Avaliando o Risco de Cibersegurança - iiabrasil.org.br · o risco além do que tem sido abordado historicamente pelos controles ... Quais ativos são os alvos mais prováveis

Avaliando o Riscode Cibersegurança

Os Papéis das Três Linhas de Defesa

GTAG / Avaliando o Risco de Cibersegurança

2 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org

Tabela de Conteúdos

Sumário Executivo ............................................................................................................................... 3

Introdução e Importância para o Negócio ............................................................................................ 4

Principais Riscos e Ameaças Relativos à Cibersegurança ................................................................... 5

As Três Linhas de Defesa: Papéis e Responsabilidades ..................................................................... 6

Proprietários e Principais Atividades da Primeira Linha de Defesa ........................................... 6

Controles Comuns para Ameaças Cibernéticas .............................................................................. 8

Proprietários e Principais Atividades da Segunda Linha de Defesa ........................................... 9

Armadilhas da Primeira e Segunda Linhas de Defesa .................................................................. 11

O Papel da Atividade de Auditoria Interna como a Terceira Linha de Defesa ........................... 12

Escopo de Auditoria Interna e Colaboração ................................................................................... 16

Uma Abordagem para Avaliar Riscos e Controles de Cibersegurança ............................................... 18

Framework de Avaliação de Riscos de Cibersegurança ........................................................ 18

Componente 1: Governança de Cibersegurança ........................................................................... 18

Componente 2: Inventário de Ativos de Informação ...................................................................... 19

Componente 3: Configurações Padrão de Segurança .................................................................. 20

Componente 4: Gerenciamento do Acesso à Informação ............................................................ 20

Componente 5: Pronta Resposta e Remediação ........................................................................... 21

Componente 6: Monitoramento Contínuo ....................................................................................... 21

O Papel do CAE no Reporte da Avaliação ao Conselho e Outros Órgãos de Governança ................ 23

Anexo A. Normas Principais do The IIA ............................................................................................. 25

Anexo B. Orientações Relacionadas do The IIA ................................................................................ 26

Anexo C. Definição dos Conceitos Fundamentais .............................................................................. 27

Anexo D. Considerações de Auditoria Interna para o Risco de Cibersegurança ................................ 28

Autores/Contribuintes ........................................................................................................................ 32



Sumário Executivo

Organizações de todos os tipos estão se tornando mais vulneráveis a ameaças cibernéticas,

devido à sua crescente dependência de computadores, redes, programas e aplicativos,

mídias sociais e dados. As violações de segurança podem impactar as organizações e seus

consumidores, tanto financeiramente quanto em termos de reputação. A conectividade e

acessibilidade globais à informação por parte de usuários externos à organização aumentam

o risco além do que tem sido abordado historicamente pelos controles gerais e de aplicações

de TI. A dependência das organizações quanto aos sistemas de informação e o

desenvolvimento de novas tecnologias tornam as avaliações tradicionais dos controles gerais

e de aplicações de TI insuficientes para avaliar a cibersegurança.

A cibersegurança refere-se às tecnologias, processos e práticas desenvolvidos para proteger

os ativos de informação de uma organização – computadores, redes, programas e dados –

de acessos não autorizados. Com a frequência e severidade dos ciberataques em

crescimento, há uma necessidade significante de um gerenciamento de riscos melhorado

para a cibersegurança.

A atividade de auditoria interna desempenha um papel crucial na avaliação dos riscos de

cibersegurança de uma organização, considerando:

Quem tem acesso às informações mais valiosas da organização?

Quais ativos são os alvos mais prováveis de ciberataques?

Quais sistemas causariam a interrupção mais significante, se comprometidos?

Quais dados, se obtidos por partes não autorizadas, causariam perda financeira ou competitiva, consequências legais ou danos reputacionais à organização?

A administração está preparada para reagir tempestivamente, se houver um incidente de cibersegurança?

Este guia prático discute o papel da atividade de auditoria interna na cibersegurança,

incluindo:

O papel do chief audit executive (CAE) quanto à avaliação, governança, riscos e ameaças cibernéticas.

A avaliação dos riscos e ameaças inerentes.

Os papéis e responsabilidades da primeira, segunda e terceira linhas de defesa, quanto ao gerenciamento de riscos, controles e governança.

Onde podem haver lacunas na avaliação.

As responsabilidades de reporte da atividade de auditoria interna.

O guia também explora riscos emergentes e ameaças comuns enfrentados pelas três linhas

de defesa e apresenta uma abordagem direta para avaliar os riscos e controles de

cibersegurança.



Introdução e Importância para o Negócio

Os auditores internos precisam de uma abordagem atualizada para avaliar os riscos de

cibersegurança. Embora as avaliações dos controles gerais de TI sejam úteis, são

insuficientes para a avaliação da cibersegurança, porque não são tempestivas, tampouco

completas. Os objetivos fundamentais de auditoria, como integridade, precisão e autorização,

ainda são relevantes. No entanto, muitos fatores emergentes criam a necessidade de uma

abordagem atualizada de auditoria interna, que forneça conclusões de valor quanto às

suposições de cibersegurança.

A proliferação da tecnologia na atualidade permite ao usuário um acesso maior do que antes

às informações da organização. Terceiros recebem, cada vez mais, acesso a informações

organizacionais, por meio da cadeia de fornecimento, consumidores e prestadores de

serviços. Uma maior variedade de dados se tornou prontamente disponível, visto que as

organizações frequentemente armazenam grandes volumes de informações sensíveis e

confidenciais em infraestruturas virtualizadas, acessíveis por meio da computação na nuvem.

Outro fator que afeta a abordagem da auditoria interna é o número crescente de dispositivos

que podem ser conectados e sempre envolvidos na troca de dados (um fenômeno conhecido

como internet of things, a “internet das coisas”). Conforme as organizações são globalizadas

e a rede de funcionários, consumidores e prestadores externos da organização se expande,

as expectativas de acesso constante às informações da organização também aumentam.

Gerações mais jovens de “nativos digitais”1 esperam acesso em tempo real aos dados em

qualquer lugar.

As ameaças à segurança não antecipadas podem ser apresentadas por relações globais

hostis, hackers organizados, insiders e softwares e serviços de má qualidade. Os protocolos

de cibersegurança podem ter maior complexidade, conforme os mandados e normas

regulatórias de divulgação de incidentes ou violações de cibersegurança continuam

crescendo. A importância de detectar e comunicar um evento de risco no período exigido de

tempo se sobrepõe ao valor preventivo dos controles gerais de TI tradicionais e cíclicos.

Em resposta a tais riscos emergentes, os CAEs são desafiados a garantir que a

administração tenha implementado tanto controles de prevenção quanto de detecção. Os

CAEs também devem criar uma abordagem clara de auditoria interna para avaliar o risco de

cibersegurança e as capacidades de resposta da administração, com um foco em reduzir o

tempo de resposta. O CAE deve alavancar o conhecimento daqueles na primeira e segunda

linhas de defesa, para permanecer atualizado quanto ao risco de cibersegurança.

1 O termo “nativo digital” foi cunhado e usado no artigo de 2001 “Digital Natives, Digital Immigrants”, do consultor educacional e autor Marc Prensky, em referência à geração de pessoas que cresceram usando a linguagem digital dos computadores, videogames, redes sociais e afins.



Principais Riscos e Ameaças Relativos à Cibersegurança

A cibersegurança é relevante para os sistemas que apoiam os objetivos da organização

relativos à eficácia e eficiência das operações, confiabilidade do reporte interno e externo e a

conformidade com leis e regulamentos aplicáveis. Uma organização normalmente

desenvolve e implementa controles de cibersegurança em toda a entidade, para proteger a

integridade, confidencialidade e disponibilidade das informações.

Ataques cibernéticos são realizados por diversos

motivos, incluindo, mas não apenas: fraude

financeira, roubo ou utilização indevida de

informações, causas ativistas, para tornar

sistemas de computadores inoperantes e para

atrapalhar infraestruturas críticas e serviços vitais

de um governo ou organização. As cinco fontes

comuns das ameaças cibernéticas estão listadas

na Tabela 1.

Para entender as ameaças cibernéticas

relevantes para uma organização, é importante

determinar quais informações seriam valiosas

para pessoas externas ou causariam interrupção

significante, se indisponíveis ou corrompidas.

Também é importante identificar quais

informações podem causar perda financeira ou competitiva ou danos reputacionais à

organização, se obtidas por outros ou tornadas públicas. Exemplos de informações a

considerar incluem: dados de consumidores e funcionários, propriedades intelectuais, cadeia

de fornecimento, qualidade e segurança de produtos, termos contratuais e precificação,

planejamento estratégico e dados financeiros.

