Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Auditando DispositivosInteligentes
Um Guia para Auditores Internos SobreComo Entender e Auditar Dispositivos Inteligentes
GTAG / Auditando Dispositivos Inteligentes
2 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Tabela de Conteúdos
Sumário Executivo ............................................................................................................................... 3
Introdução ............................................................................................................................................ 4
Riscos Relacionados ........................................................................................................................... 5
Riscos de Conformidade ................................................................................................................. 5
Riscos de Privacidade ..................................................................................................................... 5
Riscos de Segurança ...................................................................................................................... 5
Riscos de Segurança Física ....................................................................................................... 6
Riscos de Segurança da Informação .......................................................................................... 6
Controles Relacionados ....................................................................................................................... 7
Controles de Segurança de Dispositivos Inteligentes ...................................................................... 7
Considerações de Controle das Políticas de TI ............................................................................... 8
Trabalho de Auditoria de Dispositivos Inteligentes ............................................................................. 11
Planejamento do Trabalho ............................................................................................................ 11
Objetivo do Trabalho ..................................................................................................................... 12
Escopo do Trabalho e Alocação de Recursos ............................................................................... 12
Programa de Trabalho de Auditoria ............................................................................................... 13
Anexo A. Normas e Orientações Relacionadas do The IIA ............................................................ 14
Anexo B. Definições dos Conceitos Fundamentais ....................................................................... 17
Anexo C. Programa de Auditoria de Dispositivos Inteligentes ....................................................... 20
Autores/Contribuintes ........................................................................................................................ 25
GTAG / Auditando Dispositivos Inteligentes
3 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Sumário Executivo
Dispositivos inteligentes, como celulares e tablets, frequentemente oferecem opções
verdadeiramente mobile e convenientes para o trabalho remoto. Como qualquer tecnologia
nova ou em expansão, dispositivos smart também apresentam riscos adicionais às
organizações.
A abordagem da auditoria interna à avaliação de riscos e controles de dispositivos
inteligentes está evoluindo, conforme novas tecnologias emergem e a variedade de
dispositivos cresce. Para lidar com esses desafios, os auditores internos são encarregados
de:
Entender a estratégia de dispositivos inteligentes da organização.
Avaliar o efeito da tecnologia de dispositivos inteligentes sobre a organização.
Prestar avaliação sobre o ambiente de dispositivos inteligentes:
o Identificando e avaliando os riscos à organização que surgem do uso de tais
dispositivos.
o Determinando a adequação da governança, gerenciamento de riscos e
controles aplicáveis relativos a tais dispositivos.
o Revisando o desenvolvimento e a eficácia dos controles relacionados.
Os chief audit executives (CAEs) devem ter um entendimento preciso das oportunidades e
ameaças que os dispositivos inteligentes apresentam à organização e à atividade de
auditoria interna. A atividade de auditoria interna pode apoiar os esforços de mitigação da
administração quanto aos riscos associados ao uso de dispositivos inteligentes.
Esta orientação deve ajudar os auditores internos a entender melhor a tecnologia, os riscos e
os controles associados aos dispositivos inteligentes. O Anexo C oferece um programa de
trabalho de auditoria, incluindo uma avaliação de riscos, desenvolvido especificamente para
avaliar o gerenciamento de riscos e os controles relativos aos dispositivos inteligentes.
GTAG / Auditando Dispositivos Inteligentes
4 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Introdução
Os dispositivos smart – dispositivos eletrônicos programados e controlados por tecnologia de computação – revolucionaram a força de trabalho e deram novo significado ao conceito de “trabalhador mobile”. Enquanto o trabalho remoto já foi limitado à conexão com a rede da organização por meio de um laptop oferecido pela organização, as opções atuais incluem telefones e tablets que utilizam aplicativos (apps) e recursos especialmente desenvolvidos para realizar negócios de uma forma verdadeiramente móvel.
Dispositivos inteligentes oferecem aos usuários organizacionais o poder de computação portátil, a conectividade com a internet onde quer que haja Wi-Fi ou cobertura celular e a possibilidade de ter um dispositivo conveniente para uso pessoal e comercial. Os tipos de dispositivos inteligentes variam amplamente, assim como seus sistemas operacionais, mecanismos de segurança, apps e redes. Exemplos incluem smartphones, tablets, portable digital assistants (conhecidos como PDAs), dispositivos “vestíveis” (ex., relógios e óculos) e dispositivos handheld para gaming.
Algumas características associadas aos dispositivos inteligentes incluem:
Fator de forma (ex., tablet, flip, vestível).
Sistema operacional (ex., Apple iOS, Android, Windows Mobile, Blackberry OS).
Transmissão de voz e dados.
Vídeo e fotografia.
Armazenamento de dados (removível e não removível).
Global Positioning System (GPS), que permite serviços de localização.
Aplicativos de consumo e comerciais (pré-instalados ou para download).
Em algumas organizações, pode-se exigir que os funcionários usem seus próprios dispositivos para realizar negócios ou isso pode ser solicitado por eles, uma circunstância conhecida como bring your own device (BYOD, “traga seu próprio dispositivo”). Sejam de propriedade da organização ou do funcionário, dispositivos inteligentes, como qualquer tecnologia nova ou em expansão, apresentam uma miríade de riscos que desafiam a abordagem tradicional do departamento de TI quanto ao gerenciamento de riscos.
A atividade de auditoria interna pode apoiar os esforços da administração para o gerenciamento dos riscos associados ao uso de dispositivos inteligentes. De acordo com as Normas 2120.A1 e 2130.A1, a atividade de auditoria interna deve avaliar as exposições a riscos relativas à governança, operações e sistemas de informação da organização, assim como a adequação e eficácia dos controles em resposta a tais riscos.1 Este GTAG oferece uma descrição precisa dos riscos relativos ao uso de dispositivos inteligentes, os controles que podem ser usados para mitigar esses riscos a um nível aceitável e um programa de trabalho de auditoria que pode ser usado para avaliar com eficácia a governança, o gerenciamento de riscos e os controles da organização relativos aos dispositivos inteligentes.
1 Ênfase adicionada. Consulte o Anexo A para o texto completo dessas e de outras normas do The IIA.
GTAG / Auditando Dispositivos Inteligentes
5 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Riscos Relacionados
Os riscos relacionados aos dispositivos inteligentes podem ser categorizados como de
conformidade, privacidade, segurança física ou segurança da informação.
