Escolar Documentos
Profissional Documentos
Cultura Documentos
ENTERPRISE
PARTNERSHIPS
ParaTRAINING
um auditor de TI que trabalha na área de contabilidade, é clara a importância
& EVENTS dos controles
gerais de TI, especialmente no domínio da gestão de acesso às demonstrações financeiras. Por
mais de uma década, os controles gerais de TI quase não mudaram, enquanto
RESOURCES estruturas como
os Critérios de Serviços de Confiança do Instituto Americano de Contadores Públicos
Certificados
JOIN/RENEW
(AICPA) e a Matriz de Controles de Nuvem da Cloud Security Alliance (CSA)
evoluíram. A estrutura de segurança da informação da norma ISO 27002 da Organização
ABOUT US de Normalização (ISO) também está a passar por uma grande
Internacional atualização,
incluindo novos controlos. É possível que os fatores de risco dos relatórios financeiros no ciclo
dos dados quase não tenham mudado? Os dados são mantidos emum sistema como
CAREERS
de vida
um banco de dados, e a funcionalidade garante que os dados possam ser acessados e
SUPPORT
processados. No entanto, os ambientes de TI mudaram significativamente com a terceirização
de sistemas de informação e o uso de hardware (virtual). Para determinar se os controles gerais
STORE
de TI precisam ser atualizados ou se ainda são suficientes para cobrir a maioria dos ambientes
de TI, é útil examinar os controles conforme eles se aplicam à segurança dos dados
CART
(principalmente integridade e confidencialidade). Em seguida, uma seleção de controles gerais
de TI pode ser comparada com estruturas usadas frequentemente e geralmente aceitas nos
relatórios de garantia da organização deIN
SIGN serviços e seus controles de proteção de dados.
Controles Gerais de TI
O auditor identifica os controles usando um conjunto básico de controles gerais de TI
(sugeridos), como aqueles definidos nas diretrizes publicadas pelo International Auditing and
Assurance Standards Board (IAASB) nas Normas Internacionais de Auditoria (ISA) 315 (revisadas
em 2019). 1 Os controles identificados podem diferir com base na sua aplicação e em outros
aspectos do ambiente de TI. Os controles gerais de TI relativos à segurança de dados são
definidos no apêndice 6 da ISA 315. 2
Na área de gestão de acesso, os controles que podem impactar a proteção de dados incluem:
Controles de autenticação —Garantem que um usuário que acessa o aplicativo de TI ou
outro aspecto do ambiente de TI não esteja usando as credenciais de login de outro
usuário.
Controles de autorização —Permite que os usuários acessem as informações necessárias
para suas responsabilidades profissionais e nada mais, o que facilita a segregação
adequada de funções.
Controles de provisionamento — Autoriza novos usuários e modifica os privilégios de
acesso dos usuários existentes.
Controles de desprovisionamento —Remove o acesso do usuário após encerramento ou
transferência.
CREDENCIAMENTO
Controles de acesso privilegiado — Autoriza o acesso de usuários administrativos ou
poderosos.
Controles de revisão de acesso do usuário — Recertifica ou avalia o
FILIAÇÃO
acesso do usuário
para autorização contínua ao longo do tempo.
ENTERPRISE
Controles de configuração de segurança —Cada tecnologia geralmente possui definições
de configuração importantes que ajudam a restringir o acesso ao ambiente.
PARTNERSHIPS
Controles de acesso físico — Autoriza o acesso físico ao data center e ao hardware, pois
esse acesso
TRAINING pode ser usado para substituir outros controles. 3
& EVENTS
Além dos controlos gerais de TI, que são necessários para contar com
sistemas de informação para relatórios financeiros, a maioria das
organizações de serviços fornece relatórios de garantia aos seus
clientes para demonstrar a sua conformidade com os quadros de
controlo.
Uma estrutura popular de segurança da informação que não é frequentemente usada para
fornecer garantia para relatórios financeiros é a ISO/IEC 27001/27002. A ISO 27002 foi
atualizada e será transferida para uma nova estrutura ISO 27001. 9 Alguns controles foram
CREDENCIAMENTO
introduzidos para atender aos requisitos atuais de segurança da informaçãono ambiente de TI,
incluindo:
FILIAÇÃO
Inteligência de ameaças
Monitoramento
ENTERPRISE de segurança física
Gerenciamento de configuração (incluindo configurações de segurança)
PARTNERSHIPS
Exclusão de informações
Mascaramento de dados
TRAINING & EVENTS
Prevenção de vazamento de dados
Atividades
RESOURCES de monitoramento
Filtragem da Web 10
JOIN/RENEW
Esses controles também foram identificados nas análises de lacunas da Matriz de Controles de
ABOUT US
Nuvem e dos Critérios de Serviços de Confiança. Isto enfatiza a necessidade de controlos
adicionais para proteger os dados e gerir os riscos de segurança dos dados.