A indústria em que a organização opera estabelece um contexto importante na identificação

de ameaças cibernéticas. Por exemplo, varejistas podem se concentrar em proteger os

dados dos consumidores e em garantir que o atendimento ao consumidor não seja

interrompido. Propriedades intelectuais podem ser uma preocupação fundamental para

organizações com foco sobre pesquisa e desenvolvimento. Produtores podem se concentrar

na confiabilidade e eficiência dos sistemas de produção e cadeia de fornecimento, assim

como na qualidade e segurança dos produtos. Firmas de serviços profissionais podem estar

mais preocupadas com informações comerciais sensíveis contidas em contratos e com

modelos de cálculo de custos financeiros.

Tabela 1: Cinco Fontes

Comuns de Ciberameaças

Estados-nações

Cibercriminosos

Hacktivistas

Insiders e prestadores

de serviços

Desenvolvedores de

produtos e serviços de

menor qualidade



As Três Linhas de Defesa: Papéis e Responsabilidades

Uma abordagem de melhor prática para melhorar a eficácia e eficiência das funções de risco

e controle dentro das organizações é oferecida pela Declaração de Posicionamento do The

IIA, “As Três Linhas de Defesa no Gerenciamento de Riscos e Controle Eficazes”, publicado

em Janeiro de 2013. Um passo essencial para avaliar o papel da atividade de auditoria

interna na cibersegurança é garantir que as três linhas de defesa estejam devidamente

segregadas e operando com eficácia. Além disso, um protocolo de escalonamento deve ser

estabelecido para definir papéis e responsabilidades envolvidos em identificar e escalonar

riscos que ultrapassem o apetite de risco da organização; isto é, o nível de risco que a

organização está disposta a aceitar.

Como primeira linha de defesa, a administração é proprietária e gestora dos dados,

processos, riscos e controles. Para a cibersegurança, essa função frequentemente recai

sobre os administradores de sistemas e outros encarregados de salvaguardar os ativos da

organização. As atividades comuns à primeira linha de defesa são identificadas na Tabela 2,

na página 7.

A segunda linha de defesa inclui as funções de supervisão de riscos, controle e

conformidade, responsáveis por garantir que os processos e controles da primeira linha

existam e estejam operando com eficácia. Essas funções podem incluir grupos responsáveis

por garantir o gerenciamento eficaz dos riscos e por monitorar os riscos e ameaças no

ambiente da cibersegurança. Funções comuns conduzidas pela segunda linha de defesa

estão listadas na Tabela 3, na página 10.

Como terceira linha de defesa, a atividade de auditoria interna oferece à alta administração e

ao conselho avaliações independentes e objetivas sobre a governança, o gerenciamento de

riscos e os controles. Isso inclui avaliar a eficácia geral das atividades realizadas pela

primeira e segunda linhas de defesa na gestão e mitigação dos riscos e ameaças de

cibersegurança. Atividades comuns realizadas pela terceira linha de defesa estão delineadas

na Tabela 4, na página 12.

Proprietários e Principais Atividades da Primeira Linha de Defesa

A primeira linha de defesa consiste dos gerentes operacionais que são proprietários e

gestores dos riscos e controles e que implementam ações corretivas para abordar

deficiências dos processos e controles. As organizações podem estabelecer diversos cargos

com a cibersegurança em mente.

O chief technology officer (CTO) é normalmente responsável por oferecer conhecimento e

direcionamento quanto às tecnologias disponíveis para promover a missão da organização e,

frequentemente, tem a responsabilidade de proteger as propriedades intelectuais da



organização. As responsabilidades do

CTO também podem incluir garantir que

a organização esteja preparada para as

próximas fases do desenvolvimento

tecnológico, que permitirão vantagem

competitiva, mudança estratégica e

inovação.

A organização também pode empregar

um chief security officer (CSO), um chief

information security officer (CISO) ou

outra pessoa encarregada da

responsabilidade pela segurança de TI.

O CSO ou CISO, como pedra angular da

identificação e entendimento das

ameaças cibernéticas, gera e

implementa a estratégia de

cibersegurança e aplica políticas e

procedimentos de segurança.

Frequentemente, assume o papel de

liderança no desenvolvimento de

programas de supervisão para validar

que os ativos da organização e dados

das partes interessadas estejam

devidamente protegidos.

Um chief information officer (CIO) pode

ser empregado com a responsabilidade

de promover vantagens competitivas e

mudanças estratégicas na organização.

O CIO também pode ser responsável por

desenvolver o programa de

cibersegurança da informação,

implementando um programa de

treinamento de cibersegurança para toda

a organização e desenvolvendo políticas

de cibersegurança.

O CTO, CSO, CISO e CIO colaboram com o chief executive officer e outros membros da alta

administração na luta contra o cibercrime e ciberataques relacionados. Se as entidades

internas à organização assumiram a responsabilidade por sua própria tecnologia, essas

entidades também assumiram a responsabilidade pelo desenvolvimento e implementação de

Tabela 2: Atividades Comuns da

Primeira Linha de Defesa

Administrar procedimentos de segurança, treinamentos e testes

Manter configurações seguras de dispositivos, softwares atualizados e patches de segurança

Empregar sistemas de detecção de intrusão e conduzir testes de penetração

Configurar com segurança a rede, para gerir e proteger adequadamente o fluxo de tráfego de rede

Inventariar ativos de informação, dispositivos tecnológicos e softwares relacionados

Empregar programas de proteção e prevenção de perdas de dados com monitoramento relacionado

Restringir papéis de acesso de privilégios mínimos

Criptografar dados quando viável

Implementar o gerenciamento de vulnerabilidades com scans internos e externos

Recrutar e reter talentos certificados em TI, riscos de TI e segurança da informação



controles apropriados para proteger suas tecnologias e dados, em coordenação com outras

atividades de avaliação de riscos dentro da organização.

Quando as organizações não têm escala para apoiar os cargos descritos acima, uma

abordagem comum é montar um conselho de gerentes comerciais e de TI que respondam

pelo risco de cibersegurança. As responsabilidades mencionadas anteriormente podem ser

cobertas por meio de um ou mais indivíduos na primeira linha de defesa, com autoridade

apropriada para abordar os riscos correspondentes.

Controles Comuns para Ameaças Cibernéticas

Como as ameaças cibernéticas são desenvolvidas para derrubar sistemas ou capturar

dados, as ameaças frequentemente ocorrem onde dados críticos são armazenados: bancos

de dados, redes internas, ambientes hospedados externamente e até plataformas de

continuidade do negócio. Não importa onde o ataque acontece, o resultado final pode incluir

a violação de leis e regulamentos, multas, danos reputacionais e perda de receita.

Dados sensíveis ou confidenciais podem ser classificados e armazenados internamente,

externamente ou ambos. Internamente, a maioria das organizações depende da tecnologia,

como configurações seguras, firewalls e controles de acesso, como primeira linha de defesa.

No entanto, em um ataque dedicado onde o firewall seja sobrecarregado, os perpetradores

podem obter acesso e transações não autorizadas podem ser processadas.

Para reduzir o risco de tais ataques atingirem o firewall, a primeira linha de defesa realiza

ações preventivas no perímetro da rede. É um processo desafiador, que envolve restringir o

acesso e bloquear o tráfego não autorizado. Controles de detecção, como monitoramento,

também devem ser estabelecidos para observar as vulnerabilidades conhecidas, com base

na inteligência obtida sobre produtos de software, organizações e websites maliciosos.

Muitas organizações estabelecem uma whitelist de tráfego bom e uma blacklist de tráfego

bloqueado. No entanto, o monitoramento ativo e a atualização frequente são críticos, devido

à natureza dinâmica do tráfego de rede. Se o perpetrador conseguir acesso ao sistema, a

próxima linha de ataque provavelmente obterá privilégios administrativos e cobrirá seus

rastros.

Quando dados são armazenados externamente à organização, é vital que a organização

garanta que os fornecedores estejam gerenciando devidamente os riscos relevantes. Um

primeiro passo crítico para a primeira linha de defesa é estabelecer contratos fortes que

exijam: relatórios de service organization control (SOC), cláusulas de direito de auditar,

service level agreements (SLAs) e/ou trabalhos de exame de cibersegurança.

Adicionalmente, devem ser definidas expectativas quanto aos requisitos de reporte, para

especificar proteções para a segurança da informação.



