CART

 Lar / Recursos / Revista ISACA / Problemas

SIGN/ IN
2022 / Volume 6 / Os controles gerais de TI estão desatualizados

Os controles gerais de TI estão

desatualizados? Proteção de dados e
controle interno sobre relatórios
financeiros

Autor: Jouke Albeda, CISA, CISSP, RE

DataCREDENCIAMENTO
de publicação: 28 de dezembro de 2022 
Relacionado: ITAF, 4ª edição | Digitais | Inglês
FILIAÇÃO
COMPARTILHAR    


ENTERPRISE 

PARTNERSHIPS 

ParaTRAINING
um auditor de TI que trabalha na área de contabilidade, é clara a importância
& EVENTS  dos controles
gerais de TI, especialmente no domínio da gestão de acesso às demonstrações financeiras. Por
mais de uma década, os controles gerais de TI quase não mudaram, enquanto
RESOURCES  estruturas como
os Critérios de Serviços de Confiança do Instituto Americano de Contadores Públicos
Certificados
JOIN/RENEW 
(AICPA) e a Matriz de Controles de Nuvem da Cloud Security Alliance (CSA)
evoluíram. A estrutura de segurança da informação da norma ISO 27002 da Organização
ABOUT US de Normalização (ISO) também está a passar por uma grande
Internacional atualização,
incluindo novos controlos. É possível que os fatores de risco dos relatórios financeiros no ciclo
dos dados quase não tenham mudado? Os dados são mantidos emum sistema como
CAREERS
de vida
um banco de dados, e a funcionalidade garante que os dados possam ser acessados ​e
SUPPORT
processados. No entanto, os ambientes de TI mudaram significativamente com a terceirização
de sistemas de informação e o uso de hardware (virtual). Para determinar se os controles gerais
STORE
de TI precisam ser atualizados ou se ainda são suficientes para cobrir a maioria dos ambientes
de TI, é útil examinar os controles conforme eles se aplicam à segurança dos dados
CART
(principalmente integridade e confidencialidade). Em seguida, uma seleção de controles gerais
de TI pode ser comparada com estruturas usadas frequentemente e geralmente aceitas nos
relatórios de garantia da organização deIN
SIGN serviços e seus controles de proteção de dados.

Controles Gerais de TI
O auditor identifica os controles usando um conjunto básico de controles gerais de TI
(sugeridos), como aqueles definidos nas diretrizes publicadas pelo International Auditing and
Assurance Standards Board (IAASB) nas Normas Internacionais de Auditoria (ISA) 315 (revisadas
em 2019). 1 Os controles identificados podem diferir com base na sua aplicação e em outros
aspectos do ambiente de TI. Os controles gerais de TI relativos à segurança de dados são
definidos no apêndice 6 da ISA 315. 2

Na área de gestão de acesso, os controles que podem impactar a proteção de dados incluem:
Controles de autenticação —Garantem que um usuário que acessa o aplicativo de TI ou
outro aspecto do ambiente de TI não esteja usando as credenciais de login de outro
usuário.
Controles de autorização —Permite que os usuários acessem as informações necessárias
para suas responsabilidades profissionais e nada mais, o que facilita a segregação
adequada de funções.
Controles de provisionamento — Autoriza novos usuários e modifica os privilégios de
acesso dos usuários existentes.
Controles de desprovisionamento —Remove o acesso do usuário após encerramento ou
transferência.
CREDENCIAMENTO 
Controles de acesso privilegiado — Autoriza o acesso de usuários administrativos ou
poderosos.
Controles de revisão de acesso do usuário — Recertifica ou avalia o 
FILIAÇÃO
acesso do usuário
para autorização contínua ao longo do tempo.
ENTERPRISE 
Controles de configuração de segurança —Cada tecnologia geralmente possui definições
de configuração importantes que ajudam a restringir o acesso ao ambiente.
PARTNERSHIPS 
Controles de acesso físico — Autoriza o acesso físico ao data center e ao hardware, pois
esse acesso
TRAINING pode ser usado para substituir outros controles. 3
& EVENTS 

