O que são Controles Gerais de TI (ITGC)?

São marcos comumente utilizados, que complementam o ITGC e facilitam auditorias: COBIT, COSO, ISO, NIST SP 800-34 e ITIL.

A Tecnologia da Informação (TI) é fundamental de toda organização. Ela abrange as soluções e os sistemas com os quais os usuários interagem diretamente e os que estão nos bastidores e só vêm à tona quando há uma interrupção ou incidente (por exemplo, redes e servidores web). Os controles gerais de TI fornecem um conjunto de diretrizes para controlar o modo de uso e de gerenciamento dos recursos de TI, juntamente com diretrizes de segurança corporativa para proteção contra ameaças à segurança cibernética.

A implementação de controles gerais de TI garante a segurança e a otimização dos recursos de TI dos quais os usuários dependem e da infraestrutura crítica de TI necessária à manutenção do funcionamento das organizações.

Embora as organizações disponham de elementos fragmentados de controles gerais de TI, esses devem ser considerados de forma holística a fim de garantir a continuidade dos negócios e a conformidade. A seguir, uma revisão dos controles gerais de TI que ajudará as equipes a se unirem em torno de uma estratégia sólida de controles gerais de TI.

Definição de controles gerais de TI

Os controles gerais de TI são políticas internas que regem como a tecnologia de uma organização é adquirida, arquitetada, implantada, utilizada e mantida. As principais funções dos controles gerais de TI compreendem:

• controle de acesso a instalações físicas
• implementação de softwares
• criação de contas de usuário
• gerenciamento de dados
• infraestrutura de computação
• aplicativos
• segurança de dados

Os controles gerais de TI também abrangem aspectos de segurança e conformidade do desenvolvimento do sistema, como controles de ciclo de vida e gerenciamento de mudanças, backup e recuperação e controles operacionais.

Para algumas organizações, os controles gerais de TI são diretrizes para garantir a eficiência operacional ideal e a segurança cibernética. Outras são obrigadas a segui-los. Organizações como as dos setores de serviços financeiros e de saúde devem estabelecer e manter controles gerais de TI visando ao cumprimento das regulamentações aplicáveis (por exemplo, Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA, Health Insurance Portability and Accountability Act), Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS, Payment Card Industry Data Security Standard), e a Lei Sarbanes-Oxley (SOX, Sarbanes-Oxley Act)).

Por que os controles gerais de TI são importantes?

• Abordam vulnerabilidades de maneira proativa
• Garantem a confidencialidade, integridade e disponibilidade dos dados
• Regem a forma como uma organização de sistemas de TI opera
• Ajudam organizações a cumprirem os requisitos de conformidade
• Aumentam a confiabilidade e a precisão de relatórios financeiros
• Mantêm os sistemas testados e implementados corretamente
• Minimizam o risco de fraude
• Mitigam acessos não autorizados, violações de dados e interrupções operacionais
• Protegem a reputação da empresa
• Garantem a atualização regular de sistemas e redes de segurança
• Reduzem as chances de violações internas ou externas e de não conformidade
• Protegem as informações do cliente

Exemplos e componentes do ITGC

Controles de acesso em programas e dados

Controles de acesso definem quem pode ver e usar quais dados e sistemas. Eles reduzem o risco de violações de dados e manipulação não autorizada de dados, impedindo o acesso não autorizado. São controles de acesso eficazes:

• Autenticação biométrica
• Criptografia completa de disco
• Acesso com privilégios mínimos
• Autenticação multifator
• Gerenciamento de senhas
• Rotação de senhas
• Senhas fortes

Controles de gerenciamento de alterações

Os controles de gerenciamento de alterações fornecem diretrizes para a implementação de alterações em sistemas e serviços de TI a fim de reduzir as interrupções ao mínimo. Compreendem alterações consideradas nos controles de gerenciamento de alterações a adição, modificação ou remoção de qualquer coisa relacionada à infraestrutura ou código de TI que possa impactar direta ou indiretamente os serviços. Os controles de gerenciamento de alterações compreendem, ainda, o planejamento e a documentação das alterações em prol do contexto e da transparência.

