Segundo um estudo da Cybersecurity Ventures, até 2025 as perdas mundiais com ciberataques serão de US$ 10,5 trilhões por ano. E outro relatório divulgado pela IBM aponta que uma violação de dados, em valores globais, chega a US$ 4,35 milhões. Estes dados indicam o nível de atenção que as organizações devem dedicar à segurança cibernética de processos e sistemas.
Um destes cuidados pode ser a auditoria periódica da cibersegurança, uma modalidade de serviços que examina relatórios de eventos de ataques cibernéticos, os controles corporativos, o desempenho deles e a precisão da documentação que dita políticas e procedimentos das organizações.
As auditorias também servem como uma maneira de as empresas documentarem sua conformidade com os regulamentos, padrões e estruturas de segurança cibernética. As organizações podem usar as diretrizes destes padrões para elaborar as áreas que desejam cobrir em suas auditorias.
“O rigor e a complexidade de uma auditoria são ditados pelo tamanho da organização e pelo programa de segurança cibernética”, defende Paul Kirvan, consultor de TI e auditor independente, em artigo publicado pela TechTarget.
Segundo ele, as auditorias de segurança cibernética demonstram aos clientes e partes interessadas que a organização leva o gerenciamento de segurança cibernética a sério.
Os relatórios de auditoria destacam se e onde os controles de segurança cibernética de uma organização estão funcionando com eficácia, bem como identificam onde a correção pode ser necessária. Como resultado, os relatórios de auditoria podem refletir positivamente na organização, especialmente se os relatórios demonstrarem um firme compromisso com a segurança cibernética e conformidade.
Tipos de auditorias de cibersegurança
As auditorias de segurança cibernética são conduzidas de três maneiras:
Uma auditoria de primeira parte é onde o departamento de TI realiza sua própria auditoria, usando os princípios definidos pela ISACA ou uma organização similar. Como essa auditoria é autoadministrada, o grau em que o departamento de TI pode se autoavaliar de forma independente pode ser um fator importante a ser considerado pelo gerenciamento.
Uma auditoria de segunda parte é realizada pelo departamento de auditoria interna da organização. Esta auditoria é mais independente, embora seja realizada dentro da mesma organização. O desafio é garantir que a equipe de auditoria interna tenha experiência em auditoria de TI e segurança cibernética.
Uma auditoria de terceiros é onde uma empresa de auditoria independente, completamente fora da organização, realiza a análise. Ao usar um auditor externo, é importante examinar as credenciais e a experiência da empresa em auditoria de TI, especialmente no que se refere à segurança cibernética.
Uma auditoria de terceiros é a mais independente, um aspecto essencial de qualquer auditoria.
Padrões e regulamentos
Segundo o consultor Paul Kirvan, as organizações podem aproveitar padrões, regulamentos e estruturas existentes para definir o escopo da auditoria. Essas medidas detalham como os controles de segurança cibernética devem ser estabelecidos e executados.
As estruturas de segurança cibernética também definem as políticas e procedimentos necessários para estabelecer e gerenciar uma iniciativa de segurança cibernética. A chave é encontrar uma estrutura que suporte os requisitos específicos definidos na norma ou regulamento.
10 etapas para preparar uma auditoria de segurança cibernética
- Garantir a aprovação da alta administração.
- Financiamento seguro, se necessário.
- Identifique o(s) membro(s) da equipe do departamento de TI que participará(ão).
- Defina o escopo e os objetivos da auditoria, por exemplo, questões e controles a serem auditados.
- Determine se a auditoria será conduzida interna ou externamente.
- Estabeleça um plano de auditoria e o aprove junto à gestão de TI.
- Reserve uma área equipada com videoconferência – por exemplo, uma sala de conferências – por pelo menos um mês – que possa ser utilizada pelos auditores.
- Reúna e forneça evidências – incluindo relatórios de segurança cibernética, auditorias anteriores e relatórios de eventos – para uso dos auditores. Isso pode variar de acordo com os controles a serem auditados.
- Certifique-se de que os funcionários estejam disponíveis para apoiar as pessoas da equipe de auditoria.
- Quando as datas da auditoria forem confirmadas, certifique-se de que os membros da equipe de auditoria estejam disponíveis para entrevistas.
A chave para uma auditoria de segurança cibernética bem-sucedida é uma preparação eficaz, segundo o consultor. Aderir aos padrões e regulamentos é uma coisa, mas o mais importante são as evidências – cópias eletrônicas e impressas – que demonstram que a organização está gerenciando seus controles de segurança cibernética com eficiência, afirma Kirvan.
