Avaliando o Riscode Cibersegurança
Os Papéis das Três Linhas de Defesa
GTAG / Avaliando o Risco de Cibersegurança
2 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Tabela de Conteúdos
Sumário Executivo ............................................................................................................................... 3
Introdução e Importância para o Negócio ............................................................................................ 4
Principais Riscos e Ameaças Relativos à Cibersegurança ................................................................... 5
As Três Linhas de Defesa: Papéis e Responsabilidades ..................................................................... 6
Proprietários e Principais Atividades da Primeira Linha de Defesa ........................................... 6
Controles Comuns para Ameaças Cibernéticas .............................................................................. 8
Proprietários e Principais Atividades da Segunda Linha de Defesa ........................................... 9
Armadilhas da Primeira e Segunda Linhas de Defesa .................................................................. 11
O Papel da Atividade de Auditoria Interna como a Terceira Linha de Defesa ........................... 12
Escopo de Auditoria Interna e Colaboração ................................................................................... 16
Uma Abordagem para Avaliar Riscos e Controles de Cibersegurança ............................................... 18
Framework de Avaliação de Riscos de Cibersegurança ........................................................ 18
Componente 1: Governança de Cibersegurança ........................................................................... 18
Componente 2: Inventário de Ativos de Informação ...................................................................... 19
Componente 3: Configurações Padrão de Segurança .................................................................. 20
Componente 4: Gerenciamento do Acesso à Informação ............................................................ 20
Componente 5: Pronta Resposta e Remediação ........................................................................... 21
Componente 6: Monitoramento Contínuo ....................................................................................... 21
O Papel do CAE no Reporte da Avaliação ao Conselho e Outros Órgãos de Governança ................ 23
Anexo A. Normas Principais do The IIA ............................................................................................. 25
Anexo B. Orientações Relacionadas do The IIA ................................................................................ 26
Anexo C. Definição dos Conceitos Fundamentais .............................................................................. 27
Anexo D. Considerações de Auditoria Interna para o Risco de Cibersegurança ................................ 28
Autores/Contribuintes ........................................................................................................................ 32
GTAG / Avaliando o Risco de Cibersegurança
3 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Sumário Executivo
Organizações de todos os tipos estão se tornando mais vulneráveis a ameaças cibernéticas,
devido à sua crescente dependência de computadores, redes, programas e aplicativos,
mídias sociais e dados. As violações de segurança podem impactar as organizações e seus
consumidores, tanto financeiramente quanto em termos de reputação. A conectividade e
acessibilidade globais à informação por parte de usuários externos à organização aumentam
o risco além do que tem sido abordado historicamente pelos controles gerais e de aplicações
de TI. A dependência das organizações quanto aos sistemas de informação e o
desenvolvimento de novas tecnologias tornam as avaliações tradicionais dos controles gerais
e de aplicações de TI insuficientes para avaliar a cibersegurança.
A cibersegurança refere-se às tecnologias, processos e práticas desenvolvidos para proteger
os ativos de informação de uma organização – computadores, redes, programas e dados –
de acessos não autorizados. Com a frequência e severidade dos ciberataques em
crescimento, há uma necessidade significante de um gerenciamento de riscos melhorado
para a cibersegurança.
A atividade de auditoria interna desempenha um papel crucial na avaliação dos riscos de
cibersegurança de uma organização, considerando:
Quem tem acesso às informações mais valiosas da organização?
Quais ativos são os alvos mais prováveis de ciberataques?
Quais sistemas causariam a interrupção mais significante, se comprometidos?
Quais dados, se obtidos por partes não autorizadas, causariam perda financeira ou competitiva, consequências legais ou danos reputacionais à organização?
A administração está preparada para reagir tempestivamente, se houver um incidente de cibersegurança?
Este guia prático discute o papel da atividade de auditoria interna na cibersegurança,
incluindo:
O papel do chief audit executive (CAE) quanto à avaliação, governança, riscos e ameaças cibernéticas.
A avaliação dos riscos e ameaças inerentes.
Os papéis e responsabilidades da primeira, segunda e terceira linhas de defesa, quanto ao gerenciamento de riscos, controles e governança.
Onde podem haver lacunas na avaliação.
As responsabilidades de reporte da atividade de auditoria interna.
O guia também explora riscos emergentes e ameaças comuns enfrentados pelas três linhas
de defesa e apresenta uma abordagem direta para avaliar os riscos e controles de
cibersegurança.
GTAG / Avaliando o Risco de Cibersegurança
4 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Introdução e Importância para o Negócio
Os auditores internos precisam de uma abordagem atualizada para avaliar os riscos de
cibersegurança. Embora as avaliações dos controles gerais de TI sejam úteis, são
insuficientes para a avaliação da cibersegurança, porque não são tempestivas, tampouco
completas. Os objetivos fundamentais de auditoria, como integridade, precisão e autorização,
ainda são relevantes. No entanto, muitos fatores emergentes criam a necessidade de uma
abordagem atualizada de auditoria interna, que forneça conclusões de valor quanto às
suposições de cibersegurança.
A proliferação da tecnologia na atualidade permite ao usuário um acesso maior do que antes
às informações da organização. Terceiros recebem, cada vez mais, acesso a informações
organizacionais, por meio da cadeia de fornecimento, consumidores e prestadores de
serviços. Uma maior variedade de dados se tornou prontamente disponível, visto que as
organizações frequentemente armazenam grandes volumes de informações sensíveis e
confidenciais em infraestruturas virtualizadas, acessíveis por meio da computação na nuvem.
Outro fator que afeta a abordagem da auditoria interna é o número crescente de dispositivos
que podem ser conectados e sempre envolvidos na troca de dados (um fenômeno conhecido
como internet of things, a “internet das coisas”). Conforme as organizações são globalizadas
e a rede de funcionários, consumidores e prestadores externos da organização se expande,
as expectativas de acesso constante às informações da organização também aumentam.
Gerações mais jovens de “nativos digitais”1 esperam acesso em tempo real aos dados em
qualquer lugar.
As ameaças à segurança não antecipadas podem ser apresentadas por relações globais
hostis, hackers organizados, insiders e softwares e serviços de má qualidade. Os protocolos
de cibersegurança podem ter maior complexidade, conforme os mandados e normas
regulatórias de divulgação de incidentes ou violações de cibersegurança continuam
crescendo. A importância de detectar e comunicar um evento de risco no período exigido de
tempo se sobrepõe ao valor preventivo dos controles gerais de TI tradicionais e cíclicos.
Em resposta a tais riscos emergentes, os CAEs são desafiados a garantir que a
administração tenha implementado tanto controles de prevenção quanto de detecção. Os
CAEs também devem criar uma abordagem clara de auditoria interna para avaliar o risco de
cibersegurança e as capacidades de resposta da administração, com um foco em reduzir o
tempo de resposta. O CAE deve alavancar o conhecimento daqueles na primeira e segunda
linhas de defesa, para permanecer atualizado quanto ao risco de cibersegurança.
1 O termo “nativo digital” foi cunhado e usado no artigo de 2001 “Digital Natives, Digital Immigrants”, do consultor educacional e autor Marc Prensky, em referência à geração de pessoas que cresceram usando a linguagem digital dos computadores, videogames, redes sociais e afins.
GTAG / Avaliando o Risco de Cibersegurança
5 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Principais Riscos e Ameaças Relativos à Cibersegurança
A cibersegurança é relevante para os sistemas que apoiam os objetivos da organização
relativos à eficácia e eficiência das operações, confiabilidade do reporte interno e externo e a
conformidade com leis e regulamentos aplicáveis. Uma organização normalmente
desenvolve e implementa controles de cibersegurança em toda a entidade, para proteger a
integridade, confidencialidade e disponibilidade das informações.
Ataques cibernéticos são realizados por diversos
motivos, incluindo, mas não apenas: fraude
financeira, roubo ou utilização indevida de
informações, causas ativistas, para tornar
sistemas de computadores inoperantes e para
atrapalhar infraestruturas críticas e serviços vitais
de um governo ou organização. As cinco fontes
comuns das ameaças cibernéticas estão listadas
na Tabela 1.
Para entender as ameaças cibernéticas
relevantes para uma organização, é importante
determinar quais informações seriam valiosas
para pessoas externas ou causariam interrupção
significante, se indisponíveis ou corrompidas.
Também é importante identificar quais
informações podem causar perda financeira ou competitiva ou danos reputacionais à
organização, se obtidas por outros ou tornadas públicas. Exemplos de informações a
considerar incluem: dados de consumidores e funcionários, propriedades intelectuais, cadeia
de fornecimento, qualidade e segurança de produtos, termos contratuais e precificação,
planejamento estratégico e dados financeiros.