Após o zelo devido ter sido garantido e o contrato ter sido negociado e executado, a

administração deve considerar fazer a supervisão e governança do fornecedor, monitorando

e reportando sobre métricas principais, para garantir a conformidade com os SLAs. Se o

fornecedor não cumprir com os requisitos contratuais, a administração poderia se utilizar da

cláusula de direito de auditar, solicitar a resolução tempestiva das preocupações, aplicar

penalidades e considerar planos de transição para um fornecedor alternativo, se necessário.

A administração também deve estar alerta a esquemas de ataque que envolvam engenharia

social, incluindo e-mails de phishing e ligações telefônicas maliciosas. Ao passar-se por uma

organização ou pessoa legítima com a necessidade de uma informação ou ação, os

perpetradores convencem indivíduos autorizados a compartilhar dados sensíveis, oferecer

credenciais do sistema, clicar em links que levem para websites fraudulentos ou realizar

ações que instalem malware no computador da vítima. O malware está se tornando mais

sofisticado e cada vez mais específico a um propósito ou rede. Uma vez instalado, o malware

pode se replicar por toda a rede da organização, interromper o funcionamento e

disponibilidade do sistema, roubar dados e executar esforços fraudulentos dos

perpetradores.

O malware progride ao explorar a falta de conscientização. Portanto, é importante lembrar as

pessoas, frequentemente, que estejam atentas a qualquer e-mail suspeito ou incomum,

solicitações sem precedentes, ligações ou atividades do sistema. O treinamento também

ajudará os indivíduos a reconhecer comunicações fictícias e a reportar tais incidentes

rapidamente para pesquisa, escalonamento e resolução. As lições aprendidas e inteligência

adquirida por meio de parceiros da indústria também podem ser alavancadas para

treinamento, conscientização e adoção de medidas preventivas adicionais.

Proprietários e Principais Atividades da Segunda Linha de Defesa

A segunda linha de defesa, frequentemente composta das funções de gerenciamento de

riscos de TI e conformidade de TI, desempenha um papel chave na postura de segurança e

desenvolvimento de programas de uma organização.

A segunda linha é responsável por:

Avaliar os riscos e exposições relativos à cibersegurança e determinar se estão

alinhados com o apetite de risco da organização.

Monitorar riscos atuais e emergentes e mudanças às leis e regulamentos.

Colaborar com as funções da primeira linha, para garantir o desenvolvimento

apropriado dos controles.

Riscos de cibersegurança são notadamente mais dinâmicos do que a maioria dos riscos

tradicionais e precisam de uma resposta tempestiva. Conforme os riscos e a exposição da

organização a eles mudam, a segunda linha é crítica para promover a governança e a



supervisão, para preparar e proteger

adequadamente a organização em resposta

ao cenário de ameaças em evolução. Uma

violação de segurança pode levar a

mudanças no apetite de risco da

organização e na legislação e regulamentos

governamentais.

De acordo com o Guia Prático do The IIA,

“Internal Audit and the Second Line of

Defense”, realizar a supervisão e

desenvolver políticas, normas e limites são

princípios fundamentais da segunda linha.

Por exemplo, expectativas e diretrizes

claras, com base em classes de riscos de

vulnerabilidade que incluam classificações

aceitáveis de não conformidade, devem ser

estabelecidas para orientar a aplicação de

patches críticos à infraestrutura antes de

escalonar as preocupações à alta

administração.

A segunda linha deve trabalhar com a

primeira e terceira linhas de defesa para

conscientizar com eficácia o conselho e os

órgãos de governança e para garantir que o

reporte dos riscos e controles de

cibersegurança esteja adequado e

atualizado. Conforme a segunda linha de

defesa executa e reporta sobre suas

avaliações de riscos, eles devem continuar

mantendo a cibersegurança como prioridade. Além disso, dependendo da indústria e do tipo

de organização, uma avaliação dedicada dos riscos de cibersegurança pode ser justificada.

O papel da segunda linha deve ser claro. Por exemplo, o papel que a conformidade de TI

desempenha em um incidente ativo e urgente de segurança deve ser entendido antes do

evento ocorrer. Os principais indicadores de risco, com limites acordados, servem como

ferramentas úteis para o monitoramento, governança e reporte.

As organizações alavancam os principais fornecedores e prestadores em processos críticos.

A segunda linha de defesa pode precisar avaliar as relações com esses prestadores externos

de serviços quanto ao risco de cibersegurança, especialmente porque os fornecedores


Segunda Linha de Defesa

Desenvolver políticas, treinamentos e testes de cibersegurança

Conduzir avaliações de riscos cibernéticos

Coletar inteligência de ciberameaças

Classificar dados e desenvolver papéis de acesso de privilégios mínimos

Monitorar incidentes, principais indicadores de riscos e remediação

Recrutar e reter talentos certificados em riscos de TI

Avaliar relacionamentos com terceiros, fornecedores e prestadores de serviços

Planejar/testar a continuidade do negócio e participar de exercícios e testes de recuperação após desastres



podem ter acesso a dados sensíveis e confidenciais via conexões de rede diretas ou outros

métodos de transferência de dados. Provisões de controle técnicas e contratuais devem ser

revisadas e é essencial que os fornecedores façam uma avaliação periódica, com reporte

adequado, quanto aos controles acordados de cibersegurança.

A segunda linha de defesa é responsável por garantir que a administração faça a governança

dos fornecedores envolvidos no risco de cibersegurança. Tal governança normalmente

incluiria obter e revisar relatórios de controle, monitorar atividades de controle e escalonar os

riscos apropriadamente aos órgãos de governança dentro da organização, como um comitê

de riscos de fornecedores, quando os fornecedores não estiverem em conformidade com as

expectativas ou SLAs.

Armadilhas da Primeira e Segunda Linhas de Defesa

Muitas vezes, há armadilhas quando o monitoramento e a supervisão não são uma parte

contínua do protocolo de cibersegurança. Novas ameaças e vulnerabilidades continuam

sendo apresentadas diariamente. A falta de um treinamento robusto e regular de

cibersegurança, educação e monitoramento poderia permitir ataques e ameaças à

organização e comprometer sistemas e dados vitais.

Para mitigar esse risco, muitas organizações formaram um comitê de cibersegurança,

frequentemente liderado pelo CSO, CISO e/ou chief privacy officer, que se reúne

periodicamente com as partes interessadas das equipes de infraestrutura, rede e segurança,

assim como membros relevantes da gerência de riscos de TI e conformidade. Um objetivo

primário do comitê é entender os ativos principais da organização, avaliações de riscos,

probabilidade de ameaças, impacto potencial e controles em prática para proteger

adequadamente esses ativos contra ataques à cibersegurança. O comitê também discute

sobre ameaças emergentes e métricas relevantes, incluindo os resultados de testes recentes

de penetração, que testam a eficácia das defesas de segurança por meio da simulação de

ações de perpetradores reais.2

Outras armadilhas incluem a falta de:

Linhas de defesa claramente identificadas atuando em colaboração, para garantir que

os riscos significantes sejam identificados e geridos com eficácia e eficiência.

Envolvimento e apoio executivos, para garantir que a estratégia de cibersegurança

receba atenção e foco adequados.

Resposta tempestiva e análise de causa raiz após o incidente.

Protocolos e responsabilidades definidos para resposta a incidentes progressivos.

Habilidades necessárias.

2 ISACA, “ISACA Glossary of Terms”, p. 69, 2015. http://www.isaca.org/Knowledge-Center/Documents/Glossary/ glossary.pdf (acessado em 20 de Junho de 2016). Todos os direitos reservados. Usado com permissão.



Informações e conhecimentos da indústria para abordar proativamente os riscos

emergentes.

Investimento ou alocação de tempo, dinheiro e recursos suficientes para as iniciativas

de cibersegurança, incluindo manutenção e patching de rotina.

O Papel da Atividade de Auditoria Interna como a Terceira Linha de Defesa

Embora a governança seja, primariamente, uma responsabilidade do conselho e da alta

administração de uma organização, avaliar a governança é um dos papéis primários da

atividade de auditoria interna. A Norma 2110.A2 do The IIA3 exige que a atividade de

auditoria interna avalie se a governança de tecnologia da informação apoia as estratégias e

objetivos da organização.

Como terceira linha de defesa, a

atividade de auditoria interna

desempenha um papel importante em

coordenar seu trabalho com a segunda

linha de defesa, especialmente com a

função de cibersegurança. A atividade

de auditoria interna pode ser consultada

quanto a:

Relacionamento entre a

cibersegurança e o risco

organizacional.

Priorização de respostas e

atividades de controle.

Auditoria para a mitigação do

risco de cibersegurança em todas

as facetas relevantes da

organização; por exemplo, acesso

privilegiado, desenvolvimento da

rede, gerenciamento de

fornecedores, monitoramento e

mais.