CAREERS
SUPPORT
Novos
STORE
controles gerais de TI a serem considerados
O exame
CART dos controles que existem nos critérios de serviços de confiança e na matriz de
controles de nuvem e que não estão refletidos nos controles gerais de TI mostra que há
controles gerais de TI adicionais que o auditor deve considerar ( figura 1) .
SIGN IN
CREDENCIAMENTO
FILIAÇÃO
Tanto os controles gerais tradicionais de TI quanto os novos controles
sugeridos devem ser considerados para testar a aplicação, banco de
ENTERPRISE dados, sistema operacional e componentes de rede no ambiente de TI.
PARTNERSHIPS
Tanto os controles gerais tradicionais de TI quanto os novos controles sugeridos devem ser
considerados
TRAINING ¶ testar a aplicação, banco de dados, sistema operacionale componentes de
EVENTS
rede no ambiente de TI.
RESOURCES
Ao auditar os controlos gerais de TI para garantir a fiabilidade dos sistemas de informação nos
relatórios financeiros, a integridade dos dados é importante, mas é discutível
JOIN/RENEW se a
confidencialidade é igualmente importante. Se existirem controlos de autenticação fortes e o
acesso
ABOUTdireto
US aos dados for estritamente limitado aos indivíduos apropriados,
serão necessários
os novos controlos? Neste caso, parece que o risco de um indivíduo não autorizado obter acesso
e alterar dados é baixo. Para compreender a relevância destes controlos, é
CAREERS necessário analisar
atentamente o risco de fraude e a falta de integridade dos dados.
SUPPORT
STORE
Relevância
CART
dos controles gerais adicionais de TI
Ao realizar uma auditoria de TI em sistemas de informação, os principais fatores de risco são a
insegurança dos dados e a fraude. SIGN IN
Em 2016, o Instituto Nacional de Padrões e Tecnologia dos
EUA (NIST) descreveu três cenários de ataques cibernéticos que podem levar a problemas de
integridade de dados: ransomware, destruição de dados e manipulação de dados (ameaça
interna). 11 Outro estudo recente descreveu vários ataques na nuvem que podem levar a
problemas de integridade de dados. 12 Nos sistemas de informação ligados à Internet ou à
nuvem, a superfície de ataque é muito maior; portanto, a segurança dos dados é uma questão
significativa.
Conclusão
Os controles gerais de TI estão desatualizados? Embora os auditores profissionais possam
sempre definir os seus próprios controlos com base na avaliação de riscos que está a ser
realizada, as orientações gerais de controlo de TI estão desatualizadas. À medida que os
ambientes de TI continuam a mudar, os requisitos de proteção de dados também precisam
evoluir. Para resolver isso, estruturas como os Critérios de Serviços de Confiança, a Matriz de
Controles de Nuvem e a ISO/IEC 27002 foram desenvolvidas ao longo do tempo.
Ao testar os controles gerais de TI, devem ser considerados controles adicionais relacionados a
avaliações de segurança, proteção de ativos de dados, trânsito seguro de dados, proteção de
terminais, monitoramento de vulnerabilidades, monitoramento de segurança e descarte seguro
para os componentes relevantes de aplicativos, bancos de dados, sistemas operacionais e redes
de TI. ambiente.
Notas finais
1
International Auditing and Assurance Standards Board (IAASB), International Standards on
Auditing (ISA) 315 (Revised 2019): Identifiing and Assessing the Risks of Material Disstatement ,
EUA, 19 de dezembro de 2019, https://www.iaasb.org/publications /isa-315-revised-2019-
identificando-e-avaliando-riscos-distorção material
2
Ibid.
3
Ibidem.
4
Ibidem.
5
Ibidem.
6
Deloitte, General IT Controls (GITC) Risk and Impact , Índia, novembro de 2018,
https://www2.deloitte.com/content/dam/Deloitte/in/Documents/risk/in-ra-auditing-the-rpa-
ambiental-noexp.pdf
7 Instituto Americano de Contadores Públicos Certificados (AICPA), TSP Seção 100 2017
Critérios de Serviços de Confiança para Segurança, Disponibilidade, Integridade de
Processamento, Confidencialidade e Privacidade , EUA, março de 2020, https://us.aicpa.org
/content/dam/aicpa/interestareas/frc/assuranceadvisoryservices/downloadabledocuments/trust-
services-criteria.pdf
8 Cloud Security Alliance (CSA), “STAR Level and Scheme Requirements”, EUA, 4 de setembro de
Destructive Malware Attack , Instituto Nacional de Padrões e Tecnologia (NIST) e Centro Nacional
de Excelência em Segurança Cibernética (NCCOE), EUA, maio de 2016,
https://www.nccoe.nist.gov/sites/default/ arquivos/arquivos legados/data-integrity-project-
description-final.pdf
12 Kaja, D.; AB Mailewa; Y. Fátima; “Ataques à integridade de dados na computação em nuvem:
2022: Protegendo o Perímetro : The Rise of External Fraud , Reino Unido, 2022,
https://www.pwc.com/gx/en/forensics/gecsm-2022/PwC-Global-Economic-Crime-and-Fraud-
Survey-2022.pdf