A indústria em que a organização opera estabelece um contexto importante na identificação
de ameaças cibernéticas. Por exemplo, varejistas podem se concentrar em proteger os
dados dos consumidores e em garantir que o atendimento ao consumidor não seja
interrompido. Propriedades intelectuais podem ser uma preocupação fundamental para
organizações com foco sobre pesquisa e desenvolvimento. Produtores podem se concentrar
na confiabilidade e eficiência dos sistemas de produção e cadeia de fornecimento, assim
como na qualidade e segurança dos produtos. Firmas de serviços profissionais podem estar
mais preocupadas com informações comerciais sensíveis contidas em contratos e com
modelos de cálculo de custos financeiros.
Tabela 1: Cinco Fontes
Comuns de Ciberameaças
Estados-nações
Cibercriminosos
Hacktivistas
Insiders e prestadores
de serviços
Desenvolvedores de
produtos e serviços de
menor qualidade
GTAG / Avaliando o Risco de Cibersegurança
6 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
As Três Linhas de Defesa: Papéis e Responsabilidades
Uma abordagem de melhor prática para melhorar a eficácia e eficiência das funções de risco
e controle dentro das organizações é oferecida pela Declaração de Posicionamento do The
IIA, “As Três Linhas de Defesa no Gerenciamento de Riscos e Controle Eficazes”, publicado
em Janeiro de 2013. Um passo essencial para avaliar o papel da atividade de auditoria
interna na cibersegurança é garantir que as três linhas de defesa estejam devidamente
segregadas e operando com eficácia. Além disso, um protocolo de escalonamento deve ser
estabelecido para definir papéis e responsabilidades envolvidos em identificar e escalonar
riscos que ultrapassem o apetite de risco da organização; isto é, o nível de risco que a
organização está disposta a aceitar.
Como primeira linha de defesa, a administração é proprietária e gestora dos dados,
processos, riscos e controles. Para a cibersegurança, essa função frequentemente recai
sobre os administradores de sistemas e outros encarregados de salvaguardar os ativos da
organização. As atividades comuns à primeira linha de defesa são identificadas na Tabela 2,
na página 7.
A segunda linha de defesa inclui as funções de supervisão de riscos, controle e
conformidade, responsáveis por garantir que os processos e controles da primeira linha
existam e estejam operando com eficácia. Essas funções podem incluir grupos responsáveis
por garantir o gerenciamento eficaz dos riscos e por monitorar os riscos e ameaças no
ambiente da cibersegurança. Funções comuns conduzidas pela segunda linha de defesa
estão listadas na Tabela 3, na página 10.
Como terceira linha de defesa, a atividade de auditoria interna oferece à alta administração e
ao conselho avaliações independentes e objetivas sobre a governança, o gerenciamento de
riscos e os controles. Isso inclui avaliar a eficácia geral das atividades realizadas pela
primeira e segunda linhas de defesa na gestão e mitigação dos riscos e ameaças de
cibersegurança. Atividades comuns realizadas pela terceira linha de defesa estão delineadas
na Tabela 4, na página 12.
Proprietários e Principais Atividades da Primeira Linha de Defesa
A primeira linha de defesa consiste dos gerentes operacionais que são proprietários e
gestores dos riscos e controles e que implementam ações corretivas para abordar
deficiências dos processos e controles. As organizações podem estabelecer diversos cargos
com a cibersegurança em mente.
O chief technology officer (CTO) é normalmente responsável por oferecer conhecimento e
direcionamento quanto às tecnologias disponíveis para promover a missão da organização e,
frequentemente, tem a responsabilidade de proteger as propriedades intelectuais da
GTAG / Avaliando o Risco de Cibersegurança
7 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
organização. As responsabilidades do
CTO também podem incluir garantir que
a organização esteja preparada para as
próximas fases do desenvolvimento
tecnológico, que permitirão vantagem
competitiva, mudança estratégica e
inovação.
A organização também pode empregar
um chief security officer (CSO), um chief
information security officer (CISO) ou
outra pessoa encarregada da
responsabilidade pela segurança de TI.
O CSO ou CISO, como pedra angular da
identificação e entendimento das
ameaças cibernéticas, gera e
implementa a estratégia de
cibersegurança e aplica políticas e
procedimentos de segurança.
Frequentemente, assume o papel de
liderança no desenvolvimento de
programas de supervisão para validar
que os ativos da organização e dados
das partes interessadas estejam
devidamente protegidos.
Um chief information officer (CIO) pode
ser empregado com a responsabilidade
de promover vantagens competitivas e
mudanças estratégicas na organização.
O CIO também pode ser responsável por
desenvolver o programa de
cibersegurança da informação,
implementando um programa de
treinamento de cibersegurança para toda
a organização e desenvolvendo políticas
de cibersegurança.
O CTO, CSO, CISO e CIO colaboram com o chief executive officer e outros membros da alta
administração na luta contra o cibercrime e ciberataques relacionados. Se as entidades
internas à organização assumiram a responsabilidade por sua própria tecnologia, essas
entidades também assumiram a responsabilidade pelo desenvolvimento e implementação de
Tabela 2: Atividades Comuns da
Primeira Linha de Defesa
Administrar procedimentos de segurança, treinamentos e testes
Manter configurações seguras de dispositivos, softwares atualizados e patches de segurança
Empregar sistemas de detecção de intrusão e conduzir testes de penetração
Configurar com segurança a rede, para gerir e proteger adequadamente o fluxo de tráfego de rede
Inventariar ativos de informação, dispositivos tecnológicos e softwares relacionados
Empregar programas de proteção e prevenção de perdas de dados com monitoramento relacionado
Restringir papéis de acesso de privilégios mínimos
Criptografar dados quando viável
Implementar o gerenciamento de vulnerabilidades com scans internos e externos
Recrutar e reter talentos certificados em TI, riscos de TI e segurança da informação
GTAG / Avaliando o Risco de Cibersegurança
8 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
controles apropriados para proteger suas tecnologias e dados, em coordenação com outras
atividades de avaliação de riscos dentro da organização.
Quando as organizações não têm escala para apoiar os cargos descritos acima, uma
abordagem comum é montar um conselho de gerentes comerciais e de TI que respondam
pelo risco de cibersegurança. As responsabilidades mencionadas anteriormente podem ser
cobertas por meio de um ou mais indivíduos na primeira linha de defesa, com autoridade
apropriada para abordar os riscos correspondentes.
Controles Comuns para Ameaças Cibernéticas
Como as ameaças cibernéticas são desenvolvidas para derrubar sistemas ou capturar
dados, as ameaças frequentemente ocorrem onde dados críticos são armazenados: bancos
de dados, redes internas, ambientes hospedados externamente e até plataformas de
continuidade do negócio. Não importa onde o ataque acontece, o resultado final pode incluir
a violação de leis e regulamentos, multas, danos reputacionais e perda de receita.
Dados sensíveis ou confidenciais podem ser classificados e armazenados internamente,
externamente ou ambos. Internamente, a maioria das organizações depende da tecnologia,
como configurações seguras, firewalls e controles de acesso, como primeira linha de defesa.
No entanto, em um ataque dedicado onde o firewall seja sobrecarregado, os perpetradores
podem obter acesso e transações não autorizadas podem ser processadas.
Para reduzir o risco de tais ataques atingirem o firewall, a primeira linha de defesa realiza
ações preventivas no perímetro da rede. É um processo desafiador, que envolve restringir o
acesso e bloquear o tráfego não autorizado. Controles de detecção, como monitoramento,
também devem ser estabelecidos para observar as vulnerabilidades conhecidas, com base
na inteligência obtida sobre produtos de software, organizações e websites maliciosos.
Muitas organizações estabelecem uma whitelist de tráfego bom e uma blacklist de tráfego
bloqueado. No entanto, o monitoramento ativo e a atualização frequente são críticos, devido
à natureza dinâmica do tráfego de rede. Se o perpetrador conseguir acesso ao sistema, a
próxima linha de ataque provavelmente obterá privilégios administrativos e cobrirá seus
rastros.
Quando dados são armazenados externamente à organização, é vital que a organização
garanta que os fornecedores estejam gerenciando devidamente os riscos relevantes. Um
primeiro passo crítico para a primeira linha de defesa é estabelecer contratos fortes que
exijam: relatórios de service organization control (SOC), cláusulas de direito de auditar,
service level agreements (SLAs) e/ou trabalhos de exame de cibersegurança.
Adicionalmente, devem ser definidas expectativas quanto aos requisitos de reporte, para
especificar proteções para a segurança da informação.
GTAG / Avaliando o Risco de Cibersegurança
9 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Após o zelo devido ter sido garantido e o contrato ter sido negociado e executado, a
administração deve considerar fazer a supervisão e governança do fornecedor, monitorando
e reportando sobre métricas principais, para garantir a conformidade com os SLAs. Se o
fornecedor não cumprir com os requisitos contratuais, a administração poderia se utilizar da
cláusula de direito de auditar, solicitar a resolução tempestiva das preocupações, aplicar
penalidades e considerar planos de transição para um fornecedor alternativo, se necessário.