Avaliação de atividades de

remediação.

Conscientização de riscos e

coordenação com o

3 The International Professional Practices Framework (IPPF) (Altamonte Springs: The Institute of Internal Auditors, Inc., 2013), p. 30.


Terceira Linha de Defesa

Realizar avaliações independentes e contínuas das métricas de prevenção e detecção relativas à cibersegurança

Avaliar os ativos de TI dos usuários com acesso privilegiado, quanto às configurações padrão de segurança, websites problemáticos, softwares maliciosos e vazamento de dados

Monitorar a diligência da remediação

Conduzir avaliações dos riscos cibernéticos de organizações de serviços, terceiros e fornecedores (observação: a primeira e segunda linhas de defesa compartilham essa responsabilidade contínua)



gerenciamento de riscos de cibersegurança, especialmente em organizações que não

tenham funções amadurecidas na primeira e segunda linhas de defesa.

Validação de que as provisões de cibersegurança estejam incluídas nos planos de

continuidade do negócio e nos esforços de teste de recuperação após desastres da

organização.

Como parte de avaliar a eficácia do processo de gerenciamento de riscos, conforme exigido

na Norma 2120 do The IIA: Gerenciamento de Riscos, o papel da atividade de auditoria

interna é avaliar independentemente os riscos e controles de cibersegurança, para garantir o

alinhamento com o risco da organização. Isso envolve revisar a adequação do trabalho da

segunda linha quanto a frameworks, normas, avaliações de riscos e governança.

Adicionalmente, a atividade de auditoria interna avalia a eficácia dos controles da primeira

linha de defesa. É importante notar que os controles gerais de TI são a base, mas não

oferecem uma solução completa para mitigar os riscos de cibersegurança. A complexidade

da cibersegurança exige camadas adicionais de controles, como monitoramento de riscos,

detecção de ataques conforme acontecem e a indução de ações corretivas.

Como a avaliação com base em análises tradicionais e separadas não é suficiente para

acompanhar o passo do risco de cibersegurança, é necessária uma estratégia inovadora de

avaliação. Cada vez mais, as técnicas de auditoria contínua são necessárias para avaliar as

mudanças às configurações de segurança, tendências e dados atípicos de riscos

emergentes, tempos de resposta e atividades de remediação.

Para aumentar o valor da atividade de auditoria interna, o CAE pode buscar uma visão para

uma avaliação contínua inovadora, por meio de análises contínuas que ofereçam uma

comunicação tempestiva e prospectiva quanto ao risco emergente. O Global Technology

Audit Guide® (GTAG®), “Coordinating Continuous Auditing and Continuous Monitoring to

Provide Continuous Assurance”, esclarece melhor a construção da estratégia para a

condução de análises contínuas, em coordenação com as funções de conformidade na

segunda linha de defesa.

De acordo com o Guia Prático “Reliance by Internal Audit on Other Assurance Providers”, a

atividade de auditoria interna pode depender da segunda linha de defesa, se o auditor interno

refizer ou verificar o trabalho e chegar à mesma conclusão. Por exemplo, em vez de refazer

um teste de penetração concluído pela gerência de riscos de TI, um auditor interno pode

revisar os detalhes do teste (incluindo o escopo) e decidir se confia ou não nos resultados.

Quando possível, o auditor interno deve observar e entrevistar a equipe técnica que fez o

trabalho, alavancando os resultados e lições aprendidas para incluir em futuros

procedimentos de auditoria interna de cibersegurança.

Com a primeira e segunda linhas de defesa, a atividade de auditoria interna deve discutir e

estabelecer expectativas claras quanto aos prestadores externos de serviços. Dependendo



do escopo dos serviços, os prestadores externos de serviços podem executar o

monitoramento contínuo do risco de cibersegurança, especialmente tendo em vista que a

computação na nuvem está trazendo demanda crescente por uma infraestrutura hospedada.

Usando a tecnologia de monitoramento contínuo, os prestadores de serviços desenvolveram

competências de cibersegurança para oferecer à administração uma forma econômica de

mensurar prontamente o risco cibernético e de reduzir o tempo de resposta. No entanto,

esses tipos de serviços não são tipicamente a fonte primária de avaliação e as organizações

usuárias raramente solicitam que seus prestadores de serviços conduzam o monitoramento

contínuo.

Aqui estão 10 perguntas que o CAE deve considerar ao avaliar a governança da organização

relativa à cibersegurança.

1. A alta administração e o órgão de governança (comitê de auditoria, conselho de

administração, etc.) estão cientes dos riscos relativos à cibersegurança? As iniciativas

de cibersegurança recebem apoio e prioridade adequados?

2. A administração realizou uma avaliação de riscos para identificar os ativos suscetíveis

a ameaças cibernéticas ou violações de segurança e o possível impacto (financeiro e

não financeiro) foi avaliado?

3. A primeira e segunda linhas de defesa estão colaborando com seus parceiros na

indústria (ex., conferências, fóruns de networking e webcasts) para se manter

atualizadas quanto a riscos novos/emergentes, fraquezas comuns e violações

associadas à cibersegurança?

4. Há políticas e procedimentos de cibersegurança em prática e os funcionários e

terceirizados recebem treinamento de conscientização de cibersegurança de forma

periódica?

5. Os processos de TI foram desenvolvidos e estão operando para detectar ameaças

cibernéticas? A administração tem controles de monitoramento suficientes em prática?

6. Os mecanismos de feedback estão operando para dar à alta administração e ao

conselho insights sobre o status dos programas de cibersegurança da organização?

7. A administração tem uma linha de denúncias ou procedimento de emergência eficaz

em prática, para o caso de um ciberataque ou ameaça? Eles foram comunicados aos

funcionários, terceirizados e prestadores de serviços?

8. A atividade de auditoria interna é capaz de avaliar os processos e controles para

mitigação de ameaças cibernéticas ou o CAE precisa considerar recursos adicionais

com conhecimento especializado em cibersegurança?

9. A organização mantém uma lista de prestadores externos de serviços que tenham

acesso ao sistema, incluindo aqueles que armazenam dados externamente (ex.,

prestadores de TI, fornecedores de armazenamento na nuvem, processadores de

pagamentos)? Um projeto independente de análise de cibersegurança foi conduzido



para avaliar a eficácia dos controles da organização do serviço como parte de seu

programa de gerenciamento de riscos de cibersegurança?

10. A auditoria interna identificou

adequadamente as ameaças

cibernéticas comuns que a

organização encara (ex., estados-

nações, cibercriminosos, hacktivistas,

sistemas de rede, fornecedores de

serviços na nuvem, fornecedores,

sistemas de redes sociais, malware)

e as incorporou aos processos de

avaliação de riscos e planejamento

de auditoria interna?

Essas 10 perguntas enfatizam a

necessidade de uma forte governança, não

apenas no topo, mas em toda a

organização. Quando as respostas são

consistentemente favoráveis na

organização, então, é provável que uma boa

governança esteja em prática.

Usando as perguntas, o CAE pode começar a identificar os alertas vermelhos relativos à

cibersegurança. O CAE pode avaliar se a segunda linha de defesa está agindo

estrategicamente e se a primeira linha de defesa está posicionada para identificar e

responder aos riscos e executar ações corretivas prontamente. A métrica abrangente é a

estrutura de governança. A Tabela 5 lista os alertas vermelhos que sinalizam possíveis

lacunas de governança.

É papel do CAE interpretar as respostas preliminares dessas perguntas iniciais e começar o

processo de identificar áreas ameaçadas através de uma abordagem disciplinada com base

em riscos. O julgamento profissional do CAE terá um grande papel em obter um

entendimento preciso das correlações das ameaças à cibersegurança.

É importante notar que a estrutura de governança da alta administração pode impactar a

maneira como esses alertas são percebidos. Portanto, o julgamento profissional do CAE e a

abordagem de auditoria com base em riscos podem facilitar a comunicação eficaz desses

alertas, para avaliar se a administração tem controles em prática para mitigar as ameaças.

Alertas comuns podem sinalizar sintomas de uma governança fraca: uma falta de estratégia

para o programa de cibersegurança e iniciativas relacionadas e/ou atrasos plurianuais dos

esforços de cibersegurança. Cortes orçamentários significantes às funções de segurança

também podem demandar atenção. Se a função de segurança da informação é passiva e

Tabela 5: Alertas Vermelhos

que Sinalizam Possíveis

Lacunas de Governança

Estrutura de governança diferente e fragmentada

Estratégia incompleta

Atrasos dos esforços de cibersegurança

Cortes orçamentários e atritos

Fraca determinação em executar a prestação de contas



não está disposta ou não é capaz de promover a prestação de contas da administração

quanto aos cibercontroles necessários, pode haver a necessidade de aumentar a

conscientização e o apoio executivos para a função.

