pequena, ( ) Não
altamente qualificada e ciente da importância e relevância das ( ) Simples Obs.
atividades de segurança. ( ) Falta Informação
3- Um dos auditores internos é responsável pela administração ( ) Sim
do banco de dados. Como na auditoria metade da equipe da ( ) Não
empresa viajou para treinamento do novo sistema, ele acabou ( ) Simples Obs.
auditando também a área desse sistema, incluindo BD. ( ) Falta Informação
4- O estagiário responsável por guardar os registros de controles ( ) Sim
optou por armazenar temporariamente em um HD externo ( ) Não
criptografado. Somente ele possui a senha para acesso. ( ) Simples Obs.
( ) Falta Informação
5- Os objetivos de controle e os controles para o tratamento de ( ) Sim
riscos foram incrementados e reescritos em um documento ( ) Não
interno que foi decidido em reunião, aprovado pela direção, ( ) Simples Obs.
documentado e divulgado para a equipe. ( ) Falta Informação
6- Não constam na Declaração de Aplicabilidade, a exclusão e ( ) Sim
nem a justificativa de exclusão dos objetivos de controle e ( ) Não
controles constantes na norma, pois como eles foram ( ) Simples Obs.
reescritos em um documento interno, não há a necessidade ( ) Falta Informação
de referenciar os que constam na norma.
7- A medição da eficácia dos controles é feita em prazos ( ) Sim
relativamente longos, pois a direção entende que com uma ( ) Não
equipe pequena não é viável ficar deslocando funcionários ( ) Simples Obs.
frequentemente para isso. ( ) Falta Informação
8- Os critérios para aceitação de riscos e os níveis aceitáveis são ( ) Sim
documentados em tópicos sem distinção entre um e outro, ( ) Não
mas em cada tópico ambos estão presentes. ( ) Simples Obs.
( ) Falta Informação
9- Os treinamentos de equipe não são registrados, mas é ( ) Sim
possível fazer um rastreamento nos e-mails corporativos dos ( ) Não
funcionários. ( ) Simples Obs.
( ) Falta Informação
10- De tempos em tempos a direção convoca uma breve reunião ( ) Sim
com a equipe técnica e pergunta a todos, um por um, quais as ( ) Não
sugestões para a melhoria da política de segurança. ( ) Simples Obs.
( ) Falta Informação