Pular para o conteúdo principal

Auditorias | Como proceder durante a pandemia?

A crise causada pela pandemia da COVID-19 alterou o modo de vida em todos aspectos possíveis da humanidade, passando também, fortemente, pelo campo profissional, onde as mudanças têm causado um aceleramento da cultura do home-office e outras medidas antes existentes, mas em estágios anteriores, de forma muitas vezes desordenada, caótica e... bem-sucedida.

Por mais que tenhamos necessidade (e deve ser assim mesmo) de planejamento, controle e gestão de riscos, muitas vezes as coisas acontecem por força das circunstâncias e elementos diretos e indiretos acabam acomodando e gerando cenários que se tornam nosso padrão.

Na primeira onda deste assunto, e falando estritamente no modo profissional, a preocupação das organizações passou pela saúde de seus funcionários, terceirizados, parceiros e clientes para a questão da portabilidade das operações a partir de casa, o que já tem ocorrido há alguns meses na maioria das corporações com relativo sucesso.

Agora, com esta situação ainda em evidência e sem perspectiva imediata de retorno ao modo que tínhamos até o início do ano, com ocupação e operação baseada em locais de trabalho físicos, surge mais um capítulo nesta história, e aqui muito próximo da área de Privacidade de Dados e Segurança da Informação: Como lidar com as auditorias?

Para o nosso segmento, auditorias são uma espécie de combustível que nos move, e não é de estranhar que um time de uma grande empresa ou instituição esteja envolvido em múltiplos eventos desta natureza, atuando tanto como auditado quanto como auditor.

Auditorias internas, externas, de clientes, de certificação... e agora com a perspectiva também de fiscalizações por conta da LGPD são coisas que fazem parte da pauta da maioria dos CISOs ou similares (claro que isso já faz parte de mercados já bastante regulados, como as instituições financeiras, que possuem estas questões e também outras, como inspetorias, por exemplo).

Mas como lidar com isso, visto que o modelo é, predominantemente, focado em visitas e reuniões presenciais, onde são envolvidos profissionais, infra-estrutura e também muito do que chamamos de visão do auditor, onde este, por mais que tenha seu planejamento e seu roteiro a cumprir pode, em determinado momento, promover pequenas mudanças de curso de forma a medir determinados aspectos (não estou falando de pegadinhas, mas do sentimento que, dado o clima, a reação das pessoas e a forma com que tem sido conduzido o processo pode levar a novos diagnósticos, que podem ser positivos ou não para quem está sendo auditado).

Falando de auditorias internas, vejo que é algo, pela sua própria natureza, um tanto simples de resolver, pois envolve público com a mesma cultura organizacional e, desta forma, fica mais fácil migrar para o modelo remoto e também é possível considerar o histórico como forma de suprir a falta de condições para visitar fisicamente os locais.

A tecnologia também pode ajudar, seja na forma de drones (não necessariamente aéreos) para a visita física de locais, como forma de verificação de instalações como Data Centerse outras dependências.

Já nas auditorias externas, muito mais rígidas do ponto de vista de processo aplicado às empresas de forma igualitária, é algo que tem preocupado os gestores de Privacidade de Dados e Segurança da Informação, pois pegando o modelo aplicado atualmente pela ISO 27001:2013, temos um processo orientado a visitas físicas dos auditores, que entrevistam os pontos focais, avaliam os controles aplicados fisicamente em pontos estratégicos, como TI e Segurança Física e também medem a questão de cosncientização das pessoas e comportamento humano.

Nesta situação, vejo que também há a necessidade de evoluirmos para a realidade atual, considerando que a maioria das pessoas já não estará nas dependências das empresas ao ponto que também não poderemos enviar auditores para as residências das pessoas e, domínios como os de treinamento e conscientização deverão passar por novos critérios de avaliação e formas de medição de sua qualidade.

As visitas às instalações físicas também deverão ser cada vez mais restritas e específicas, talvez centralizando, no caso de uma empresa com várias filiais ou mesmo uma multinacional, uma única visita e, a partir deste ponto, obter-se a amostragem necessária e, neste ponto, é algo que realmente deverá ser bastante pensado e debatido, pois é comum diferenças substanciais quando há diferentes locais, como questões regionais (até mesmo nacionais e internacionais), culturais, econômicas, de negócio, etc.

As entrevistas são, no meu modo de entender, o aspecto menos impactado por esta situação, pois no geral as pessoas já estão habituadas às conexões remotas ao invés da tradicional sala de reuniões - mas aqui listo a regra não-escrita da auditorias: O fator emocional, que faz com que pessoas reajam de forma muito atípica neste tipo de situação estressante e de alta pressão, fazendo com que uma área relativamente em conformidade passe por apuros enquanto outras com menos condições tenham, utilizando-se de pessoas com boa oratória e inteligência emocional, performance superior - e isso conta muito num processo de certificação, por exemplo.

