A Lei Geral de Proteção de Dados (LGPD) traz consigo oportunidades para que organizações reavaliem processos sobre o tratamento de dados. Nesse aspecto, podemos esperar mudanças, como a implementação de auditoria de sistemas.
Adotar uma gestão de compliance, como a auditoria de sistemas, contribui não apenas para que a organização esteja em conformidade com a lei, mas também para implantação de boas práticas de governança.
O que é auditoria de sistemas?
A auditoria sistemas tem como objetivo analisar se as operações e processos de determinada organização estão em conformidade com as diretrizes pré-determinadas.
Ou seja, uma auditoria nada mais é, do que um processo de verificação da estrutura da corporação, realizada por profissionais capacitados para tal.
Ela procura analisar e avaliar a eficácia dos processos, exercendo também uma função preventiva, a fim de determinar se esses são adequados e se cumprem com seus determinados objetivos ou estratégias.
Assim, por meio da auditoria é possível estabelecer mudanças que sejam necessárias para obtenção desses objetivos.
Quando se trata da segurança e auditoria de sistemas, esse processo é focado nas operações da área de Tecnologia da Informação.
Ou seja, trata-se do processo de verificação de toda a estrutura computacional de uma organização.
Na auditoria de TI, verifica-se se as operações da área estão em conformidade com os objetivos propostos, como políticas institucionais e o que é definido em lei.
Dessa forma, é possível garantir a integridade dos dados manipulados, verificando aspectos de segurança e qualidade.
Auditoria de sistemas e a Organização Nacional de Padronização
No entanto, uma auditoria não pode ser realizada de qualquer maneira. Para isso, existem organizações de normatização dedicadas ao estabelecimento de modelos de padronização de processos.
A ISO, por exemplo, sigla para Organização Internacional de Padronização, é um desses órgãos. Sua função é promover a normatização de produtos e serviços, a fim de conferir qualidade aos mesmos.
Trata-se de um de um órgão de reconhecimento mundial que já publicou mais de 22 mil padrões internacionais. Sua representante no Brasil é a ABNT, ou Associação Brasileira de Normas Técnicas.
Quando as organizações determinam estratégias para garantir qualidade e competitividade aos seus produtos e serviços, ou ainda quando é preciso estabelecer salvaguardas para o atendimento de requisitos técnicos, há a necessidade de implementar um sistema de gestão.
Isso significa seguir as normas ISO. O processo de auditoria de gestão, por exemplo, tem como referência a norma ISO 19001:2018.
Nessa norma são definidos os requisitos para a implementação de um programa de auditoria, papeis, responsabilidades e o escopo do programa de auditoria.
Porém, quando falamos especificamente da auditoria de sistema de informação, devemos observar outra norma, a ISO 27000:2018.
A ISO 27000 é composta por cerca de quarenta normas que versam sobre a tecnologia da informação, técnicas de segurança e sistemas de gestão.
Quais são os tipos de auditoria de sistemas?
Uma organização pode passar por diferentes tipos de auditoria de sistemas, os principais são:
- Interna
- Externa
Auditoria interna
A auditoria interna é um processo realizado pela própria organização para auditar seus sistemas e procedimentos.
Com isso, a empresa visa garantir que seus parâmetros estejam sendo seguidos devidamente e que os resultados esperados sejam atingidos.
Por meio dessa auditoria, a organização toma conhecimentos dos processos que não estão em conformidade com suas diretrizes e identifica oportunidades de melhorias.
No entanto, a auditoria interna não pode ser realizada por qualquer profissional. Para ser um auditor é preciso ter as competências necessárias, habilidades e experiências para executar sua função com êxito.
Para isso, o auditor interno deve ter conhecimento e ser treinado na ISO 19011, bem como no sistema ao qual será auditado.
Esse tipo de auditoria é de suma importância para organizações que desejam medir, de forma eficaz, seu desempenho em relação às normas e diretrizes a serem seguidas.
Auditoria externa
A auditoria externa, como você já deve imaginar, é realizada por um auditor independente.
Por mais que a organização acredite que uma auditoria interna seja eficiente, a auditoria externa e especializada é fundamental para averiguar se os processos estão, de fato, adequados às normas e diretrizes pré-determinadas.
A importância de uma auditoria externa vem da independência em relação a empresa e, por isso, sua opinião não pode sofrer nenhum tipo de influência.
Esse tipo de auditoria pode ser contratada pela própria empresa ou pode ser um processo determinado pela leis relacionadas ao setor de atuação da empresa, tornando a auditoria externa obrigatória.
Nesse último caso, o auditor, normalmente, é um órgão regulador.
Qual é a importância da auditoria de sistemas?
Mas afinal, qual é a importância da auditoria de sistemas?