Escopo de Auditoria Interna e Colaboração

Definir o escopo do risco de cibersegurança é um exercício interdependente que exige que a

auditoria interna planeje em conjunto com as funções de conformidade da segunda linha de

defesa. O planejamento de auditoria é mais eficaz quando integrado com as funções de

conformidade que têm o insight para priorizar o impacto comercial, e com quem eles podem

colaborar durante e após a auditoria interna.

O CAE deve definir o que é coberto pelo plano de auditoria interna e, também, notar as áreas

em que a avaliação pode não ser prestada atualmente. Em alinhamento com a Norma 2050

do The IIA: Coordenação, a cobertura apropriada do risco de cibersegurança exigirá a

colaboração com a primeira e segunda linhas de defesa, para garantir que a atividade de

auditoria interna identifique as informações mais importantes para a organização. Dando

prioridade às informações mais importantes, a atividade de auditoria interna deve trabalhar

com os proprietários de dados relevantes (incluindo o gerenciamento de dados corporativos),

avaliar o processo de provisionamento e determinar quem recebeu acesso aos dados em

contexto com sua importância.

A atividade de auditoria interna deve, então, trabalhar com a gerência operacional para

identificar os sistemas e tecnologias que permitem caminhos de acesso para visualizar as

informações críticas (ex., dados dos funcionários, informações pessoalmente identificáveis,

números de cartões de crédito de consumidores, histórico de compra dos fornecedores).

Trabalhar com a gerência operacional também ajudará a garantir que os elementos

relevantes para as vulnerabilidades de cibersegurança sejam monitorados continuamente. A

auditoria interna deve considerar mensurar o escopo da auditoria de cibersegurança com

base em quem tem acesso às informações críticas e avaliar a tecnologia relativa ao seu

caminho de acesso.

As perguntas a seguir facilitarão o processo de identificação de informações críticas:

Que informações são consideradas críticas e por quê?

Qual o valor dos dados (para fraudadores, concorrentes, etc.)?

Onde a informação é acessada, processada e armazenada?

Como a informação é transmitida?

Qual a extensão do rigor obedecido para conceder e revogar acesso?

Foram determinados níveis de acesso por papel e quais papéis têm acesso

administrativo?

Como o acesso é concedido, aprovado, monitorado e removido?

Qual o nível de proteção da informação quanto ao acesso não autorizado?



Que tipo de teste é conduzido (penetração, acesso, mudanças rastreadas, etc.)?

Como o risco de cibersegurança é monitorado para aqueles que têm acesso funcional

a informações críticas?

Se ainda não estiver documentado em um plano de continuidade do negócio ou recuperação

após desastres, a administração deve considerar conduzir uma análise de impacto comercial

para classificar, priorizar e documentar a população de sistemas, dados e recursos críticos.

O CAE pode utilizar os resultados da análise de impacto comercial para determinar se o

plano de auditoria interna cobre suficientemente os sistemas que contêm informações

críticas. O CAE pode, então, divulgar ao conselho as áreas em que a avaliação pode ou não

ser prestada atualmente e os planos para garantir a cobertura.



Uma Abordagem para Avaliar Riscos e Controles de Cibersegurança

Os seis componentes interdependentes do framework ilustrado abaixo podem ser usados

para avaliar o desenvolvimento e a eficácia operacional dos controles e governança de

cibersegurança da administração. Como deficiências em qualquer um dos componentes

impactarão a eficácia geral da cibersegurança, avaliar como cada um é desenvolvido e opera

com os demais dá ao CAE uma base para determinar o nível de preparação da organização

para abordar os riscos de cibersegurança. Se os componentes não tiverem sido

desenvolvidos ou não estiverem operando bem juntos, a organização está mal preparada

para abordar as ameaças cibernéticas e os riscos emergentes.

Framework de Avaliação de Riscos de Cibersegurança

Componente 1: Governança de Cibersegurança

A atividade de auditoria interna deve entender a governança de cibersegurança da

organização. A Norma 2100 do The IIA: Natureza do Trabalho exige que a atividade de

auditoria interna avalie e contribua para a melhoria dos processos de governança,

1) Governança de Cibersegurança

2) Inventário de Ativos de Informação:

Dados, Infraestrutura, Aplicações

3) Configurações Padrão de Segurança

4) Gestão do Acesso à

Informação

5) Resposta e Remediação

Imediatas6) Monitoramento

Contínuo



gerenciamento de riscos e controle. A governança pode incluir o esclarecimento de papéis e

responsabilidades, o estabelecimento da prestação de contas, a adoção de uma estratégia

plurianual e a priorização de planos de ação, para incluir a colaboração estratégica com

múltiplas partes interessadas.

Uma forte governança de cibersegurança depende de:

Colaboração e coleta de inteligência e expertise de riscos de cibersegurança, com

base nas ameaças que poderiam afetar a organização.

Definição do apetite e tolerância de risco.

Planejamento da continuidade do negócio e recuperação após desastres, no caso de

interrupção.

Pronta resposta a violações de segurança.

Estabelecimento de uma cultura de conscientização de riscos e ameaças de

cibersegurança.

A governança eficaz é comprovada por políticas claramente definidas, ferramentas

relevantes, estruturação de equipe suficiente e treinamento perspicaz.

A existência de múltiplas partes interessadas, com diversas perspectivas, fortalece a

qualidade da governança. Um comitê de governança de cibersegurança normalmente inclui a

alta administração e representantes da primeira, segunda e terceira linhas de defesa;

proprietários de tecnologias e processos; e possivelmente as principais partes interessadas

externas, como fornecedores, consumidores, prestadores de serviços e grupos de parceiros.

Equipes de resposta a incidentes reportam regularmente à administração e ao conselho

sobre os tipos de violações encontradas, para oferecer insights adicionais sobre as lacunas

antes desconhecidas. A administração pode, então, monitorar as questões identificadas por

meio da remediação.

Componente 2: Inventário de Ativos de Informação

O departamento de TI deve manter um inventário atualizado de todos os ativos de

informação e priorizar aqueles que são mais essenciais ao atingimento dos objetivos e à

manutenção das operações da organização. Para cumprir com as metas e iniciativas

organizacionais estratégicas, esses ativos exigem mais do que os controles gerais de TI

tradicionais e avaliações periódicas. Controles de prevenção e detecção desenvolvidos para

proteger os ativos mais valiosos devem ser continuamente monitorados, para garantir a

eficácia contínua.

Ao avaliar os ativos de informação da organização, deve-se considerar os seguintes:

Dados

o Tipos (ex., transacionais, configuração de TI, não estruturados)



o Classificação (permite padronização e priorização)

o Ambientes (ex., data warehouses, principais bancos de dados)

Repositório de infraestrutura para ativos tecnológicos

o Servidores

o Dispositivos de rede

o Armazenamento

o Dispositivos do usuário final (ex., laptops, dispositivos móveis)

Aplicativos

Relacionamentos externos

o Ambientes hospedados por terceiros

o Compartilhamento de arquivos de dados com organizações externas (ex.,

fornecedores, órgãos reguladores, governos)

A capacidade de identificar quais softwares e dispositivos estão interagindo na rede é

fundamental para a capacidade de defesa contra ameaças cibernéticas. A organização não

pode se defender de ataques à rede em dispositivos ou softwares desconhecidos. As

organizações que permitem que os funcionários tragam seus próprios dispositivos vivenciam

um maior volume e variedade de dispositivos e softwares acessando dados por meio da rede

corporativa. Controlar os dispositivos e a conectividade dos funcionários à rede deve ser um

foco chave da administração. Cada vez mais, exige-se que mais os funcionários tenham

maior acessibilidade às informações organizacionais o tempo todo. A habilidade de detectar,

autenticar e inventariar dispositivos desconhecidos permite que a organização rastreie,

monitore e mensure as mudanças nesses dispositivos, para garantir que a estratégia geral

de cibersegurança seja eficaz.

Componente 3: Configurações Padrão de Segurança

Softwares centralizados e automatizados de gerenciamento de configurações podem ser

usados para estabelecer e manter os parâmetros para dispositivos, sistemas operacionais e

softwares de aplicação. Usar um software de gerenciamento é mais eficaz do que gerenciar

os sistemas manualmente ou de forma não padronizada. A segurança da informação e a

atividade de auditoria interna devem revisar os parâmetros, para garantir que uma avaliação

precisa dos ambientes com base em riscos possa ser realizada (ex., ambientes web de

interação externa podem exigir proteção adicional). Processos para aplicar os patches

necessários, assim como atualizações de software e hardware, também são necessários

para garantir que as configurações seguras permaneçam atuais, conforme novas

informações de ameaças se tornarem disponíveis na indústria.

