Protiviti - Avaliação de Controles de Segurança da Informação
Logo Protiviti Logo Protiviti
Fale conosco
Serviços » Auditoria de TI » Avaliação de Controles de Segurança da Informação

Auditoria em Segurança da Informação

Segurança da Informação, Segurança Cibernética, Proteção de Dados e Resiliência fazem parte dos principais desafios tecnológicos das Companhias atualmente e, para superar esses desafios, as Companhias precisam conhecer os riscos relacionados e implantar controles que possam mitigar esses riscos, além de avaliá-los periodicamente. Esses controles são uma necessidade cada vez mais presente na realidade das Companhias e a Auditoria deve funcionar não apenas na identificação de fragilidades, mas no aculturamento sobre a gestão do risco e na viabilização de investimentos.

ENTRE EM CONTATO

Avaliação de Controles de Segurança da Informação

No ambiente de negócios atual orientado por informações, as organizações devem avaliar continuamente sua capacidade de proteger os ativos de informação. Isso inclui não apenas protocolos de segurança para garantir a confidencialidade e integridade dos dados, mas também a disponibilidade destes para partes autorizadas. O objetivo de uma avaliação de controles de Segurança da Informação é determinar quão eficientemente uma organização está mantendo esses protocolos, na busca de mitigar os riscos que envolvem os ativos de informação, e fornecer orientação sobre como melhorar. Os serviços eficazes de auditoria em Segurança da Informação ajudam as organizações não apenas a melhorar os controles internos e a segurança, mas também a aculturar sobre a gestão do risco e a viabilizar investimentos, visando atingir as metas e objetivos do negócio.

Os serviços de auditoria interna em Segurança da Informação da Protiviti ajudam as organizações a compreender seus principais riscos de tecnologia e como estão mitigando e controlando esses riscos. Nossos profissionais fornecem informações sobre as ameaças inerentes às tecnologias altamente complexas de hoje. A Protiviti oferece uma ampla gama de serviços de outsourcing e co-sourcing de auditoria interna em Segurança da Informação. A metodologia Protiviti se baseia em uma série de frameworks de mercado para gestão de Segurança da Informação, como ISSO/IEC 27001/27002, NIST® Cybersecurity Framework, NIST Privacy Framework, CIS Controls, PCI DSS, entre outros, e facilita a gestão da Auditoria Interna (liderada pela Protiviti, pelo cliente ou em combinação) com a execução de projetos individuais por especialistas no assunto em cada área de Auditoria em Segurança da Informação.

 

O modelo de Três Linhas de Defesa do Instituto de Auditores Internos é uma forma simples e eficaz de melhorar a comunicação do gerenciamento de riscos e controles por meio do esclarecimento dos papéis e responsabilidades essenciais.

As três linhas de defesa para riscos de Segurança da Informação podem ser usadas como o principal meio para demonstrar e estruturar funções, responsabilidades e responsabilidades para a tomada de decisões, riscos e controles para obter governança eficaz de Gestão de Riscos.

Dados os recentes ataques cibernéticos de alto nível, vazamentos de dados e expectativas regulatórias, é fundamental que a auditoria interna entenda os riscos cibernéticos e esteja preparada para abordar as questões e preocupações levantadas pelo Comitê de Auditoria e pelo Conselho.

 

Como a Auditoria Interna ajuda na maturidade de Segurança da Informação?

  • Identificação e Avaliação de Riscos

    O que: As operações de negócios realizam atividades diárias de gerenciamento de riscos, como identificação e avaliação de riscos de Segurança da Informação, fornecendo respostas a riscos, definindo e implementando controles para mitigar os principais riscos de TI e relatando o progresso. Como: Um ambiente de riscos e controles estabelecido.

  • Monitoramento de Riscos

    O que: Oferecer a revisão independente dos níveis de garantia fornecidos pelas operações de negócios e funções de supervisão. Como: A avaliação das evidências obtidas para determinar se os sistemas de informação estão protegendo os ativos, mantendo a integridade dos dados e operando de forma eficaz para atingir as metas ou objetivos da organização.

