Auditando Dispositivos Inteligentes - IIA Brasil · dispositivos inteligentes, monitorar o comportamento do usuário e planejar ciberataques. A localização e características pessoais

Auditando DispositivosInteligentes

Um Guia para Auditores Internos SobreComo Entender e Auditar Dispositivos Inteligentes

GTAG / Auditando Dispositivos Inteligentes

2 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org

Tabela de Conteúdos

Sumário Executivo ............................................................................................................................... 3

Introdução ............................................................................................................................................ 4

Riscos Relacionados ........................................................................................................................... 5

Riscos de Conformidade ................................................................................................................. 5

Riscos de Privacidade ..................................................................................................................... 5

Riscos de Segurança ...................................................................................................................... 5

Riscos de Segurança Física ....................................................................................................... 6

Riscos de Segurança da Informação .......................................................................................... 6

Controles Relacionados ....................................................................................................................... 7

Controles de Segurança de Dispositivos Inteligentes ...................................................................... 7

Considerações de Controle das Políticas de TI ............................................................................... 8

Trabalho de Auditoria de Dispositivos Inteligentes ............................................................................. 11

Planejamento do Trabalho ............................................................................................................ 11

Objetivo do Trabalho ..................................................................................................................... 12

Escopo do Trabalho e Alocação de Recursos ............................................................................... 12

Programa de Trabalho de Auditoria ............................................................................................... 13

Anexo A. Normas e Orientações Relacionadas do The IIA ............................................................ 14

Anexo B. Definições dos Conceitos Fundamentais ....................................................................... 17

Anexo C. Programa de Auditoria de Dispositivos Inteligentes ....................................................... 20

Autores/Contribuintes ........................................................................................................................ 25



Sumário Executivo

Dispositivos inteligentes, como celulares e tablets, frequentemente oferecem opções

verdadeiramente mobile e convenientes para o trabalho remoto. Como qualquer tecnologia

nova ou em expansão, dispositivos smart também apresentam riscos adicionais às

organizações.

A abordagem da auditoria interna à avaliação de riscos e controles de dispositivos

inteligentes está evoluindo, conforme novas tecnologias emergem e a variedade de

dispositivos cresce. Para lidar com esses desafios, os auditores internos são encarregados

de:

Entender a estratégia de dispositivos inteligentes da organização.

Avaliar o efeito da tecnologia de dispositivos inteligentes sobre a organização.

Prestar avaliação sobre o ambiente de dispositivos inteligentes:

o Identificando e avaliando os riscos à organização que surgem do uso de tais

dispositivos.

o Determinando a adequação da governança, gerenciamento de riscos e

controles aplicáveis relativos a tais dispositivos.

o Revisando o desenvolvimento e a eficácia dos controles relacionados.

Os chief audit executives (CAEs) devem ter um entendimento preciso das oportunidades e

ameaças que os dispositivos inteligentes apresentam à organização e à atividade de

auditoria interna. A atividade de auditoria interna pode apoiar os esforços de mitigação da

administração quanto aos riscos associados ao uso de dispositivos inteligentes.

Esta orientação deve ajudar os auditores internos a entender melhor a tecnologia, os riscos e

os controles associados aos dispositivos inteligentes. O Anexo C oferece um programa de

trabalho de auditoria, incluindo uma avaliação de riscos, desenvolvido especificamente para

avaliar o gerenciamento de riscos e os controles relativos aos dispositivos inteligentes.



Introdução

Os dispositivos smart – dispositivos eletrônicos programados e controlados por tecnologia de computação – revolucionaram a força de trabalho e deram novo significado ao conceito de “trabalhador mobile”. Enquanto o trabalho remoto já foi limitado à conexão com a rede da organização por meio de um laptop oferecido pela organização, as opções atuais incluem telefones e tablets que utilizam aplicativos (apps) e recursos especialmente desenvolvidos para realizar negócios de uma forma verdadeiramente móvel.

Dispositivos inteligentes oferecem aos usuários organizacionais o poder de computação portátil, a conectividade com a internet onde quer que haja Wi-Fi ou cobertura celular e a possibilidade de ter um dispositivo conveniente para uso pessoal e comercial. Os tipos de dispositivos inteligentes variam amplamente, assim como seus sistemas operacionais, mecanismos de segurança, apps e redes. Exemplos incluem smartphones, tablets, portable digital assistants (conhecidos como PDAs), dispositivos “vestíveis” (ex., relógios e óculos) e dispositivos handheld para gaming.

Algumas características associadas aos dispositivos inteligentes incluem:

Fator de forma (ex., tablet, flip, vestível).

Sistema operacional (ex., Apple iOS, Android, Windows Mobile, Blackberry OS).

Transmissão de voz e dados.

Vídeo e fotografia.

Armazenamento de dados (removível e não removível).

Global Positioning System (GPS), que permite serviços de localização.

Aplicativos de consumo e comerciais (pré-instalados ou para download).

Em algumas organizações, pode-se exigir que os funcionários usem seus próprios dispositivos para realizar negócios ou isso pode ser solicitado por eles, uma circunstância conhecida como bring your own device (BYOD, “traga seu próprio dispositivo”). Sejam de propriedade da organização ou do funcionário, dispositivos inteligentes, como qualquer tecnologia nova ou em expansão, apresentam uma miríade de riscos que desafiam a abordagem tradicional do departamento de TI quanto ao gerenciamento de riscos.

A atividade de auditoria interna pode apoiar os esforços da administração para o gerenciamento dos riscos associados ao uso de dispositivos inteligentes. De acordo com as Normas 2120.A1 e 2130.A1, a atividade de auditoria interna deve avaliar as exposições a riscos relativas à governança, operações e sistemas de informação da organização, assim como a adequação e eficácia dos controles em resposta a tais riscos.1 Este GTAG oferece uma descrição precisa dos riscos relativos ao uso de dispositivos inteligentes, os controles que podem ser usados para mitigar esses riscos a um nível aceitável e um programa de trabalho de auditoria que pode ser usado para avaliar com eficácia a governança, o gerenciamento de riscos e os controles da organização relativos aos dispositivos inteligentes.

1 Ênfase adicionada. Consulte o Anexo A para o texto completo dessas e de outras normas do The IIA.



Riscos Relacionados

Os riscos relacionados aos dispositivos inteligentes podem ser categorizados como de

conformidade, privacidade, segurança física ou segurança da informação.