Controles de operação de computadores

Os controles de operação de computadores garantem que os computadores estejam programados de forma otimizada para atender aos requisitos de armazenamento, processamento e acesso a dados, além de executar programas com eficiência.

Controles de backup e recuperação de dados

Os controles de backup e recuperação de dados ajudam organizações a reduzir as interrupções nas operações ao mínimo. Eles garantem que recursos, incluindo dados, processos de negócios, bancos de dados, sistemas e aplicativos, sejam copiados e possam ser restaurados rapidamente para facilitar a retomada das operações de praxe. Este componente dos controles gerais de TI também conta com orientações para testes regulares, a fim de garantir a preparação e abordar quaisquer problemas que possam ter surgido desde a implementação dos sistemas.

Controles de proteção de dados

Os controles de proteção de dados compreendem processos e tecnologias destinados à proteção contra todos os tipos de perda de dados, como roubo, corrupção de dados e acesso e alterações acidentais. Sistemas de prevenção contra perda de dados devem estar implementados e otimizados para proteger endpoints, redes e ambientes da nuvem. Os sistemas devem ser testados, aplicando diversas abordagens de ataque para garantir que as defesas funcionem conforme o esperado.

Controles de gerenciamento de incidentes

Organizações precisam se planejar para potenciais incidentes e submeter esses planos a testes para garantir uma resposta rápida e eficaz caso ocorram. Caso ocorra um incidente, além das etapas de recuperação, é necessário implementar planos para o registro dos detalhes do incidente, a fim de identificar a causa-raiz e evitar a recorrência. Ferramentas também devem estar disponíveis para detectar sinais de um possível incidente, permitindo uma resposta proativa.

Controles de operação de TI

Os controles gerais de TI compreendem instruções específicas para os controles de operação de TI. Isso inclui a implantação e o gerenciamento otimizados de soluções de segurança abrangentes, como filtragem de e-mail, firewalls e softwares antivírus. Os controles de operação de TI também abrangem o agendamento de testes de penetração e as políticas relacionadas ao BYOD (“bring your own device”, traga seu próprio dispositivo).

Controles de segurança física e ambiental de data centers

Embora a maioria das ameaças à segurança cibernética seja considerada digital, os dispositivos físicos em data centers também representam riscos. Os controles gerais de TI dispõem de requisitos específicos para a proteção dos data centers contra acesso não autorizado e eventos que comprometam o ambiente.

O acesso físico aos data centers geralmente é controlado com tecnologias de acesso biométrico, acesso por teclado ou cartões de proximidade, frequentemente exigindo autenticação multifator, bem como segurança no local e vigilância por vídeo.

Sensores são comumente usados​paraSão marcos comumente utilizados, que complementam o ITGC e facilitam auditorias: COBIT, COSO, ISO, NIST SP 800-34 e ITIL.

monitorar ambientes de data centers, disparando alarmes quando as temperaturas estão fora da faixa ou quando se detecta umidade.

Controles do ciclo de vida do sistema

Uma parte importante dos controles gerais de TI são os controles do ciclo de vida do sistema. Esses controles abrangem o gerenciamento de patches e atualizações de aplicativos, sistemas e redes, além de procedimentos correlatos e monitoramento do sistema.

Implementação do ITGC

Seguir um processo ao implementar os controles gerais de TI garante sua tranquilidade e precisão, reduzindo-se ao mínimo as surpresas que podem impactar os cronogramas e frustrar os membros da equipe.

Defina o escopo dos controles gerais de TI.

Projete os controles gerais de TI.

Estabeleça processos consistentes para testar a conformidade.

Crie uma linha de base.

Implemente controles gerais de TI.

Teste os controles gerais de TI.

Avalie os riscos e atribua pontuações de risco.

Priorize a correção de deficiências.

Revise os planos de teste e atualize-os conforme as mudanças nos requisitos.

Marcos de conformidade do ITGC

Um marco de conformidade ajuda organizações a organizar e categorizar os controles gerais de TI aplicáveis. Isso não apenas garante que os controles corretos estejam em vigor, mas prepara as organizações para auditorias.

