DANILO SOUZA SANTANA

RESENHA: A AUDITORIA DE SEGURANÇA DE SISTEMAS DA INFORMAÇÃO COMO

INSTRUMENTO DE APOIO À TOMADA DE DECISÕES, PELA ALTA ADMINISTRAÇÃO DE
ORGANIZAÇÕES MODERNAS

1 INTRODUÇÃO

Atualmente estamos na era da informação. A quantidade de informação circulando em redes,

sistemas e aplicativos é enorme. Dessa forma a segurança das informações se tornou essencial
e os desafios nessa área cresceram.

A auditoria, nesse contexto, é fundamental para garantir os requisitos básicos de confiabilidade,

integridade, disponibilidade além de confidencialidade, auditabilidade e privacidade assim
como a aderência entre a segurança da organização e do mercado.

Os cibercrimes e outros fatores, como recursos humanos e infraestrutura, são também questões
que afetam profundamente a área de segurança e limitam a evolução de muitos negócios.

Para muitas das empresas a segurança é muito complexa e de difícil implementação, o que faz
com que uma das funções da Auditoria seja a de orientar a direção da empresa, simplificando
essa questão e facilitando a tomada de decisões.

É necessário confiar nos sistemas de informações e sua infraestrutura para que haja o pleno
desenvolvimento dos negócios, assim sendo, o gestor de uma empresa precisa de opinião
técnica sólida que não comprometa os ativos.

Como nem todo administrador possui esse conhecimento técnico a auditoria se faz necessário
e, tem papel importantíssimo quando executada de maneira responsável, já que busca elencar
vários deficiências, necessidades, pontos fortes e oportunidades de melhoria, com base nas
evidências que são coletadas na própria empresa, através da criação de relatórios detalhados e
muito confiáveis, afim de dar suporte ao negócio e tomada de decisão.

Para tanto, o uso de frameworks é recomendado, entre eles:

- COBIT: que objetiva otimizar os investimentos de TI;

- ITIL: que é um compilado de boas práticas de TI;

- ISSO/IEC 27001:2013: que proporciona um modelo completo de Sistema de Gestão de

Segurança da Informação (SGSI).

2 AUDITORIA SEGURANÇA DA INFORMAÇÃO COMO PROCESSO PARA GARANTIR OS

OBJETIVOS DO NEGÓCIO

A empresas e instituições em geral dependem cada vez mais da TI e seus sistemas. A demanda
por sistemas seguros, confiáveis e com disponibilidade continuada têm elevado o risco das
empresas a níveis nunca antes vistos, riscos os mais diversos desde ação humana a desastres
naturais, o que faz com que ações corporativas para administrá-los se façam necessárias. De
forma que a auditoria de segurança da informação pode garantir que os pilares de segurança
sejam mantidos.
A auditoria é vital já que permite avaliar os controles necessários para que os sistemas sejam
confiáveis e seu nível de segurança adequado, englobando todo o ambiente: Equipamentos,
Centro de Processamento de Dados e Software.

Os sistemas de informação são fundamentais para qualquer organização moderna já que as TIC
são imprescindíveis para a prestação de serviços, portanto, manter a segurança é também
fundamental.

2.1 EVOLUÇÃO TECNOLÓGICA E A NECESSIDADE DE GARANTIR A SEGURANÇA DAS

INFORMAÇÕES

Com a evolução das TIC houve também mais exigência de mão-de-obra altamente especializada
para implementar e gerenciar tudo o que elas envolvem. Isso trouxe grandes oportunidades
para as empresas, mas também um uso descontrolado dos sistemas de informação que
precisam de controle o quanto antes através de planos de auditoria.

Assim sendo são necessárias não apenas ações reativas, mas, o administrador necessita sim, de
um plano diretor, baseado em uma análise confiável dos sistemas e ativos, para ações de curto,
médio e longo prazo. A ausência de um plano assim pode trazer alto risco. Esse trabalho de
auditoria deve ser contínuo e seguir as recomendações emitidas, devendo haver, para tanto, um
programa de acompanhamento. Desse modo a auditoria deve verificar a situação atual da
segurança dos sistemas e indicar soluções para tornar todo o ambiente de TI mais seguro.