Componente 4: Gerenciamento do Acesso à Informação

A administração deve considerar a implementação de controles preventivos, como ter um

processo para aprovar e conceder acesso a usuários com base em seus cargos

profissionais. Adicionalmente, um processo para detectar quando os funcionários são



realocados dentro da organização ajudaria a garantir que o acesso do usuário seja ajustado

e relevante ao novo cargo. A atividade de auditoria interna pode realizar uma revisão do

acesso do usuário a dados e sistemas principais, para validar se os níveis de acesso são

justificados para os cargos atuais.

O acesso administrativo privilegiado é especialmente importante. Usuários com a capacidade

de acessar e divulgar informações estão mais suscetíveis ao risco de cibersegurança. Ao

divulgar inadvertidamente sua senha ou carregar malware como resultado de tentativas de

phishing, os usuários podem contornar as camadas de controles sistemáticos, desenvolvidos

para prevenir o acesso não autorizado. As pessoas com acesso residem dentro e fora da

organização, então, deve-se prestar atenção aos funcionários, consultores e fornecedores

com acessos a dados principais, estejam esses dados hospedados interna ou externamente.

Validar as atividades de controle preventivo para concessão e revogação de acesso e avaliar

a suscetibilidade e comportamentos dos usuários com acesso privilegiado são medidas

principais para a eficácia do programa de cibersegurança da organização.

Componente 5: Pronta Resposta e Remediação

A capacidade da organização de prontamente comunicar e remediar riscos indica a eficácia e

o nível de maturidade do programa. Programas amadurecidos são capazes de reduzir

continuamente o tempo de resposta da administração. Alguns papéis da segunda linha de

defesa são:

Comunicar os riscos que importam.

Efetuar a remediação.

Interligar as questões identificadas à resolução.

Definir as tendências e reportar sobre as resoluções a toda a entidade.

Componente 6: Monitoramento Contínuo

Como componente final deste framework, a auditoria contínua de cada um dos cinco

componentes descritos acima, quando conduzida, ajudará a determinar como o risco é

gerido e o nível de qualidade da execução da ação corretiva. Uma abordagem de avaliação

eficaz exige mais do que pesquisas rotineiras de aderência a checklists. Espera-se que a

segunda linha de defesa implemente uma estratégia de monitoramento desenvolvida para

gerar mudanças comportamentais que incluam:

Avaliação e scanning de nível de acesso, que envolvam o monitoramento das pessoas

com acesso a informações sensíveis, para mensurar o risco relativo à cibersegurança.

Para um subconjunto de usuários que executem processos críticos, é útil desenvolver

uma forma sistemática de descobrir vulnerabilidades entre ativos relevantes de TI,

configurações de segurança, websites problemáticos, incidentes de malware e

vazamento de dados.



Avaliação de vulnerabilidade: Escanear regularmente os sistemas é crítico para

identificar as vulnerabilidades do ambiente. Uma vez que as vulnerabilidades tenham

sido identificadas, categorizadas (ex., críticas, grandes, moderadas) e abordadas (ex.,

abordar todas as vulnerabilidades críticas em sistemas de alto risco dentro de 30

dias), as atividades de remediação devem ser executadas para as vulnerabilidades

identificadas.

Sistemas de interação externa frequentemente apresentam os mais altos riscos às

organizações e devem receber prioridade; no entanto, é melhor que as atividades de

remediação não sejam limitadas apenas aos ambientes de interação externa. Os

recursos de primeira e segunda linhas podem trabalhar na organização para definir e

acordar quanto aos SLAs e a auditoria interna pode ajudar, avaliando se a

administração está em conformidade com os SLAs definidos.

Avaliações e monitoramento de terceiros: Programas podem auxiliar na avaliação dos

riscos de fornecedores externos e do nível de risco à segurança apresentado à

organização com base nos serviços prestados. Por exemplo, se o prestador hospeda

dados organizacionais sensíveis, a administração deve considerar ter programas

definidos de supervisão, como:

o Monitoramento ativo de SLAs.

o Mudanças de configuração de segurança da informação.

o Resultados de trabalhos independentes de análise de cibersegurança.

o Relatórios de service organization controls (SOC).

o Avaliações de vulnerabilidade e testes de penetração.

o Procedimentos de escalonamento com gerenciamento de fornecedores.

o Avaliações de parâmetros conduzidas para inspecionar os principais controles

de segurança.

o Avaliações contínuas que analisem a arquitetura técnica e os controles em

prática para proteger os dados organizacionais.

o Monitoramento dos recursos de terceiros que acessam a rede e os sistemas de

organização, para garantir que esses recursos não estejam conduzindo

atividades inapropriadas ou expondo a organização a riscos desnecessários

por meio desse acesso.

Teste de penetração: A segunda linha de defesa pode conduzir testes de penetração

para vulnerabilidades conhecidas, para avaliar os controles técnicos preventivos,

assim como a habilidade da administração de detectar e responder a ataques. Os

testes de penetração devem incluir componentes imprevistos, para oferecer uma

avaliação mais confiável e objetiva das capacidades e da prontidão da organização

para reagir a situações reais de ataques cibernéticos. No entanto, o escopo dos testes

deve ser razoável, não deve interromper as operações e deve ser aprovado pela

liderança relevante com antecedência. Por exemplo, a condução de um teste de um

cenário de ataque de negação de serviço, que é uma interrupção da rede com



intenção maliciosa, deve ser coordenada com a liderança, de modo a não interromper

as operações normais.

Malware: Como as vulnerabilidades podem ser descobertas depois que um dispositivo

ou produto de software foi enviado a um consumidor, um processo deve ser

considerado para escanear regularmente os dispositivos e produtos, identificar

vulnerabilidades e fazer patches nos sistemas em ordem de prioridade (ex., ativos

críticos com patches críticos primeiro). Alguns sistemas e patches podem ficar abaixo

de um limite estabelecido de risco e, portanto, seriam monitorados e reportados, mas

sem tomar qualquer medida.

Monitoramento e resposta a incidentes: Essa combinação de processos permite que

uma organização detecte, reaja, remedie, se recupere e reporte à administração no

caso de uma violação. Tecnologias de logging e monitoramento, assim como uma

equipe de resposta altamente treinada, são essenciais para garantir que esses

controles sejam bem-sucedidos em atingir os objetivos.

Os riscos emergentes de cibersegurança da indústria, assim como incidentes vivenciados

pela organização ou por organizações parceiras, demandam ajustes ao longo do tempo à

estratégia de monitoramento contínuo.

O Anexo D lista cada componente deste framework e as atividades de gerenciamento,

incluindo o monitoramento contínuo, que a atividade de auditoria interna pode querer

considerar para a condução da auditoria e avaliação contínua.

O Papel do CAE no Reporte da Avaliação ao Conselho e Outros Órgãos de Governança

Conforme o cenário de risco evolui e o uso de serviços na nuvem, dispositivos móveis e

redes sociais aumenta, as ameaças cibernéticas crescem. Rotineiramente, os CAEs devem

discutir sobre o apetite de risco da organização com a alta administração e com o conselho.

Os CAEs devem, também, se reunir regularmente com os líderes ou comitê de

gerenciamento de riscos da organização, para priorizar os riscos e ameaças de

cibersegurança, para garantir que sejam alocados recursos aos mais significantes. Portanto,

é essencial que a administração identifique e desenvolva uma estratégia para lidar com os

sistemas de informação e ativos de dados mais cruciais para a organização e que o CAE

valide isso junto à alta administração e ao conselho.

O conselho e a alta administração recorrem ao CAE para avaliações sobre o gerenciamento

de riscos e controles, incluindo a eficácia geral das atividades conduzidas pela primeira e

segunda linhas de defesa para o gerenciamento e mitigação de riscos e ameaças de

cibersegurança. O conselho precisa entender os sistemas de informação e ativos de dados

que são mais cruciais para a sua organização e obter avaliação do CIO, CISO, CSO, CTO e



CAE de que existem controles em prática para prevenir, detectar e mitigar os riscos

cibernéticos dentro de um nível aceitável de tolerância.