A administração também deve estar alerta a esquemas de ataque que envolvam engenharia
social, incluindo e-mails de phishing e ligações telefônicas maliciosas. Ao passar-se por uma
organização ou pessoa legítima com a necessidade de uma informação ou ação, os
perpetradores convencem indivíduos autorizados a compartilhar dados sensíveis, oferecer
credenciais do sistema, clicar em links que levem para websites fraudulentos ou realizar
ações que instalem malware no computador da vítima. O malware está se tornando mais
sofisticado e cada vez mais específico a um propósito ou rede. Uma vez instalado, o malware
pode se replicar por toda a rede da organização, interromper o funcionamento e
disponibilidade do sistema, roubar dados e executar esforços fraudulentos dos
perpetradores.
O malware progride ao explorar a falta de conscientização. Portanto, é importante lembrar as
pessoas, frequentemente, que estejam atentas a qualquer e-mail suspeito ou incomum,
solicitações sem precedentes, ligações ou atividades do sistema. O treinamento também
ajudará os indivíduos a reconhecer comunicações fictícias e a reportar tais incidentes
rapidamente para pesquisa, escalonamento e resolução. As lições aprendidas e inteligência
adquirida por meio de parceiros da indústria também podem ser alavancadas para
treinamento, conscientização e adoção de medidas preventivas adicionais.
Proprietários e Principais Atividades da Segunda Linha de Defesa
A segunda linha de defesa, frequentemente composta das funções de gerenciamento de
riscos de TI e conformidade de TI, desempenha um papel chave na postura de segurança e
desenvolvimento de programas de uma organização.
A segunda linha é responsável por:
Avaliar os riscos e exposições relativos à cibersegurança e determinar se estão
alinhados com o apetite de risco da organização.
Monitorar riscos atuais e emergentes e mudanças às leis e regulamentos.
Colaborar com as funções da primeira linha, para garantir o desenvolvimento
apropriado dos controles.
Riscos de cibersegurança são notadamente mais dinâmicos do que a maioria dos riscos
tradicionais e precisam de uma resposta tempestiva. Conforme os riscos e a exposição da
organização a eles mudam, a segunda linha é crítica para promover a governança e a
GTAG / Avaliando o Risco de Cibersegurança
10 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
supervisão, para preparar e proteger
adequadamente a organização em resposta
ao cenário de ameaças em evolução. Uma
violação de segurança pode levar a
mudanças no apetite de risco da
organização e na legislação e regulamentos
governamentais.
De acordo com o Guia Prático do The IIA,
“Internal Audit and the Second Line of
Defense”, realizar a supervisão e
desenvolver políticas, normas e limites são
princípios fundamentais da segunda linha.
Por exemplo, expectativas e diretrizes
claras, com base em classes de riscos de
vulnerabilidade que incluam classificações
aceitáveis de não conformidade, devem ser
estabelecidas para orientar a aplicação de
patches críticos à infraestrutura antes de
escalonar as preocupações à alta
administração.
A segunda linha deve trabalhar com a
primeira e terceira linhas de defesa para
conscientizar com eficácia o conselho e os
órgãos de governança e para garantir que o
reporte dos riscos e controles de
cibersegurança esteja adequado e
atualizado. Conforme a segunda linha de
defesa executa e reporta sobre suas
avaliações de riscos, eles devem continuar
mantendo a cibersegurança como prioridade. Além disso, dependendo da indústria e do tipo
de organização, uma avaliação dedicada dos riscos de cibersegurança pode ser justificada.
O papel da segunda linha deve ser claro. Por exemplo, o papel que a conformidade de TI
desempenha em um incidente ativo e urgente de segurança deve ser entendido antes do
evento ocorrer. Os principais indicadores de risco, com limites acordados, servem como
ferramentas úteis para o monitoramento, governança e reporte.
As organizações alavancam os principais fornecedores e prestadores em processos críticos.
A segunda linha de defesa pode precisar avaliar as relações com esses prestadores externos
de serviços quanto ao risco de cibersegurança, especialmente porque os fornecedores
Tabela 3: Atividades Comuns da
Segunda Linha de Defesa
Desenvolver políticas, treinamentos e testes de cibersegurança
Conduzir avaliações de riscos cibernéticos
Coletar inteligência de ciberameaças
Classificar dados e desenvolver papéis de acesso de privilégios mínimos
Monitorar incidentes, principais indicadores de riscos e remediação
Recrutar e reter talentos certificados em riscos de TI
Avaliar relacionamentos com terceiros, fornecedores e prestadores de serviços
Planejar/testar a continuidade do negócio e participar de exercícios e testes de recuperação após desastres
GTAG / Avaliando o Risco de Cibersegurança
11 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
podem ter acesso a dados sensíveis e confidenciais via conexões de rede diretas ou outros
métodos de transferência de dados. Provisões de controle técnicas e contratuais devem ser
revisadas e é essencial que os fornecedores façam uma avaliação periódica, com reporte
adequado, quanto aos controles acordados de cibersegurança.
A segunda linha de defesa é responsável por garantir que a administração faça a governança
dos fornecedores envolvidos no risco de cibersegurança. Tal governança normalmente
incluiria obter e revisar relatórios de controle, monitorar atividades de controle e escalonar os
riscos apropriadamente aos órgãos de governança dentro da organização, como um comitê
de riscos de fornecedores, quando os fornecedores não estiverem em conformidade com as
expectativas ou SLAs.
Armadilhas da Primeira e Segunda Linhas de Defesa
Muitas vezes, há armadilhas quando o monitoramento e a supervisão não são uma parte
contínua do protocolo de cibersegurança. Novas ameaças e vulnerabilidades continuam
sendo apresentadas diariamente. A falta de um treinamento robusto e regular de
cibersegurança, educação e monitoramento poderia permitir ataques e ameaças à
organização e comprometer sistemas e dados vitais.
Para mitigar esse risco, muitas organizações formaram um comitê de cibersegurança,
frequentemente liderado pelo CSO, CISO e/ou chief privacy officer, que se reúne
periodicamente com as partes interessadas das equipes de infraestrutura, rede e segurança,
assim como membros relevantes da gerência de riscos de TI e conformidade. Um objetivo
primário do comitê é entender os ativos principais da organização, avaliações de riscos,
probabilidade de ameaças, impacto potencial e controles em prática para proteger
adequadamente esses ativos contra ataques à cibersegurança. O comitê também discute
sobre ameaças emergentes e métricas relevantes, incluindo os resultados de testes recentes
de penetração, que testam a eficácia das defesas de segurança por meio da simulação de
ações de perpetradores reais.2
Outras armadilhas incluem a falta de:
Linhas de defesa claramente identificadas atuando em colaboração, para garantir que
os riscos significantes sejam identificados e geridos com eficácia e eficiência.
Envolvimento e apoio executivos, para garantir que a estratégia de cibersegurança
receba atenção e foco adequados.
Resposta tempestiva e análise de causa raiz após o incidente.
Protocolos e responsabilidades definidos para resposta a incidentes progressivos.
Habilidades necessárias.
2 ISACA, “ISACA Glossary of Terms”, p. 69, 2015. http://www.isaca.org/Knowledge-Center/Documents/Glossary/ glossary.pdf (acessado em 20 de Junho de 2016). Todos os direitos reservados. Usado com permissão.
GTAG / Avaliando o Risco de Cibersegurança
12 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Informações e conhecimentos da indústria para abordar proativamente os riscos
emergentes.
Investimento ou alocação de tempo, dinheiro e recursos suficientes para as iniciativas
de cibersegurança, incluindo manutenção e patching de rotina.
O Papel da Atividade de Auditoria Interna como a Terceira Linha de Defesa
Embora a governança seja, primariamente, uma responsabilidade do conselho e da alta
administração de uma organização, avaliar a governança é um dos papéis primários da
atividade de auditoria interna. A Norma 2110.A2 do The IIA3 exige que a atividade de
auditoria interna avalie se a governança de tecnologia da informação apoia as estratégias e
objetivos da organização.
Como terceira linha de defesa, a
atividade de auditoria interna
desempenha um papel importante em
coordenar seu trabalho com a segunda
linha de defesa, especialmente com a
função de cibersegurança. A atividade
de auditoria interna pode ser consultada
quanto a:
Relacionamento entre a
cibersegurança e o risco
organizacional.
Priorização de respostas e
atividades de controle.
Auditoria para a mitigação do
risco de cibersegurança em todas
as facetas relevantes da
organização; por exemplo, acesso
privilegiado, desenvolvimento da
rede, gerenciamento de
fornecedores, monitoramento e
mais.
Avaliação de atividades de
remediação.
Conscientização de riscos e
coordenação com o
3 The International Professional Practices Framework (IPPF) (Altamonte Springs: The Institute of Internal Auditors, Inc., 2013), p. 30.
