Edição 4 GLOBAL PERSPECTIVES AND INSIGHTS · Etienne Postings, CIA, CCSA, CISA, ... do Cabo – África do Sul. Global Perspectives: A Auditoria Interna como Conselheira Confiável

Edição 4

GLOBAL PERSPECTIVES AND INSIGHTS:

A Auditoria Interna Como Conselheira Confiável de Cibernética

Índice

A Auditoria Interna Como Conselheira Confiável de Cibernética... 4

Um Esforço em Equipe............................................................ 5

Apoio do Topo......................................................................... 6

Questões Relacionadas............................................................ 7

Conclusão.............................................................................. 9

Documento 1: CAEs Eficazes se Destacam ao Criar Relações de Aconselhamento com Partes Interessadas.............. 10

Documento 2: Sendo um Conselheiro Confiável de Cibernética.. 13

ColaboradoresPrefeitura da Cidade

Lindiwe Ndaba, CIA, Chief Audit ExecutiveEtienne Postings, CIA, CCSA, CISA, Gerente Sênior de Auditoria de Sistemas de Informação Andre Stelzner, Diretor de Sistemas eTecnologia da Informação

FirstRand Ltd – África do Sul Jenitha John, CIA, QIAL, CA(SA), Chief Audit Executive

Insurance Australia Group Limited – Austrália Jeff Jacobs, Chief Information Security Officer Lee Sullivan, Chief Audit Executive

RSM US LLP – Estados Unidos Daimon Geopfert, Líder Nacional de Serviços de Segurança e Privacidade

Saudi Basic Industries Corporation (SABIC) – Arábia Saudita Gregory Grocholski, CISA, Vice-Presidente, Chief Audit Executive

The Institute of Internal Auditors – Estados Unidos Greg Jaynes, CIA, CRMA, CFE, CGFM, Chief Audit Executive Charles Redding, Vice-PresidenteExecutivo e Chief Information Officer

Universidad de Los Andes – Colômbia Jeimy Cano, CFE, Cobit5 Foundation Certificate, Distinguished Professor, Faculdade de Direito

University of Virginia – United States Jason Belford, Chief Information Security Officer Gerald Cannon, CISA, CRISC, Diretor de Auditorias de TI Virginia Evans, Chief Information Officer Ron Hutchins, Vice-Presidente de TI Carolyn Saint, CIA, CRMA, CPA, Chief Audit Executive

globaliia.org

Global Perspectives:A Auditoria Interna como Conselheira Confiável de Cibernética

3

do Cabo – África do Sul


Conselho ConsultivoNur Hayati Baharuddin, CIA, CCSA, CFSA, CGAP, CRMA – IIA–Malásia

Lesedi Lesetedi, CIA, QIAL – IIA Federação Africana

Hans Nieuwlands, CIA, CCSA, CGAP – IIA–Holanda

Karem Obeid, CIA, CCSA, CRMA – Membro do IIA–Emirados ÁrabesUnidos

Carolyn Saint, CIA, CRMA, CPA – IIA–América do Norte

Ana Cristina Zambrano Preciado, CIA, CCSA, CRMA – IIA–Colômbia

Feedback dos LeitoresEnvie perguntas ou comentários para

[email protected].

A Auditoria Interna como ConselheiraConfiável de Cibernética

1 IBM e Ponemon Institute, 2015 Cost of Data Breach Study: Global Analysis, com base em um estudo com 350empresas de 11 países.

2 Mandiant, “M-Trends 2015: A View from the Front Lines,” com base em uma destilação das investigações deresposta a incidente de Mandiant em mais de 30 setores da indústria.

3 Gemalto, Breach Level Index (BLI), banco de dados que registra todas as violações globais reportadas publicamente.

4 Ibid.

5 Hackett, R.; “‘Security Has Failed’: Exclusive Preview of RSA President’s Conference Preview,” Fortune, 21 de Abril de 2015.

globaliia.org

4

Copyright © 2016 The Institute of Internal Auditors, Inc., (“The IIA”) direitos estritamente reservados. Qualquer reprodução do nome ou logoThe IIA contará com o símbolo federal americano de marca registrada ®.Nenhuma parte deste material pode ser reproduzida, de qualquer forma,sem permissão por escrito do The IIA.