A realização constante de auditorias de sistemas dentro de uma organização é fundamental para a diminuição de falhas e fraudes que podem estar presentes nesses sistemas.
Desse modo, esse tipo de procedimento garante a segurança, integridade das informações e mais qualidade no tocante aos serviços de TI que a empresa realiza.
Verificar se os sistemas estão seguindo as diretrizes desejadas também aumenta a confiabilidade nesses processos.
Do mesmo modo, a auditoria também confere à organização mais transparência e verifica a necessidade de adoção de ferramentas e sistemas mais adequados, garantindo uma análise mais apurada dos riscos em TI.
Por fim, a auditoria também assegura que os sistemas estejam seguindo a legislação e outras diretrizes de qualidade, mitigando riscos com problemas legais.
Além disso, a auditoria externa, em especial, também garante à organização credibilidade quanto aos seus serviços, tanto perante clientes quanto fornecedores, por exemplo.
Portanto, a auditoria de sistemas contribui para uma constante melhoria na organização. Assim, podemos considerar como os fundamentos de auditoria de sistemas:
- Desempenho;
- Segurança;
- Privacidade;
- Confiabilidade;
- Integridade;
- Disponibilidade;
- Confidencialidade;
Como pode ser aplicado nas empresas?
Como você já sabe, auditoria pode ser aplicada a uma organização de duas formas: interna e externa. Nos dois casos o responsável por realizar a auditoria é o auditor.
O auditor deve ter profundo conhecimento a respeito da área auditoria. Ou seja, no caso da auditoria de sistemas, o profissional deve ter algum tipo de formação em tecnologia, como segurança da informação, por exemplo.
Mas não apenas isso, para ser um auditor é preciso ser treinado para tal. No caso dos auditores internos, é comum que a própria organização tenha um departamento de treinamento.
Uma auditoria completa pode ser resumida em quatro passos básicos:
- Planejamento
- Execução
- Relatório de resultados
- Plano de ação
Qual é a relação com a LGPD?
Nós já falamos nesse artigo que a criação e vigência cada vez mais próxima da Lei Geral de Proteção de Dados traz consigo uma oportunidade para que as empresas reavaliem a forma com que processam dados.
Isso significa a implementação cada vez maior de uma auditoria de sistemas nas organizações.
Isso porque a LGPD prevê uma série de requisitos a serem cumpridos por essas organizações, visando a regulamentação das práticas do uso de dados.
O objetivo da lei é proporcionar um cenário de segurança jurídica para proteger o direito à liberdade e privacidade dos usuários.
Junto com essas regras há, também, a determinação de sanções para as empresas que descumprirem a lei. O que obriga as empresas a adaptarem-se o mais rápido possível à nova legislação.
A auditoria de sistemas é, portanto, uma consequência às mudanças previstas para o cenário da segurança da informação.
Ou seja, uma empresa que conta com uma auditoria interna de sistemas está se resguardando de possíveis sanções legais.
Mas não é apenas isso. A LGPD prevê em seu art. 20 a possibilidade da realização de auditorias externas.
De acordo com a lei, a organização estará sujeita à realização de auditoria pela Autoridade Nacional de Proteção de Dados (ANPD) quando não fornecer informações requeridas pelo titular, conforme descreve o parágrafo segundo do mesmo artigo:
“Em caso de não oferecimento de informações de que trata o § 1º deste artigo baseado na observância de segredo comercial e industrial, a autoridade nacional poderá realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais.”.
Como se preparar para a LGPD?
Como vimos, adequar-se a LGPD é fundamental para continuar a ser uma empresa competitiva.
Contudo, por ser uma lei ainda muito nova e por tratar de tanto pontos, nem todas as empresas sentem-se preparadas para tal.
O primeiro passo para adequar-se a LGPD, portanto, é conhecimento completo dessa legislação.
Para isso, recomendamos não apenas a leitura cautelosa da Lei nº 13.709/2018, mas a total compreensão de seus pontos e aplicabilidade por meio de um curso simples e completo.
O curso Privacy & Data Protection Essentials (PDPE), por exemplo, confere ao profissional conhecimentos sobre a organização da proteção de dados pessoais e as diretrizes do regulamento brasileiro.
Outro curso extremamente importante para esse profissional é o Information Security Foundation (ISFS), baseado ISO 27001, primeira norma da família ISO 27000, na qual já discorremos anteriormente.
Isso porque, como vimos, a compreensão categórica dessa norma é fundamental para o desenvolvimento dos profissionais de segurança da informação.
Por fim, é claro, cabe a organização a implementação de uma auditoria de sistemas interna para análise de todos os seus processos e garantia de adequação à Lei Geral de Proteção de Dados.