Riscos de Conformidade

Em situações de BYOD, as organizações podem confiar amplamente nos usuários quanto à

conformidade com políticas e procedimentos aplicáveis, como diretrizes de atualização de

software ou sistemas operacionais. Usuários que considerem as atualizações

excessivamente invasivas ou prejudiciais ao desempenho do dispositivo poderiam escolher

contornar os controles ou não instalar as atualizações. Um ambiente de BYOD exige que os

serviços de suporte de TI da organização expandam suas habilidades e capacidades. O

crescimento em variedade e número de dispositivos agrava a exposição da organização a

uma gama de vulnerabilidades. Gerenciar as diversas versões de hardware e software que

têm a habilidade de acessar e armazenar dados proprietários pode ser difícil, especialmente

na ausência de políticas, procedimentos e protocolos normativos.

Riscos de Privacidade

As práticas de BYOD podem causar preocupações com a privacidade, a partir das

perspectivas da organização e do funcionário. Por exemplo, pode ser difícil para uma

organização proteger a privacidade de uma parte interessada, quando informações

pessoalmente identificáveis (personally identifiable information – PII) são acessadas ou

armazenadas em um dispositivo inteligente, uma ocorrência cada vez mais comum. Da

mesma forma, os funcionários podem ter preocupações de privacidade como o

monitoramento invasivo permitido por seus dispositivos inteligentes por parte da organização

ou que a organização possa inadvertidamente limpar ou remover informações pessoais (ex.,

fotos e informações de contato) de seus dispositivos, quando dados organizacionais forem

deletados. Riscos adicionais são apresentados, quando terceiros (ex., fornecedores,

convidados ou visitantes) acessam as redes e sistemas organizacionais usando seus

próprios dispositivos inteligentes.

Riscos de Segurança

As informações armazenadas em dispositivos inteligentes podem incluir dados pessoais e

organizacionais. As informações podem ser comprometidas se o dispositivo inteligente for

fisicamente perdido ou roubado, se o usuário do dispositivo sair da organização sem deletar

dados proprietários do dispositivo ou se os controles de segurança apropriados não

estiverem em prática e operando conforme necessário. Antes de desenvolver um programa



de auditoria de dispositivos inteligentes, os auditores devem entender os detalhes das

diversas categorias de riscos de segurança.

Riscos de Segurança Física

Os dispositivos inteligentes são continuamente expostos a riscos de segurança física. Por

sua natureza móvel, os dispositivos inteligentes são usados em múltiplos locais e estão

suscetíveis a perda ou roubo. Os dados sensíveis da organização podem estar em risco, se

o dispositivo for usado para armazenar ou acessar tais informações. As organizações devem

ter protocolos estabelecidos para o reporte da perda ou roubo e para a resposta a incidentes

de segurança; por exemplo, a limpeza remota de dados armazenados em dispositivos

inteligentes.

Riscos de Segurança da Informação

Armazenamento de dados e backup

Dados pessoais e organizacionais armazenados em dispositivos inteligentes podem ser

comprometidos, se medidas de segurança apropriadas, como criptografia, não forem

aplicadas. A recuperação de dados do dispositivo ou falhas do sistema também podem

ser uma preocupação, se os dispositivos não tiverem o backup apropriado.

Sistemas operacionais

Cada um dos diversos sistemas operacionais (operating systems, OSs) dos dispositivos

inteligentes apresenta recursos de segurança e riscos únicos que podem precisar ser

gerenciados, configurados e protegidos de formas diferentes. Quando usuários contornam

as restrições administrativas do OS por meio de processos de jailbreak (Apple OS) ou

rooting (Android OS), os controles de segurança instalados de fábrica são desabilitados e

vulnerabilidades adicionais de segurança podem ser apresentadas. Além disso, a

variação entre plataformas torna mais complicado que as organizações limpem os dados

quando um funcionário substitui um dispositivo ou troca de prestador de serviço.

Conexões de rede

Dispositivos inteligentes conectam-se à internet via redes wireless ou celulares, que

podem não ser confiáveis. Redes não confiáveis (ex., redes wireless ou Bluetooth

inseguras) estão suscetíveis a diversos riscos de segurança que poderiam comprometer

os dados em trânsito, como session hijacking (a exploração de uma sessão de rede válida

para propósitos não autorizados), eavesdropping e ataques man-in-the-middle (uma

estratégia de ataque em que o invasor intercepta o fluxo de comunicação entre duas

partes do sistema da vítima e, então, substitui o tráfego entre os dois componentes por

seu próprio, tomando, por fim, o controle da comunicação).



Aplicativos

Um número e variedade extensos de aplicativos disponíveis em mobile app stores podem

ser baixados diretamente para o dispositivo inteligente. Esses aplicativos são geralmente

desenvolvidos por fornecedores externos, variando de grandes empresas de

desenvolvimento de software até indivíduos que trabalham de casa. Vírus, cavalos de

troia e outros tipos de malware podem infectar o dispositivo inteligente, se as plataformas

do dispositivo móvel e app stores não aplicarem restrições de segurança ou outras

limitações à publicação de apps de terceiros.

Localização

Um GPS, que permite serviços de localização, poderia ser usado para localizar

dispositivos inteligentes, monitorar o comportamento do usuário e planejar ciberataques.

A localização e características pessoais de um indivíduo podem ser potencialmente

determinadas, comparando dados de diversas fontes, como redes sociais, web browsers

e apps de navegação. Podem ocorrer vazamentos adicionais de localização por meio de

fotos com GPS incorporado.

Controles Relacionados

Controles de Segurança de Dispositivos Inteligentes

Dispositivos inteligentes oferecem uma variedade de recursos de segurança que as

organizações podem usar para reduzir os riscos.

Autenticação – A autenticação, o primeiro passo para proteger um dispositivo inteligente,

previne que usuários não autorizados acessem os apps e dados do dispositivo. Os

dispositivos inteligentes aplicam, normalmente, um ou mais dos métodos de autenticação a

seguir: senha, padrão de desbloqueio (swipe pattern), biometria, perguntas de segurança ou

um personal identification number (PIN). O PIN é um código numérico, a forma mais simples

de autenticação. A senha usa uma combinação de números, letras e outros símbolos. Outro

método de autenticação é o swipe pattern, que exige que o usuário deslize o dedo sobre uma

matriz escolhida de pontos na tela inicial. Por fim, perguntas de segurança exigem que os

usuários respondam a uma ou mais perguntas pessoais de segurança pré-configuradas.

Esses métodos estão sujeitos à vontade do usuário; o usuário escolhe o código ou padrão.