Riscos de Conformidade
Em situações de BYOD, as organizações podem confiar amplamente nos usuários quanto à
conformidade com políticas e procedimentos aplicáveis, como diretrizes de atualização de
software ou sistemas operacionais. Usuários que considerem as atualizações
excessivamente invasivas ou prejudiciais ao desempenho do dispositivo poderiam escolher
contornar os controles ou não instalar as atualizações. Um ambiente de BYOD exige que os
serviços de suporte de TI da organização expandam suas habilidades e capacidades. O
crescimento em variedade e número de dispositivos agrava a exposição da organização a
uma gama de vulnerabilidades. Gerenciar as diversas versões de hardware e software que
têm a habilidade de acessar e armazenar dados proprietários pode ser difícil, especialmente
na ausência de políticas, procedimentos e protocolos normativos.
Riscos de Privacidade
As práticas de BYOD podem causar preocupações com a privacidade, a partir das
perspectivas da organização e do funcionário. Por exemplo, pode ser difícil para uma
organização proteger a privacidade de uma parte interessada, quando informações
pessoalmente identificáveis (personally identifiable information – PII) são acessadas ou
armazenadas em um dispositivo inteligente, uma ocorrência cada vez mais comum. Da
mesma forma, os funcionários podem ter preocupações de privacidade como o
monitoramento invasivo permitido por seus dispositivos inteligentes por parte da organização
ou que a organização possa inadvertidamente limpar ou remover informações pessoais (ex.,
fotos e informações de contato) de seus dispositivos, quando dados organizacionais forem
deletados. Riscos adicionais são apresentados, quando terceiros (ex., fornecedores,
convidados ou visitantes) acessam as redes e sistemas organizacionais usando seus
próprios dispositivos inteligentes.
Riscos de Segurança
As informações armazenadas em dispositivos inteligentes podem incluir dados pessoais e
organizacionais. As informações podem ser comprometidas se o dispositivo inteligente for
fisicamente perdido ou roubado, se o usuário do dispositivo sair da organização sem deletar
dados proprietários do dispositivo ou se os controles de segurança apropriados não
estiverem em prática e operando conforme necessário. Antes de desenvolver um programa
GTAG / Auditando Dispositivos Inteligentes
6 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
de auditoria de dispositivos inteligentes, os auditores devem entender os detalhes das
diversas categorias de riscos de segurança.
Riscos de Segurança Física
Os dispositivos inteligentes são continuamente expostos a riscos de segurança física. Por
sua natureza móvel, os dispositivos inteligentes são usados em múltiplos locais e estão
suscetíveis a perda ou roubo. Os dados sensíveis da organização podem estar em risco, se
o dispositivo for usado para armazenar ou acessar tais informações. As organizações devem
ter protocolos estabelecidos para o reporte da perda ou roubo e para a resposta a incidentes
de segurança; por exemplo, a limpeza remota de dados armazenados em dispositivos
inteligentes.
Riscos de Segurança da Informação
Armazenamento de dados e backup
Dados pessoais e organizacionais armazenados em dispositivos inteligentes podem ser
comprometidos, se medidas de segurança apropriadas, como criptografia, não forem
aplicadas. A recuperação de dados do dispositivo ou falhas do sistema também podem
ser uma preocupação, se os dispositivos não tiverem o backup apropriado.
Sistemas operacionais
Cada um dos diversos sistemas operacionais (operating systems, OSs) dos dispositivos
inteligentes apresenta recursos de segurança e riscos únicos que podem precisar ser
gerenciados, configurados e protegidos de formas diferentes. Quando usuários contornam
as restrições administrativas do OS por meio de processos de jailbreak (Apple OS) ou
rooting (Android OS), os controles de segurança instalados de fábrica são desabilitados e
vulnerabilidades adicionais de segurança podem ser apresentadas. Além disso, a
variação entre plataformas torna mais complicado que as organizações limpem os dados
quando um funcionário substitui um dispositivo ou troca de prestador de serviço.
Conexões de rede
Dispositivos inteligentes conectam-se à internet via redes wireless ou celulares, que
podem não ser confiáveis. Redes não confiáveis (ex., redes wireless ou Bluetooth
inseguras) estão suscetíveis a diversos riscos de segurança que poderiam comprometer
os dados em trânsito, como session hijacking (a exploração de uma sessão de rede válida
para propósitos não autorizados), eavesdropping e ataques man-in-the-middle (uma
estratégia de ataque em que o invasor intercepta o fluxo de comunicação entre duas
partes do sistema da vítima e, então, substitui o tráfego entre os dois componentes por
seu próprio, tomando, por fim, o controle da comunicação).
GTAG / Auditando Dispositivos Inteligentes
7 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Aplicativos
Um número e variedade extensos de aplicativos disponíveis em mobile app stores podem
ser baixados diretamente para o dispositivo inteligente. Esses aplicativos são geralmente
desenvolvidos por fornecedores externos, variando de grandes empresas de
desenvolvimento de software até indivíduos que trabalham de casa. Vírus, cavalos de
troia e outros tipos de malware podem infectar o dispositivo inteligente, se as plataformas
do dispositivo móvel e app stores não aplicarem restrições de segurança ou outras
limitações à publicação de apps de terceiros.
Localização
Um GPS, que permite serviços de localização, poderia ser usado para localizar
dispositivos inteligentes, monitorar o comportamento do usuário e planejar ciberataques.
A localização e características pessoais de um indivíduo podem ser potencialmente
determinadas, comparando dados de diversas fontes, como redes sociais, web browsers
e apps de navegação. Podem ocorrer vazamentos adicionais de localização por meio de
fotos com GPS incorporado.
Controles Relacionados
Controles de Segurança de Dispositivos Inteligentes
Dispositivos inteligentes oferecem uma variedade de recursos de segurança que as
organizações podem usar para reduzir os riscos.
Autenticação – A autenticação, o primeiro passo para proteger um dispositivo inteligente,
previne que usuários não autorizados acessem os apps e dados do dispositivo. Os
dispositivos inteligentes aplicam, normalmente, um ou mais dos métodos de autenticação a
seguir: senha, padrão de desbloqueio (swipe pattern), biometria, perguntas de segurança ou
um personal identification number (PIN). O PIN é um código numérico, a forma mais simples
de autenticação. A senha usa uma combinação de números, letras e outros símbolos. Outro
método de autenticação é o swipe pattern, que exige que o usuário deslize o dedo sobre uma
matriz escolhida de pontos na tela inicial. Por fim, perguntas de segurança exigem que os
usuários respondam a uma ou mais perguntas pessoais de segurança pré-configuradas.
Esses métodos estão sujeitos à vontade do usuário; o usuário escolhe o código ou padrão.