  • Gestão de Riscos

    O que: Elaborar e implementar políticas e procedimentos e incorporar os controles nesses procedimentos, garantindo que os procedimentos e políticas existentes sejam mantidos atualizados, respondendo a novas prioridades e riscos estratégicos, monitorando para garantir o cumprimento das políticas atualizadas e fornecendo supervisão sobre a eficácia das os controles de conformidade incorporados ao negócio. Como: Gestão estratégica, definição de políticas e procedimentos e supervisão funcional.

Nossa abordagem

O processo de Auditoria em Segurança da Informação baseia-se em nossa experiência no desenvolvimento de Avaliação de Controles Específicos do ambiente de Segurança da Informação, bem como na estruturação de Planos Estratégicos de Segurança da Informação das organizações. Os processos avaliados permitem o desenvolvimento de estratégias e soluções voltadas para Segurança da Informação como:

  • Aumentar a confiabilidade e a segurança da informação em ambientes tecnológicos, em termos de confidencialidade, disponibilidade e integridade;
  • Direcionar investimentos mais eficientes e voltados ao risco do negócio;
  • Aumentar os níveis de sensibilidade, participação e motivação dos colaboradores da organização para a segurança da Informação;
  • Identificar e endereçar de forma continuada o mapeamento de melhorias, sendo um processo contínuo;

Avaliação de Controles Específicos do ambiente de Segurança da Informação

As Avaliações de Controles Específicos do ambiente de Segurança da Informação podem ser usadas pelas organizações para gerar segurança e confiança em seu ambiente de controles ou junto a diversos stakeholders, ou quando for exigido pelas entidades reguladoras (por lei ou fiscalização) ou por contrato.

Auditoria de Fornecedores e Prestadores de Serviço

  • Avaliação de Controles de Segurança da Informação
  • AICPA SOC® Reports (Service Organization Controls Reports)
  • SSPA (Supplier Security and Privacy Assurance Program) com base em Requisitos de Proteção de Dados

Análise de GAPs / Maturidade de Segurança da Informação / Cybersecurity

  • Estrutura
  • Processos
  • Estratégia

Auditoria de Segurança da Informação / Cybersecurity

  • Auditoria preparatória para certificação ISO 27001
  • Auditoria preparatória para certificação PCI

Nossos diferenciais

  • Gestores com mais de 15 anos de experiência em TI, Segurança da Informação, auditoria, gestão de riscos e desenvolvimento e implantação de estratégias de Tecnologia e Segurança da Informação.
  • Equipe de profissionais multidisciplinar com visão integrada de GRC nas camadas processos, sistemas, pessoas, gestão e infraestrutura.
  • Alcance global, via nossa rede de escritórios Protiviti.

Nosso parceiro

INDICAMOS PARA VOCÊ

Análise de dados: a diferença entre o sucesso e o fracasso nas fusões e aquisições

3 de fevereiro de 2023

A implementação de uma ferramenta de análise de dados massivo é uma etapa crítica na jornada de migração em fusões e aquisições.

Leia mais

SOC Report pré-IPO: 2023, o ano de retorno das ofertas públicas

8 de dezembro de 2022

Na bolsa brasileira não temos um IPO desde 2021; mas, para 2023, o mercado prevê um movimento de R$ 80 bina B3.

Leia mais

Inovação e novas maneiras de proteção de dados

16 de junho de 2020

É crucial a adoção de medidas de segurança para proteção de dados, evitando que eles caiam nas mãos erradas em qualquer etapa.

Leia mais

Bruno Giometti

Diretor e Líder de Auditoria Interna e Assessoria Financeira da Protiviti. Formado em contabilidade, com MBA executivo pelo Insper, possui mais de 15 anos de experiência profissional atuando como auditor externo e auditor interno em projetos nacionais e internacionais em todos os segmentos.

SOLICITE UMA PROPOSTA COMERCIAL






    Ao informar meus dados, reconheço que li e compreendi os termos expressos na Política de Privacidade da ICTS e concordo, de maneira livre, informada e inequívoca, em fornecer estes dados.