Para mitigar o risco de quando usuários escolhem PINs ou senhas fracas, a função de TI da

organização pode aplicar parâmetros fortes por meio de um software de mobile device

management (MDM, gerenciamento de dispositivo móvel) ou exigir uma segunda

autenticação para acessar os apps da organização. Perguntas de segurança são



frequentemente usadas como autenticações secundárias em dispositivos inteligentes (ex.,

quando o usuário esquece sua senha, a opção das perguntas de segurança pode ser usada

para autenticá-lo). Talvez o método de autenticação mais seguro seja a biometria, o uso de

tecnologias como reconhecimento facial ou leitores de impressão digital.

Limpeza Remota – A limpeza remota (remote wipe) é a habilidade do usuário ou de um

administrador de TI de limpar dados e aplicativos por meio da rede, sem estar fisicamente

com o dispositivo. A limpeza remota também pode recuperar as configurações padrão e

proteger dados criptografados contra novos acessos. Para dispositivos inteligentes de

propriedade da organização, os administradores de TI devem utilizar um software de MDM

ou uma solução alternativa, como o Microsoft Exchange ActiveSync, para limpar

remotamente o dispositivo inteligente.

É importante notar que a limpeza remota não remove completamente todos os dados de um

dispositivo inteligente. Alguns softwares de DMD não permitem a limpeza remota de cartões

SD (Secure Digital cards). A limpeza remota não deleta dados de backup de um computador

ou da nuvem. Jailbreaking e rooting também podem interferir na limpeza remota.

Criptografia de Hardware ou de Dispositivo – Os dispositivos inteligentes normalmente dão

suporte à criptografia de hardware. Quando habilitada, os dados e aplicativos permanecem

criptografados, até que uma senha seja inserida. As senhas de criptografia são normalmente

geradas usando um código único definido de fábrica e uma senha definida pelo usuário. A

criptografia de hardware é um controle essencial para proteger os dados de dispositivos

inteligentes.

Criptografia de Software – A criptografia de software é fundamental para todos os apps

organizacionais, especialmente para e-mail. Para dispositivos inteligentes que não deem

suporte à criptografia de hardware, a criptografia de software, que exige uma segunda senha

para acessar um app, pode ser usada para proteger os apps e dados da organização.

Diferentemente da criptografia de hardware, que criptografa todos os dados do dispositivo, a

criptografia de software criptografa apenas os dados relativos ao app que aplica o algoritmo

de criptografia. O nível de criptografia usado pelo desenvolvedor do app deve ser avaliado,

para garantir que atenda às normas mínimas da organização.

Criptografia de Dados em Trânsito – Muitos dispositivos inteligentes dão suporte a Transport

Layer Security (TLS) para criptografar e-mails, tráfego online e virtual private networks (VPN).

Considerações de Controle das Políticas de TI

Além de instituir controles no nível do dispositivo, a administração pode aplicar medidas de

segurança nos níveis de política e procedimento.



Software anti-malware – Este software detecta e remove softwares maliciosos que tenham

impacto negativo sobre os dispositivos e que possam permitir acesso a dados privados. Para

proteger contra malware, a política de dispositivos inteligentes devem exigir que os usuários:

a. Instalem o software anti-malware e certifiquem-se de que todos os dispositivos

inteligentes permaneçam atualmente protegidos.

b. Mantenham os sistemas operacionais atualizados. Os fabricantes dos dispositivos

inteligentes atualizam seus sistemas operacionais com bastante frequência, para

melhorar os recursos de segurança ou mecanismos de defesa que combatem tipos

conhecidos de malware e vulnerabilidades de segurança.

c. Façam download de apps apenas de mobile app stores de reputação. As

organizações também podem desenvolver suas próprias app stores seguras para o

uso dos funcionários.

d. Atualizem os apps tempestivamente, porque os desenvolvedores de apps melhoram

seus recursos de segurança com frequência.

e. Evitem realizar procedimentos de jailbreak/rooting. Alterar o sistema operacional do

dispositivo inteligente e remover as restrições e controles de segurança nativos do

fabricante contornam recursos importantes de segurança, tornando o dispositivo

vulnerável a ameaças. Embora tais processos possam ser legais em alguns países,

eles poderiam infringir leis de direitos autorais locais e podem anular a garantia do

fabricante do dispositivo. As organizações devem proibir o uso de dispositivos de

segurança que tenham passado por jailbreak ou rooting.

Política de BYOD – Se for permitido que os funcionários usem dispositivos inteligentes

pessoais para realizar negócios, uma política abrangente de BYOD deve ser implementada.

A política deve cobrir, entre outras coisas:

a. Dispositivos aprovados e, possivelmente, sistemas operacionais (ex., iOS, Android) e

responsabilidades de manutenção.

b. Expectativas e responsabilidades relativas às informações organizacionais e pessoais

armazenadas no dispositivo inteligente. Por exemplo, a organização pode ser

responsável por restringir o download ou a transferência de dados e o funcionário

pode ser responsável por não compartilhar o dispositivo com outros membros da

família, caso dados confidenciais estejam presentes no dispositivo.

c. Requisitos mínimos de segurança, como senhas fortes e sistemas operacionais

atualizados.

d. Reporte tempestivo de violações de segurança e perda ou roubo de dispositivos.

e. Acesso aos dados, apps e recursos de rede da organização, incluindo quem pode

acessar quais apps e de que formas (ex., web, VPN ou app-based).

f. Backups e transferências, especificamente como e onde fazer backups dos dados da

organização e o que pode ser transferido para outros dispositivos. Por exemplo, um

funcionário pode transferir ou fazer backup de dados organizacionais para um



computador pessoal ou serviço público de hospedagem de dados? Essas decisões

podem impactar a segurança dos dados e a conformidade com certas obrigações de

privacidade, regulatórias ou contratuais (ex., as leis americanas Health Insurance

Portability and Accountability Act (HIPAA) e Sarbanes-Oxley Act de 2002, Payment

Card Industry Data Security Standard (PCI DSS) e Personally Identifiable Information

(PII)).

g. Limpeza remota. Os usuários devem habilitar a opção de limpeza remota e identificar

aplicativos específicos para limpar remotamente. Uma preocupação é que a limpeza

remota possa impactar PIIs, assim como dados organizacionais. É importante

estabelecer se a organização pode acessar ou deletar todos os dados ou apenas

dados organizacionais. Organizações com políticas de BYOD devem envolver seus

departamentos jurídicos no desenvolvimento e implementação das políticas e

procedimentos apropriados de limpeza remota.

h. Processo para desuso de dispositivos inteligentes, incluindo opções de venda, troca,

permuta, doação ou, então, descarte de um dispositivo inteligente.

i. Aceitação por parte do funcionário e assinatura de todas as políticas e procedimentos

apropriados.