Para mitigar o risco de quando usuários escolhem PINs ou senhas fracas, a função de TI da
organização pode aplicar parâmetros fortes por meio de um software de mobile device
management (MDM, gerenciamento de dispositivo móvel) ou exigir uma segunda
autenticação para acessar os apps da organização. Perguntas de segurança são
GTAG / Auditando Dispositivos Inteligentes
8 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
frequentemente usadas como autenticações secundárias em dispositivos inteligentes (ex.,
quando o usuário esquece sua senha, a opção das perguntas de segurança pode ser usada
para autenticá-lo). Talvez o método de autenticação mais seguro seja a biometria, o uso de
tecnologias como reconhecimento facial ou leitores de impressão digital.
Limpeza Remota – A limpeza remota (remote wipe) é a habilidade do usuário ou de um
administrador de TI de limpar dados e aplicativos por meio da rede, sem estar fisicamente
com o dispositivo. A limpeza remota também pode recuperar as configurações padrão e
proteger dados criptografados contra novos acessos. Para dispositivos inteligentes de
propriedade da organização, os administradores de TI devem utilizar um software de MDM
ou uma solução alternativa, como o Microsoft Exchange ActiveSync, para limpar
remotamente o dispositivo inteligente.
É importante notar que a limpeza remota não remove completamente todos os dados de um
dispositivo inteligente. Alguns softwares de DMD não permitem a limpeza remota de cartões
SD (Secure Digital cards). A limpeza remota não deleta dados de backup de um computador
ou da nuvem. Jailbreaking e rooting também podem interferir na limpeza remota.
Criptografia de Hardware ou de Dispositivo – Os dispositivos inteligentes normalmente dão
suporte à criptografia de hardware. Quando habilitada, os dados e aplicativos permanecem
criptografados, até que uma senha seja inserida. As senhas de criptografia são normalmente
geradas usando um código único definido de fábrica e uma senha definida pelo usuário. A
criptografia de hardware é um controle essencial para proteger os dados de dispositivos
inteligentes.
Criptografia de Software – A criptografia de software é fundamental para todos os apps
organizacionais, especialmente para e-mail. Para dispositivos inteligentes que não deem
suporte à criptografia de hardware, a criptografia de software, que exige uma segunda senha
para acessar um app, pode ser usada para proteger os apps e dados da organização.
Diferentemente da criptografia de hardware, que criptografa todos os dados do dispositivo, a
criptografia de software criptografa apenas os dados relativos ao app que aplica o algoritmo
de criptografia. O nível de criptografia usado pelo desenvolvedor do app deve ser avaliado,
para garantir que atenda às normas mínimas da organização.
Criptografia de Dados em Trânsito – Muitos dispositivos inteligentes dão suporte a Transport
Layer Security (TLS) para criptografar e-mails, tráfego online e virtual private networks (VPN).
Considerações de Controle das Políticas de TI
Além de instituir controles no nível do dispositivo, a administração pode aplicar medidas de
segurança nos níveis de política e procedimento.
GTAG / Auditando Dispositivos Inteligentes
9 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Software anti-malware – Este software detecta e remove softwares maliciosos que tenham
impacto negativo sobre os dispositivos e que possam permitir acesso a dados privados. Para
proteger contra malware, a política de dispositivos inteligentes devem exigir que os usuários:
a. Instalem o software anti-malware e certifiquem-se de que todos os dispositivos
inteligentes permaneçam atualmente protegidos.
b. Mantenham os sistemas operacionais atualizados. Os fabricantes dos dispositivos
inteligentes atualizam seus sistemas operacionais com bastante frequência, para
melhorar os recursos de segurança ou mecanismos de defesa que combatem tipos
conhecidos de malware e vulnerabilidades de segurança.
c. Façam download de apps apenas de mobile app stores de reputação. As
organizações também podem desenvolver suas próprias app stores seguras para o
uso dos funcionários.
d. Atualizem os apps tempestivamente, porque os desenvolvedores de apps melhoram
seus recursos de segurança com frequência.
e. Evitem realizar procedimentos de jailbreak/rooting. Alterar o sistema operacional do
dispositivo inteligente e remover as restrições e controles de segurança nativos do
fabricante contornam recursos importantes de segurança, tornando o dispositivo
vulnerável a ameaças. Embora tais processos possam ser legais em alguns países,
eles poderiam infringir leis de direitos autorais locais e podem anular a garantia do
fabricante do dispositivo. As organizações devem proibir o uso de dispositivos de
segurança que tenham passado por jailbreak ou rooting.
Política de BYOD – Se for permitido que os funcionários usem dispositivos inteligentes
pessoais para realizar negócios, uma política abrangente de BYOD deve ser implementada.
A política deve cobrir, entre outras coisas:
a. Dispositivos aprovados e, possivelmente, sistemas operacionais (ex., iOS, Android) e
responsabilidades de manutenção.
b. Expectativas e responsabilidades relativas às informações organizacionais e pessoais
armazenadas no dispositivo inteligente. Por exemplo, a organização pode ser
responsável por restringir o download ou a transferência de dados e o funcionário
pode ser responsável por não compartilhar o dispositivo com outros membros da
família, caso dados confidenciais estejam presentes no dispositivo.
c. Requisitos mínimos de segurança, como senhas fortes e sistemas operacionais
atualizados.
d. Reporte tempestivo de violações de segurança e perda ou roubo de dispositivos.
e. Acesso aos dados, apps e recursos de rede da organização, incluindo quem pode
acessar quais apps e de que formas (ex., web, VPN ou app-based).
f. Backups e transferências, especificamente como e onde fazer backups dos dados da
organização e o que pode ser transferido para outros dispositivos. Por exemplo, um
funcionário pode transferir ou fazer backup de dados organizacionais para um
GTAG / Auditando Dispositivos Inteligentes
10 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
computador pessoal ou serviço público de hospedagem de dados? Essas decisões
podem impactar a segurança dos dados e a conformidade com certas obrigações de
privacidade, regulatórias ou contratuais (ex., as leis americanas Health Insurance
Portability and Accountability Act (HIPAA) e Sarbanes-Oxley Act de 2002, Payment
Card Industry Data Security Standard (PCI DSS) e Personally Identifiable Information
(PII)).
g. Limpeza remota. Os usuários devem habilitar a opção de limpeza remota e identificar
aplicativos específicos para limpar remotamente. Uma preocupação é que a limpeza
remota possa impactar PIIs, assim como dados organizacionais. É importante
estabelecer se a organização pode acessar ou deletar todos os dados ou apenas
dados organizacionais. Organizações com políticas de BYOD devem envolver seus
departamentos jurídicos no desenvolvimento e implementação das políticas e
procedimentos apropriados de limpeza remota.
h. Processo para desuso de dispositivos inteligentes, incluindo opções de venda, troca,
permuta, doação ou, então, descarte de um dispositivo inteligente.
i. Aceitação por parte do funcionário e assinatura de todas as políticas e procedimentos
apropriados.