Embora não seja prático que alguém saiba tudo sobre um tópico complexo e em rápida mudança, como a cibersegurança, tornou-se essencial que um chief audit executive (CAE) ou chefe de auditoria interna tenha conhecimentos de cibersegurança. Na verdade, considerando a natureza dinâmica dos riscos e exposições que a cibernética apresenta, um CAE bem informado poderia posicionar a auditoria interna para ser uma conselheira confiável para a organização quanto a esta área desafiadora de grande importância.

As estatísticas são chocantes:

Em 2015, o custo total médio de uma violação de dados foi de US$3,79 milhões, maior do que os US$3,52 milhões de 2014 e representando um aumento de 23% em relação a 2013. O custo reflete uma rotatividade anormal de clientes, aumento das atividades de aquisição de clientes, perdas reputacionais e menos benevolência.1

Os invasores tiveram acesso aos ambientes das organizações por uma média de 205 dias antes de serem descobertos e, até então, 69% das organizações vítimas descobriram que foram comprometidas não por sua própria equipe, mas por um terceiro.2

Na primeira metade de 2015, foram violados quase 246 milhões de registros em 888 incidentes divulgados. Em quase metade desses incidentes divulgados, o número de registros violados não pôde ser determinado.3

Violações ocorrem no mundo todo. Na primeira metade de 2015, a maioria ocorreu na América do Norte (707 incidentes), seguida pelo Reino Unido (94) e pela Ásia (63). Cinco das 10 principais violações, por número de registros de dados comprometidos, foram em firmas externas aos EUA.4

Considerando estatísticas como essas, não é de surpreender que Amit Yoran, presidente da RSA, tenha declarado que “A indústria da [ciber]segurança está fracassando. Ela fracassou.”5

globaliia.org

5


Um Esforço em EquipeEsta não é uma tarefa única de experts em cibersegurança. A cibersegurança deve ser considerada de forma holística e sistêmica, já que os efeitos do fracasso podem variar de uma incapacidade de conduzir transações básicas, à perda de propriedades intelectuais, ao dano reputacional. Não é apenas um risco tecnológico; é um risco do negócio e, portanto, os auditores internos têm um papel crítico a desempenhar. O sucesso nesse esforço é altamente dependente da ênfase colocada no tópico pelo conselho ou comitê de auditoria, assim como da abordagem assumida pelo CAE. A cibersegurança oferece uma oportunidade significante para que CAEs demonstrem sua posição como conselheiros confiáveis, indo além da simples garantia de que as auditorias de cibersegurança sejam executadas conforme planejadas e, em vez disso, oferecendo liderança criativa, preventiva e estratégica ao negócio. Isso significa determinar o risco e impacto da cibersegurança sobre a estratégia e reputação do negócio; permitir discussões oportunas e específicas entre a administração e os executivos principais; e promover a necessidade do zelo devido e dos recursos necessários para o mesmo.

O CAE também faz bem em estabelecer relacionamentos produtivos e altamente colaborativos com o chief information officer (CIO) e com o chief information security officer (CISO). Tais relacionamentos podem abordar o entendimento nem sempre perfeito do que as equipes de segurança e TI querem e precisam, e do que a auditoria interna pode fornecer. De acordo com Jenitha John, CAE da FirstRand Ltd., CISOs querem uma visão honesta e proativa da auditoria interna, quanto às tendências atuais, e das questões tópicas emergentes que prevalecem no ambiente — a visão proativa de futuro de um conselheiro confiável. Ela acredita que a auditoria interna precisa “articular as questões relativas à exposição atual e ao impacto que a organização enfrenta.”

