Como encontrar ferramentas para gerenciamento de riscos de auditoria?
Christian Jácomo Valência
• 4 min de leitura
Muitas empresas hoje em dia, especialmente corporações internacionais, têm segredos comerciais que seriam desastrosos se caíssem em mãos erradas. Por causa disso, as práticas de auditoria da empresa agora geralmente incluem não apenas auditorias operacionais e auditorias de computador, mas também o gerenciamento de riscos de auditoria. Esses sistemas geralmente são colocados em prática para combater ou reduzir o risco interno que vem com a contratação e demissão de funcionários. A principal função da auditoria de gerenciamento de risco é garantir que dados confidenciais e outros ativos valiosos da empresa sejam devidamente protegidos e salvaguardados. Uma atividade básica de gerenciamento de risco de auditoria é determinar quem tem acesso a certos dados confidenciais e descobrir se é apropriado que essas pessoas tenham acesso a essas informações. O controle de auditoria também deve ter as ferramentas para monitorar os sistemas de computador e da empresa, e os internos da empresa, a fim de identificar atividades ilegais.
Gestão de risco de auditoria
Aqui estão algumas dicas sobre como encontrar as ferramentas adequadas para gerenciamento de risco de auditoria:
Proteja os computadores. Alguns dos itens mais confidenciais em um escritório, em termos de gerenciamento de risco de auditoria, são os computadores aos quais os funcionários têm acesso e que geralmente contêm informações confidenciais da empresa. Para mitigar essa ameaça, você deve ter as ferramentas adequadas para conduzir análises de trilhas de auditoria com o objetivo específico de pesquisar e localizar eventos de segurança e instâncias de abuso de privilégios de acesso às informações. Essas ferramentas também devem ter a capacidade de validar controles de folha de pagamento, permissões de diretório e configurações do sistema de contabilidade. Isso também deve se estender à tarefa de ser capaz de validar que o software de backup que está sendo utilizado está configurado apropriadamente e que os backups estão completos e sem erros. Por último, você deve ter as ferramentas que permitiriam revisar os sistemas de compartilhamento de rede em busca de possíveis informações confidenciais armazenadas com o mínimo ou nenhuma restrição de acesso.
Proteja o local de trabalho do escritório. Além dos sistemas de computador, outra coisa que deve ser protegida é o próprio local de trabalho. Existem conjuntos separados de ferramentas que podem ser usados para realizar inspeções de espaço de escritório, a fim de determinar se os funcionários realmente cumprem os procedimentos e políticas de segurança exigidos pela empresa, como garantir que certos materiais contendo informações confidenciais não sejam deixados sem supervisão e que as telas dos computadores nas estações de trabalho dos funcionários estejam protegidas.
Monitore o acesso padrão dos funcionários. Você também deve ter as ferramentas que permitirão monitorar o acesso dos funcionários às informações. Incluem ferramentas para obter uma lista de todo o pessoal atual da empresa a partir de recursos humanos e para avaliar essa lista em relação às contas ativas da empresa. Essas ferramentas também devem permitir que você rescinda ou suspenda sistematicamente o acesso às informações quando o pessoal da empresa deixar a organização ou mudar de função.
Monitore o acesso físico padrão. Também é fundamental ter as ferramentas para observar os logs de acesso de segurança física. Isso deve permitir que você monitore os funcionários que costumam realizar visitas após o horário de expediente e durante os fins de semana. Esses sistemas também devem permitir que você reveja os feeds de CFTV e as trilhas de auditoria do sistema se qualquer evidência de atividade suspeita for encontrada.
Reúna suas ferramentas. Agora que você sabe o que procurar, pode acessar a Internet e encontrar as ferramentas que atendem às suas necessidades. Empresas como McAfee e Paisley Consulting oferecem uma ampla gama de ferramentas de gerenciamento de risco de auditoria para atender às suas necessidades.
As atividades acima devem ser realizadas pelo menos trimestralmente para proteção máxima. Se possível, seria melhor automatizar sua auditoria, o que não apenas conservará recursos, mas também detectará certas violações de segurança logo no início.