Tabela 4: Atividades Comuns da
Terceira Linha de Defesa
Realizar avaliações independentes e contínuas das métricas de prevenção e detecção relativas à cibersegurança
Avaliar os ativos de TI dos usuários com acesso privilegiado, quanto às configurações padrão de segurança, websites problemáticos, softwares maliciosos e vazamento de dados
Monitorar a diligência da remediação
Conduzir avaliações dos riscos cibernéticos de organizações de serviços, terceiros e fornecedores (observação: a primeira e segunda linhas de defesa compartilham essa responsabilidade contínua)
GTAG / Avaliando o Risco de Cibersegurança
13 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
gerenciamento de riscos de cibersegurança, especialmente em organizações que não
tenham funções amadurecidas na primeira e segunda linhas de defesa.
Validação de que as provisões de cibersegurança estejam incluídas nos planos de
continuidade do negócio e nos esforços de teste de recuperação após desastres da
organização.
Como parte de avaliar a eficácia do processo de gerenciamento de riscos, conforme exigido
na Norma 2120 do The IIA: Gerenciamento de Riscos, o papel da atividade de auditoria
interna é avaliar independentemente os riscos e controles de cibersegurança, para garantir o
alinhamento com o risco da organização. Isso envolve revisar a adequação do trabalho da
segunda linha quanto a frameworks, normas, avaliações de riscos e governança.
Adicionalmente, a atividade de auditoria interna avalia a eficácia dos controles da primeira
linha de defesa. É importante notar que os controles gerais de TI são a base, mas não
oferecem uma solução completa para mitigar os riscos de cibersegurança. A complexidade
da cibersegurança exige camadas adicionais de controles, como monitoramento de riscos,
detecção de ataques conforme acontecem e a indução de ações corretivas.
Como a avaliação com base em análises tradicionais e separadas não é suficiente para
acompanhar o passo do risco de cibersegurança, é necessária uma estratégia inovadora de
avaliação. Cada vez mais, as técnicas de auditoria contínua são necessárias para avaliar as
mudanças às configurações de segurança, tendências e dados atípicos de riscos
emergentes, tempos de resposta e atividades de remediação.
Para aumentar o valor da atividade de auditoria interna, o CAE pode buscar uma visão para
uma avaliação contínua inovadora, por meio de análises contínuas que ofereçam uma
comunicação tempestiva e prospectiva quanto ao risco emergente. O Global Technology
Audit Guide® (GTAG®), “Coordinating Continuous Auditing and Continuous Monitoring to
Provide Continuous Assurance”, esclarece melhor a construção da estratégia para a
condução de análises contínuas, em coordenação com as funções de conformidade na
segunda linha de defesa.
De acordo com o Guia Prático “Reliance by Internal Audit on Other Assurance Providers”, a
atividade de auditoria interna pode depender da segunda linha de defesa, se o auditor interno
refizer ou verificar o trabalho e chegar à mesma conclusão. Por exemplo, em vez de refazer
um teste de penetração concluído pela gerência de riscos de TI, um auditor interno pode
revisar os detalhes do teste (incluindo o escopo) e decidir se confia ou não nos resultados.
Quando possível, o auditor interno deve observar e entrevistar a equipe técnica que fez o
trabalho, alavancando os resultados e lições aprendidas para incluir em futuros
procedimentos de auditoria interna de cibersegurança.
Com a primeira e segunda linhas de defesa, a atividade de auditoria interna deve discutir e
estabelecer expectativas claras quanto aos prestadores externos de serviços. Dependendo
GTAG / Avaliando o Risco de Cibersegurança
14 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
do escopo dos serviços, os prestadores externos de serviços podem executar o
monitoramento contínuo do risco de cibersegurança, especialmente tendo em vista que a
computação na nuvem está trazendo demanda crescente por uma infraestrutura hospedada.
Usando a tecnologia de monitoramento contínuo, os prestadores de serviços desenvolveram
competências de cibersegurança para oferecer à administração uma forma econômica de
mensurar prontamente o risco cibernético e de reduzir o tempo de resposta. No entanto,
esses tipos de serviços não são tipicamente a fonte primária de avaliação e as organizações
usuárias raramente solicitam que seus prestadores de serviços conduzam o monitoramento
contínuo.
Aqui estão 10 perguntas que o CAE deve considerar ao avaliar a governança da organização
relativa à cibersegurança.
1. A alta administração e o órgão de governança (comitê de auditoria, conselho de
administração, etc.) estão cientes dos riscos relativos à cibersegurança? As iniciativas
de cibersegurança recebem apoio e prioridade adequados?
2. A administração realizou uma avaliação de riscos para identificar os ativos suscetíveis
a ameaças cibernéticas ou violações de segurança e o possível impacto (financeiro e
não financeiro) foi avaliado?
3. A primeira e segunda linhas de defesa estão colaborando com seus parceiros na
indústria (ex., conferências, fóruns de networking e webcasts) para se manter
atualizadas quanto a riscos novos/emergentes, fraquezas comuns e violações
associadas à cibersegurança?
4. Há políticas e procedimentos de cibersegurança em prática e os funcionários e
terceirizados recebem treinamento de conscientização de cibersegurança de forma
periódica?
5. Os processos de TI foram desenvolvidos e estão operando para detectar ameaças
cibernéticas? A administração tem controles de monitoramento suficientes em prática?
6. Os mecanismos de feedback estão operando para dar à alta administração e ao
conselho insights sobre o status dos programas de cibersegurança da organização?
7. A administração tem uma linha de denúncias ou procedimento de emergência eficaz
em prática, para o caso de um ciberataque ou ameaça? Eles foram comunicados aos
funcionários, terceirizados e prestadores de serviços?
8. A atividade de auditoria interna é capaz de avaliar os processos e controles para
mitigação de ameaças cibernéticas ou o CAE precisa considerar recursos adicionais
com conhecimento especializado em cibersegurança?
9. A organização mantém uma lista de prestadores externos de serviços que tenham
acesso ao sistema, incluindo aqueles que armazenam dados externamente (ex.,
prestadores de TI, fornecedores de armazenamento na nuvem, processadores de
pagamentos)? Um projeto independente de análise de cibersegurança foi conduzido
GTAG / Avaliando o Risco de Cibersegurança
15 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
para avaliar a eficácia dos controles da organização do serviço como parte de seu
programa de gerenciamento de riscos de cibersegurança?
10. A auditoria interna identificou
adequadamente as ameaças
cibernéticas comuns que a
organização encara (ex., estados-
nações, cibercriminosos, hacktivistas,
sistemas de rede, fornecedores de
serviços na nuvem, fornecedores,
sistemas de redes sociais, malware)
e as incorporou aos processos de
avaliação de riscos e planejamento
de auditoria interna?
Essas 10 perguntas enfatizam a
necessidade de uma forte governança, não
apenas no topo, mas em toda a
organização. Quando as respostas são
consistentemente favoráveis na
organização, então, é provável que uma boa
governança esteja em prática.
Usando as perguntas, o CAE pode começar a identificar os alertas vermelhos relativos à
cibersegurança. O CAE pode avaliar se a segunda linha de defesa está agindo
estrategicamente e se a primeira linha de defesa está posicionada para identificar e
responder aos riscos e executar ações corretivas prontamente. A métrica abrangente é a
estrutura de governança. A Tabela 5 lista os alertas vermelhos que sinalizam possíveis
lacunas de governança.
É papel do CAE interpretar as respostas preliminares dessas perguntas iniciais e começar o
processo de identificar áreas ameaçadas através de uma abordagem disciplinada com base
em riscos. O julgamento profissional do CAE terá um grande papel em obter um
entendimento preciso das correlações das ameaças à cibersegurança.
É importante notar que a estrutura de governança da alta administração pode impactar a
maneira como esses alertas são percebidos. Portanto, o julgamento profissional do CAE e a
abordagem de auditoria com base em riscos podem facilitar a comunicação eficaz desses
alertas, para avaliar se a administração tem controles em prática para mitigar as ameaças.
Alertas comuns podem sinalizar sintomas de uma governança fraca: uma falta de estratégia
para o programa de cibersegurança e iniciativas relacionadas e/ou atrasos plurianuais dos
esforços de cibersegurança. Cortes orçamentários significantes às funções de segurança
também podem demandar atenção. Se a função de segurança da informação é passiva e
Tabela 5: Alertas Vermelhos
que Sinalizam Possíveis
Lacunas de Governança
Estrutura de governança diferente e fragmentada
Estratégia incompleta
Atrasos dos esforços de cibersegurança
Cortes orçamentários e atritos
Fraca determinação em executar a prestação de contas
GTAG / Avaliando o Risco de Cibersegurança
16 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
não está disposta ou não é capaz de promover a prestação de contas da administração
quanto aos cibercontroles necessários, pode haver a necessidade de aumentar a
conscientização e o apoio executivos para a função.