Na área  de dados incluem:

de gestão de mudanças, os controles que podem impactar a proteção
RESOURCES

Controles de conversão de dados — Autoriza a conversão de dados durante o

JOIN/RENEW 
desenvolvimento, implementação ou atualizações no ambiente de TI. 4
ABOUT US 
Na área de gestão de operações de TI, os controles que podem impactar a proteção de dados
incluem:
CAREERS 
Controles de detecção de intrusões — Monitora vulnerabilidades e/ou invasões no
SUPPORT
ambiente de TI. 5
STORE
A ISA 315 menciona estes controlos como possíveis controlos gerais de TI que um auditor pode
CART
considerar. O auditor deve realizar uma avaliação de riscos e usar julgamento profissional para
determinar os fatores de risco no ambiente de TI e os controles apropriados para mitigá-los. A
lista de controlos gerais de TI definida
SIGNnaINISA 315 é semelhante às directrizes de controlo geral
de TI definidas por outras organizações. 6 A norma ISA é, portanto, um reflexo apropriado dos
controlos gerais de TI utilizados pelos auditores de TI.

Além dos controlos gerais de TI, que são necessários para contar com
sistemas de informação para relatórios financeiros, a maioria das
organizações de serviços fornece relatórios de garantia aos seus
clientes para demonstrar a sua conformidade com os quadros de
controlo.

Estruturas de controle usadas para terceirização

Além dos controlos gerais de TI, que são necessários para contar com sistemas de informação
para relatórios financeiros, a maioria das organizações de serviços fornece relatórios de garantia
aos seus clientes para demonstrar a sua conformidade com os quadros de controlo. As
estruturas de controle, como as desenvolvidas pelo AICPA e CSA, contêm mais controles do que
os familiares controles gerais de TI. Quando os controlos de outras estruturas são considerados
ineficazes, ou se um relatório de garantia de fiabilidade tiver uma opinião com reservas, é
realizada uma avaliação de impacto para determinar se as deficiências podem impactar
negativamente os relatórios financeiros. Como os relatórios de controle da organização de
serviços (SOC) geralmente cobrem mais do que apenas controles gerais de TI, os contadores e
auditores de TI devem determinar o impacto de controles adicionais que geralmente não seriam
avaliados ao testar apenas controles gerais de TI.
CREDENCIAMENTO 
Para identificar os controles relacionados à proteção de dados que estão excluídos dos controles
FILIAÇÃO 
gerais de TI, foi realizada uma análise de lacunas tanto para os Critérios de Serviços de
Confiança quanto para a Matriz de Controles de Nuvem. Para os Critérios de Serviços de
ENTERPRISE 
Confiança, foram identificados controles adicionais de proteção de dados:
A entidade seleciona,
PARTNERSHIPS 
desenvolve e realiza avaliações contínuas ou separadas para verificar
se os componentes do controle interno estão presentes e funcionando.
TRAINING & EVENTS 
A entidade implementa software, infraestrutura e arquitetura de segurança de acesso
lógico para ativos de informação para protegê-los de eventos de segurança.
RESOURCES 
A entidade restringe a transmissão, movimentação e remoção de informações a usuários e
processos internos e externos autorizados, e as protege durante a transmissão,

JOIN/RENEW
movimentação ou remoção.
A entidade
ABOUT US implementa controles para prevenir ou detectar e agir na introdução
 de
software não autorizado ou malicioso.
A entidade utiliza procedimentos de detecção e monitoramento para 
CAREERS identificar alterações
nas configurações que resultam na introdução de novas vulnerabilidades e suscetibilidades
a vulnerabilidades recém-descobertas.
SUPPORT

A entidade monitoriza os componentes do sistema e o funcionamento desses

STORE
componentes em busca de anomalias indicativas de atos maliciosos, desastres naturais e
 erros
CART que afetem a capacidade da entidade de cumprir os seus objetivos; anomalias são
analisadas para determinar se representam eventos de segurança.
A entidade dispõe de informações confidenciais para atender aos objetivos da entidade
SIGN 7IN
relacionados à confidencialidade.