Download de Dados/Anexos – Fazer download de dados sensíveis para um dispositivo

inteligente deve ser desencorajado. Apps restritivos dão aos usuários a habilidade de

visualizar anexos sensíveis em dispositivos inteligentes, sem baixá-los para um cartão SD.

De forma parecida, é importante considerar controlar a habilidade de fazer capturas de tela.

Backup de Dados – Implementar o backup seguro de dados em dispositivos inteligentes

permite que os dados de um dispositivo perdido, danificado ou limpo remotamente sejam

recuperados para um novo dispositivo. A maioria dos dispositivos inteligentes oferece o

backup nativo de dados para um computador, laptop ou serviço na nuvem. Backups de

dados e apps organizacionais devem ser feitos no banco de dados da organização, que é

controlado pelo administrador de TI, em vez do armazenamento nativo de backup, que é

controlado pelo usuário. Os sistemas de backup devem ser devidamente protegidos.

Mobile Application Management (MAM, gerenciamento de aplicativos móveis) – O software

de MAM busca gerir e proteger dados em aplicativos específicos. O MAM trata de como um

aplicativo é desenvolvido, gerido, usado, modificado e transferido para o dispositivo móvel,

assim como os controles de segurança aplicados para proteger os dados usados pelo

aplicativo.

Mobile Device Management (MDM, gerenciamento de dispositivos móveis) – O software de

MDM é mais eficaz quando soluções para softwares de MDM são implementadas. Esse

software pode proteger dados críticos, fazendo interface com os controles de segurança

existentes no sistema operacional do dispositivo inteligente.



O software de MDM pode:

Aplicar e gerenciar centralmente os controles de TI, como senhas fortes, níveis de

criptografia, limpeza remota e outras medidas de segurança de dispositivos.

Inventariar, entregar, instalar, atualizar e remover aplicativos.

Monitorar dispositivos, notificar o usuário e a administração quando uma política de

controle for violada e até desabilitar dispositivos inteligentes que não estejam em

conformidade com as políticas.

Restrições de Wi-Fi – Elas restringem o uso das redes de Wi-Fi, que são protegidas de

acordo com as melhores práticas da indústria. Soluções de virtual private network são

preferíveis para o acesso a aplicativos e dados de uma organização em dispositivos

inteligentes.

O desenvolvimento de políticas, procedimentos e tecnologias para gerenciar dispositivos

inteligentes é eficaz apenas se os usuários entenderem os riscos associados e como tomar

medidas de proteção. Todos os funcionários que usam dispositivos inteligentes

organizacionais ou pessoais para acessar os dados e aplicativos da organização devem

receber treinamentos periódicos aplicáveis a seus papéis na organização e sobre o uso

apropriado de dispositivos inteligentes.

Trabalho de Auditoria de Dispositivos Inteligentes

Um programa de trabalho de auditoria deve delinear os objetivos e escopo do trabalho, assim

como os riscos e controles relevantes relativos a dispositivos inteligentes e procedimentos de

auditoria que serão usados.

O envolvimento da auditoria interna na avaliação do ambiente de controle permite que a

organização esteja mais ciente dos riscos associados ao uso de dispositivos inteligentes, o

que deve levar a controles de segurança mais fortes. Como parte da prestação de avaliação

dos sistemas de informação, conforme descrito nas Normas 2120.A1 e 2130.A1, é prudente

que a atividade de auditoria interna avalie as exposições a riscos e considere a adequação e

eficácia do gerenciamento de riscos e dos controles relativos ao armazenamento e execução

de dados críticos em dispositivos inteligentes, sistemas operacionais e mobile apps.

Planejamento do Trabalho

A Norma 2200 declara que, para cada trabalho de auditoria, os auditores internos devem

desenvolver e documentar um plano, que deve incluir os objetivos, escopo, cronograma e

alocação de recursos do trabalho. Uma das coisas mais importantes que uma atividade de

auditoria interna precisa determinar no planejamento do trabalho é se a organização tem



uma estrutura de governança unificada e coesa em prática, incluindo políticas e

procedimentos, da qual orientações claras e consistentes possam ser distribuídas para toda

a organização. Um modelo forte de governança oferecerá as políticas, processos e

ferramentas necessárias para gerenciar consistentemente o ambiente e controlar os riscos

relativos aos dispositivos inteligentes e mobile apps, o que é essencial para a proteção

adequada das informações da organização. Embora múltiplas funções organizacionais

possam ser proprietárias de parte da estratégia de dispositivos inteligentes (ex., TI pode ser

proprietária da segurança e o setor jurídico pode ser proprietário da privacidade), a chave

para um programa de governança de sucesso é definir um único proprietário. Este único

proprietário deve garantir normas e procedimentos consistentes, a colaboração entre as

funções, a conexão com as metas do negócio e a otimização dos recursos.

Objetivo do Trabalho

Em um ambiente de negócios altamente competitivo, o rápido acesso aos dados e recursos

da organização é crucial. No entanto, os riscos associados e seus impactos em potencial

sobre a organização devem ser bem entendidos pela administração e a atividade de auditoria

interna deve contribuir para esse entendimento.

Os auditores internos devem estabelecer objetivos de trabalho, para abordar os riscos

associados à atividade sob revisão. Uma avaliação de riscos deve ser realizada, para auxiliar

na definição dos objetivos iniciais e na identificação de outras áreas significantes de

preocupação.

Escopo do Trabalho e Alocação de Recursos

Os procedimentos a realizar e o escopo (natureza, cronograma e extensão) do trabalho

devem ser determinados após a identificação dos riscos. De acordo com a Norma 2220.A1:

Escopo do Trabalho de Auditoria, “o escopo do trabalho de auditoria deve incluir

considerações sobre sistemas, registros, pessoal e propriedades físicas relevantes, incluindo

aqueles sob o controle de terceiros”.

A utilização de dispositivos inteligentes expõe a organização a uma miríade de riscos que

exigem controles em diversas camadas da arquitetura de TI. O trabalho de auditoria deve

englobar a estratégia e a governança, incluindo políticas, normas e procedimentos para

dispositivos inteligentes; a conscientização e treinamento dos funcionários; o gerenciamento

de dispositivos inteligentes e de apps; e a proteção dos dados.