CIOs têm necessidades parecidas, mas distintas das necessidades do CISO, de acordo com Charles Redding, vice-presidente executivo e CIO do The IIA. Ele observa que os CIOs tendem a examinar a cibersegurança do ponto de vista técnico. A auditoria interna amplia essa perspectiva, oferecendo informações de

Ainda assim, ninguém duvida da importância da cibersegurança — as medidas tomadas para proteger de perdas, destruição, acesso não autorizado ou uso impróprio os dados em sistemas conectados pela internet. Muitas pessoas inteligentes e sensatas têm se concentrado nessa questão há anos. Suas expectativas são realistas: não há ampla crença de que ciberataques possam ser eliminados totalmente. Como observa Jeimy Cano, Distinguished Professor da Faculdade de Direito da Universidad de los Andes, o ambiente digital da atualidade é repleto da “inevitabilidade do fracasso.” A cibersegurança é um jogo de minimização de danos. A meta é bloquear o máximo possível de ataques e, no caso inevitável de alguém passar despercebido, encontrar os invasores antes que atinjam as “joias da coroa.”

Apoio do Topo

6 PwC, “US cybersecurity: Progress stalled, Key findings from the 2015 US State of Cybercrime Survey,” Julho de 2015.

7 Security Intelligence, “Why is Your Board of Directors Finally Asking about Cyber Risks?,” 13 de Outubro de 2015.

globaliia.org

6


Em praticamente todas as organizações, para todos os principais projetos, a adesão do topo é fundamental. Porém, os conselhos relutam em mostrar total apoio aos esforços de cibersegurança. De acordo com um estudo recente, 26% dos indivíduos participantes indicaram que seu CISO ou chief security officer (CSO) faz uma apresentação de segurança para o conselho uma vez ao ano; um número quase igual (28%) reportou nenhuma apresentação. Quase um terço disse que nenhum comitê ou membro do conselho se envolveu no ciber-risco; apenas 15% indicaram envolvimento no ciber-risco por parte do comitê de auditoria.6

Mas a relutância tradicional em se envolver com a cibersegurança parece estar diminuindo. Os conselhos estão começando a pedir mais informações sobre cibersegurança e riscos relativos dentro de suas organizações. Isso não ocorre apenas porque reconheceram a magnitude potencial dos danos que um ataque pode causar; as pressões regulatórias também estão na mente do conselho. Em Junho de 2014, o Comissário Luis Aguilar, da Securities and Exchange Commission, anunciou que “A supervisão, por parte do conselho, do gerenciamento de ciber-riscos é crítica para garantir que as empresas estejam tomando medidas adequadas para prevenir e se preparar para os danos que podem advir de tais ataques. (...) os conselhos que escolherem ignorar ou minimizar a importância da responsabilidade de supervisão da cibersegurança o fazem por sua própria conta e risco.”7

C-Suite que “nos ajudam a avaliar o risco e definir qual deve ser o nível de tolerância ao risco.” A função de auditoria interna a que Redding se refere é chefiada por Greg Jaynes, CAE do The IIA, que confirma a parceria entre a auditoria interna e o CIO: “Quando Charles e eu estamos no escritório, não há dia que se passe sem que falemos de riscos e cibersegurança. Não vejo como CAEs podem ser eficazes, se não estiverem totalmente engajados com seu CIO.”

Gregory Grocholski, vice-presidente e CAE da Saudi Basic Industries Corporation (SABIC), concorda com a importância do esforço de equipe, mas aponta que o papel do CAE quanto à cibersegurança vai além da promoção de parcerias dentro da organização. O CAE deve entender que os dados existem em modo estruturado (aplicações desenvolvidas) e desestruturado (Excel, Word, etc.), sendo que os dois podem ser do interesse de partes indesejadas.

O CAE deve estar familiarizado com os caminhos cibernéticos de entrada e saída para a organização e deve garantir que esses caminhos sejam considerados apropriadamente em todos os níveis da organização, quanto à sua necessidade, controles apropriados, impactos dos riscos e tolerância a riscos. O tempo todo, o CAE deve estar voltado para antecipar, não apenas para se preparar para reagir.