Download de Dados/Anexos – Fazer download de dados sensíveis para um dispositivo
inteligente deve ser desencorajado. Apps restritivos dão aos usuários a habilidade de
visualizar anexos sensíveis em dispositivos inteligentes, sem baixá-los para um cartão SD.
De forma parecida, é importante considerar controlar a habilidade de fazer capturas de tela.
Backup de Dados – Implementar o backup seguro de dados em dispositivos inteligentes
permite que os dados de um dispositivo perdido, danificado ou limpo remotamente sejam
recuperados para um novo dispositivo. A maioria dos dispositivos inteligentes oferece o
backup nativo de dados para um computador, laptop ou serviço na nuvem. Backups de
dados e apps organizacionais devem ser feitos no banco de dados da organização, que é
controlado pelo administrador de TI, em vez do armazenamento nativo de backup, que é
controlado pelo usuário. Os sistemas de backup devem ser devidamente protegidos.
Mobile Application Management (MAM, gerenciamento de aplicativos móveis) – O software
de MAM busca gerir e proteger dados em aplicativos específicos. O MAM trata de como um
aplicativo é desenvolvido, gerido, usado, modificado e transferido para o dispositivo móvel,
assim como os controles de segurança aplicados para proteger os dados usados pelo
aplicativo.
Mobile Device Management (MDM, gerenciamento de dispositivos móveis) – O software de
MDM é mais eficaz quando soluções para softwares de MDM são implementadas. Esse
software pode proteger dados críticos, fazendo interface com os controles de segurança
existentes no sistema operacional do dispositivo inteligente.
GTAG / Auditando Dispositivos Inteligentes
11 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
O software de MDM pode:
Aplicar e gerenciar centralmente os controles de TI, como senhas fortes, níveis de
criptografia, limpeza remota e outras medidas de segurança de dispositivos.
Inventariar, entregar, instalar, atualizar e remover aplicativos.
Monitorar dispositivos, notificar o usuário e a administração quando uma política de
controle for violada e até desabilitar dispositivos inteligentes que não estejam em
conformidade com as políticas.
Restrições de Wi-Fi – Elas restringem o uso das redes de Wi-Fi, que são protegidas de
acordo com as melhores práticas da indústria. Soluções de virtual private network são
preferíveis para o acesso a aplicativos e dados de uma organização em dispositivos
inteligentes.
O desenvolvimento de políticas, procedimentos e tecnologias para gerenciar dispositivos
inteligentes é eficaz apenas se os usuários entenderem os riscos associados e como tomar
medidas de proteção. Todos os funcionários que usam dispositivos inteligentes
organizacionais ou pessoais para acessar os dados e aplicativos da organização devem
receber treinamentos periódicos aplicáveis a seus papéis na organização e sobre o uso
apropriado de dispositivos inteligentes.
Trabalho de Auditoria de Dispositivos Inteligentes
Um programa de trabalho de auditoria deve delinear os objetivos e escopo do trabalho, assim
como os riscos e controles relevantes relativos a dispositivos inteligentes e procedimentos de
auditoria que serão usados.
O envolvimento da auditoria interna na avaliação do ambiente de controle permite que a
organização esteja mais ciente dos riscos associados ao uso de dispositivos inteligentes, o
que deve levar a controles de segurança mais fortes. Como parte da prestação de avaliação
dos sistemas de informação, conforme descrito nas Normas 2120.A1 e 2130.A1, é prudente
que a atividade de auditoria interna avalie as exposições a riscos e considere a adequação e
eficácia do gerenciamento de riscos e dos controles relativos ao armazenamento e execução
de dados críticos em dispositivos inteligentes, sistemas operacionais e mobile apps.
Planejamento do Trabalho
A Norma 2200 declara que, para cada trabalho de auditoria, os auditores internos devem
desenvolver e documentar um plano, que deve incluir os objetivos, escopo, cronograma e
alocação de recursos do trabalho. Uma das coisas mais importantes que uma atividade de
auditoria interna precisa determinar no planejamento do trabalho é se a organização tem
GTAG / Auditando Dispositivos Inteligentes
12 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
uma estrutura de governança unificada e coesa em prática, incluindo políticas e
procedimentos, da qual orientações claras e consistentes possam ser distribuídas para toda
a organização. Um modelo forte de governança oferecerá as políticas, processos e
ferramentas necessárias para gerenciar consistentemente o ambiente e controlar os riscos
relativos aos dispositivos inteligentes e mobile apps, o que é essencial para a proteção
adequada das informações da organização. Embora múltiplas funções organizacionais
possam ser proprietárias de parte da estratégia de dispositivos inteligentes (ex., TI pode ser
proprietária da segurança e o setor jurídico pode ser proprietário da privacidade), a chave
para um programa de governança de sucesso é definir um único proprietário. Este único
proprietário deve garantir normas e procedimentos consistentes, a colaboração entre as
funções, a conexão com as metas do negócio e a otimização dos recursos.
Objetivo do Trabalho
Em um ambiente de negócios altamente competitivo, o rápido acesso aos dados e recursos
da organização é crucial. No entanto, os riscos associados e seus impactos em potencial
sobre a organização devem ser bem entendidos pela administração e a atividade de auditoria
interna deve contribuir para esse entendimento.
Os auditores internos devem estabelecer objetivos de trabalho, para abordar os riscos
associados à atividade sob revisão. Uma avaliação de riscos deve ser realizada, para auxiliar
na definição dos objetivos iniciais e na identificação de outras áreas significantes de
preocupação.
Escopo do Trabalho e Alocação de Recursos
Os procedimentos a realizar e o escopo (natureza, cronograma e extensão) do trabalho
devem ser determinados após a identificação dos riscos. De acordo com a Norma 2220.A1:
Escopo do Trabalho de Auditoria, “o escopo do trabalho de auditoria deve incluir
considerações sobre sistemas, registros, pessoal e propriedades físicas relevantes, incluindo
aqueles sob o controle de terceiros”.
A utilização de dispositivos inteligentes expõe a organização a uma miríade de riscos que
exigem controles em diversas camadas da arquitetura de TI. O trabalho de auditoria deve
englobar a estratégia e a governança, incluindo políticas, normas e procedimentos para
dispositivos inteligentes; a conscientização e treinamento dos funcionários; o gerenciamento
de dispositivos inteligentes e de apps; e a proteção dos dados.
A atividade de auditoria interna deve determinar as habilidades necessárias para concluir o
trabalho de auditoria e o número total de recursos necessários. A equipe de auditoria interna
deve ter o nível apropriado de expertise, conhecimento e habilidades para conduzir com
GTAG / Auditando Dispositivos Inteligentes
13 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
sucesso o trabalho de auditoria, ou devem ser utilizados recursos externos com as
competências necessárias.