A atividade de auditoria interna deve determinar as habilidades necessárias para concluir o

trabalho de auditoria e o número total de recursos necessários. A equipe de auditoria interna

deve ter o nível apropriado de expertise, conhecimento e habilidades para conduzir com



sucesso o trabalho de auditoria, ou devem ser utilizados recursos externos com as

competências necessárias.

Programa de Trabalho de Auditoria

Antes de iniciar uma auditoria de dispositivos inteligentes, a atividade de auditoria interna

deve entender a aplicação e o uso de dispositivos inteligentes de uma organização. De

acordo com a Norma 2240.A1: Programa de Trabalho de Auditoria, “os programas de

trabalho devem incluir os procedimentos para identificar, analisar, avaliar e documentar as

informações durante o trabalho de auditoria”.

Um programa de trabalho para a auditoria de dispositivos inteligentes pode incluir

questionamentos como:

A rede da organização é acessível por meio de dispositivos inteligentes?

O acesso está limitado a messaging ou inclui os dados da organização?

A organização oferece dispositivos inteligentes aos funcionários?

É permitido que os funcionários utilizem seus próprios dispositivos inteligentes para

realizar negócios?

Como a tecnologia de dispositivos inteligentes está integrada à organização e à base

de usuários?

Quem é o proprietário da estratégia de dispositivos inteligentes e aplica as políticas e

procedimentos de dispositivos inteligentes da organização?

Como as informações de back-end são armazenadas e mantidas?

Como a organização protege a si mesma contra perda de dados, corrupção de dados,

violações de segurança, interrupções na rede e perda ou roubo de dispositivos?

Os dispositivos inteligentes são suportados e protegidos como ativos ou ferramentas

da organização, para ajudar a atingir as metas do negócio?

A organização continua em conformidade com políticas legais e regulatórias?

O Anexo C oferece um exemplo de um programa de trabalho de uma auditoria de segurança

de dispositivos inteligentes, incluindo uma avaliação de riscos.



Anexo A. Normas e Orientações Relacionadas do The IIA

Norma 2110: Governança

A atividade de auditoria interna deve avaliar e propor recomendações apropriadas para

melhorar os processos de governança da organização para:

Tomar decisões estratégicas e operacionais.

Supervisionar o gerenciamento de riscos e controles.

Promover a ética e os valores apropriados dentro da organização.;

Assegurar o gerenciamento eficaz do desempenho organizacional e a prestação de

contas;

Comunicar as informações relacionadas aos riscos e aos controles às áreas

apropriadas da organização; e

Coordenar as atividades e a comunicação das informações entre o conselho, os

auditores externos e internos, outros prestadores de avaliação e a administração.

Norma 2120: Gerenciamento de Riscos

A atividade de auditoria interna deve avaliar a eficácia e contribuir para a melhoria dos

processos de gerenciamento de riscos.

2120.A1 – A atividade de auditoria interna deve avaliar as exposições a riscos

relacionadas à governança, às operações e aos sistemas de informação da organização,

em relação a:

Alcance dos objetivos estratégicos da organização;

Confiabilidade e integridade das informações financeiras e operacionais;

Eficácia e eficiência das operações e programas;

Salvaguarda dos ativos; e

Conformidade com leis, regulamentos, políticas, procedimentos e contratos.

Norma 2130: Controle

A atividade de auditoria interna deve auxiliar a organização a manter controles eficazes a

partir da avaliação de sua eficácia e eficiência e da promoção de melhorias contínuas.

2130.A1- A atividade de auditoria interna deve avaliar a adequação e a eficácia dos

controles em resposta aos riscos, abrangendo a governança, as operações e os sistemas

de informação da organização, com relação a:

Alcance dos objetivos estratégicos da organização;

Confiabilidade e integridade das informações financeiras e operacionais;

Eficácia e eficiência das operações e programas;



Salvaguarda dos ativos; e

Conformidade com leis, regulamentos, políticas e procedimentos e contratos.

Norma 2200: Planejamento do Trabalho de Auditoria

Os auditores internos devem desenvolver e documentar um planejamento para cada trabalho

de auditoria, incluindo os objetivos, o escopo, o prazo e a alocação de recursos do trabalho.

O plano deve considerar as estratégias, objetivos e riscos da organização que sejam

relevantes para o trabalho de auditoria.

Norma 2201: Considerações sobre o Planejamento

No planejamento dos trabalhos de auditoria, os auditores internos devem considerar:

As estratégias e objetivos da atividade que está sendo revisada e os meios pelos

quais a atividade controla seu desempenho;

Os riscos significativos para os objetivos, recursos e operações da atividade e os

meios pelos quais o impacto potencial dos riscos é mantido em um nível aceitável;

A adequação e a eficácia dos processos de governança, gerenciamento de riscos e

controles da atividade, comparativamente a uma estrutura ou modelo compatível; e

As oportunidades de realizar melhorias significativas nos processos de governança,

gerenciamento de riscos e controles da atividade.

2201.C1 – Os auditores internos devem estabelecer um entendimento com os clientes

dos trabalhos de consultoria quanto aos objetivos, ao escopo e às respectivas

responsabilidades e a outras expectativas do cliente. Para trabalhos significativos, este

entendimento deve ser documentado.

Norma 2210: Objetivos do Trabalho de Auditoria

Os objetivos devem ser estabelecidos para cada trabalho de auditoria.

2210.A1 – Os auditores internos devem conduzir uma avaliação preliminar dos riscos

relevantes para a atividade sob revisão. Os objetivos do trabalho de auditoria devem

refletir os resultados desta avaliação.

2210.A3 – São necessários critérios adequados para avaliar a governança, o

gerenciamento de riscos e os controles. Os auditores internos devem verificar até que

ponto a administração e/ou o conselho estabeleceu critérios adequados para determinar

se os objetivos e metas têm sido alcançados. Se forem adequados, os auditores internos

devem utilizar tais critérios em sua avaliação. Se inadequados, os auditores internos

devem identificar critérios de avaliação apropriados, em discussão com a administração

e/ou conselho.



Norma 2220: Escopo do Trabalho de Auditoria

O escopo estabelecido deve ser suficiente para alcançar os objetivos do trabalho de

auditoria.

2220.A1 – O escopo do trabalho de auditoria deve incluir considerações sobre sistemas,

registros, pessoal e propriedades físicas relevantes, incluindo aqueles sob o controle de

terceiros.