Questões Relacionadas

8 The IIA, “2016 North American Pulse of Internal Audit,” Fevereiro de 2016.

globaliia.org

7


Conselhos, comitês de auditoria e executivos principais precisam de informações para cumprir com suas responsabilidades com eficácia. A auditoria interna, com seu acesso privilegiado a esses grupos, pode ajudar a manter a cibersegurança em pauta. John acredita que o papel do CAE esteja claro: “CAEs devem posicionar as descobertas de auditoria apropriadamente, nos níveis certos de governança, para que recebam a atenção necessária, e, então, monitorar e fornecer atualizações quanto aos esforços de correção.” Lee Sullivan, CAE do Insurance Australia Group Limited (IAG), diz que seu reporte fornece ao conselho “uma visão independente do estado real da prontidão do IAG perante ameaças cibernéticas.”

Os CAEs podem perceber a chance de máxima eficácia em suas responsabilidades de reporte relativo à cibersegurança, se derem ênfase às tendências da indústria, como mudanças futuras em regulações, novos requisitos de cobertura de seguro e novas ações judiciais coletivas, e a como essas tendências são levadas em consideração na definição do escopo das auditorias internas. Eles também podem querer avaliar se as pessoas e equipes apropriadas — equipes de resposta a incidentes e terceiros que conduzam avaliações, por exemplo — estão posicionadas para abordar especialidades de cibersegurança.

Os CAEs também devem prestar consultoria em projetos atuais de cibersegurança, avaliando se esses projetos são eficazes em mitigar os riscos encarados, se usam com eficácia os recursos para direcionar os esforços para os riscos mais importantes e se são suficientemente robustos e rigorosos para prevenir e detectar ameaças. Carolyn Saint, CAE da University of Virginia, observa que o envolvimento da auditoria interna em projetos de cibersegurança pode beneficiar os esforços da administração, amplificando para os mais altos níveis da organização a mensagem sobre os recursos necessários.

Os desafios inerentes à cibersegurança deram foco à ciber-resiliência — atividades conduzidas antes, durante e depois dos incidentes, para tornar os sistemas de informação e comunicação (e aqueles que dependem dele) resilientes perante ataques constantes aos recursos relacionados à cibernética. Essas atividades incluem a melhoria do conhecimento de cibersegurança e a conscientização de todos os funcionários, para que a equipe da organização entenda melhor a natureza e o impacto dos riscos relacionados e formem uma linha de frente de defesa mais rígida contra os ciberataques. O CAE pode liderar o caminho por meio de esforços para aumentar o conhecimento sobre cibersegurança e a conscientização da equipe de auditoria interna. De acordo com o North American Pulse of Internal Audit de 2016 do The IIA, a falta de expertise de cibersegurança na equipe de auditoria interna é o maior obstáculo que afeta a habilidade da auditoria interna de abordar o risco da cibersegurança.8

globaliia.org

8


Jason Belford, CISO da University of Virginia, considera a ciber-resiliência um princípio básico da cibersegurança — abordado separadamente, mas não como um grande esforço único. Ron Hutchins, vice-presidente de TI da universidade, concorda. “Buscamos a alta disponibilidade e alta confiabilidade, mas também entendemos que nem todos os serviços exigem o mesmo nível de proteção.”

Além disso, Andre Stelzner, diretor de sistemas e tecnologia da informação da Prefeitura da Cidade do Cabo (República da África do Sul), resume o conceito muito bem: “Uma organização ciber-resiliente é aquela que sabe o quão vulnerável é.” Claramente, a melhor forma de estar protegido e ser resiliente é estar ciente de suas vulnerabilidades e das medidas sendo tomadas para mitigá-las, e estabelecer planos para reagir e para se recuperar de ciberataques.