Programa de Trabalho de Auditoria
Antes de iniciar uma auditoria de dispositivos inteligentes, a atividade de auditoria interna
deve entender a aplicação e o uso de dispositivos inteligentes de uma organização. De
acordo com a Norma 2240.A1: Programa de Trabalho de Auditoria, “os programas de
trabalho devem incluir os procedimentos para identificar, analisar, avaliar e documentar as
informações durante o trabalho de auditoria”.
Um programa de trabalho para a auditoria de dispositivos inteligentes pode incluir
questionamentos como:
A rede da organização é acessível por meio de dispositivos inteligentes?
O acesso está limitado a messaging ou inclui os dados da organização?
A organização oferece dispositivos inteligentes aos funcionários?
É permitido que os funcionários utilizem seus próprios dispositivos inteligentes para
realizar negócios?
Como a tecnologia de dispositivos inteligentes está integrada à organização e à base
de usuários?
Quem é o proprietário da estratégia de dispositivos inteligentes e aplica as políticas e
procedimentos de dispositivos inteligentes da organização?
Como as informações de back-end são armazenadas e mantidas?
Como a organização protege a si mesma contra perda de dados, corrupção de dados,
violações de segurança, interrupções na rede e perda ou roubo de dispositivos?
Os dispositivos inteligentes são suportados e protegidos como ativos ou ferramentas
da organização, para ajudar a atingir as metas do negócio?
A organização continua em conformidade com políticas legais e regulatórias?
O Anexo C oferece um exemplo de um programa de trabalho de uma auditoria de segurança
de dispositivos inteligentes, incluindo uma avaliação de riscos.
GTAG / Auditando Dispositivos Inteligentes
14 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Anexo A. Normas e Orientações Relacionadas do The IIA
Norma 2110: Governança
A atividade de auditoria interna deve avaliar e propor recomendações apropriadas para
melhorar os processos de governança da organização para:
Tomar decisões estratégicas e operacionais.
Supervisionar o gerenciamento de riscos e controles.
Promover a ética e os valores apropriados dentro da organização.;
Assegurar o gerenciamento eficaz do desempenho organizacional e a prestação de
contas;
Comunicar as informações relacionadas aos riscos e aos controles às áreas
apropriadas da organização; e
Coordenar as atividades e a comunicação das informações entre o conselho, os
auditores externos e internos, outros prestadores de avaliação e a administração.
Norma 2120: Gerenciamento de Riscos
A atividade de auditoria interna deve avaliar a eficácia e contribuir para a melhoria dos
processos de gerenciamento de riscos.
2120.A1 – A atividade de auditoria interna deve avaliar as exposições a riscos
relacionadas à governança, às operações e aos sistemas de informação da organização,
em relação a:
Alcance dos objetivos estratégicos da organização;
Confiabilidade e integridade das informações financeiras e operacionais;
Eficácia e eficiência das operações e programas;
Salvaguarda dos ativos; e
Conformidade com leis, regulamentos, políticas, procedimentos e contratos.
Norma 2130: Controle
A atividade de auditoria interna deve auxiliar a organização a manter controles eficazes a
partir da avaliação de sua eficácia e eficiência e da promoção de melhorias contínuas.
2130.A1- A atividade de auditoria interna deve avaliar a adequação e a eficácia dos
controles em resposta aos riscos, abrangendo a governança, as operações e os sistemas
de informação da organização, com relação a:
Alcance dos objetivos estratégicos da organização;
Confiabilidade e integridade das informações financeiras e operacionais;
Eficácia e eficiência das operações e programas;
GTAG / Auditando Dispositivos Inteligentes
15 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Salvaguarda dos ativos; e
Conformidade com leis, regulamentos, políticas e procedimentos e contratos.
Norma 2200: Planejamento do Trabalho de Auditoria
Os auditores internos devem desenvolver e documentar um planejamento para cada trabalho
de auditoria, incluindo os objetivos, o escopo, o prazo e a alocação de recursos do trabalho.
O plano deve considerar as estratégias, objetivos e riscos da organização que sejam
relevantes para o trabalho de auditoria.
Norma 2201: Considerações sobre o Planejamento
No planejamento dos trabalhos de auditoria, os auditores internos devem considerar:
As estratégias e objetivos da atividade que está sendo revisada e os meios pelos
quais a atividade controla seu desempenho;
Os riscos significativos para os objetivos, recursos e operações da atividade e os
meios pelos quais o impacto potencial dos riscos é mantido em um nível aceitável;
A adequação e a eficácia dos processos de governança, gerenciamento de riscos e
controles da atividade, comparativamente a uma estrutura ou modelo compatível; e
As oportunidades de realizar melhorias significativas nos processos de governança,
gerenciamento de riscos e controles da atividade.
2201.C1 – Os auditores internos devem estabelecer um entendimento com os clientes
dos trabalhos de consultoria quanto aos objetivos, ao escopo e às respectivas
responsabilidades e a outras expectativas do cliente. Para trabalhos significativos, este
entendimento deve ser documentado.
Norma 2210: Objetivos do Trabalho de Auditoria
Os objetivos devem ser estabelecidos para cada trabalho de auditoria.
2210.A1 – Os auditores internos devem conduzir uma avaliação preliminar dos riscos
relevantes para a atividade sob revisão. Os objetivos do trabalho de auditoria devem
refletir os resultados desta avaliação.
2210.A3 – São necessários critérios adequados para avaliar a governança, o
gerenciamento de riscos e os controles. Os auditores internos devem verificar até que
ponto a administração e/ou o conselho estabeleceu critérios adequados para determinar
se os objetivos e metas têm sido alcançados. Se forem adequados, os auditores internos
devem utilizar tais critérios em sua avaliação. Se inadequados, os auditores internos
devem identificar critérios de avaliação apropriados, em discussão com a administração
e/ou conselho.
GTAG / Auditando Dispositivos Inteligentes
16 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Norma 2220: Escopo do Trabalho de Auditoria
O escopo estabelecido deve ser suficiente para alcançar os objetivos do trabalho de
auditoria.
2220.A1 – O escopo do trabalho de auditoria deve incluir considerações sobre sistemas,
registros, pessoal e propriedades físicas relevantes, incluindo aqueles sob o controle de
terceiros.
Norma 2230: Alocação de Recursos para o Trabalho de Auditoria
Os auditores internos devem determinar os recursos apropriados e suficientes para cumprir
com os objetivos do trabalho de auditoria, baseado em uma avaliação da natureza e da
complexidade de cada trabalho, das restrições de tempo e dos recursos disponíveis.
Norma 2240: Programa de Trabalho de Auditoria
Os auditores internos devem desenvolver e documentar programas de trabalho que atendam
os objetivos do trabalho.
