Sobrevivendo a uma Auditoria de Sistemas
–
Parte 2 de 2
Como preparar a sua empresa para manter o Ambiente Informatizado sempre seguro e transformar umaauditoria em uma relação ganha-ganha
Eduardo Vianna de Camargo Neves, CISSP
Uma das coisas que sempre gostei em práticas delinguagem e comunicação foi de expressões emlatim que sintetizam situações, algo bastante usadopor advogados e juristas. Uma delas é
Si vis pacem, para bellum
, que literalmente significa
Se você quer paz, prepare-se para a guerra
.Preparar a sua empresa para uma auditoria desistemas é exatamente isso, ter muito trabalho paraenfrentar uma situação que pode resultar em umgrande problema, ou ser uma mera formalidade.O primeiro artigo desta série mostra os 10 tópicosque são vistos com mais freqüência pelos auditoresde sistemas, porque eles podem ser problemas senão tratados adequadamente e como evitar quecada um se transforme em uma encrenca.Nesta segunda parte, vou abordar de formasimplificada a postura dos auditores e SecurityOfficers no processo, as características mais comunsde uma auditoria de sistemas e que tipo de açõesdevem ser feitas para simplificar o processo,transformando a atividade em uma formalidade quenão deve dar problemas para ninguém, e sim ajudarambas as partes a criarem um ambiente maisseguro para seus clientes.
Quis Custodiet Ipsos Custodis
A tradução desta expressão é “quem irá vigiar osvigilantes”, e se apl
ica muito bem ao papel de umauditor de sistemas. Normalmente, ele é contratadopara identificar problemas em um ambienteinformatizado cuja segurança deve ser administradapor um Security Officer. Ou seja, ele deve ajudar aempresa a manter o nível adequado de segurançafazendo uma análise independente.Quando o processo se mantém a este escopo, aauditoria é uma excelente ferramenta para o CIO,que tem uma visão de onde deve investir emcontroles adicionais e remover aqueles que não dãoo resultado esperado, e também para o SecurityOfficer, que tem na auditoria uma revisão dequalidade do seu trabalho e uma garantia para aorganização que ele está sendo vigiado de formaadequada.O problema é quando a auditoria é transformada emuma ferramenta política, na qual um pontoirrelevante é transformado em um problema. Istoacontece não só porque alguns auditores vêem naobtenção de pontos uma vitória profissional
–
queinclusive reflete no bônus
–
mas também porquefalta um entendimento inicial de como a segurançaé administrada. Então, como sobreviver?Definir o nível de risco ao qual a empresa estádisposta a ser submetida é a primeira etapa. Nãobasta fazer uma Análise de Risco e ter os resultadosem mãos para apresentar, é necessário sentar comas pessoas que pagam a conta e deixar muito claroquais vulnerabilidades existem, que problemaspodem advir da exploração das mesmas e qual é arelação entre os custos para resolver e o impactodecorrente.Quando isto acontece, você pode receber aexcelente notícia de que os recursos necessáriospara corrigir as vulnerabilidades e mantê-las forado radar serão fornecidos. Ou que a empresa nãopode investir nisto no momento, o que é frustrante,mas acontece em boa parte dos lugares.Nesta segunda opção, você deve documentar deforma clara
–
ou seja, pegar a assinatura de quemassume o risco
–
que o problema foi apresentado,aceito e a empresa optou por não agir. Estedocumento deve ser revisado periodicamente eusado não só como ferramenta de discussão comauditores, mas também como instrumento deanálise contínua de risco e busca de investimentosna área.Um bom auditor vai aceitar o documento e ir diretoà área que optou pelo risco, para entender porqueisto aconteceu e o quanto problemático para aempresa é ficar com uma vulnerabilidade emaberto.Os frameworks (ex. ISO 27001 e CobiT) )disponíveisno mercado cumprem muito bem esta função, poispermitem o mapeamento do ambiente, a análise e agestão de riscos, com base em melhores práticasadotadas pelo mercado.
Esse Quam Qui Videre
Não somente parecer, mas realmente ser. A fraseusada por alguns autores romanos, em especialCícero em
De amicitia
e mostra o espírito de como asegurança deve ser administrada. Manter relatóriose controles que são puro
vaporware
é uma práticacomum em algumas empresas, que vêem nisso umaexcelente ferramenta para mostrar que existe umcontrole eficaz implantado.Um exemplo recorrente são os logs de servidores.Nos meus tempos de auditor
–
sim já fui um
–
canseide ver quilos de papel onde estavam impressos os
logs
de um determinado servidor de arquivos eninguém analisava aquela informação, o que eraimpossível fazer manualmente.
Leave a Comment