Escopo de Auditoria Interna e Colaboração
Definir o escopo do risco de cibersegurança é um exercício interdependente que exige que a
auditoria interna planeje em conjunto com as funções de conformidade da segunda linha de
defesa. O planejamento de auditoria é mais eficaz quando integrado com as funções de
conformidade que têm o insight para priorizar o impacto comercial, e com quem eles podem
colaborar durante e após a auditoria interna.
O CAE deve definir o que é coberto pelo plano de auditoria interna e, também, notar as áreas
em que a avaliação pode não ser prestada atualmente. Em alinhamento com a Norma 2050
do The IIA: Coordenação, a cobertura apropriada do risco de cibersegurança exigirá a
colaboração com a primeira e segunda linhas de defesa, para garantir que a atividade de
auditoria interna identifique as informações mais importantes para a organização. Dando
prioridade às informações mais importantes, a atividade de auditoria interna deve trabalhar
com os proprietários de dados relevantes (incluindo o gerenciamento de dados corporativos),
avaliar o processo de provisionamento e determinar quem recebeu acesso aos dados em
contexto com sua importância.
A atividade de auditoria interna deve, então, trabalhar com a gerência operacional para
identificar os sistemas e tecnologias que permitem caminhos de acesso para visualizar as
informações críticas (ex., dados dos funcionários, informações pessoalmente identificáveis,
números de cartões de crédito de consumidores, histórico de compra dos fornecedores).
Trabalhar com a gerência operacional também ajudará a garantir que os elementos
relevantes para as vulnerabilidades de cibersegurança sejam monitorados continuamente. A
auditoria interna deve considerar mensurar o escopo da auditoria de cibersegurança com
base em quem tem acesso às informações críticas e avaliar a tecnologia relativa ao seu
caminho de acesso.
As perguntas a seguir facilitarão o processo de identificação de informações críticas:
Que informações são consideradas críticas e por quê?
Qual o valor dos dados (para fraudadores, concorrentes, etc.)?
Onde a informação é acessada, processada e armazenada?
Como a informação é transmitida?
Qual a extensão do rigor obedecido para conceder e revogar acesso?
Foram determinados níveis de acesso por papel e quais papéis têm acesso
administrativo?
Como o acesso é concedido, aprovado, monitorado e removido?
Qual o nível de proteção da informação quanto ao acesso não autorizado?
GTAG / Avaliando o Risco de Cibersegurança
17 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Que tipo de teste é conduzido (penetração, acesso, mudanças rastreadas, etc.)?
Como o risco de cibersegurança é monitorado para aqueles que têm acesso funcional
a informações críticas?
Se ainda não estiver documentado em um plano de continuidade do negócio ou recuperação
após desastres, a administração deve considerar conduzir uma análise de impacto comercial
para classificar, priorizar e documentar a população de sistemas, dados e recursos críticos.
O CAE pode utilizar os resultados da análise de impacto comercial para determinar se o
plano de auditoria interna cobre suficientemente os sistemas que contêm informações
críticas. O CAE pode, então, divulgar ao conselho as áreas em que a avaliação pode ou não
ser prestada atualmente e os planos para garantir a cobertura.
GTAG / Avaliando o Risco de Cibersegurança
18 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Uma Abordagem para Avaliar Riscos e Controles de Cibersegurança
Os seis componentes interdependentes do framework ilustrado abaixo podem ser usados
para avaliar o desenvolvimento e a eficácia operacional dos controles e governança de
cibersegurança da administração. Como deficiências em qualquer um dos componentes
impactarão a eficácia geral da cibersegurança, avaliar como cada um é desenvolvido e opera
com os demais dá ao CAE uma base para determinar o nível de preparação da organização
para abordar os riscos de cibersegurança. Se os componentes não tiverem sido
desenvolvidos ou não estiverem operando bem juntos, a organização está mal preparada
para abordar as ameaças cibernéticas e os riscos emergentes.
Framework de Avaliação de Riscos de Cibersegurança
Componente 1: Governança de Cibersegurança
A atividade de auditoria interna deve entender a governança de cibersegurança da
organização. A Norma 2100 do The IIA: Natureza do Trabalho exige que a atividade de
auditoria interna avalie e contribua para a melhoria dos processos de governança,
1) Governança de Cibersegurança
2) Inventário de Ativos de Informação:
Dados, Infraestrutura, Aplicações
3) Configurações Padrão de Segurança
4) Gestão do Acesso à
Informação
5) Resposta e Remediação
Imediatas6) Monitoramento
Contínuo
GTAG / Avaliando o Risco de Cibersegurança
19 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
gerenciamento de riscos e controle. A governança pode incluir o esclarecimento de papéis e
responsabilidades, o estabelecimento da prestação de contas, a adoção de uma estratégia
plurianual e a priorização de planos de ação, para incluir a colaboração estratégica com
múltiplas partes interessadas.
Uma forte governança de cibersegurança depende de:
Colaboração e coleta de inteligência e expertise de riscos de cibersegurança, com
base nas ameaças que poderiam afetar a organização.
Definição do apetite e tolerância de risco.
Planejamento da continuidade do negócio e recuperação após desastres, no caso de
interrupção.
Pronta resposta a violações de segurança.
Estabelecimento de uma cultura de conscientização de riscos e ameaças de
cibersegurança.
A governança eficaz é comprovada por políticas claramente definidas, ferramentas
relevantes, estruturação de equipe suficiente e treinamento perspicaz.
A existência de múltiplas partes interessadas, com diversas perspectivas, fortalece a
qualidade da governança. Um comitê de governança de cibersegurança normalmente inclui a
alta administração e representantes da primeira, segunda e terceira linhas de defesa;
proprietários de tecnologias e processos; e possivelmente as principais partes interessadas
externas, como fornecedores, consumidores, prestadores de serviços e grupos de parceiros.
Equipes de resposta a incidentes reportam regularmente à administração e ao conselho
sobre os tipos de violações encontradas, para oferecer insights adicionais sobre as lacunas
antes desconhecidas. A administração pode, então, monitorar as questões identificadas por
meio da remediação.
Componente 2: Inventário de Ativos de Informação
O departamento de TI deve manter um inventário atualizado de todos os ativos de
informação e priorizar aqueles que são mais essenciais ao atingimento dos objetivos e à
manutenção das operações da organização. Para cumprir com as metas e iniciativas
organizacionais estratégicas, esses ativos exigem mais do que os controles gerais de TI
tradicionais e avaliações periódicas. Controles de prevenção e detecção desenvolvidos para
proteger os ativos mais valiosos devem ser continuamente monitorados, para garantir a
eficácia contínua.
Ao avaliar os ativos de informação da organização, deve-se considerar os seguintes:
Dados
o Tipos (ex., transacionais, configuração de TI, não estruturados)
GTAG / Avaliando o Risco de Cibersegurança
20 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
o Classificação (permite padronização e priorização)
o Ambientes (ex., data warehouses, principais bancos de dados)
Repositório de infraestrutura para ativos tecnológicos
o Servidores
o Dispositivos de rede
o Armazenamento
o Dispositivos do usuário final (ex., laptops, dispositivos móveis)
Aplicativos
Relacionamentos externos
o Ambientes hospedados por terceiros
o Compartilhamento de arquivos de dados com organizações externas (ex.,
fornecedores, órgãos reguladores, governos)
A capacidade de identificar quais softwares e dispositivos estão interagindo na rede é
fundamental para a capacidade de defesa contra ameaças cibernéticas. A organização não
pode se defender de ataques à rede em dispositivos ou softwares desconhecidos. As
organizações que permitem que os funcionários tragam seus próprios dispositivos vivenciam
um maior volume e variedade de dispositivos e softwares acessando dados por meio da rede
corporativa. Controlar os dispositivos e a conectividade dos funcionários à rede deve ser um
foco chave da administração. Cada vez mais, exige-se que mais os funcionários tenham
maior acessibilidade às informações organizacionais o tempo todo. A habilidade de detectar,
autenticar e inventariar dispositivos desconhecidos permite que a organização rastreie,
monitore e mensure as mudanças nesses dispositivos, para garantir que a estratégia geral
de cibersegurança seja eficaz.
Componente 3: Configurações Padrão de Segurança
Softwares centralizados e automatizados de gerenciamento de configurações podem ser
usados para estabelecer e manter os parâmetros para dispositivos, sistemas operacionais e
softwares de aplicação. Usar um software de gerenciamento é mais eficaz do que gerenciar
os sistemas manualmente ou de forma não padronizada. A segurança da informação e a
atividade de auditoria interna devem revisar os parâmetros, para garantir que uma avaliação
precisa dos ambientes com base em riscos possa ser realizada (ex., ambientes web de
interação externa podem exigir proteção adicional). Processos para aplicar os patches
necessários, assim como atualizações de software e hardware, também são necessários
para garantir que as configurações seguras permaneçam atuais, conforme novas
informações de ameaças se tornarem disponíveis na indústria.