2240.A1 – Os programas de trabalho devem incluir os procedimentos para identificar,
analisar, avaliar e documentar as informações durante o trabalho de auditoria. O
programa de trabalho deve ser aprovado antes de ser implantado e quaisquer ajustes
devem ser prontamente aprovados.
Norma 2310: Identificação das Informações
Os auditores internos devem identificar informações suficientes, confiáveis, relevantes e úteis
para cumprir os objetivos do trabalho de auditoria.
Orientações Recomendadas Relacionadas do The IIA
Guia Prático “Auditing Privacy Risks, 2nd Edition”
“GTAG: Information Technology Risks and Controls”
“GTAG: Information Security Governance”
GTAG / Auditando Dispositivos Inteligentes
17 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Anexo B. Definições dos Conceitos Fundamentais
Atividade de auditoria interna – um departamento, divisão, time de consultores ou outros
profissionais que prestem serviços independentes e objetivos de avaliação (assurance) e
consultoria, desenvolvidos para adicionar valor e melhorar as operações da organização. A
atividade de auditoria interna auxilia uma organização a atingir seus objetivos, a partir da
aplicação de uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia
dos processos de governança, gerenciamento de riscos e controles.2
Back-end – o lado do servidor de um sistema client/server.3
Bring your own device (BYOD, “traga seu próprio dispositivo”) – uma estratégia
alternativa que permite que funcionários, parceiros do negócio e outros usuários utilizem um
dispositivo cliente pessoalmente selecionado e adquirido para executar aplicativos
comerciais e acessar dados. Tipicamente, envolve smartphones e tablets, mas a estratégia
também pode ser usada para PCs. Pode incluir subsídio.4
Cloud computing (computação na nuvem) – um estilo de computação em que
capacidades de TI escaláveis e elásticas são entregues como um serviço, usando
tecnologias da internet.5
Jailbreak – o processo de remoção de restrições de software impostas pelo iOS, sistema
operacional da Apple, em dispositivos que o executam, por meio do uso de explorações de
software. O jailbreak permite acesso raiz ao sistema e gestor de arquivos do iOS, permitindo
o download de aplicativos adicionais, extensões e temas que não estão disponíveis pela
Apple App Store oficial.6
Malware – abreviação de malicious software. Desenvolvido para infiltrar, danificar ou obter
informações de um sistema de computador, sem o consentimento do proprietário. Considera-
se comumente que malware inclua vírus, worms, cavalos de troia, spyware e adware.
Spyware é normalmente usado para propósitos de marketing e, como tal, não é malicioso,
embora seja geralmente indesejado. O spyware pode, no entanto, ser usado para coletar
informações para roubo de identidade e outros propósitos claramente ilícitos.7
2 The Institute of Internal Auditors, International Professional Practices Framework (IPPF) (Altamonte Springs: The Institute of Internal Auditors, Inc., 2013), p. 43. 3 Glossário de TI da Gartner, http://www.gartner.com/it-glossary (acessado em 9 de Março de 2016). 4 Ibid. 5 Ibid. 6 "IOS Jailbreaking." Wikipedia. Acessado em 9 de Março de 2016. https://en.wikipedia.org/wiki/IOS_jailbreaking. 7 ISACA, “ISACA Glossary of Terms,” p. 59. 2015. http://www.isaca.org/Knowledge-Center/Documents/Glossary/glossary.pdf (acessado em 9 de Março de 2016). Todos os direitos reservados. Usado com permissão.
GTAG / Auditando Dispositivos Inteligentes
18 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Mobile application management (MAM, gerenciamento de aplicativos móveis) –
descreve softwares e serviços responsáveis por provisionar e controlar o acesso a mobile
apps internamente desenvolvidos e comercialmente disponíveis, usados em contextos
comerciais em dispositivos fornecidos pela empresa ou BYOD. Oferece controles granulares
no nível do aplicativo, que permitem que os administradores gerenciem e protejam os dados
do app.8
Mobile application stores – oferecem aplicativos para download a usuários mobile, por
meio de uma interface de loja incorporada ao dispositivo ou encontrada na internet. As
categorias de aplicativos em lojas públicas de aplicativos incluem jogos, viagem,
produtividade, entretenimento, livros, utilidades, educação, etc., e os aplicativos podem ser
gratuitos ou cobrados. Lojas privadas de aplicativos podem ser criadas por empresas para
funcionários móveis.9
Mobile device management (MDM, gerenciamento de dispositivos móveis) – inclui
softwares que ofereçam as seguintes funções: distribuição de software, gerenciamento de
políticas, gerenciamento de inventário, gerenciamento de segurança e gerenciamento de
serviços para smartphones e media tablets. A funcionalidade do MDM é parecida com a de
ferramentas de PC configuration life cycle management (PCCLM); no entanto, requisitos
específicos às plataformas mobile frequentemente fazem parte dos MDM suites.10
Personally identifiable information (PII, informação pessoalmente identificável) –
qualquer representação de informações que permita que a identidade de um indivíduo a
quem a informação se aplique seja razoavelmente inferida por meio direto ou indireto. Além
disso, a PII é definida como a informação: (i) que diretamente identifica um indivíduo (ex.,
nome, endereço, número do seguro social ou outro número ou código de identidade, número
de telefone, endereço de e-mail, etc.) ou (ii) por meio da qual uma agência busque identificar
indivíduos específicos em conjunto com outros elementos de dados (ex., identificação
indireta). Esses elementos de dados podem incluir uma combinação de gênero, raça, data de
nascimento, indicador geográfico e outros descritores. Adicionalmente, informações que
permitam o contato físico ou online com um indivíduo específico são consideradas
informações pessoalmente identificáveis. Essas informações podem ser mantidas em papel,
meio eletrônico ou outras mídias.11
Rooted ou rooting – o processo de permitir que usuários de smartphones, tablets ou outros
dispositivos que executam o sistema operacional mobile Android tenham controle privilegiado
(conhecido como root access, acesso raiz) de diversos subsistemas Android. Como o
8 "IOS Jailbreaking." Wikipedia, https://en.wikipedia.org/wiki/IOS_jailbreaking (acessado em 9 de Março de 2016). 9 Glossário de TI da Gartner (2012), http://www.gartner.com/it-glossary (acessado em 9 de Março de 2016). 10 Ibid. 11 “Guidance on the Protection of Personal Identifiable Information,” United States Department of Labor, http://www.dol.gov/dol/ppii.htm (acessado em 9 de Março de 2016).