Para a Matriz de Controles de Nuvem foram identificados controles adicionais de proteção de

dados (porque a matriz possui controles específicos e granulares, alguns deles são agrupados),
incluindo:
Testes automatizados de segurança de aplicativos
Correção de vulnerabilidade de aplicativo
Criptografia, criptografia e gerenciamento de chaves
Descarte seguro/retenção e exclusão de dados
Transferência de dados confidenciais
Proteja a integridade dos registros
Monitoramento e alertas de segurança
Acesso e responsabilidade aos registros de auditoria
Registro e monitoramento (incluindo falhas e anomalias)
Teste de penetração
Gerenciamento universal de endpoints (por exemplo, criptografia de armazenamento,
firewall)
Prevenção contra perda de dados 8

Uma estrutura popular de segurança da informação que não é frequentemente usada para
fornecer garantia para relatórios financeiros é a ISO/IEC 27001/27002. A ISO 27002 foi
atualizada e será transferida para uma nova estrutura ISO 27001. 9 Alguns controles foram
CREDENCIAMENTO
introduzidos para atender aos requisitos atuais de segurança da informaçãono ambiente de TI,
incluindo:
FILIAÇÃO 
Inteligência de ameaças
Monitoramento
ENTERPRISE de segurança física 
Gerenciamento de configuração (incluindo configurações de segurança)
PARTNERSHIPS
Exclusão de informações 

Mascaramento de dados
TRAINING & EVENTS 
Prevenção de vazamento de dados
Atividades
RESOURCES de monitoramento 
Filtragem da Web 10
JOIN/RENEW 
Esses controles também foram identificados nas análises de lacunas da Matriz de Controles de
ABOUT US 
Nuvem e dos Critérios de Serviços de Confiança. Isto enfatiza a necessidade de controlos
adicionais para proteger os dados e gerir os riscos de segurança dos dados.
CAREERS 

SUPPORT

Novos
STORE
controles gerais de TI a serem considerados
O exame
CART dos controles que existem nos critérios de serviços de confiança e na matriz de
controles de nuvem e que não estão refletidos nos controles gerais de TI mostra que há
controles gerais de TI adicionais que o auditor deve considerar ( figura 1) .
SIGN IN

CREDENCIAMENTO 

FILIAÇÃO 
Tanto os controles gerais tradicionais de TI quanto os novos controles
sugeridos devem ser considerados para testar a aplicação, banco de
ENTERPRISE dados, sistema operacional e componentes de rede no ambiente de TI.

PARTNERSHIPS 
Tanto os controles gerais tradicionais de TI quanto os novos controles sugeridos devem ser
considerados
TRAINING &para testar a aplicação, banco de dados, sistema operacionale componentes de
EVENTS
rede no ambiente de TI.
RESOURCES 
Ao auditar os controlos gerais de TI para garantir a fiabilidade dos sistemas de informação nos
relatórios financeiros, a integridade dos dados é importante, mas é discutível
JOIN/RENEW  se a
confidencialidade é igualmente importante. Se existirem controlos de autenticação fortes e o
acesso
ABOUTdireto
US aos dados for estritamente limitado aos indivíduos apropriados,
 serão necessários
os novos controlos? Neste caso, parece que o risco de um indivíduo não autorizado obter acesso
e alterar dados é baixo. Para compreender a relevância destes controlos, é 
CAREERS necessário analisar
atentamente o risco de fraude e a falta de integridade dos dados.
SUPPORT

STORE
Relevância
CART
dos controles gerais adicionais de TI
Ao realizar uma auditoria de TI em sistemas de informação, os principais fatores de risco são a
insegurança dos dados e a fraude. SIGN IN
Em 2016, o Instituto Nacional de Padrões e Tecnologia dos
EUA (NIST) descreveu três cenários de ataques cibernéticos que podem levar a problemas de
integridade de dados: ransomware, destruição de dados e manipulação de dados (ameaça
interna). 11 Outro estudo recente descreveu vários ataques na nuvem que podem levar a
problemas de integridade de dados. 12 Nos sistemas de informação ligados à Internet ou à
nuvem, a superfície de ataque é muito maior; portanto, a segurança dos dados é uma questão
significativa.

O aumento da utilização de plataformas em nuvem e o aumento do número de fatores de risco a

elas associados refletem-se na quantidade de fraude perpetrada. Num inquérito recente, “quase
70 [por cento] das organizações que sofreram fraude relataram que o incidente mais perturbador
ocorreu através de um ataque externo ou conluio entre fontes externas e internas”. 13 O mesmo
inquérito sugere que a fraude cibernética é mais comum do que a apropriação indébita de bens.

Conclusão
Os controles gerais de TI estão desatualizados? Embora os auditores profissionais possam
sempre definir os seus próprios controlos com base na avaliação de riscos que está a ser
realizada, as orientações gerais de controlo de TI estão desatualizadas. À medida que os
ambientes de TI continuam a mudar, os requisitos de proteção de dados também precisam
evoluir. Para resolver isso, estruturas como os Critérios de Serviços de Confiança, a Matriz de
Controles de Nuvem e a ISO/IEC 27002 foram desenvolvidas ao longo do tempo.