São marcos comumente utilizados, que complementam o ITGC e facilitam auditorias: COBIT, COSO, ISO, NIST SP 800-34 e ITIL.

COSO

O marco de controle interno do Comitê de Organizações Patrocinadoras da Comissão Treadway(COSO, Committee of Sponsoring Organizations of the Treadway Commission) é marco de controle interno mais amplamente utilizado. O COSO fornece orientações específicas para o projeto e a implementação de controles internos de gerenciamento de riscos.

O marco de controle do COSO é composto por cinco componentes com 17 princípios e 87 pontos de apoio. Os cinco componentes principais do COSO são:

Ambientes de controle

Atividades de controle existentes

Informações e comunicações

Atividades de monitoramento

Avaliação e gerenciamento de riscos

COBIT

Dentro da comunidade de auditoria de TI, o COBIT é o exemplo de marco de controle de TI mais popular. A Associação de Auditoria e Controles de Sistemas de Informação (ISACA, Information Systems Audit and Control Association) detém o marco de Objetivos de Controle para Tecnologia da Informação (COBIT, Control Objectives for Information and Related Technology), o havendo desenvolvido para a governança e o gerenciamento de TI.

Alguns profissionais referem-se ao COBIT como um marco agregador de diretrizes. Na condição de um marco integrado de controle interno, ele estabelece referências cruzadas com diversos outros marcos de TI populares, o que o configura como um marco de segurança de TI que aborda o risco de negócios na esfera da TI.

O IT Governance Institute estabeleceu o marco de Objetivos de Controle para Tecnologia da Informação (COBIT) para delinear os objetivos e abordagens recomendados para o ITGC. A premissa básica por trás do COBIT é a de que os processos de TI devem atender a requisitos de negócios específicos a fim de otimizar as operações e proteger dados corporativos.

Os cinco princípios-chave do COBIT são:

• Abranger a organização de ponta a ponta.
• Distinguir governança de gestão.
• Atender às necessidades das partes interessadas.
• Adotar uma abordagem holística em relação à governança.
• Utilizar um marco único e integrado.

ISO 27001

O A Organização Internacional para Normas 27001 (ISO 27001) oferece políticas e procedimentos para a mitigação de riscos jurídicos, físicos e técnicos associados à implementação, melhoria, manutenção, monitoramento e revisão de sistemas de gerenciamento de segurança da informação. Ela utiliza uma abordagem descendente, com seis etapas:

Definir uma política de segurança.

Escopo do sistema de gestão de segurança da informação.

Conduzir uma avaliação de riscos.

Gerenciar os riscos identificados.

Selecionar os controles a serem implementados.

Elaborar uma declaração de aplicabilidade.

NIST SP 800-34

O Guia de Planejamento de Contingência para Sistemas de Tecnologia da Informação (ISCP) do NIST SP 800-34 oferece um processo de sete etapas para a elaboração de um plano de contingência para sistemas de informação (ISCP, Information system contingency plan).

Desenvolver uma declaração de política de planejamento de contingência que atribua autoridade organizacional e forneça orientações para a implementação de um plano de contingência eficaz.

Conduzir uma análise de impacto nos negócios (BIA, Business impact analysis) para identificar e priorizar sistemas e componentes de informação críticos.

Identificar e definir medidas de prevenção e mitigação de incidentes visando otimizar a disponibilidade do sistema e reduzir interrupções ao mínimo.

Detalhar estratégias de contingência para garantir a rápida recuperação de sistemas e processos após uma interrupção.

Elaborar um plano de recuperação do sistema de informações que detalha como consertar um sistema danificado ou apresentar uma solução alternativa para restaurar processos funcionais.

Submeter planos a testes e fornecer treinamento com exercícios de simulação visando à preparação para um incidente e identificação de eventuais lacunas.

Manter os planos atualizados para garantir que novos sistemas ou alterações sejam cobertos.