GTAG / Auditando Dispositivos Inteligentes
19 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Android utiliza o núcleo Linux, fazer o rooting de um dispositivo Android dá acesso
semelhante a permissões administrativas superuser como no Linux, ou qualquer outro
sistema operacional como o Unix, como o FreeBSD ou OSX.12
SD storage (armazenamento SD) – refere-se a um cartão de armazenamento Secure
Digital em um dispositivo inteligente. Secure Digital refere-se a uma norma que foi criada em
1999 e é mantida pela SD Association.13
Smartphone – um dispositivo de comunicação mobile que usa um OS aberto identificável.
Um OS aberto é suportado por aplicativos de terceiros, desenvolvidos por uma comunidade
notável de desenvolvedores. Aplicativos de terceiros podem ser instalados e removidos e
podem ser criados para o OS do dispositivo e para application programming interfaces
(APIs). Os desenvolvedores podem ser capazes de acessar APIs por meio de uma camada
discreta, como Java. O OS dá suporte a um ambiente de multitasking e tem uma interface de
usuário que pode lidar com diversos aplicativos simultaneamente. Por exemplo, ele pode
mostrar um e-mail enquanto toca música.14
12 “Rooting,” Wikipedia, https://en.wikipedia.org/wiki/Rooting_(Android_OS) (acessado em 9 de Março de 2016). 13 “Fact Sheet,” SD Association, ttps://www.sdcard.org/about_sda/fact_sheet/ (acessado em 9 de Março de 2016). 14 Glossário de TI da Gartner (2012), http://www.gartner.com/it-glossary (acessado em 9 de Março de 2016).
GTAG / Auditando Dispositivos Inteligentes
20 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Anexo C. Programa de Auditoria de Dispositivos Inteligentes
Objetivo 1: Planejar e Definir o Escopo da Auditoria
Atividades da Revisão Controle
1.1 Definir os objetivos do trabalho. (Norma 2210)
Os objetivos de auditoria/avaliação são de alto nível e descrevem as metas gerais de auditoria.
1.2 Identificar e avaliar riscos. (Norma 2210.A1)
A avaliação de riscos é necessária para avaliar onde os auditores internos devem se concentrar.
1.2.1 Identificar os riscos do negócio associados com a computação mobile que sejam motivos de preocupação para os proprietários do negócio e principais partes interessadas.
1.2.2 Verificar que os riscos do negócio estejam alinhados com os riscos de TI considerados.
1.2.3 Avaliar o fator geral de risco da condução da revisão.
1.2.4 Com base na avaliação de riscos, identificar potenciais mudanças ao escopo.
1.2.5 Discutir os riscos com a administração e ajustar a avaliação de riscos.
1.2.6 Com base na avaliação de riscos, revisar o escopo.
1.3 Definir o escopo do trabalho. (Norma 2220)
A revisão deve ter escopo definido. O revisor deve entender os dispositivos inteligentes usados pela organização, os dados que passam por esses dispositivos e o risco relativo para a organização.
1.3.1 Obter uma lista dos dispositivos inteligentes em uso.
1.3.2 Determinar o escopo da revisão.
1.4 Definir o sucesso do trabalho.
Fatores de sucesso precisam ser identificados e acordados.
1.4.1 Identificar os drivers de uma auditoria de sucesso.
1.4.2 Comunicar os atributos de sucesso para o proprietário do processo ou parte interessada e obter concordância.
1.5 Definir recursos necessários para conduzir o trabalho de auditoria. (Norma 2230)
Na maioria das organizações, os recursos de auditoria não estão disponíveis para todos os processos.
GTAG / Auditando Dispositivos Inteligentes
21 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Objetivo 1: Planejar e Definir o Escopo da Auditoria
Atividades da Revisão Controle
1.5.1 Determinar as habilidades de auditoria/avaliação necessárias para a revisão.
1.5.2 Estimar os recursos totais de auditoria/avaliação (horas) e cronograma (datas de início e fim) necessários para a revisão.
1.6 Definir os entregáveis. (Norma 2410)
Os entregáveis não estão limitados ao relatório final. A comunicação entre as equipes de auditoria/ avaliação e o proprietário do processo é essencial para o sucesso do trabalho.
1.6.1 Determinar os entregáveis parciais, incluindo descobertas iniciais, relatórios de status, relatórios preliminares, prazos para respostas ou reuniões e o relatório final.
1.7 Comunicar o processo. (Norma 2201)
O processo de auditoria/avaliação deve ser claramente comunicado ao consumidor/cliente.
1.7.1 Conduzir uma conferência de abertura para:
Discutir o escopo e objetivos com as partes interessadas.
Obter documentos e recursos de segurança da informação necessários para conduzir a revisão com eficácia.
Comunicar cronogramas e entregáveis.
Objetivo 2: Identificar e Obter Documentos de Apoio (Norma 2310)
Atividades da Revisão Controle
2.1 Revisar políticas para dispositivos inteligentes (incluindo BYOD) e políticas de segurança.
2.2 Revisar a documentação da arquitetura da infraestrutura de TI.
2.3 Revisar os procedimentos de MAM e MDM.
2.4 Revisar os relatórios produzidos pelo MAM e MDM.
Objetivo 3: Entender o Ambiente dos Dispositivos Inteligentes
Atividades da Revisão Controle
3.1 O dispositivo é de propriedade da organização ou bring your own device (BYOD)?
3.2 Os dados de propriedade da organização estão separados dos dados pessoais?
3.3 É permitido o uso pessoal do dispositivo (para jogos, redes sociais, etc.)?
GTAG / Auditando Dispositivos Inteligentes
22 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Objetivo 3: Entender o Ambiente dos Dispositivos Inteligentes
Atividades da Revisão Controle
3.4 Há um acordo em prática, em que o funcionário obedeça às políticas de segurança corporativa?
3.5 O funcionário está de acordo com a limpeza remota do dispositivo?
3.6 O funcionário está de acordo com o fato de que um registro de suas ligações possa ser visualizado pela organização?
3.7 Existem dados confidenciais no dispositivo? Se sim, quais são os procedimentos aplicados para monitorar e controlar os dados confidenciais?
3.8 Que tipos de dispositivos inteligentes e sistemas operacionais são permitidos?
3.9 Há uma estratégia e um procedimento de backup em prática para dispositivos inteligentes?
3.10 O dispositivo inteligente conecta-se à rede da organização? Como é conectado?
3.11 Como apps são transferidos para o dispositivo? A organização desenvolve seus próprios apps? Ela tem sua própria app store ou marketplace?