Componente 4: Gerenciamento do Acesso à Informação
A administração deve considerar a implementação de controles preventivos, como ter um
processo para aprovar e conceder acesso a usuários com base em seus cargos
profissionais. Adicionalmente, um processo para detectar quando os funcionários são
GTAG / Avaliando o Risco de Cibersegurança
21 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
realocados dentro da organização ajudaria a garantir que o acesso do usuário seja ajustado
e relevante ao novo cargo. A atividade de auditoria interna pode realizar uma revisão do
acesso do usuário a dados e sistemas principais, para validar se os níveis de acesso são
justificados para os cargos atuais.
O acesso administrativo privilegiado é especialmente importante. Usuários com a capacidade
de acessar e divulgar informações estão mais suscetíveis ao risco de cibersegurança. Ao
divulgar inadvertidamente sua senha ou carregar malware como resultado de tentativas de
phishing, os usuários podem contornar as camadas de controles sistemáticos, desenvolvidos
para prevenir o acesso não autorizado. As pessoas com acesso residem dentro e fora da
organização, então, deve-se prestar atenção aos funcionários, consultores e fornecedores
com acessos a dados principais, estejam esses dados hospedados interna ou externamente.
Validar as atividades de controle preventivo para concessão e revogação de acesso e avaliar
a suscetibilidade e comportamentos dos usuários com acesso privilegiado são medidas
principais para a eficácia do programa de cibersegurança da organização.
Componente 5: Pronta Resposta e Remediação
A capacidade da organização de prontamente comunicar e remediar riscos indica a eficácia e
o nível de maturidade do programa. Programas amadurecidos são capazes de reduzir
continuamente o tempo de resposta da administração. Alguns papéis da segunda linha de
defesa são:
Comunicar os riscos que importam.
Efetuar a remediação.
Interligar as questões identificadas à resolução.
Definir as tendências e reportar sobre as resoluções a toda a entidade.
Componente 6: Monitoramento Contínuo
Como componente final deste framework, a auditoria contínua de cada um dos cinco
componentes descritos acima, quando conduzida, ajudará a determinar como o risco é
gerido e o nível de qualidade da execução da ação corretiva. Uma abordagem de avaliação
eficaz exige mais do que pesquisas rotineiras de aderência a checklists. Espera-se que a
segunda linha de defesa implemente uma estratégia de monitoramento desenvolvida para
gerar mudanças comportamentais que incluam:
Avaliação e scanning de nível de acesso, que envolvam o monitoramento das pessoas
com acesso a informações sensíveis, para mensurar o risco relativo à cibersegurança.
Para um subconjunto de usuários que executem processos críticos, é útil desenvolver
uma forma sistemática de descobrir vulnerabilidades entre ativos relevantes de TI,
configurações de segurança, websites problemáticos, incidentes de malware e
vazamento de dados.
GTAG / Avaliando o Risco de Cibersegurança
22 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Avaliação de vulnerabilidade: Escanear regularmente os sistemas é crítico para
identificar as vulnerabilidades do ambiente. Uma vez que as vulnerabilidades tenham
sido identificadas, categorizadas (ex., críticas, grandes, moderadas) e abordadas (ex.,
abordar todas as vulnerabilidades críticas em sistemas de alto risco dentro de 30
dias), as atividades de remediação devem ser executadas para as vulnerabilidades
identificadas.
Sistemas de interação externa frequentemente apresentam os mais altos riscos às
organizações e devem receber prioridade; no entanto, é melhor que as atividades de
remediação não sejam limitadas apenas aos ambientes de interação externa. Os
recursos de primeira e segunda linhas podem trabalhar na organização para definir e
acordar quanto aos SLAs e a auditoria interna pode ajudar, avaliando se a
administração está em conformidade com os SLAs definidos.
Avaliações e monitoramento de terceiros: Programas podem auxiliar na avaliação dos
riscos de fornecedores externos e do nível de risco à segurança apresentado à
organização com base nos serviços prestados. Por exemplo, se o prestador hospeda
dados organizacionais sensíveis, a administração deve considerar ter programas
definidos de supervisão, como:
o Monitoramento ativo de SLAs.
o Mudanças de configuração de segurança da informação.
o Resultados de trabalhos independentes de análise de cibersegurança.
o Relatórios de service organization controls (SOC).
o Avaliações de vulnerabilidade e testes de penetração.
o Procedimentos de escalonamento com gerenciamento de fornecedores.
o Avaliações de parâmetros conduzidas para inspecionar os principais controles
de segurança.
o Avaliações contínuas que analisem a arquitetura técnica e os controles em
prática para proteger os dados organizacionais.
o Monitoramento dos recursos de terceiros que acessam a rede e os sistemas de
organização, para garantir que esses recursos não estejam conduzindo
atividades inapropriadas ou expondo a organização a riscos desnecessários
por meio desse acesso.
Teste de penetração: A segunda linha de defesa pode conduzir testes de penetração
para vulnerabilidades conhecidas, para avaliar os controles técnicos preventivos,
assim como a habilidade da administração de detectar e responder a ataques. Os
testes de penetração devem incluir componentes imprevistos, para oferecer uma
avaliação mais confiável e objetiva das capacidades e da prontidão da organização
para reagir a situações reais de ataques cibernéticos. No entanto, o escopo dos testes
deve ser razoável, não deve interromper as operações e deve ser aprovado pela
liderança relevante com antecedência. Por exemplo, a condução de um teste de um
cenário de ataque de negação de serviço, que é uma interrupção da rede com
GTAG / Avaliando o Risco de Cibersegurança
23 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
intenção maliciosa, deve ser coordenada com a liderança, de modo a não interromper
as operações normais.
Malware: Como as vulnerabilidades podem ser descobertas depois que um dispositivo
ou produto de software foi enviado a um consumidor, um processo deve ser
considerado para escanear regularmente os dispositivos e produtos, identificar
vulnerabilidades e fazer patches nos sistemas em ordem de prioridade (ex., ativos
críticos com patches críticos primeiro). Alguns sistemas e patches podem ficar abaixo
de um limite estabelecido de risco e, portanto, seriam monitorados e reportados, mas
sem tomar qualquer medida.
Monitoramento e resposta a incidentes: Essa combinação de processos permite que
uma organização detecte, reaja, remedie, se recupere e reporte à administração no
caso de uma violação. Tecnologias de logging e monitoramento, assim como uma
equipe de resposta altamente treinada, são essenciais para garantir que esses
controles sejam bem-sucedidos em atingir os objetivos.
Os riscos emergentes de cibersegurança da indústria, assim como incidentes vivenciados
pela organização ou por organizações parceiras, demandam ajustes ao longo do tempo à
estratégia de monitoramento contínuo.
O Anexo D lista cada componente deste framework e as atividades de gerenciamento,
incluindo o monitoramento contínuo, que a atividade de auditoria interna pode querer
considerar para a condução da auditoria e avaliação contínua.
O Papel do CAE no Reporte da Avaliação ao Conselho e Outros Órgãos de Governança
Conforme o cenário de risco evolui e o uso de serviços na nuvem, dispositivos móveis e
redes sociais aumenta, as ameaças cibernéticas crescem. Rotineiramente, os CAEs devem
discutir sobre o apetite de risco da organização com a alta administração e com o conselho.
Os CAEs devem, também, se reunir regularmente com os líderes ou comitê de
gerenciamento de riscos da organização, para priorizar os riscos e ameaças de
cibersegurança, para garantir que sejam alocados recursos aos mais significantes. Portanto,
é essencial que a administração identifique e desenvolva uma estratégia para lidar com os
sistemas de informação e ativos de dados mais cruciais para a organização e que o CAE
valide isso junto à alta administração e ao conselho.
O conselho e a alta administração recorrem ao CAE para avaliações sobre o gerenciamento
de riscos e controles, incluindo a eficácia geral das atividades conduzidas pela primeira e
segunda linhas de defesa para o gerenciamento e mitigação de riscos e ameaças de
cibersegurança. O conselho precisa entender os sistemas de informação e ativos de dados
que são mais cruciais para a sua organização e obter avaliação do CIO, CISO, CSO, CTO e
GTAG / Avaliando o Risco de Cibersegurança
24 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
CAE de que existem controles em prática para prevenir, detectar e mitigar os riscos
cibernéticos dentro de um nível aceitável de tolerância.