ITIL

A Biblioteca de Infraestrutura de Tecnologia da Informação (ITIL, Information Technology Infrastructure Library) é um marco que orienta e apresenta práticas recomendadas para a gestão dos cinco estágios do ciclo de vida do serviço de TI:

Estratégia

Projeto

Transição

Operação

Monitoramento e melhoria contínuos

Condução de auditoria com um marco ITGC

As seis etapas principais para a condução de uma auditoria com uma marco que complementa a auditoria de controles gerais de TI são as seguintes:

Etapa 1: Selecionar o marco
Avalie as opções de marcos e selecione aquela que melhor se alinha aos objetivos e requisitos de conformidade da empresa. Nos casos em que um único marco não seja adequado, algumas organizações selecionam elementos específicos de diversos marcos para nortear auditorias internas de controles gerais de TI.

Etapa 2: Fazer correspondência entre os controles internos e os controles do marco
Antes de iniciar uma auditoria, é necessário associar os controles internos de uma organização aos controles esperados definidos no marco.

Etapa 3: Realizar uma análise das lacunas
Compare os controles internos com os do marco e verifique os que estão faltando ou que sejam deficientes.

Etapa 4: Elaborar e executar um plano que preveja o modo de abordagem de lacunas e deficiências
Planos de correção precisam ser desenvolvidos e executados para a correção de áreas que não atendem às expectativas do marco. Isso pode ser feito paralelamente à fase de testes.

Etapa 5: Testar a eficácia do controle
Depois que os controles estiverem implementados, os testes serão necessários para confirmar se eles estão devidamente integrados e funcionando conforme o esperado.

Etapa 6: Monitorar a atividade de mitigação
Após a implementação, os controles deverão ser monitorados continuamente para garantir que atendam aos requisitos vigentes e levem em consideração alterações ou acréscimos que possam impactar os controles gerais de TI.

ITGC e segurança

A seguir, as principais áreas em que os controles gerais de TI dão suporte às iniciativas de segurança:

Ameaças internas

Os controles gerais de TI contam com restrições de acesso e movimentação de dados, que evitam violações maliciosas ou acidentais. Ao monitorar funcionários, parceiros, fornecedores, estagiários e contratados, os elos fracos comumente explorados são compreendidos e gerenciados.

Ameaças externas

Os controles gerais de TI garantem que proteções estejam em vigor para ajudar a combater ameaças externas. Isso inclui a eliminação de vulnerabilidades conhecidas em sistemas e aplicativos, a restrição do acesso ao mínimo necessário (ou seja, o princípio do privilégio mínimo), a prevenção de movimento lateral, a aplicação de um gerenciamento de senhas forte e a exigência de treinamento de conscientização sobre segurança para todos os funcionários.

Mitigação de riscos

São áreas em que os controles gerais de TI mitigam riscos: financeira, operacional e de reputação. Os processos e proteções que acompanham os controles gerais de TI reduzem comprovadamente os riscos nessas áreas-chave, garantindo que as organizações implantem e mantenham os sistemas e soluções corretos para reduzir ao mínimo as superfícies de ataque e garantir a continuidade dos negócios.

Benefícios dos controles gerais de TI

Os controles gerais de TI são uma forma comprovada de aprimorar a postura de segurança de uma organização e otimizar as operações em geral. Os benefícios obtidos com os controles gerais de TI são os seguintes:

Aumento de segurança

Um dos principais motivos para a utilização de controles gerais de TI é a segurança. Seguir as diretrizes e marcos fornecidos pelos controles gerais de TI garante que as soluções corretas estejam em vigor e ofereçam proteção contra ataques cibernéticos e outros desastres digitais. Entre os sistemas que os controles gerais de TI utilizam estão o gerenciamento de identidade e acesso(IAM, Identity and access management), orientado por princípios de segurança zero trust, monitoramento contínuo, criptografia de dados em repouso e em movimento e soluções antivírus.

Continuidade de negócios garantida

Os controles gerais de TI não apenas oferecem proteção contra vulnerabilidades que podem causar interrupções nos serviços de TI, mas garantem sua rápida recuperação. Os controles gerais de TI orientam programas de segurança na prevenção de problemas, bem como ajudam a planejar sistemas de backup e de recuperação, além de submetê-los a testes.