Objetivo 4: Entender a Arquitetura de TI que Suporta o Ambiente de Dispositivos Inteligentes
Atividades da Revisão Controle
4.1 A solução de MDM é cloud-based ou executada internamente?
4.2 A solução está hospedada por terceiros ou é autossuportada?
4.3 Há um acordo para terceiros em prática junto ao fornecedor?
Objetivo 5: Entender os Recursos de Segurança dos Dispositivos Inteligentes
Atividades da Revisão Controle
5.1 Verificar se a política de senha atende às normas da indústria.
5.2 Revisar os requisitos de criptografia (especialmente para dados confidenciais) e como a criptografia é aplicada.
5.3 Há um requisito de controle de ports do dispositivo (uso da câmera, uso do Bluetooth, controles de Wi-Fi)?
5.4 Qual procedimento é aplicado para limpeza remota/bloqueio e desbloqueio remotos do dispositivo?
5.5 Qual procedimento é aplicado para o reporte de dispositivos perdidos?
GTAG / Auditando Dispositivos Inteligentes
23 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Objetivo 5: Entender os Recursos de Segurança dos Dispositivos Inteligentes
Atividades da Revisão Controle
5.6 Como os dispositivos são rastreados e monitorados?
5.7 Qual configuração de dispositivo é aplicada ao dispositivo (VPN? E-mail? Etc.)?
5.8 Como a entrega de aplicativos para o dispositivo é controlada? Como os recursos são implementados?
5.9 Quais recursos de auditoria e monitoramento estão habilitados? Quais relatórios estão sendo gerados?
Objetivo 6: Entender Como os Dispositivos Inteligentes São Cadastrados no Software de MDM
Atividades da Revisão Controle
6.1 A organização usa autorregistro? Como os usuários registram seus dispositivos?
6.2 Como os usuários fazem o recadastro, quando compram um novo dispositivo ou substituem um dispositivo existente? O que acontece com o dispositivo anterior? Os dados são removidos do dispositivo?
6.3 Como é feita a verificação de que as políticas de segurança apropriadas foram aplicadas ao dispositivo?
Objetivo 7: Entender Como os Dispositivos Inteligentes São Provisionados Quanto a E-mail, Contatos e Endereços
Atividades da Revisão Controle
7.1 Como os e-mails são sincronizados com os servidores da organização? O e-mail é criptografado?
7.2 Onde e como é feita a verificação de vírus?
Objetivo 8: Entender Como Aplicativos São Instalados nos Dispositivos Inteligentes
Atividades da Revisão Controle
8.1 Revisar aplicativos utilizados e como os dados são armazenados e criptografados no dispositivo.
8.2 Revisar a execução de aplicativos.
GTAG / Auditando Dispositivos Inteligentes
24 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Objetivo 8: Entender Como Aplicativos São Instalados nos Dispositivos Inteligentes
Atividades da Revisão Controle
8.3 Revisar o procedimento de autenticação para os aplicativos. Como as senhas são autenticadas? Há um processo de autorização estabelecido para o uso de dados organizacionais por parte dos funcionários?
Objetivo 9: Entender Como Dispositivos Inteligentes Estão Conectados à Rede da Organização
Atividades da Revisão Controle
9.1 Que tipo de conexão remota é usado?
9.2 Qual autenticação é usada antes de permitir acesso à rede da organização?
9.3 Quais protocolos de criptografia estão em prática para a conexão remota?
Objetivo 10: Entender os Requisitos Regulatórios e de Conformidade Relativos aos Dispositivos Inteligentes
Atividades da Revisão Controle
10.1 Quais dispositivos e controles estão em prática para cumprir com os requisitos regulatórios e de conformidade (como HIPAA, Sarbanes-Oxley, PCI, PII e outros)?
Objetivo 11: Entender os Relatórios de Administração Produzidos Relativos aos Dispositivos Inteligentes
Atividades da Revisão Controle
11.1 Quais relatórios são revisados pela administração?
11.2 Quais estatísticas principais são monitoradas e revisadas?
GTAG / Auditando Dispositivos Inteligentes
25 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Autores/Contribuintes
Brad Ames, CRMA, CISA
Frederick Brown, CISA, CRISC
John Bogert, CISA
Michelle Creer, CISA
Jacques Lourens, CIA, CISA, CGEIT, CRISC
Raj Patel, CISA, CISM, CRISC
Sajay Rai, CISM, CISSP
Steve Stein, CIA, CISA
GTAG / Auditando Dispositivos Inteligentes
26 The Institute of Internal Auditors | Global www.globaliia.org | www.theiia.org
Sobre o Instituto
The Institute of Internal Auditors (The IIA) é o mais reconhecido advogado, educador e fornecedor de normas,
orientações e certificações da profissão de auditoria interna. Fundado em 1941, o The IIA atende, atualmente, mais
de 180.000 membros de mais de 170 países e territórios. A sede global da associação fica em Altamonte Springs, na
Flórida. Para mais informações, visite www.globaliia.org ou www.theiia.org.
Sobre as Orientações Suplementares
Orientações Suplementares fazem parte do International Professional Practices Framework (IPPF) do The IIA e
oferecem orientações adicionais recomendadas (não obrigatórias) para a condução de atividades de auditoria
interna. Embora apoiem as Normas, as Orientações Suplementares não têm o objetivo de relação direta com o
atingimento da conformidade com as Normas. Elas têm o objetivo de abordar tópicos específicos, assim como
questões específicas de determinados setores, e incluem processos e procedimentos detalhados. Esta orientação é
apoiada pelo The IIA, por meio de processos formais de revisão e aprovação.
Guias Práticos
Os Guias Práticos são um tipo de Orientação Suplementar, que fornecem orientação detalhada para a
condução de atividades de auditoria interna. Eles incluem processos e procedimentos detalhados, como
ferramentas e técnicas, programas e abordagens passo-a-passo, assim como exemplos de entregáveis. Como
parte das orientações do IPPF, a conformidade com os Guias Práticos é recomendada (não obrigatória). Os
Guias Práticos são apoiados pelo The IIA, por meio de processos formais de revisão e aprovação.
Um Global Technologies Audit Guide (GTAG) é um tipo de Guia Prático, redigido em linguagem clara de
negócios, para abordar uma questão tempestiva relativa ao gerenciamento, controle ou segurança da tecnologia
da informação.
Para mais materiais de orientação fidedignos fornecidos pelo The IIA, por favor, visite nosso site em
www.globaliia.org/standards-guidance ou www.theiia.org/guidance.
Isenção de Responsabilidade
O The IIA publica este documento para fins informativos e educacionais e este material não tem o objetivo de
fornecer respostas definitivas a específicas circunstâncias individuais. Desta forma, tem o único propósito de servir
de guia. O The IIA recomenda que você sempre busque conselhos especializados independentes, relacionados
diretamente a qualquer situação específica. O The IIA não aceita qualquer responsabilidade pela confiança
depositada unicamente neste guia.
Copyright
Copyright ® 2016 The Institute of Internal Auditors
Para permissão para reproduzir, por favor, contate [email protected].
Agosto de 2016