A privacidade e confiabilidade também são elementos fundamentais da cibersegurança, no que tange à gestão dos dados, como são armazenados, onde estão armazenados e quem os acessa por quais meios. No Insurance Australia Group Limited, manter a confiança dos clientes é tão crítico, que o chief customer officer também colabora com o privacy officer e o CISO para proteger os dados dos clientes. Em muitas organizações, a função de privacidade também auxilia na definição dos padrões relevantes da organização e no desenvolvimento de políticas e procedimentos; também é frequentemente responsável por educar os funcionários quanto a questões de cibersegurança.

A auditoria interna deve ver os responsáveis pela privacidade como principais partes interessadas e a conformidade com a legislação relativa à privacidade deve ser um elemento fundamental em todas as auditorias relevantes. Entender e observar a função de privacidade pode fornecer sinais adicionais da força da cibersegurança dentro da organização. Os proprietários dos dados, os proprietários da tecnologia e a equipe de privacidade/jurídica devem, todos, se comunicar uns com os outros e trabalhar em conjunto dentro do framework mais amplo que a organização está utilizando. Se não o fazem, isso pode ser algo a investigar.

Conclusão Para Mais InformaçõesInternational Organization for Standardization, “ISO/IEC 27001 – Information security management,” 2013 (www.iso.org )

National Institute of Standards and Technology, “Framework for Improving Critical Infrastructure Cybersecurity,” Fevereiro de 2014 (www.nist.gov )

Privacy by Design, (www.ipc.on.ca/english/Privacy/Introduction-to-PbD )

The IIA, “Cybersecurity: Keeping IP Under Lock and Key,” Tone at the Top, Fevereiro de 2014 (www.globaliia.org/Tone-at-the-Top )

The IIA, “The Cybersecurity Imperative,” Internal Auditor, Agosto de 2015 (https://iaonline.theiia.org )

The IIA, “Logging In: Auditing Cybersecurity in an Unsecure World,” 2016 (www.theiia.org/AuditingCybersecurity )

globaliia.org

9


As visões dos CAEs e executivos de tecnologia/segurança da informação são claras: a cibersegurança é uma questão que não vai desaparecer. Ela é, na visão de Cano, “uma nova revolução industrial e uma nova era de transformação dominada pelo digital, pelo disruptivo e pelo resiliente.” As organizações que esperam evitar se tornar outra estatística de violação de dados devem garantir a obtenção da expertise apropriada, o financiamento de seus esforços de defesa, a conhecimento atualizado sobre as regulações pertinentes, o acompanhamento das tendências globais de ciberataques e o envolvimento de todas as partes interessadas no esforço implacável de combater o comprometimento ou perda de dados. Nenhum esforço menor será suficiente.

Cumprindo com a função de conselheiro confiável, o CAE tem um papel significante a desempenhar para proporcionar esse resultado. O CAE cumpre com esse papel, obtendo e demonstrando expertise de cibersegurança, desenvolvendo confiança e usando a diplomacia e a conscientização política para fazer as perguntas certas para os públicos certos nos momentos certos. A empresa demonstra uma filosofia consistente quanto à cibersegurança? As políticas e procedimentos apoiam a filosofia? O que outras organizações estão fazendo e onde nos posicionamos em comparação com elas? O questionamento pode vir acompanhado do ouvir de forma ativa e atenta, seguido da aplicação da expertise da indústria, do tino comercial e dos insights tecnológicos em busca de respostas.

O sucesso na cibersegurança exige o reconhecimento de que há pessoas dentro e fora da organização que se dedicarão a adquirir os dados da empresa. Elas não cederão. As organizações que elas buscam atingir também não o devem fazer. As palavras de Grocholski formam um mantra adequado para a realidade atual: “Vivemos em um mundo digital. Proteja seus ativos como você protegeria seu lar e sua família.”

No Insurance Australia Group Limited (IAG), o CISO Jeff Jacobs faz a prestação de contas geral sobre a gestão da cibersegurança na organização. Para reduzir a exposição do IAG ao risco de cibersegurança, ele trabalha em conjunto com o CAE Lee Sullivan, com a função de riscos na segunda linha e com a equipe de foco na privacidade.

