Realização de auditorias de segurança usando COBIT® 5, ISO 27001:2013 e o NIST Cibersecurity framework

Para a ISACA®, um tópico quente na área de auditoria é a segurança cibernética. Na verdade, é difícil não encontrar toda semana uma notícia relacionada a ataques cibernéticos, roubo de informações corporativas ou novos vírus que ameaçam as operações normais das organizações.

Portanto, em 2016 a organização desenvolveu o programa de auditoria para cibersegurança “IS Audit/Assurance Program for Cybersecurity” (gratuito para membros, pode ser baixado do site da ISACA®), (1) baseado no NIST Cybersecurity Framework Audit Program do NIST. (2)

 

ISACA cybersecurity
Figura: Imagem da página web do IS Audit/Assurance Program for Cybersecurity no site da ISACA®. Fonte: ISACA®

O NIST (National Institute of Standards and Technology, em inglês), instituto governamental do Departamento de Comércio dos Estados Unidos da América (EUA), (3) dedica-se a promover a inovação e a competitividade industrial através do avanço da ciência de medição, padrões e tecnologia para melhorar a segurança econômica e a qualidade de vida.

O instituto visa ser líder mundial na criação de soluções críticas de medição e na promoção de padrões equitativos.

De acordo com a ISACA®, o objetivo de uma auditoria de segurança cibernética é:

"fornecer à administração uma avaliação da eficácia dos processos, políticas, procedimentos, governança e outros controles da segurança cibernética".

A auditoria também pode ser adaptada para suportar vários tipos de processos de negócios, aplicativos ou sistemas com vários requisitos de segurança.

Tanto que o escopo da auditoria será construído com as cinco atividades críticas de segurança cibernética: identificar, proteger, detectar, responder e recuperar. Além disso, uma análise de risco e seu impacto nos negócios da organização devem ser realizados para evitar consequências negativas.

O documento afirma que o profissional que realizará a auditoria deve ter conhecimento de segurança e controles, além de entender o negócio da organização auditada para se alinhar com a estratégia corporativa. Os profissionais certificados da CISA também devem cumprir o padrão 1006 da estrutura ITAF (Estrutura de Garantia da Tecnologia da Informação). (4)

O programa IS Audit/Assurance for Cybersecurity possui uma ferramenta em formato de planilha de calculo com as etapas para executar a auditoria usando as subcategorias do framework NIST, os controles do COBIT® 5, e o padrão ISO/IEC 27001:2013.

nist framework
Figura: Página web do Cybersecurity Framework no site da NIST. Fonte: NIST.

Como exemplo, na planilha da atividade "Identificar", temos na subcategoria "Gerenciamento de ativos": o risco ao qual é referenciado, os objetivos de controle, juntamente com as características e o tipo de controle, sua classificação, e a lista de etapas para verificar. Em seguida, aparece a relação entre a estrutura e o COBIT® 5, o padrão ISO 27001:2013 e/ou outros padrões e frameworks. Finalmente, um campo para verificar se o controle é efetivo, e um outro para comentários.

Neste caso, para o COBIT® 5, no domínio BAI (Construir, Adquirir e Implementar), temos o processo BAI09 (Manage Assets) e seus objetivos BAI 09.01: Alinhamento de TI (Tecnologia da Informação) e estratégia de negócios, e BAI 09.02: Conformidade e suporte de TI para cumprir os negócios de leis e regulamentos externos.

Em relação à ISO / IEC 27001:2013, a atividade está alinhada aos itens nos Anexos A.8.1.1 e A.8.1.2.

Sem dúvida, este trabalho da ISACA® disponível para seus membros é uma ferramenta eficaz e eficiente para uma avaliação correta da eficácia dos processos, políticas, procedimentos, governança e controles da cibercriminalidade que todas as organizações devem executar para gerenciar os riscos da segurança cibernética.

Links

(1) ISACA. IS Audit/Assurance Program for Cybersecurity. Disponível em: <http://www.ISACA.org/knowledge-center/research/researchdeliverables/pages/auditing-cyber-security.aspx >. Acesso em: 22 out. 2017.

(2) NIST. Cybersecurity Framework. Disponível em: < https://www.nist.gov/cyberframework >. Acesso em: 24 out. 2017.

(3) NIST. Instituto Nacional de Padrões e Tecnologia. Disponível em: < https://nvd.nist.gov/ >. Acesso em: 24 out. 2017.

(4) ISACA ITAF. Disponível em: < http://www.isaca.org/itaf/ >. Acesso em: 24 out. 2017.

Image from Pixabay, released under Creative Commons CC0.