Norma 2230: Alocação de Recursos para o Trabalho de Auditoria

Os auditores internos devem determinar os recursos apropriados e suficientes para cumprir

com os objetivos do trabalho de auditoria, baseado em uma avaliação da natureza e da

complexidade de cada trabalho, das restrições de tempo e dos recursos disponíveis.

Norma 2240: Programa de Trabalho de Auditoria

Os auditores internos devem desenvolver e documentar programas de trabalho que atendam

os objetivos do trabalho.

2240.A1 – Os programas de trabalho devem incluir os procedimentos para identificar,

analisar, avaliar e documentar as informações durante o trabalho de auditoria. O

programa de trabalho deve ser aprovado antes de ser implantado e quaisquer ajustes

devem ser prontamente aprovados.

Norma 2310: Identificação das Informações

Os auditores internos devem identificar informações suficientes, confiáveis, relevantes e úteis

para cumprir os objetivos do trabalho de auditoria.

Orientações Recomendadas Relacionadas do The IIA

Guia Prático “Auditing Privacy Risks, 2nd Edition”

“GTAG: Information Technology Risks and Controls”

“GTAG: Information Security Governance”



Anexo B. Definições dos Conceitos Fundamentais

Atividade de auditoria interna – um departamento, divisão, time de consultores ou outros

profissionais que prestem serviços independentes e objetivos de avaliação (assurance) e

consultoria, desenvolvidos para adicionar valor e melhorar as operações da organização. A

atividade de auditoria interna auxilia uma organização a atingir seus objetivos, a partir da

aplicação de uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia

dos processos de governança, gerenciamento de riscos e controles.2

Back-end – o lado do servidor de um sistema client/server.3

Bring your own device (BYOD, “traga seu próprio dispositivo”) – uma estratégia

alternativa que permite que funcionários, parceiros do negócio e outros usuários utilizem um

dispositivo cliente pessoalmente selecionado e adquirido para executar aplicativos

comerciais e acessar dados. Tipicamente, envolve smartphones e tablets, mas a estratégia

também pode ser usada para PCs. Pode incluir subsídio.4

Cloud computing (computação na nuvem) – um estilo de computação em que

capacidades de TI escaláveis e elásticas são entregues como um serviço, usando

tecnologias da internet.5

Jailbreak – o processo de remoção de restrições de software impostas pelo iOS, sistema

operacional da Apple, em dispositivos que o executam, por meio do uso de explorações de

software. O jailbreak permite acesso raiz ao sistema e gestor de arquivos do iOS, permitindo

o download de aplicativos adicionais, extensões e temas que não estão disponíveis pela

Apple App Store oficial.6

Malware – abreviação de malicious software. Desenvolvido para infiltrar, danificar ou obter

informações de um sistema de computador, sem o consentimento do proprietário. Considera-

se comumente que malware inclua vírus, worms, cavalos de troia, spyware e adware.

Spyware é normalmente usado para propósitos de marketing e, como tal, não é malicioso,

embora seja geralmente indesejado. O spyware pode, no entanto, ser usado para coletar

informações para roubo de identidade e outros propósitos claramente ilícitos.7

2 The Institute of Internal Auditors, International Professional Practices Framework (IPPF) (Altamonte Springs: The Institute of Internal Auditors, Inc., 2013), p. 43. 3 Glossário de TI da Gartner, http://www.gartner.com/it-glossary (acessado em 9 de Março de 2016). 4 Ibid. 5 Ibid. 6 "IOS Jailbreaking." Wikipedia. Acessado em 9 de Março de 2016. https://en.wikipedia.org/wiki/IOS_jailbreaking. 7 ISACA, “ISACA Glossary of Terms,” p. 59. 2015. http://www.isaca.org/Knowledge-Center/Documents/Glossary/glossary.pdf (acessado em 9 de Março de 2016). Todos os direitos reservados. Usado com permissão.



Mobile application management (MAM, gerenciamento de aplicativos móveis) –

descreve softwares e serviços responsáveis por provisionar e controlar o acesso a mobile

apps internamente desenvolvidos e comercialmente disponíveis, usados em contextos

comerciais em dispositivos fornecidos pela empresa ou BYOD. Oferece controles granulares

no nível do aplicativo, que permitem que os administradores gerenciem e protejam os dados

do app.8

Mobile application stores – oferecem aplicativos para download a usuários mobile, por

meio de uma interface de loja incorporada ao dispositivo ou encontrada na internet. As

categorias de aplicativos em lojas públicas de aplicativos incluem jogos, viagem,

produtividade, entretenimento, livros, utilidades, educação, etc., e os aplicativos podem ser

gratuitos ou cobrados. Lojas privadas de aplicativos podem ser criadas por empresas para

funcionários móveis.9

Mobile device management (MDM, gerenciamento de dispositivos móveis) – inclui

softwares que ofereçam as seguintes funções: distribuição de software, gerenciamento de

políticas, gerenciamento de inventário, gerenciamento de segurança e gerenciamento de

serviços para smartphones e media tablets. A funcionalidade do MDM é parecida com a de

ferramentas de PC configuration life cycle management (PCCLM); no entanto, requisitos

específicos às plataformas mobile frequentemente fazem parte dos MDM suites.10

Personally identifiable information (PII, informação pessoalmente identificável) –

qualquer representação de informações que permita que a identidade de um indivíduo a

quem a informação se aplique seja razoavelmente inferida por meio direto ou indireto. Além

disso, a PII é definida como a informação: (i) que diretamente identifica um indivíduo (ex.,

nome, endereço, número do seguro social ou outro número ou código de identidade, número

de telefone, endereço de e-mail, etc.) ou (ii) por meio da qual uma agência busque identificar

indivíduos específicos em conjunto com outros elementos de dados (ex., identificação

indireta). Esses elementos de dados podem incluir uma combinação de gênero, raça, data de

nascimento, indicador geográfico e outros descritores. Adicionalmente, informações que

permitam o contato físico ou online com um indivíduo específico são consideradas

informações pessoalmente identificáveis. Essas informações podem ser mantidas em papel,

meio eletrônico ou outras mídias.11

Rooted ou rooting – o processo de permitir que usuários de smartphones, tablets ou outros

dispositivos que executam o sistema operacional mobile Android tenham controle privilegiado

(conhecido como root access, acesso raiz) de diversos subsistemas Android. Como o

8 "IOS Jailbreaking." Wikipedia, https://en.wikipedia.org/wiki/IOS_jailbreaking (acessado em 9 de Março de 2016). 9 Glossário de TI da Gartner (2012), http://www.gartner.com/it-glossary (acessado em 9 de Março de 2016). 10 Ibid. 11 “Guidance on the Protection of Personal Identifiable Information,” United States Department of Labor, http://www.dol.gov/dol/ppii.htm (acessado em 9 de Março de 2016).