2.2 A AUDITORIA DE SEGURANÇA DA INFORMAÇÃO COMO FERRAMENTA DE APOIO A

TOMADA DE DECISÕES

Para a tomada de decisões são necessárias informações precisas e confiáveis, nesse contexto a
auditoria é uma função importante para a alta administração. A auditoria visa a prevenção, a
detecção e a correção de problemas, objetivando minimizar o impacto causado por falhas ou
omissões e é isso que faz dela necessária às estratégias organizacionais.

Com os objetivos do COBIT, o auditor pode garantir um assessoramento de qualidade ao decisor,

elencando necessidades imediatas e futuras, através de relatórios de auditoria.

2.3 A AUDITORIA DE SEGURANÇA DA INFORMAÇÃO SÓ É VÁLIDA PARA O NEGÓCIO, QUANDO

AGREGA VALOR

Os administradores que trabalham com o ativo informação e a alta tecnologia precisa

salvaguardar esses bens. De modo que as políticas de segurança se tornam imprescindíveis, o
que pode ser aperfeiçoado pela auditoria.

Mesmo com profissionais altamente capacitados existe a possibilidade de falhas intencionais e

desvios de conduta, além de descuidos e falhas. Ao se adotar a auditoria de segurança se reduz
as chances desses erros ocorrerem assim como identificar eventuais falhas em todo o processo
de ciclo de vida da informação. A auditoria também proporciona benefícios quando se fala em
atuação de crackers e todo o mal que estes podem causar.

Por tais motivos é possível afirmar que nenhum administrador pode lidar com essas dificuldades
sem a colaboração de auditoria.
3 VISÃO DA FUNÇÃO AUDITORIA DE SEGURANÇA DA INFORMAÇÃO POR ADMINISTRADORES
E USUÁRIOS DE ORGANIZAÇÕES E EMPRESAS – AMOSTRA

Através de uma pequena amostra foi realizada uma pesquisa de campo com administradores de
organizações responsáveis por bancos de dados, sistemas e informações críticas. Seu objetivo
foi o de verificar qual a visão e opinião de administradores sobre a auditoria, bem como a
percepção sobre custo e benefício, além de checar quais os obstáculos à implementação da
auditoria de segurança da informação.

Através da pesquisa foi possível perceber que ela é vista como importante, mas a falta de
recursos e pessoal habilitado acaba comprometendo seu sucesso. Foi ainda realizada uma
pesquisa com integrantes das empresas envolvidas na pesquisa que verificou que a maior parte
das empresas tem políticas de segurança, mas não são divulgadas adequadamente, de modo
que alguns funcionários podem não ter conhecimento delas.

Através de estudos de relatórios das empresas foi possível perceber que as empresas já tinham
ciência de vulnerabilidades e erros de execução, que poderiam comprometer os ativos, mas que
não haviam tomado as medidas cabíveis para saná-los ou reduzir seus danos.

4 APRECIAÇÃO CRÍTICA E VALIDAÇÃO DO EXAME

Através da coleta de dados pode-se constatar que, de fato, a auditoria de segurança da

informação é importante para uma boa administração, mas apenas tem validade se seus
relatórios forem utilizados corretamente, colocado em prática. A auditoria deve fazer parte da
segurança da empresa, oferecendo maior qualidade para os negócios, inclusivo com cuidados
dos funcionários.

5 CONCLUSÃO

O estudo demonstra que a auditoria possui valor muito grande para o bom desempenho das
organizações assim como seus clientes. No entanto o alto custo de tal ferramenta somente se
justifica se a alta administração estiver disposta a colocar em prática aquilo que o relatório
aponta, do contrário, se torna apenas mais um documento para checar quando os eventos
previstos vierem à tona.