Outro ponto, agora envolvendo espeficicamente a questão de Privacidade de Dados. trata da coleta, demonstração e envio (quando aplicável) de evidências de uma auditoria, pois agora, remotamente, não há como apenas demonstrar algo ao auditor em sua mesa de trabalho.

Para isso, é necessário ajustar os termos de NDA (Non-Disclosure Agreement) junto ao departamento jurídico de modo a prever situações onde evidências poderiam, tecnicamente, ser capturadas indevidamente por prints de tela ou qualquer tipo de tráfego não permitido pela organização, bem como estabelecer critérios, regras e ambientes tecnológicos para tal ação.

Por fim, as auditorias são mais um dos elementos que terão de passar por transformações para adaptar-se à realidade que temos hoje, onde deslocamentos, contato físico, aglomerações de pessoas e comportamentos antes tidos como padrão serão cada vez mais repensados.


Tags 🏷
#cybersecurity #cso #ciso #infosec #hacker #lgpd #ciberseguranca #cyberattacks #threats #privacidade #cibercrime #exploit #hackers #hacker #breach #glba #gdpr #cloudsecurity #ccpa #datasecurity #ocipa #hacking #cloud #ccpa #securitymanagement #hippa #privacy #datasecurity


Marcadores:

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Criando resiliência na gestão de vulnerabilidades

Entre explorações tradicionais de brechas e novas falhas geradas pelas dificuldades em aplicar patches de atualização constantemente, a gestão de vulnerabilidade continua sendo um dos grandes desafios para as Lideranças de Segurança Cibernética protegerem ambientes em cloud e on premise. Nesse artigo, os Cibersecurity Advisors, Rangel Rodrigues e Marcilio Rodrigues, apontam estratégias e boas práticas necessárias para blindar os ambientes digitais das empresas e garantir a continuidade dos negócios Por Rangel Rodrigues e Marcilio Rodrigues* Nestes quase 2 anos atuando como BISO, tive uma experiência um pouco diferente das anteriores. Meu papel era estabelecer uma conexão com os executivos de negócios e interconectar as áreas de tecnologia e cibersegurança, mas o que eu não percebi foi que a abordagem muda dependendo da cultura da organização. Sendo um profissional com uma raiz pura em tecnologia, já trabalhei em diversas frentes de TI e cibersegurança, mais precisamente nos últimos ano...
Postar um comentário
Leia mais

Seis princípios para fortalecer sua estratégia de Cibersegurança

O Security Advisor, Rangel Rodrigues, destaca em seu artigo o papel fundamental na estrutura de CISO, os desafios de mercado para 2025 e como a história de Neemias pode servir de inspiração para os líderes de Cibersegurança ganharem mais resiliência cibernética Em linhas gerais, a posição de um líder em Cibersegurança não tem sido fácil, mas diria o mesmo para qualquer profissional que trabalhe na estrutura de CISO em uma organização. Na história da Segurança da Informação, Steve Katz foi o primeiro CISO, no Citigroup, em meados de 1994, depois que o grupo sofreu um ataque cibernético de um hacker russo chamado Vladimir Levin. O banco criou a primeira posição de executivo de segurança cibernética do mundo e, a partir disso, a estrutura do CISO tem se expandido, sendo até comparada com a função de um piloto, devido às regras no espaço aéreo e alta complexidade de atuação. Tenho ouvido de alguns profissionais no Brasil e nos EUA que ainda não são muito valorizados, apesar de o cenário t...
Postar um comentário
Leia mais

O inimigo pode estar onde menos esperamos

Quais lições podem ser aprendidas com o apagão cibernético? Assim como no ataque às Torres Gêmeas, esse incidente também incentivará mais mudanças nos processos de Continuidade e Recuperação de incidentes, especialmente num ambiente cibernético hiperconectado, em que uma pequena falha pode causar uma crise de proporções inesperadas. O advisor e arquiteto em Segurança da Informação, Rangel Rodrigues, aponta questionamentos visando incrementar as estratégias futuras *Por Rangel Rodrigues O recente incidente com o Falcon (EDR) da CrowdStrike, usado por muitas organizações ao redor do globo, ocorreu após liberação de uma correção com defeito, que corrompeu um arquivo nos sistemas operacionais Microsoft Windows, resultando na famosa tela azul (blue screen of death). Consequentemente se gerou uma paralisação ou apagão cibernético, impactando globalmente os serviços de hospitais, sistemas financeiros, atendimentos e aeroportos. As consequências da crise levaram até a Comissão do Senado norte-...
Postar um comentário
Leia mais