O CAE deve garantir que os membros do conselho estejam bem informados sobre as

ameaças cibernéticas comuns e específicas à indústria e sobre o impacto que incidentes de

cibersegurança podem ter sobre a organização. O conselho e a alta administração podem se

beneficiar de participar de treinamentos de conscientização e sessões educacionais, para

obter um entendimento do perfil de ciberameaça da organização. Aumentar continuamente a

conscientização posicionará melhor o conselho, com o conhecimento necessário para validar

que uma estrutura apropriada de governança está em prática para proteger e monitorar os

sistemas e dados que são vitais para a organização. Tópicos técnicos de cibersegurança,

traduzidos em informações significantes, permitem que o conselho exercite suas

responsabilidades de supervisão e monitore o cenário cibernético e os riscos associados ao

longo do tempo.

A comunicação eficaz entre as três linhas de defesa e o conselho é essencial. Estabelecer

uma comunicação periódica ajuda a garantir que o conselho receba as informações

relevantes para cumprir, com eficácia, com seu papel de supervisão do controle interno. O

conselho também recorrerá ao CAE para avaliar se a administração tem uma estratégia e um

plano em prática para notificar o conselho, as autoridades executivas, os consumidores e o

público no caso de uma grande violação. Protocolos de escalonamento e comunicação

devem ser estabelecidos e revisados pelo conselho, para garantir que a notificação

tempestiva e apropriada seja feita, no caso de uma violação.

A estratégia e o plano de comunicação devem ser documentados com papéis e

responsabilidades claramente definidos para o caso de uma exploração disruptiva de

cibersegurança. O plano precisa ser testado e os rascunhos de possíveis cartas de

comunicação/press releases precisam ser revisados por um conselheiro legal com

antecedência. Uma estratégia abrangente e bem planejada de resposta e remediação

ajudará a minimizar o impacto sobre a organização e a manter a confiança dos consumidores

e de outras partes interessadas no caso de uma violação.



Anexo A. Normas Principais do The IIA

As seleções a seguir das Normas Internacionais para a Prática Profissional de Auditoria

Interna (Normas) são relevantes para a cibersegurança.

Norma 1210 – Proficiência

Os auditores internos devem possuir o conhecimento, as habilidades e outras competências

necessárias ao desempenho de suas responsabilidades individuais. A atividade de auditoria

interna deve possuir ou obter coletivamente o conhecimento, as habilidades e outras

competências necessárias ao desempenho de suas responsabilidades.

1210.A3 – Os auditores internos devem possuir conhecimento suficiente sobre os

principais riscos e controles de tecnologia da informação e sobre as técnicas de

auditoria baseadas em tecnologia disponíveis para a execução dos trabalhos a eles

designados. Entretanto, não se espera que todos os auditores internos possuam a

especialização de um auditor interno cuja principal responsabilidade seja auditoria de

tecnologia da informação.

Norma 2050 – Coordenação

O executivo chefe de auditoria deveria compartilhar informações e coordenar atividades com

outros prestadores internos e externos de serviços de avaliação (assurance) e consultoria,

para assegurar a cobertura apropriada e a minimização da duplicação de esforços.

Norma 2110 – Governança

A atividade de auditoria interna deve avaliar e propor recomendações apropriadas para a

melhoria do processo de governança no seu cumprimento dos seguintes objetivos:

Promover a ética e os valores apropriados dentro da organização;

Assegurar o gerenciamento eficaz do desempenho organizacional e a prestação de

contas;

Comunicar as informações relacionadas aos riscos e aos controles às áreas

apropriadas da organização; e

Coordenar as atividades e a comunicação das informações entre o conselho, os

auditores externos e internos e a administração.

2110.A2 – A atividade de auditoria interna deve avaliar se a governança de tecnologia

da informação da organização dá suporte às estratégias e objetivos da organização.

Norma 2120 – Gerenciamento de riscos

A atividade de auditoria interna deve avaliar a eficácia e contribuir para a melhoria dos

processos de gerenciamento de riscos.



Anexo B. Orientações Relacionadas do The IIA

Guia Prático, “Business Continuity Management – Crisis Management”

Guia Prático, “Auditing Privacy Risks, 2nd Edition”

GTAG, “Change and Patch Management Controls: Critical for Organizational Success, 2nd

Edition”

GTAG, “Management of IT Auditing, 2nd Edition”

GTAG, “Information Technology Outsourcing, 2nd Edition”

GTAG, “Identity and Access Management”

GTAG, “Developing the IT Audit Plan”

GTAG, “Information Security Governance”

GTAG, “Auditing IT Governance”

Declaração de Posicionamento, “As Três Linhas de Defesa no Gerenciamento de Riscos e

Controle Eficazes”



Anexo C. Definição dos Conceitos Fundamentais

Ciberameaça: Pessoas que tentam acesso não autorizado a um dispositivo de sistema de controle e/ou rede, usando um pathway de comunicação de dados. O acesso pode vir de dentro de uma organização, por usuários conhecidos, ou de locais remotos, por pessoas desconhecidas, usando a internet. Ameaças a sistemas de controle podem vir de diversas fontes, incluindo governos hostis, grupos terroristas, funcionários insatisfeitos e intrusos maliciosos.4

Cibersegurança: A proteção de ativos de informação, abordando ameaças às informações processadas, armazenadas e transportadas por sistemas de informação interligados em rede.5

Hacktivistas: Uma pequena população de hackers politicamente ativos que representam ameaça de nível médio de ataque isolado, mas danoso. A maioria dos grupos hacktivistas internacionais parece mais inclinada a propaganda do que a danificar infraestruturas críticas. Sua meta é apoiar seus interesses políticos. Suas submetas são propaganda e causar danos para ganhar notoriedade para sua causa.6

Malware: Software malicioso desenvolvido para infiltrar, danificar ou obter informações de um sistema de computador, sem o consentimento do proprietário.7

Patch: Reparos de erros e vulnerabilidades na programação de softwares.8

Phishing: Tipo de ataque por correspondência eletrônica (e-mail), que tenta convencer o usuário de que o remetente é genuíno, mas com a intenção de obter informações para uso na engenharia social.9

Postura de segurança: Status de segurança das redes, informações e sistemas de uma empresa, com base nos recursos de AI (ex., pessoas, hardware, software, políticas) e capacidades em prática para gerir a defesa da empresa e para reagir conforme a situação mudar.10

Segurança da informação: Garante que, dentro de uma empresa, as informações estejam protegidas contra divulgação por parte de usuários não autorizados (confidencialidade), modificação imprópria (integridade) e não-acesso quando necessário (disponibilidade).11

4 Department of Homeland Security, Industrial Control Systems Cyber Emergency Response Team, “Cyber Threat Source Descriptions”. https://ics-cert.us-cert.gov/content/cyber-threat-source-descriptions (acessado em 20 de Junho de 2016). 5 ISACA, “ISACA Glossary of Terms”, p. 29. 2015. http://www.isaca.org/Knowledge-Center/Documents/Glossary/ glossary.pdf (acessado em 20 de Junho de 2016). Todos os direitos reservados. Usado com permissão. 6 Ibid. https://ics-cert.us-cert.gov/content/cyber-threat-source-descriptions#hack (acessado em 20 de Junho de 2016). 7 Ibid., p. 59. 8 Ibid., p. 69. 9 Ibid., p. 70. 10 Richard Kissel, Editor, “Glossary of Key Information Security Terms, NSISTIR 7298, Revision 2,” p. 179. 2013. http://nvlpubs.nist.gov/nistpubs/ir/2013/NIST.IR.7298r2.pdf (acessado em 5 de Julho de 2016). 11 ISACA, “ISACA Glossary of Terms”, p. 49. 2015. http://www.isaca.org/Knowledge-Center/Documents/Glossary/ glossary.pdf (acessado em 20 de Junho de 2016). Todos os direitos reservados. Usado com permissão.



Anexo D. Considerações de Auditoria Interna para o Risco de Cibersegurança

Os componentes a seguir, organizados pelas atividades descritas neste guia, funcionam em

conjunto para abordar o risco de cibersegurança. Também inclusas estão considerações

para monitorar a eficácia operacional:

Componente 1: Governança de Cibersegurança

Propósito claro e estratégico, com partes interessadas responsáveis e papéis e

responsabilidades definidos.

Linha de reporte para permitir autoridade e objetividade adequadas.

Expertise para empregar ferramentas de segurança e aplicar as políticas.

Elementos de prática, incluindo:

Definir e comunicar o apetite de risco.

Definir políticas de cibersegurança.

Conduzir avaliações de risco e monitoramento, com base em raciocínio e

metodologia consistentes.

Treinamento e estruturação de equipe para aplicar a estratégia de

monitoramento de segurança, para sustentar conforme as necessidades

organizacionais mudam.