Android utiliza o núcleo Linux, fazer o rooting de um dispositivo Android dá acesso

semelhante a permissões administrativas superuser como no Linux, ou qualquer outro

sistema operacional como o Unix, como o FreeBSD ou OSX.12

SD storage (armazenamento SD) – refere-se a um cartão de armazenamento Secure

Digital em um dispositivo inteligente. Secure Digital refere-se a uma norma que foi criada em

1999 e é mantida pela SD Association.13

Smartphone – um dispositivo de comunicação mobile que usa um OS aberto identificável.

Um OS aberto é suportado por aplicativos de terceiros, desenvolvidos por uma comunidade

notável de desenvolvedores. Aplicativos de terceiros podem ser instalados e removidos e

podem ser criados para o OS do dispositivo e para application programming interfaces

(APIs). Os desenvolvedores podem ser capazes de acessar APIs por meio de uma camada

discreta, como Java. O OS dá suporte a um ambiente de multitasking e tem uma interface de

usuário que pode lidar com diversos aplicativos simultaneamente. Por exemplo, ele pode

mostrar um e-mail enquanto toca música.14

12 “Rooting,” Wikipedia, https://en.wikipedia.org/wiki/Rooting_(Android_OS) (acessado em 9 de Março de 2016). 13 “Fact Sheet,” SD Association, ttps://www.sdcard.org/about_sda/fact_sheet/ (acessado em 9 de Março de 2016). 14 Glossário de TI da Gartner (2012), http://www.gartner.com/it-glossary (acessado em 9 de Março de 2016).



Anexo C. Programa de Auditoria de Dispositivos Inteligentes

Objetivo 1: Planejar e Definir o Escopo da Auditoria

Atividades da Revisão Controle

1.1 Definir os objetivos do trabalho. (Norma 2210)

Os objetivos de auditoria/avaliação são de alto nível e descrevem as metas gerais de auditoria.

1.2 Identificar e avaliar riscos. (Norma 2210.A1)

A avaliação de riscos é necessária para avaliar onde os auditores internos devem se concentrar.

1.2.1 Identificar os riscos do negócio associados com a computação mobile que sejam motivos de preocupação para os proprietários do negócio e principais partes interessadas.

1.2.2 Verificar que os riscos do negócio estejam alinhados com os riscos de TI considerados.

1.2.3 Avaliar o fator geral de risco da condução da revisão.

1.2.4 Com base na avaliação de riscos, identificar potenciais mudanças ao escopo.

1.2.5 Discutir os riscos com a administração e ajustar a avaliação de riscos.

1.2.6 Com base na avaliação de riscos, revisar o escopo.

1.3 Definir o escopo do trabalho. (Norma 2220)

A revisão deve ter escopo definido. O revisor deve entender os dispositivos inteligentes usados pela organização, os dados que passam por esses dispositivos e o risco relativo para a organização.

1.3.1 Obter uma lista dos dispositivos inteligentes em uso.

1.3.2 Determinar o escopo da revisão.

1.4 Definir o sucesso do trabalho.

Fatores de sucesso precisam ser identificados e acordados.

1.4.1 Identificar os drivers de uma auditoria de sucesso.

1.4.2 Comunicar os atributos de sucesso para o proprietário do processo ou parte interessada e obter concordância.

1.5 Definir recursos necessários para conduzir o trabalho de auditoria. (Norma 2230)

Na maioria das organizações, os recursos de auditoria não estão disponíveis para todos os processos.



Objetivo 1: Planejar e Definir o Escopo da Auditoria


1.5.1 Determinar as habilidades de auditoria/avaliação necessárias para a revisão.

1.5.2 Estimar os recursos totais de auditoria/avaliação (horas) e cronograma (datas de início e fim) necessários para a revisão.

1.6 Definir os entregáveis. (Norma 2410)

Os entregáveis não estão limitados ao relatório final. A comunicação entre as equipes de auditoria/ avaliação e o proprietário do processo é essencial para o sucesso do trabalho.

1.6.1 Determinar os entregáveis parciais, incluindo descobertas iniciais, relatórios de status, relatórios preliminares, prazos para respostas ou reuniões e o relatório final.

1.7 Comunicar o processo. (Norma 2201)

O processo de auditoria/avaliação deve ser claramente comunicado ao consumidor/cliente.

1.7.1 Conduzir uma conferência de abertura para:

Discutir o escopo e objetivos com as partes interessadas.

Obter documentos e recursos de segurança da informação necessários para conduzir a revisão com eficácia.

Comunicar cronogramas e entregáveis.

Objetivo 2: Identificar e Obter Documentos de Apoio (Norma 2310)


2.1 Revisar políticas para dispositivos inteligentes (incluindo BYOD) e políticas de segurança.

2.2 Revisar a documentação da arquitetura da infraestrutura de TI.

2.3 Revisar os procedimentos de MAM e MDM.

2.4 Revisar os relatórios produzidos pelo MAM e MDM.

Objetivo 3: Entender o Ambiente dos Dispositivos Inteligentes


3.1 O dispositivo é de propriedade da organização ou bring your own device (BYOD)?

3.2 Os dados de propriedade da organização estão separados dos dados pessoais?

3.3 É permitido o uso pessoal do dispositivo (para jogos, redes sociais, etc.)?



Objetivo 3: Entender o Ambiente dos Dispositivos Inteligentes


3.4 Há um acordo em prática, em que o funcionário obedeça às políticas de segurança corporativa?

3.5 O funcionário está de acordo com a limpeza remota do dispositivo?

3.6 O funcionário está de acordo com o fato de que um registro de suas ligações possa ser visualizado pela organização?

3.7 Existem dados confidenciais no dispositivo? Se sim, quais são os procedimentos aplicados para monitorar e controlar os dados confidenciais?

3.8 Que tipos de dispositivos inteligentes e sistemas operacionais são permitidos?

3.9 Há uma estratégia e um procedimento de backup em prática para dispositivos inteligentes?

3.10 O dispositivo inteligente conecta-se à rede da organização? Como é conectado?

3.11 Como apps são transferidos para o dispositivo? A organização desenvolve seus próprios apps? Ela tem sua própria app store ou marketplace?