Sullivan e Jacobs colaboraram recentemente na criação de uma estratégia de cibersegurança. Jacobs liderou a criação do conteúdo para a estratégia, que envolveu uma avaliação da capacidade do estado atual, a articulação dos riscos emergentes, um detalhamento dos imperativos estratégicos e um mapa e um plano detalhados para lidar com esses riscos. Sullivan alocou uma equipe para revisar independentemente os resultados da estratégia logo depois de seu desenvolvimento. Eles concordaram em usar o mesmo framework de cibersegurança para garantir a consistência de linguagem e mensagens para os executivos e o conselho e colaboraram ao longo do processo de revisão.

Entre os desafios abordados na estratégia, estão:

A importância de acertar os fundamentos básicos — O melhor exemplo é um conjunto de princípios que guiarão a organização quanto ao que é aceitável ou não, do ponto de vista da cibersegurança.

A necessidade de melhorar a detecção e reação, em vez de apenas dar foco à proteção — Já se foram os dias de presumir que a organização possa ser protegida simplesmente por se jogar dinheiro em ferramentas de proteção. A verdade, de acordo com Jacobs, é que “podemos nunca estar totalmente protegidos, então, precisamos nos tornar melhores em detectar e então reagir, se tivermos sido invadidos.”

Garantir a cibersegurança intencionalmente, by design — É muito comum que a cibersegurança seja uma consideração posterior. Designers e desenvolvedores devem construir a segurança em suas soluções desde o início.

Conscientização sobre a cibersegurança — Mesmo que a melhor tecnologia, processos e experts estejam a postos, as pessoas sempre são o elo mais fraco. O desafio é fazer com que elas pensem em segurança, para que estejam mais cientes dos perigos e possam lidar com as ameaças apropriadamente.

Há um consenso, no IAG, de que a ameaça externa está evoluindo e se tornando mais sofisticada a cada dia, e de que um framework sólido para ciberameaças é necessário para abordá-las, mas também se sabe que não está sempre claro

Documento 1CAEs Eficazes Se Destacam ao Criar Relações deAconselhamento com as Partes Interessadas

Insurance Australia Group

globaliia.org

10


University of Virginia

globaliia.org

11


o quanto deve ser investido no aumento da capacidade cibernética, em comparação com a melhoria de outras partes da estratégia. Há o perigo de que algumas pessoas na organização estejam preocupadas com a chande de que o foco na cibersegurança reduza a transformação digital planejada. Jacobs discorda: “Não é uma questão de e/ou, mas de como precisamos fazer ambos.”

A equipe da University of Virginia, composta por Carolyn Saint, CAE, Virginia Evans, CIO, Jason Belford, CISO, Ron Hutchins, vice-presidente de TI, e Gerald Cannon, diretor de auditorias de TI, está concentrada no que Hutchins descreve como a abordagem do “banco de três pés” à cibersegurança: definir uma política, implementar a política e auditar a conformidade com a política. O essencial é que todas as funções envolvidas em cada fase sejam independentes, mas trabalhem juntas. Conforme observa Evans, “A única forma de fazer a cibersegurança funcionar bem é trabalhando em equipe.”

Saint tem uma abordagem voltada para framework, no que tange à auditoria interna, para entregar uma cobertura abrangente e padronizada de esforços de cibersegurança e para garantir que a auditoria interna avalie a eficácia dos controles, não apenas sua existência. Evans confirma, “A equipe de auditoria anterior lidava totalmente com a conformidade. Agora, temos maior foco em encontrar riscos de forma proativa.”

Belford, Hutchins e Evans também concordam que o papel colaborativo e consultivo que a auditoria interna desempenha agora é extremamente benéfico. Eles enxergam uma abordagem de maior parceria, um senso de fazer parte “da mesma equipe”, em vez da reputação tradicional da auditoria interna de, nas palavras de Belford, “buscar formas de dar a você uma imagem ruim.”