Ao testar os controles gerais de TI, devem ser considerados controles adicionais relacionados a
avaliações de segurança, proteção de ativos de dados, trânsito seguro de dados, proteção de
terminais, monitoramento de vulnerabilidades, monitoramento de segurança e descarte seguro
para os componentes relevantes de aplicativos, bancos de dados, sistemas operacionais e redes
de TI. ambiente.

Notas finais
1
International Auditing and Assurance Standards Board (IAASB), International Standards on
Auditing (ISA) 315 (Revised 2019): Identifiing and Assessing the Risks of Material Disstatement ,
EUA, 19 de dezembro de 2019, https://www.iaasb.org/publications /isa-315-revised-2019-
identificando-e-avaliando-riscos-distorção material
2
Ibid.
3
Ibidem.
4
Ibidem.
5
Ibidem.
6
Deloitte, General IT Controls (GITC) Risk and Impact , Índia, novembro de 2018,
https://www2.deloitte.com/content/dam/Deloitte/in/Documents/risk/in-ra-auditing-the-rpa-
ambiental-noexp.pdf
7 Instituto Americano de Contadores Públicos Certificados (AICPA), TSP Seção 100 2017
Critérios de Serviços de Confiança para Segurança, Disponibilidade, Integridade de
Processamento, Confidencialidade e Privacidade , EUA, março de 2020, https://us.aicpa.org
/content/dam/aicpa/interestareas/frc/assuranceadvisoryservices/downloadabledocuments/trust-
services-criteria.pdf
8 Cloud Security Alliance (CSA), “STAR Level and Scheme Requirements”, EUA, 4 de setembro de

2019, https://cloudsecurityalliance. org/artifacts/star-level-and-scheme-requirements/

9 Organização Internacional de Padronização (ISO)/Comissão Eletrotécnica Internacional (IEC),

ISO/IEC 27002:2022 Segurança da informação, segurança cibernética e proteção de privacidade

—Controles de segurança da informação , Suíça, Fevereiro de 2022,
https://www.iso.org/standard/75652.html
10 Ibid.
11 Tobin, D.; Pedra MJ; A. Townsend; H. Perper; S. Semanas; Data Integrity: Recovering From a

Destructive Malware Attack , Instituto Nacional de Padrões e Tecnologia (NIST) e Centro Nacional
de Excelência em Segurança Cibernética (NCCOE), EUA, maio de 2016,
https://www.nccoe.nist.gov/sites/default/ arquivos/arquivos legados/data-integrity-project-
description-final.pdf
12 Kaja, D.; AB Mailewa; Y. Fátima; “Ataques à integridade de dados na computação em nuvem:

uma revisão das técnicas de identificação e proteção”, International Journal of Research

Publication and Reviews , vol. 3, iss. 2, 2022, https://ijrpr.com/uploads/V3ISSUE2/ijrpr2704-data-
integrity-attacks-in-cloud-computing.pdf
13 Pricewaterhouse Coopers (PwC), Pesquisa Global de Crimes Econômicos e Fraudes da PwC

2022: Protegendo o Perímetro : The Rise of External Fraud , Reino Unido, 2022,
https://www.pwc.com/gx/en/forensics/gecsm-2022/PwC-Global-Economic-Crime-and-Fraud-
Survey-2022.pdf

JOUKE ALBEDA | CISA, CISSP, RE

É um auditor e diretor de TI experiente na 3angles. Ele apoia empresas com auditoria, risco e
conformidade. Anteriormente, ele trabalhou como gerente de risco e conformidade na
Datacenter.com e trabalhou para Binder Dijker Otte (BDO) e Ernst & Young (EY) na prática de
auditoria externa de TI. Seus artigos foram publicados na Audit Magazine, no IT-Auditor e no
ISACA® Journal .

PRÓXIMO ARTIGO >

    

Contate-nos | Termos | Privacidade | Aviso de cookies | Configurações de cookies

| Relatórios de fraude | Relatório de bugs
1700 E. Golf Road, Suite 400, Schaumburg, Illinois 60173, EUA | +1-847-253-1545 | ©2024ISACA. Todos os direitos reservados.