Objetivo 4: Entender a Arquitetura de TI que Suporta o Ambiente de Dispositivos Inteligentes


4.1 A solução de MDM é cloud-based ou executada internamente?

4.2 A solução está hospedada por terceiros ou é autossuportada?

4.3 Há um acordo para terceiros em prática junto ao fornecedor?

Objetivo 5: Entender os Recursos de Segurança dos Dispositivos Inteligentes


5.1 Verificar se a política de senha atende às normas da indústria.

5.2 Revisar os requisitos de criptografia (especialmente para dados confidenciais) e como a criptografia é aplicada.

5.3 Há um requisito de controle de ports do dispositivo (uso da câmera, uso do Bluetooth, controles de Wi-Fi)?

5.4 Qual procedimento é aplicado para limpeza remota/bloqueio e desbloqueio remotos do dispositivo?

5.5 Qual procedimento é aplicado para o reporte de dispositivos perdidos?



Objetivo 5: Entender os Recursos de Segurança dos Dispositivos Inteligentes


5.6 Como os dispositivos são rastreados e monitorados?

5.7 Qual configuração de dispositivo é aplicada ao dispositivo (VPN? E-mail? Etc.)?

5.8 Como a entrega de aplicativos para o dispositivo é controlada? Como os recursos são implementados?

5.9 Quais recursos de auditoria e monitoramento estão habilitados? Quais relatórios estão sendo gerados?

Objetivo 6: Entender Como os Dispositivos Inteligentes São Cadastrados no Software de MDM


6.1 A organização usa autorregistro? Como os usuários registram seus dispositivos?

6.2 Como os usuários fazem o recadastro, quando compram um novo dispositivo ou substituem um dispositivo existente? O que acontece com o dispositivo anterior? Os dados são removidos do dispositivo?

6.3 Como é feita a verificação de que as políticas de segurança apropriadas foram aplicadas ao dispositivo?

Objetivo 7: Entender Como os Dispositivos Inteligentes São Provisionados Quanto a E-mail, Contatos e Endereços


7.1 Como os e-mails são sincronizados com os servidores da organização? O e-mail é criptografado?

7.2 Onde e como é feita a verificação de vírus?

Objetivo 8: Entender Como Aplicativos São Instalados nos Dispositivos Inteligentes


8.1 Revisar aplicativos utilizados e como os dados são armazenados e criptografados no dispositivo.

8.2 Revisar a execução de aplicativos.



Objetivo 8: Entender Como Aplicativos São Instalados nos Dispositivos Inteligentes


8.3 Revisar o procedimento de autenticação para os aplicativos. Como as senhas são autenticadas? Há um processo de autorização estabelecido para o uso de dados organizacionais por parte dos funcionários?

Objetivo 9: Entender Como Dispositivos Inteligentes Estão Conectados à Rede da Organização


9.1 Que tipo de conexão remota é usado?

9.2 Qual autenticação é usada antes de permitir acesso à rede da organização?

9.3 Quais protocolos de criptografia estão em prática para a conexão remota?

Objetivo 10: Entender os Requisitos Regulatórios e de Conformidade Relativos aos Dispositivos Inteligentes


10.1 Quais dispositivos e controles estão em prática para cumprir com os requisitos regulatórios e de conformidade (como HIPAA, Sarbanes-Oxley, PCI, PII e outros)?

Objetivo 11: Entender os Relatórios de Administração Produzidos Relativos aos Dispositivos Inteligentes


11.1 Quais relatórios são revisados pela administração?

11.2 Quais estatísticas principais são monitoradas e revisadas?



Autores/Contribuintes

Brad Ames, CRMA, CISA

Frederick Brown, CISA, CRISC

John Bogert, CISA

Michelle Creer, CISA

Jacques Lourens, CIA, CISA, CGEIT, CRISC

Raj Patel, CISA, CISM, CRISC

Sajay Rai, CISM, CISSP

Steve Stein, CIA, CISA



Sobre o Instituto

The Institute of Internal Auditors (The IIA) é o mais reconhecido advogado, educador e fornecedor de normas,

orientações e certificações da profissão de auditoria interna. Fundado em 1941, o The IIA atende, atualmente, mais

de 180.000 membros de mais de 170 países e territórios. A sede global da associação fica em Altamonte Springs, na

Flórida. Para mais informações, visite www.globaliia.org ou www.theiia.org.

Sobre as Orientações Suplementares

Orientações Suplementares fazem parte do International Professional Practices Framework (IPPF) do The IIA e

oferecem orientações adicionais recomendadas (não obrigatórias) para a condução de atividades de auditoria

interna. Embora apoiem as Normas, as Orientações Suplementares não têm o objetivo de relação direta com o

atingimento da conformidade com as Normas. Elas têm o objetivo de abordar tópicos específicos, assim como

questões específicas de determinados setores, e incluem processos e procedimentos detalhados. Esta orientação é

apoiada pelo The IIA, por meio de processos formais de revisão e aprovação.

Guias Práticos

Os Guias Práticos são um tipo de Orientação Suplementar, que fornecem orientação detalhada para a

condução de atividades de auditoria interna. Eles incluem processos e procedimentos detalhados, como

ferramentas e técnicas, programas e abordagens passo-a-passo, assim como exemplos de entregáveis. Como

parte das orientações do IPPF, a conformidade com os Guias Práticos é recomendada (não obrigatória). Os

Guias Práticos são apoiados pelo The IIA, por meio de processos formais de revisão e aprovação.

Um Global Technologies Audit Guide (GTAG) é um tipo de Guia Prático, redigido em linguagem clara de

negócios, para abordar uma questão tempestiva relativa ao gerenciamento, controle ou segurança da tecnologia

da informação.

Para mais materiais de orientação fidedignos fornecidos pelo The IIA, por favor, visite nosso site em

www.globaliia.org/standards-guidance ou www.theiia.org/guidance.

Isenção de Responsabilidade

O The IIA publica este documento para fins informativos e educacionais e este material não tem o objetivo de

fornecer respostas definitivas a específicas circunstâncias individuais. Desta forma, tem o único propósito de servir

de guia. O The IIA recomenda que você sempre busque conselhos especializados independentes, relacionados

diretamente a qualquer situação específica. O The IIA não aceita qualquer responsabilidade pela confiança

depositada unicamente neste guia.

Copyright

Copyright ® 2016 The Institute of Internal Auditors

Para permissão para reproduzir, por favor, contate [email protected].

Agosto de 2016