Saint admite que trabalhar na conscientização do CIO e do CISO sobre o papel e valor da auditoria interna no que tange à cibersegurança é um processo de educação, mas considera isso uma das responsabilidades do CAE. Ela acrescenta, “Parte do papel do CAE é garantir que o risco esteja em pauta em todos os níveis da organização.”

Os esforços atuais da universidade para a conformidade com os requisitos da lei americana Federal Information Security Management Act (FISMA) uniram a equipe, assim como outros representantes multifuncionais, para atuar além dos esforços normais de cibersegurança. Há progresso, mas é assustador o desafio de usar uma abordagem programática para desenvolver um ambiente escalável que atenda aos requisitos da FISMA.

Ainda assim, o esforço combinado deve ser feito. Conforme destaca Saint, “A cibersegurança é o principal risco em qualquer plano de auditoria interna e provavelmente continuará sendo nos anos futuros.”

Prefeitura da Cidade do Cabo

globaliia.org

12


A equipe da Prefeitura da Cidade do Cabo (República da África do Sul) entende que a tecnologia sempre se moverá mais rapidamente do que os controles de mitigação, de modo que há uma necessidade de continuar investindo no desenvolvimento de medidas preventivas, detectivas e corretivas. Ainda assim, não há garantia de escapar de ataques. Portanto, o sucesso dependerá da rapidez com a qual a equipe pode detectar uma violação de segurança e da eficácia, eficiência e economia com as quais ela pode mitigar a ameaça.

A equipe é composta por Lindiwe Ndaba, CAE, Etienne Postings, gerente sênior de auditoria de sistemas de informação, e Andre Stelzner, diretor de sistemas e tecnologia da informação. Sua abordagem à cibersegurança é baseada em riscos. A primeira consideração é determinar o tipo de riscos de TI identificados dentro da organização a partir de diversas fontes ou prestadores de avaliação. Isso é complementado por uma discussão detalhada entre a auditoria de TI e o CIO, quanto às tendências de ciber-riscos dentro da organização, riscos relacionados externos à organização e tendências globais que possam impactar a organização.

Stelzner observa que conquistar a cibersegurança exige que cada membro da equipe alavanque suas forças. Por esse motivo, ele acredita que a auditoria interna precisa ser uma prestadora independente de avaliação quanto à postura de segurança da organização e precisa revisar as políticas, sistemas e serviços colocados em prática pela organização de TI para mitigar a ameaça. Ele admite, no entanto, que no momento, “Conseguimos isso até certo ponto, mas apenas até o nível de avaliação da aderência às próprias políticas de TI, em vez de um teste à força das medidas de segurança aplicadas.”

O compromisso com o trabalho em equipe é visto na ampla colaboração entre a auditoria interna e a equipe de segurança. A auditoria interna comparece às reuniões de fórum de segurança, em que questões comuns são discutidas e soluções são formuladas. Todos estão dedicados a um mesmo objetivo: garantir às tarefas, sistemas e processos o maior nível de segurança possível.

Repetindo o comentário de Saint sobre a importância da cibersegurança nos planos contínuos da auditoria interna, Ndaba e Postings confirmam que, na Prefeitura da Cidade do Cabo, “A cibersegurança e a auditoria de TI sempre serão partes integrais da pauta estratégica de auditoria interna.”

Documento 2Sendo um Conselheiro Confiável de Cibernética

SER UM CONSELHEIRO CONFIÁVEL DE CIBERNÉTICA É MAIS DO QUE...

TAMBÉM É...

CON

SCIE

NTI

ZAÇÃ

O E

EN

TEN

DIM

ENTO

Entender os conceitos, o funcionamento e elementosda cibersegurança.

GER

ENCI

AMEN

TO D

E R

ISCO

S

globaliia.org

13


Como conselheiro confiável de cibernética, o CAE está posicionado para promover mudanças na organização. O esforço voltado para atividades de conscientização e entendimento, gerenciamento de riscos e avaliação pode ajudar os CAEs aprogredir em direção ao papel de conselheiros confiáveis de cibernética.

