Avaliação de segurança em TI

Os exames de auditoria tomam por base a Norma NBR ISO/IEC 17799. Trata-se de um código de boas práticas de segurança da informação internacionalmente aceito. Avaliamos a segurança física do ambiente dos servidores, segurança lógica dos sistemas de informação, plano de contingência, metodologia para desenvolvimento de sistemas, segurança em pessoas, preceitos legais, dentre outros.

 

É emitido relatório confidencial contendo detalhes dos exames efetuados, opinião da auditoria e recomendações para aprimoramentos. Conforme sugerido pela Norma, todas as recomendações balizam a melhor relação custo x benefício, e dentro do contexto efetivamente válido para a empresa auditada. Alguns controles não participam do cenário ou já estão sobrepujados por outros mais pertinentes.

 

É procedimento comum uma reunião de encerramento. Visa assegurar o melhor entendimento da Norma, o que é de suma importância para implementar as recomendações apresentadas no relatório.

 

Em complemento aos trabalhos, propomos que paralelamente ao processo de implementação de controles, deve-se elaborar um modelo para Gestão de Segurança da Informação. Contempla o ciclo PDCA (Plan, Do, Check e Act) para aprimoramento contínuo de controles. Essa questão também é discutida na reunião de encerramento e pautada no relatório de auditoria.