Exigir trabalhos independentes de exame de cibersegurança de terceiros que

produzam ou prestem bens ou serviços específicos.

Comunicação, mensuração, reporte e acompanhamento de ações contínuos.

Gerenciamento de incidentes.

Planejamento da continuidade do negócio com relação a cenários de cibersegurança.

Visibilidade e envolvimento da alta administração e do conselho.

Componente 2: Inventário de Ativos de Informação

Inventário de dados: A administração identificou e classificou os tipos e locais dos

dados críticos e sensíveis, sejam internos ou externos à organização.

Inventário de dispositivos autorizados e não autorizados: Dispositivos de

hardware autorizados acessam a rede (inventariar, rastrear e corrigir) e dispositivos

não autorizados encontrados são removidos.

Monitorar o número de dispositivos não autorizados na rede da organização e a

média de tempo necessário para removê-los da rede.

Monitorar a porcentagem de sistemas na rede da organização que não estão

usando a autenticação de usuário para obter acesso à rede da organização.



Manter uma listagem atualizada de dispositivos de rede, servidores e

dispositivos do usuário final.

Inventário de softwares autorizados e não autorizados: Garantir que apenas

softwares autorizados sejam instalados/executados na rede (inventariar, rastrear e

corrigir) e que softwares não autorizados sejam impedidos de ser instalados. Se

softwares não autorizados forem detectados, devem ser removidos tempestivamente.

Número de instâncias de softwares não autorizados na rede e tempo médio

necessário para removê-las da rede.

Porcentagem de sistemas da organização que não estão executando o

software de whitelisting/blacklisting.

Número de aplicações de software bloqueadas pelo software de

whitelisting/blacklisting da organização.

Porcentagem de sistemas que passaram por hardening.

Componente 3: Configurações Padrão de Segurança

Configurações seguras para hardware e software em dispositivos móveis,

laptops, estações de trabalho e servidores: Estabelecer, implementar e gerenciar

ativamente (rastrear, reportar, corrigir) as configurações de segurança.

Porcentagem de sistemas da organização não configurados de acordo com os

padrões de configuração aprovados.

Porcentagem de sistemas da organização com configurações de segurança

não realizadas por aplicações de gerenciamento de configurações técnicas.

Porcentagem de sistemas da organização não atualizados com os mais

recentes patches de segurança de sistemas operacionais.

Porcentagem de sistemas da organização não atualizados com os mais

recentes patches de segurança de aplicação de software comercial.

Configurações seguras para dispositivos de rede, como firewalls, roteadores e

switches: Estabelecer, implementar e gerenciar ativamente (rastrear, reportar,

corrigir) as configurações de segurança:

Volume e frequência das mudanças de configuração do sistema de rede.

Tempo médio para alertar o administrador da organização sobre as mudanças

não autorizadas das configurações e tempo médio para bloquear/colocar em

quarentena as mudanças à rede.

Componente 4: Gerenciamento de Acesso à Informação

Uso controlado de privilégios administrativos: Monitorar o uso, designação e

configuração de privilégios administrativos em computadores, redes e aplicações.

Monitoramento e controle de contas: Gerenciar o ciclo de vida de contas de

sistemas e aplicações (criação, uso, dormência e exclusão).



Acesso controlado com base na necessidade de saber: Rastrear, controlar,

prevenir e corrigir o acesso seguro a ativos críticos (ex., informações, recursos,

sistemas).

População de usuários: Os processos de acesso de usuários devem considerar

todas as pessoas com acesso aos dados críticos, incluindo usuários internos e

externos. A maioria das organizações tem funcionários, consultores e fornecedores

acessando os dados interna e externamente. Incluir terceiros aos quais sejam feitas

transferências de arquivos.

Componente 5: Pronta Resposta e Remediação

Melhoria contínua do programa de cibersegurança, da coleta de recomendações e

ações tempestivas à conclusão.

Avaliar vulnerabilidades, analisar inteligência de ameaças e identificar lacunas.

Mensurar o desempenho e comparar com as referências da indústria e organizações

parceiras.

Identificar conhecimentos, habilidades e capacidades específicas necessárias para

apoiar o programa.

A seguir, alguns exemplos de métricas:

Quantidade e porcentagem de remediação sustentada, com base em

local/departamento/funcionários.

Número de vulnerabilidades de TI e exceções de políticas, com base em

local/departamento/funcionários.

Pontuações de conformidade da plataforma, com base em local/departamento.

Componente 6: Monitoramento Contínuo

Defesas contra malware: Controlar a instalação, difusão e execução de códigos

maliciosos; rapidamente atualizar as defesas, coletar dados e realizar ações

corretivas.

Limitação e controle de ports de rede, protocolos e serviços: Rastrear, controlar e

corrigir o uso operacional de ports, protocolos e serviços em dispositivos de rede.

Segurança de softwares de aplicação: Prevenir, detectar e corrigir fraquezas de

segurança de todos os softwares desenvolvidos internamente ou adquiridos.

Controle de acesso wireless: Rastrear, controlar e corrigir o uso de LANs wireless,

pontos de acesso e sistemas-cliente wireless.

Defesa de fronteiras: Detectar, prevenir e corrigir o fluxo de redes de transferência

de informações de diferentes níveis de confiança.



Testes de penetração, testes de phishing e exercícios da equipe vermelha:

Testar a força geral das defesas de uma organização (tecnologia, processos e

pessoas).

Manutenção, monitoramento e análise de eventos de mudança: Coletar, gerenciar

e analisar eventos de mudança e incidentes que poderiam ajudar a detectar, entender

ou se recuperar de um ataque. Incluir análises de intrusion detection systems (IDS) e

registros de atividades dos usuários privilegiados.

Proteção/prevenção de perda de dados: Prevenir/mitigar os efeitos de vazamentos

de dados; garantir a privacidade/integridade. Empregar ferramentas para auxiliar

quando apropriado.



Autores/Contribuintes

Bradley C. Ames, CRMA, CISA

Forrest R. Foster, CISA

Caroline Glynn, CIA, CISA

Mike Lynn, CRMA

Dean Nakama

Tim Penrose, CIA, CISA

Sajay Rai, CISM



Sobre o Instituto

The Institute of Internal Auditors (The IIA) é o mais reconhecido advogado, educador e fornecedor de normas,

orientações e certificações da profissão de auditoria interna. Fundado em 1941, o The IIA atende, atualmente, mais

de 185.000 membros de mais de 170 países e territórios. A sede global da associação fica em Altamonte Springs, na

Flórida. Para mais informações, visite www.globaliia.org ou www.theiia.org.

Sobre as Orientações Suplementares

Orientações Suplementares fazem parte do International Professional Practices Framework (IPPF) do The IIA e

oferecem orientações adicionais recomendadas (não obrigatórias) para a condução de atividades de auditoria

interna. Embora apoiem as Normas, as Orientações Suplementares não têm o objetivo de relação direta com o

atingimento da conformidade com as Normas. Elas têm o objetivo de abordar tópicos específicos, assim como

questões específicas de determinados setores, e incluem processos e procedimentos detalhados. Esta orientação é

apoiada pelo The IIA, por meio de processos formais de revisão e aprovação.

Guias Práticos

Os Guias Práticos são um tipo de Orientação Suplementar, que fornecem orientação detalhada para a

condução de atividades de auditoria interna. Eles incluem processos e procedimentos detalhados, como

ferramentas e técnicas, programas e abordagens passo-a-passo, assim como exemplos de entregáveis. Como

parte das orientações do IPPF, a conformidade com os Guias Práticos é recomendada (não obrigatória). Os

Guias Práticos são apoiados pelo The IIA, por meio de processos formais de revisão e aprovação.

Um Global Technologies Audit Guide (GTAG) é um tipo de Guia Prático, redigido em linguagem clara de

negócios, para abordar uma questão tempestiva relativa ao gerenciamento, controle ou segurança da tecnologia

da informação.

Para mais materiais de orientação fidedignos fornecidos pelo The IIA, por favor, visite nosso site em

www.globaliia.org/standards-guidance ou www.theiia.org/guidance.

Isenção de Responsabilidade

O The IIA publica este documento para fins informativos e educacionais e este material não tem o objetivo de

fornecer respostas definitivas a específicas circunstâncias individuais. Desta forma, tem o único propósito de servir

de guia. O The IIA recomenda que você sempre busque conselhos especializados independentes, relacionados

diretamente a qualquer situação específica. O The IIA não aceita qualquer responsabilidade pela confiança

depositada unicamente neste guia.

Copyright

Copyright ® 2016 The Institute of Internal Auditors

Para permissão para reproduzir, por favor, contate [email protected].

Setembro de 2016