Os critérios para a auditoria de sistemas de gestão da segurança da informação
Redação
Um sistema de gestão da segurança da informação (SGSI)envolve a gestão corporativa voltada para a segurança da informação, que inclui toda a abordagem organizacional usada para proteger a informação empresarial e seus critérios de confidencialidade, integridade e disponibilidade. O SGSI inclui estratégias, planos, políticas, medidas, controles, e diversos instrumentos usados para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação. Não adianta somente avaliar se as políticas e os procedimentos de segurança da informação são adequados o suficiente para garantir que os ativos de informações organizacionais estejam bem protegidos. As políticas podem não ser adequadas ou a conformidade com as políticas pode não ser adequada. Para uma garantia de que eles são eficazes em alcançar seus objetivos, uma revisão deve ser realizada. Uma auditoria de segurança da informação é uma avaliação técnica sistemática e mensurável de como a política de segurança da organização é empregada. É parte do processo contínuo de definição e manutenção de políticas de segurança eficazes. As auditorias de segurança fornecem uma maneira justa e mensurável de examinar o quão seguro um site realmente é. s resultados das violações de segurança foram devastadores para as organizações, tanto em termos financeiros quanto de reputação. Portanto, para evitar que isso aconteça, a segurança da infraestrutura da tecnologia da informação (TI) se tornou uma tarefa importante para as organizações manterem seus ativos online protegidos. A realização de auditorias de segurança de TI para redes e aplicativos em um ambiente de TI pode prevenir ou ajudar a reduzir as chances de ser alvo de cibercriminosos. A realização de uma auditoria de segurança de TI pode ajudar as organizações, fornecendo informações relacionadas aos riscos associados às suas redes de TI. Também pode ajudar a encontrar brechas de segurança e vulnerabilidades potenciais em seu sistema. Assim, corrigindo-os a tempo e mantendo os hackers afastados. Por isso, é importante conhecer as orientações sobre como gerenciar um programa de auditoria de SGSI, como executar as auditorias e a competência dos auditores de SGSI, em complemento às orientações descritas na NBR ISO 19011.
Uma auditoria de segurança da informação é a descrição de alto nível das muitas maneiras pelas quais as organizações podem testar e avaliar sua postura geral de segurança, incluindo a segurança cibernética. Pode-se empregar mais de um tipo de auditoria de segurança para alcançar os resultados desejados e cumprir os objetivos de negócios. Os auditores do SGSI devem verificar se as informações documentadas, conforme requeridas pelos critérios de auditoria e pertinentes ao escopo da auditoria, existem e estão em conformidade com os requisitos dos critérios de auditoria.
Os auditores do SGSI devem confirmar que os controles determinados no escopo da auditoria estão relacionados aos resultados do processo de avaliação e tratamento de riscos e, posteriormente, podem ser rastreados até a política e os objetivos de segurança da informação. Os métodos possíveis para coletar informações pertinentes durante a auditoria incluem: a análise crítica de informações documentadas (incluindo registros de computador e dados de configuração); a visita a instalações de processamento de informações; a observação de processos de SGSI e controles relacionados; o uso de fer...