O CAE deve garantir que os membros do conselho estejam bem informados sobre as
ameaças cibernéticas comuns e específicas à indústria e sobre o impacto que incidentes de
cibersegurança podem ter sobre a organização. O conselho e a alta administração podem se
beneficiar de participar de treinamentos de conscientização e sessões educacionais, para
obter um entendimento do perfil de ciberameaça da organização. Aumentar continuamente a
conscientização posicionará melhor o conselho, com o conhecimento necessário para validar
que uma estrutura apropriada de governança está em prática para proteger e monitorar os
sistemas e dados que são vitais para a organização. Tópicos técnicos de cibersegurança,
traduzidos em informações significantes, permitem que o conselho exercite suas
responsabilidades de supervisão e monitore o cenário cibernético e os riscos associados ao
longo do tempo.
A comunicação eficaz entre as três linhas de defesa e o conselho é essencial. Estabelecer
uma comunicação periódica ajuda a garantir que o conselho receba as informações
relevantes para cumprir, com eficácia, com seu papel de supervisão do controle interno. O
conselho também recorrerá ao CAE para avaliar se a administração tem uma estratégia e um
plano em prática para notificar o conselho, as autoridades executivas, os consumidores e o
público no caso de uma grande violação. Protocolos de escalonamento e comunicação
devem ser estabelecidos e revisados pelo conselho, para garantir que a notificação
tempestiva e apropriada seja feita, no caso de uma violação.
A estratégia e o plano de comunicação devem ser documentados com papéis e
responsabilidades claramente definidos para o caso de uma exploração disruptiva de
cibersegurança. O plano precisa ser testado e os rascunhos de possíveis cartas de
comunicação/press releases precisam ser revisados por um conselheiro legal com
antecedência. Uma estratégia abrangente e bem planejada de resposta e remediação
ajudará a minimizar o impacto sobre a organização e a manter a confiança dos consumidores
e de outras partes interessadas no caso de uma violação.
GTAG / Avaliando o Risco de Cibersegurança
25 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Anexo A. Normas Principais do The IIA
As seleções a seguir das Normas Internacionais para a Prática Profissional de Auditoria
Interna (Normas) são relevantes para a cibersegurança.
Norma 1210 – Proficiência
Os auditores internos devem possuir o conhecimento, as habilidades e outras competências
necessárias ao desempenho de suas responsabilidades individuais. A atividade de auditoria
interna deve possuir ou obter coletivamente o conhecimento, as habilidades e outras
competências necessárias ao desempenho de suas responsabilidades.
1210.A3 – Os auditores internos devem possuir conhecimento suficiente sobre os
principais riscos e controles de tecnologia da informação e sobre as técnicas de
auditoria baseadas em tecnologia disponíveis para a execução dos trabalhos a eles
designados. Entretanto, não se espera que todos os auditores internos possuam a
especialização de um auditor interno cuja principal responsabilidade seja auditoria de
tecnologia da informação.
Norma 2050 – Coordenação
O executivo chefe de auditoria deveria compartilhar informações e coordenar atividades com
outros prestadores internos e externos de serviços de avaliação (assurance) e consultoria,
para assegurar a cobertura apropriada e a minimização da duplicação de esforços.
Norma 2110 – Governança
A atividade de auditoria interna deve avaliar e propor recomendações apropriadas para a
melhoria do processo de governança no seu cumprimento dos seguintes objetivos:
Promover a ética e os valores apropriados dentro da organização;
Assegurar o gerenciamento eficaz do desempenho organizacional e a prestação de
contas;
Comunicar as informações relacionadas aos riscos e aos controles às áreas
apropriadas da organização; e
Coordenar as atividades e a comunicação das informações entre o conselho, os
auditores externos e internos e a administração.
2110.A2 – A atividade de auditoria interna deve avaliar se a governança de tecnologia
da informação da organização dá suporte às estratégias e objetivos da organização.
Norma 2120 – Gerenciamento de riscos
A atividade de auditoria interna deve avaliar a eficácia e contribuir para a melhoria dos
processos de gerenciamento de riscos.
GTAG / Avaliando o Risco de Cibersegurança
26 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Anexo B. Orientações Relacionadas do The IIA
Guia Prático, “Business Continuity Management – Crisis Management”
Guia Prático, “Auditing Privacy Risks, 2nd Edition”
GTAG, “Change and Patch Management Controls: Critical for Organizational Success, 2nd
Edition”
GTAG, “Management of IT Auditing, 2nd Edition”
GTAG, “Information Technology Outsourcing, 2nd Edition”
GTAG, “Identity and Access Management”
GTAG, “Developing the IT Audit Plan”
GTAG, “Information Security Governance”
GTAG, “Auditing IT Governance”
Declaração de Posicionamento, “As Três Linhas de Defesa no Gerenciamento de Riscos e
Controle Eficazes”
GTAG / Avaliando o Risco de Cibersegurança
27 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Anexo C. Definição dos Conceitos Fundamentais
Ciberameaça: Pessoas que tentam acesso não autorizado a um dispositivo de sistema de controle e/ou rede, usando um pathway de comunicação de dados. O acesso pode vir de dentro de uma organização, por usuários conhecidos, ou de locais remotos, por pessoas desconhecidas, usando a internet. Ameaças a sistemas de controle podem vir de diversas fontes, incluindo governos hostis, grupos terroristas, funcionários insatisfeitos e intrusos maliciosos.4
Cibersegurança: A proteção de ativos de informação, abordando ameaças às informações processadas, armazenadas e transportadas por sistemas de informação interligados em rede.5
Hacktivistas: Uma pequena população de hackers politicamente ativos que representam ameaça de nível médio de ataque isolado, mas danoso. A maioria dos grupos hacktivistas internacionais parece mais inclinada a propaganda do que a danificar infraestruturas críticas. Sua meta é apoiar seus interesses políticos. Suas submetas são propaganda e causar danos para ganhar notoriedade para sua causa.6
Malware: Software malicioso desenvolvido para infiltrar, danificar ou obter informações de um sistema de computador, sem o consentimento do proprietário.7
Patch: Reparos de erros e vulnerabilidades na programação de softwares.8
Phishing: Tipo de ataque por correspondência eletrônica (e-mail), que tenta convencer o usuário de que o remetente é genuíno, mas com a intenção de obter informações para uso na engenharia social.9
Postura de segurança: Status de segurança das redes, informações e sistemas de uma empresa, com base nos recursos de AI (ex., pessoas, hardware, software, políticas) e capacidades em prática para gerir a defesa da empresa e para reagir conforme a situação mudar.10
Segurança da informação: Garante que, dentro de uma empresa, as informações estejam protegidas contra divulgação por parte de usuários não autorizados (confidencialidade), modificação imprópria (integridade) e não-acesso quando necessário (disponibilidade).11
4 Department of Homeland Security, Industrial Control Systems Cyber Emergency Response Team, “Cyber Threat Source Descriptions”. https://ics-cert.us-cert.gov/content/cyber-threat-source-descriptions (acessado em 20 de Junho de 2016). 5 ISACA, “ISACA Glossary of Terms”, p. 29. 2015. http://www.isaca.org/Knowledge-Center/Documents/Glossary/ glossary.pdf (acessado em 20 de Junho de 2016). Todos os direitos reservados. Usado com permissão. 6 Ibid. https://ics-cert.us-cert.gov/content/cyber-threat-source-descriptions#hack (acessado em 20 de Junho de 2016). 7 Ibid., p. 59. 8 Ibid., p. 69. 9 Ibid., p. 70. 10 Richard Kissel, Editor, “Glossary of Key Information Security Terms, NSISTIR 7298, Revision 2,” p. 179. 2013. http://nvlpubs.nist.gov/nistpubs/ir/2013/NIST.IR.7298r2.pdf (acessado em 5 de Julho de 2016). 11 ISACA, “ISACA Glossary of Terms”, p. 49. 2015. http://www.isaca.org/Knowledge-Center/Documents/Glossary/ glossary.pdf (acessado em 20 de Junho de 2016). Todos os direitos reservados. Usado com permissão.
GTAG / Avaliando o Risco de Cibersegurança
28 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Anexo D. Considerações de Auditoria Interna para o Risco de Cibersegurança
Os componentes a seguir, organizados pelas atividades descritas neste guia, funcionam em
conjunto para abordar o risco de cibersegurança. Também inclusas estão considerações
para monitorar a eficácia operacional:
Componente 1: Governança de Cibersegurança
Propósito claro e estratégico, com partes interessadas responsáveis e papéis e
responsabilidades definidos.
Linha de reporte para permitir autoridade e objetividade adequadas.
Expertise para empregar ferramentas de segurança e aplicar as políticas.
Elementos de prática, incluindo:
Definir e comunicar o apetite de risco.
Definir políticas de cibersegurança.
Conduzir avaliações de risco e monitoramento, com base em raciocínio e
metodologia consistentes.
Treinamento e estruturação de equipe para aplicar a estratégia de
monitoramento de segurança, para sustentar conforme as necessidades
organizacionais mudam.
Exigir trabalhos independentes de exame de cibersegurança de terceiros que
produzam ou prestem bens ou serviços específicos.
