Cada vez mais, o papel da segurança no ambiente das organizações está a ganhar uma maior importância. O impacto e a probabilidade de sofrer um incidente de segurança são fatores que devem ser minimizados ao máximo. É por essa razão que muitas organizações decidem proteger-se de forma proativa, incluindo na sua lista de tarefas de segurança a realização de auditorias.

Mediante este tipo de processos, é possível identificar de uma forma objetiva vulnerabilidades ou falhas de segurança. Estas vulnerabilidades estão associadas a vetores de risco que podem comprometer a Segurança da Informação, tais como; as pessoas, os processos, os serviços, a informação, a tecnologia, as instalações e os prestadores de serviços.

A meu ver, podemos classificar os diferentes tipos de auditoria de segurança em três grandes blocos, dependendo do objeto a auditar e das técnicas aplicadas. Estes blocos são:

  • Auditorias de boas práticas em Segurança da informação
  • Auditorias de cumprimento legal e regulamentar em Segurança da Informação
  • Auditorias de Hacking Ético

A seguir, iremos estudar cada um destes tipos de auditoria, definindo de que forma e sob que critérios são realizados. Iremos identificar, além disso, que perfis profissionais intervêm em cada um deles, e finalmente, analisar de que forma podem ajudar a melhorar a segurança numa organização.

Auditorias de boas práticas em Segurança da Informação

Em primeiro lugar, iremos abordar as auditorias de boas práticas em Segurança da Informação.

Na realização deste tipo de auditorias é habitual o uso de quadros de referência ou frameworks (a nível nacional ou internacional), através dos quais iremos contrastar o estado da nossa organização com os controlos de segurança definidos nos mesmos. Estes quadros são caracterizados por cobrir de forma eficaz cada aspeto que possa implicar para os ativos de uma entidade.

Alguns dos quadros de referência mais reconhecidos neste âmbito são os seguintes:

  • International Organization for Standardization (ISO 27000)
  • National Institute of Standards and Technology (NIST)
  • Esquema Nacional de Segurança (ENS)

É normal, em organizações com um grande número de requisitos de segurança relativamente aos seus processos comerciais, a definição de quadros de referência próprios adaptados às necessidades da própria entidade. Através desta abordagem, pretende-se dispor de uma visão única e centralizada evitando possíveis retrabalhos.

Os responsáveis por realizar este tipo de auditorias são, regra geral, os profissionais das Tecnologias da Informação (TI) especializados em Segurança da Informação e familiarizados com os quadros de referência a auditar.

Auditorias de cumprimento legal e regulamentar

Um dos aspetos a contemplar neste tipo de auditorias, é a implicação das obrigações legais e regulamentares associadas à Segurança da informação na organização. É por isso que, em segundo lugar, iremos estudar as auditorias de cumprimento legal e regulamentar.

Na realização deste tipo de auditorias, avalia-se o cumprimento de leis e regulamentos relacionados com a segurança. Algumas das mais importantes são as mencionadas de seguida:

  • Lei Orgânica de Proteção de Dados de Carácter Pessoal (LOPD)
  • Regulamento Geral de Proteção de Dados (RGPD)
  • Lei de Serviços da Sociedade da Informação (LSSICE)
  • Lei de Propriedade Intelectual (LPI)
  • Lei de Proteção de Infraestruturas Críticas (PIC)
  • Lei de Prevenção de Riscos Laborais (LPRL)
  • Esquema Nacional de Segurança (ENS)

Este tipo de auditorias é abordado a partir da vertente legal direcionada para a Segurança da Informação. É por isso que é necessária uma equipa multidisciplinar formada por profissionais de direito especializados em segurança e por auditores de TI especializados nas leis e regulamentos aplicáveis neste domínio.

Outro dos aspetos mais importantes numa auditoria de boas práticas, refere-se à proteção da infraestrutura tecnológica na organização, a qual deve ser auditada, adicionalmente, desde o ponto de vista mais técnico. Por isso, em terceiro e último lugar, iremos abordar as auditorias de Hacking Ético.

Neste tipo de auditorias, emula-se de uma forma realista e através de ferramentas e meios técnicos, o comportamento dos cibernautas, colocando à prova a robustez da infraestrutura tecnológica, e sobretudo a dos sistemas de informação.

Hacking ético

Dentro das auditorias de Hacking Ético, podemos diferenciar entre; auditorias de vulnerabilidades, testes de intrusão e exercícios de Red Team. Cada um destes tipos de auditoria tem umas especificações e umas restrições características, tais como o alcance ou o tipo de meios técnicos a utilizar. No entanto, o objetivo destes é encontrar possíveis vulnerabilidades ou falhas de segurança na infraestrutura tecnológica da organização.

Neste tipo de auditorias, conta-se com metodologias e normas para assegurar resultados eficazes. Algumas das metodologias mais utilizadas são; Open Source Security Methodology Manual (OSSTMM), Center for Internet Security (CIS), Open Web Application Security Project (OWASP) e MITRE ATT&CK.

Os responsáveis por realizar este tipo de auditorias são, regra geral, profissionais das Tecnologias da Informação e da Comunicação (TIC) especializados em cibersegurança. Trata-se de perfis muito técnicos e com elevados conhecimentos em programação e em segurança informática.

Como pudemos ver ao longo desta publicação, podemos diferenciar entre três grandes tipos de auditorias de segurança levadas a cabo por perfis profissionais diferenciados.
Por um lado, as auditorias de boas práticas estão orientadas para a gestão do risco, e ajudam-nos a avaliar o nível de exposição da entidade com o objetivo de ter uma visão global do estado da Segurança da informação. Por outro lado, as auditorias de cumprimento legal e regulamentar avaliam a nível de cultura de compliance, com o objetivo final de evitar sanções económicas. Por último, as auditorias de Hacking Ético têm como finalidade colocar à prova a resiliência e a proteção da infraestrutura tecnológica de segurança da organização.

Cada um destes tipos de auditoria, ajudam a obter indicadores que permitem aumentar o nível de maturidade de segurança da organização, aplicando, desta forma, a melhoria contínua do processo de Governo da Segurança da Informação.