Aperfeiçoamento do gerenciamento de riscos

Os controles gerais de TI reduzem o volume e a gravidade dos riscos associados a ameaças cibernéticas de fontes externas e internas. Processos e sistemas estão em vigor para garantir que endpoints (por exemplo, notebooks, dispositivos móveis e dispositivos de internet das coisas (IoT)) sejam reforçados, que aplicativos sejam corrigidos e atualizados regularmente, que o acesso seja gerenciado com rigor e que funcionários recebam treinamento de conscientização sobre segurança para ajudá-los a identificar os sinais de um possível ataque cibernético e evitar táticas de engenharia social.

Maior conformidade regulatória

O uso de controles gerais de TI em conjunto com marcos de TI mais amplos, como COBIT, COSO e ISO 27001, garante que as organizações tenham os sistemas certos para atendimento aos requisitos da maioria das auditorias de conformidade.

Práticas recomendadas de ITGC

À medida que as equipes buscam maneiras adicionais de reforçar sua postura de segurança para lidar com ameaças em evolução, os controles gerais de TI podem ajudar. Considere estas práticas recomendadas.

Implemente e siga marcos de segurança

Marcos de segurança, como COBIT, COSO e ISO 27001, ajudam organizações a alinhar programas e práticas de segurança com metodologias comprovadas de implementação e gestão. Além disso, essas estruturas preparam as organizações para auditorias de conformidade, garantindo que os controles gerais de TI apropriados estejam em vigor para atender aos requisitos.

Instale todos os patches e atualizações

Todas as atualizações de aplicativos, sistemas e redes devem ser instaladas regularmente para garantir a proteção contra vulnerabilidades. Os cibercriminosos estão cientes dessas vulnerabilidades e as utilizam como pontos de entrada ao lançar ataques. Os controles gerais de TI incluem disposições que exigem atualizações regulares e monitoramento contínuo de patches e atualizações de aplicativos, sistemas e redes.

Integre os controles gerais de TI aos processos de aquisição

Ao adquirir novos sistemas, softwares ou serviços, inclua perguntas sobre como os fornecedores abordam a segurança e avalie em que medida utilizam os controles gerais de TI.

Ofereça treinamento de conscientização sobre segurança para os membros da equipe

Os funcionários são um dos vetores de ataque prediletos dos cibercriminosos. Basta que um funcionário cometa um erro para que os invasores obtenham acesso aos sistemas de TI.

Funcionários descuidados ou desinformados são vítimas frequentes das estratégias de cibercriminosos, que utilizam uma variedade de táticas, do phishing a outras campanhas de engenharia social.

Treinar os funcionários para que conheçam os métodos utilizados por cibercriminosos ajuda a prevenir erros que lhes dão acesso.

Além disso, funcionários devem receber treinamento em controles gerais de TI, e ser submetidos a testes, para que entendam por que esses controles existem e como segui-los. Sejam webinars A implementação de controles gerais de TI garante a segurança e a otimização dos recursos de TI dos quais os usuários dependem e da infraestrutura crítica de TI necessária à manutenção do funcionamento das organizações.online ou aulas presenciais, a conscientização sobre segurança é fundamental para deter cibercriminosos e aproveitar ao máximo os controles gerais de TI.

Utilize os controles gerais de TI de modo estratégico

Recue e contemple os propósitos dos controles gerais de TI. Em seguida, desenvolva processos para a execução de estratégias para atingir esses objetivos. Tal abordagem garante que a organização utilize os controles gerais de TI de forma otimizada e contínua.

Use os controles gerais de TI para se proteger contra ameaças à segurança cibernética e reduzir riscos

Os controles gerais de TI fornecem a estrutura e as estratégias necessárias à proteção de ativos digitais e sistemas de suporte contra ameaças à segurança cibernética e à facilitação dos esforços de mitigação de riscos. Investir tempo na compreensão das particularidades dos controles gerais de TI torna sua implementação e manutenção mais fáceis. Organizações que priorizam os controles gerais de TI observam uma redução de riscos e uma melhoria na segurança cibernética global.