Colaborar com as funções apropriadas da organizaçãopara abordar a conscientização cibernética.

Depender apenas da equipe de TI para fornecerexpertise de cibersegurança à organização.

Conduzir uma avaliação de riscos para determinar aprobabilidade de ciber-riscos e de seu impactopotencial sobre a organização.

Estar ciente de como a organização aborda acibersegurança e das ações da administração paramitigar os riscos relacionados.

Revisar relatórios de auditoria de terceiros.

Expandir capacidades atuais de auditoria de TI parafornecer insights proativos e úteis de cibersegurança.

Manter sólido conhecimento prático das futurasmudanças nas regulações, novos requisitos decobertura de seguro, novas ações judiciais coletivase outras tendências.

Garantir que programas de auditoria usem tendências.

Dar conselhos estratégicos aos líderes funcionaissobre seus papéis e responsabilidades cibernéticos.

Garantir competências de cibersegurança para o CAEe equipe, por meio de programas eficazes de gestãode talentos/desenvolvimento profissional.

Usar estrategicamente o co-sourcing para garantir o talento e competência certos conforme necessário.

Estar ciente da frequência e magnitude dos lapsosde cibersegurança.

Entender o impacto total das ciberameaças sobre aorganização e incluir isso no plano de auditoria.

Identificar proativamente os riscos emergentes decibersegurança.

Entender a postura de risco da organização paracombater as ciberameaças.

Realizar a auditoria contínua dos controles decibersegurança da administração, para testarsua adequação e eficácia.

Colaborar com o CIO/CISO para avaliar candidatosterceirizados.

Auxiliar nos perfis de risco de candidatos terceirizados.

Orientar quanto à compatibilidade do terceirizadocom a estratégia/filosofia de cibersegurança.

AVAL

IAÇÃ

O

globaliia.org

14


SER UM CONSELHEIRO CONFIÁVELDE CIBERNÉTICA É MAIS DO QUE...

TAMBÉM É...

Avaliar a conformidade com políticas e procedimentosde cibersegurança.

Avaliar a conformidade com requisitos de treinamentode cibersegurança dos funcionários.

Prestar avaliação sobre o programa de cibersegurançada organização.

Prestar avaliação sobre a resposta a incidentes,a recuperação de desastres e os planos de continuidadedo negócio.

Reportar à administração e ao conselho/comitê deauditoria os resultados de trabalhos relativos àcibersegurança.

Fornecer revisão independente sobre a estratégiade cibersegurança, antes do desenvolvimento daspolíticas e procedimentos.

Participar de equipes de implementação de projetotecnológico, para garantir que os ciber-riscos sejamabordados e usados, em vez de incluídos depois.

Fazer benchmarking e testar a adequação e eficáciadas políticas e procedimentos em comparação comframeworks aplicáveis.

Avaliar resultados dos treinamentos e retenção deconhecimentos.

Oferecer insights de como alinhar o treinamentocom a estratégia de cibersegurança.

Alavancar capacidades de auditoria interna com opotencial dos sucessores na primeira e segundalinhas de defesa, mantendo a objetividade.

Liderar esforços colaborativos de cibersegurançaentre as três linhas de defesa.

Oferecer insights sobre a coordenação de planos eo alinhamento com a estratégia de negócio.

Quando apropriado, preparar a equipe de auditoriainterna para ser capaz de participar e ajudar quandonecessário durante uma crise.

Envolver a administração e o conselho/comitê deauditoria em discussões sobre o futuro, os ajudandoa pensar nas vulnerabilidades cibernéticas que aorganização encara.

Orientar ou facilitar um processo para definir oapetite ao risco de cibersegurança da organização.

2016-0637

globaliia.org

Documents

Edição 4 GLOBAL PERSPECTIVES AND INSIGHTS · Etienne Postings, CIA, CCSA, CISA, ... do Cabo – África do Sul. Global Perspectives: A Auditoria Interna como Conselheira Confiável