Comunicação, mensuração, reporte e acompanhamento de ações contínuos.
Gerenciamento de incidentes.
Planejamento da continuidade do negócio com relação a cenários de cibersegurança.
Visibilidade e envolvimento da alta administração e do conselho.
Componente 2: Inventário de Ativos de Informação
Inventário de dados: A administração identificou e classificou os tipos e locais dos
dados críticos e sensíveis, sejam internos ou externos à organização.
Inventário de dispositivos autorizados e não autorizados: Dispositivos de
hardware autorizados acessam a rede (inventariar, rastrear e corrigir) e dispositivos
não autorizados encontrados são removidos.
Monitorar o número de dispositivos não autorizados na rede da organização e a
média de tempo necessário para removê-los da rede.
Monitorar a porcentagem de sistemas na rede da organização que não estão
usando a autenticação de usuário para obter acesso à rede da organização.
GTAG / Avaliando o Risco de Cibersegurança
29 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Manter uma listagem atualizada de dispositivos de rede, servidores e
dispositivos do usuário final.
Inventário de softwares autorizados e não autorizados: Garantir que apenas
softwares autorizados sejam instalados/executados na rede (inventariar, rastrear e
corrigir) e que softwares não autorizados sejam impedidos de ser instalados. Se
softwares não autorizados forem detectados, devem ser removidos tempestivamente.
Número de instâncias de softwares não autorizados na rede e tempo médio
necessário para removê-las da rede.
Porcentagem de sistemas da organização que não estão executando o
software de whitelisting/blacklisting.
Número de aplicações de software bloqueadas pelo software de
whitelisting/blacklisting da organização.
Porcentagem de sistemas que passaram por hardening.
Componente 3: Configurações Padrão de Segurança
Configurações seguras para hardware e software em dispositivos móveis,
laptops, estações de trabalho e servidores: Estabelecer, implementar e gerenciar
ativamente (rastrear, reportar, corrigir) as configurações de segurança.
Porcentagem de sistemas da organização não configurados de acordo com os
padrões de configuração aprovados.
Porcentagem de sistemas da organização com configurações de segurança
não realizadas por aplicações de gerenciamento de configurações técnicas.
Porcentagem de sistemas da organização não atualizados com os mais
recentes patches de segurança de sistemas operacionais.
Porcentagem de sistemas da organização não atualizados com os mais
recentes patches de segurança de aplicação de software comercial.
Configurações seguras para dispositivos de rede, como firewalls, roteadores e
switches: Estabelecer, implementar e gerenciar ativamente (rastrear, reportar,
corrigir) as configurações de segurança:
Volume e frequência das mudanças de configuração do sistema de rede.
Tempo médio para alertar o administrador da organização sobre as mudanças
não autorizadas das configurações e tempo médio para bloquear/colocar em
quarentena as mudanças à rede.
Componente 4: Gerenciamento de Acesso à Informação
Uso controlado de privilégios administrativos: Monitorar o uso, designação e
configuração de privilégios administrativos em computadores, redes e aplicações.
Monitoramento e controle de contas: Gerenciar o ciclo de vida de contas de
sistemas e aplicações (criação, uso, dormência e exclusão).
GTAG / Avaliando o Risco de Cibersegurança
30 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Acesso controlado com base na necessidade de saber: Rastrear, controlar,
prevenir e corrigir o acesso seguro a ativos críticos (ex., informações, recursos,
sistemas).
População de usuários: Os processos de acesso de usuários devem considerar
todas as pessoas com acesso aos dados críticos, incluindo usuários internos e
externos. A maioria das organizações tem funcionários, consultores e fornecedores
acessando os dados interna e externamente. Incluir terceiros aos quais sejam feitas
transferências de arquivos.
Componente 5: Pronta Resposta e Remediação
Melhoria contínua do programa de cibersegurança, da coleta de recomendações e
ações tempestivas à conclusão.
Avaliar vulnerabilidades, analisar inteligência de ameaças e identificar lacunas.
Mensurar o desempenho e comparar com as referências da indústria e organizações
parceiras.
Identificar conhecimentos, habilidades e capacidades específicas necessárias para
apoiar o programa.
A seguir, alguns exemplos de métricas:
Quantidade e porcentagem de remediação sustentada, com base em
local/departamento/funcionários.
Número de vulnerabilidades de TI e exceções de políticas, com base em
local/departamento/funcionários.
Pontuações de conformidade da plataforma, com base em local/departamento.
Componente 6: Monitoramento Contínuo
Defesas contra malware: Controlar a instalação, difusão e execução de códigos
maliciosos; rapidamente atualizar as defesas, coletar dados e realizar ações
corretivas.
Limitação e controle de ports de rede, protocolos e serviços: Rastrear, controlar e
corrigir o uso operacional de ports, protocolos e serviços em dispositivos de rede.
Segurança de softwares de aplicação: Prevenir, detectar e corrigir fraquezas de
segurança de todos os softwares desenvolvidos internamente ou adquiridos.
Controle de acesso wireless: Rastrear, controlar e corrigir o uso de LANs wireless,
pontos de acesso e sistemas-cliente wireless.
Defesa de fronteiras: Detectar, prevenir e corrigir o fluxo de redes de transferência
de informações de diferentes níveis de confiança.
GTAG / Avaliando o Risco de Cibersegurança
31 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Testes de penetração, testes de phishing e exercícios da equipe vermelha:
Testar a força geral das defesas de uma organização (tecnologia, processos e
pessoas).
Manutenção, monitoramento e análise de eventos de mudança: Coletar, gerenciar
e analisar eventos de mudança e incidentes que poderiam ajudar a detectar, entender
ou se recuperar de um ataque. Incluir análises de intrusion detection systems (IDS) e
registros de atividades dos usuários privilegiados.
Proteção/prevenção de perda de dados: Prevenir/mitigar os efeitos de vazamentos
de dados; garantir a privacidade/integridade. Empregar ferramentas para auxiliar
quando apropriado.
GTAG / Avaliando o Risco de Cibersegurança
32 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Autores/Contribuintes
Bradley C. Ames, CRMA, CISA
Forrest R. Foster, CISA
Caroline Glynn, CIA, CISA
Mike Lynn, CRMA
Dean Nakama
Tim Penrose, CIA, CISA
Sajay Rai, CISM
GTAG / Avaliando o Risco de Cibersegurança
33 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Sobre o Instituto
The Institute of Internal Auditors (The IIA) é o mais reconhecido advogado, educador e fornecedor de normas,
orientações e certificações da profissão de auditoria interna. Fundado em 1941, o The IIA atende, atualmente, mais
de 185.000 membros de mais de 170 países e territórios. A sede global da associação fica em Altamonte Springs, na
Flórida. Para mais informações, visite www.globaliia.org ou www.theiia.org.
Sobre as Orientações Suplementares
Orientações Suplementares fazem parte do International Professional Practices Framework (IPPF) do The IIA e
oferecem orientações adicionais recomendadas (não obrigatórias) para a condução de atividades de auditoria
interna. Embora apoiem as Normas, as Orientações Suplementares não têm o objetivo de relação direta com o
atingimento da conformidade com as Normas. Elas têm o objetivo de abordar tópicos específicos, assim como
questões específicas de determinados setores, e incluem processos e procedimentos detalhados. Esta orientação é
apoiada pelo The IIA, por meio de processos formais de revisão e aprovação.
Guias Práticos
Os Guias Práticos são um tipo de Orientação Suplementar, que fornecem orientação detalhada para a
condução de atividades de auditoria interna. Eles incluem processos e procedimentos detalhados, como
ferramentas e técnicas, programas e abordagens passo-a-passo, assim como exemplos de entregáveis. Como
parte das orientações do IPPF, a conformidade com os Guias Práticos é recomendada (não obrigatória). Os
Guias Práticos são apoiados pelo The IIA, por meio de processos formais de revisão e aprovação.
Um Global Technologies Audit Guide (GTAG) é um tipo de Guia Prático, redigido em linguagem clara de
negócios, para abordar uma questão tempestiva relativa ao gerenciamento, controle ou segurança da tecnologia
da informação.
Para mais materiais de orientação fidedignos fornecidos pelo The IIA, por favor, visite nosso site em
www.globaliia.org/standards-guidance ou www.theiia.org/guidance.
Isenção de Responsabilidade
O The IIA publica este documento para fins informativos e educacionais e este material não tem o objetivo de
fornecer respostas definitivas a específicas circunstâncias individuais. Desta forma, tem o único propósito de servir
de guia. O The IIA recomenda que você sempre busque conselhos especializados independentes, relacionados
diretamente a qualquer situação específica. O The IIA não aceita qualquer responsabilidade pela confiança
depositada unicamente neste guia.
Copyright
Copyright ® 2016 The Institute of Internal Auditors
Para permissão para reproduzir, por favor, contate [email protected].
Setembro de 2016