LAB GSTI 2.0: Era uma vez uma auditoria a um data center…
Bruno Horta Soares, CISA®, CGEIT®, CRISC™, PMP®, COBIT 5 | bruno.soares@govaas.com
data center
Na próxima semana irá realizar-se em Lisboa o evento DatacenterDynamics Converged Lisboa 2013 [1] , para o qual tive o prazer de ser convidado. Esta semana dei por mim a recordar com nostalgia as primeiras auditorias em que participei e o momento alto que era sempre a visita aos data center para avaliar os controlos de segurança física e proteção ambiental. Alguns anos depois, o objeto auditado transformou-se substancialmente, os riscos mudaram de figura e as estratégias de auditoria ganharam novos requisitos e competências. Será que ainda há data centres para auditar?
As minhas primeiras auditorias foram no contexto de auditorias integradas, onde os “informáticos” iam dar uma mãozinha aos colegas auditores financeiros na avaliação dos riscos e controlos do sistema de informação. As auditorias aos controlos gerais informáticos abordavam de forma transversal os domínios do sistema de informação, sendo a visita ao data center sempre um dos momentos mais aguardados. Por um lado era a área provavelmente mais simples de analisar para um jovem auditor, mas também era aquela que deixava sempre melhores recordações pelas situações que se encontravam: as famosas histórias das visitas das empregadas de limpeza que desligavam as fichas dos servidores para ligarem os aspiradores; os baldes que amparavam as gotas da chuva que caiam do teto; as resmas de papel e caixotes que que aguardavam um cigarro para se incendiarem; as portas abertas; os extintores há muito secos; ou mesmo a partilha das instalações para zona de café e almoço. Foram tantas as histórias que o melhor mesmo era rir para não chorar.
Ao longo dos anos algumas histórias foram-se repetindo, mas eram cada vez menos, em algumas situações devido às melhorias implementadas pelas Empresas, mas em grande parte, a redução das vulnerabilidades estava mesmo associada ao simples facto de já não existir data center para auditar. Quer fosse para modelos de hosting ou housing , mais ou menos virtualizados, muitas foram as organizações que externalizaram as suas aplicações, processos ou infra-estruturas e com elas os controlos operacionais que lhes estavam associados.
Começava assim um novo desafio para as Empresas e para os auditores externos: como gerir e auditar uma parte do sistema de informação que já lá não estava?
No que refere ao risco e controlo o mais importante passou por entender que, apesar dos controlos operacionais já não estarem sob responsabilidade direta da Empresa, os riscos de negócio que esses controlos mitigavam permaneciam todos lá pelo que seria necessário auditar de forma diferente e não deixar de auditar . As competências do auditor deixaram de estar tão relacionadas com as características técnicas do data center e passaram a estar tendencialmente mais focadas na gestão da relação entre a Empresa e o fornecedor dos serviços.
O “Outsourced IT Environments Audit/Assurance Program” é uma guia lançado pelo ISACA e uma referência para qualquer auditor que necessite de avaliar os riscos e os controlos relacionados com data center sob a responsabilidade de entidades externas . A importância deste tipo de revisões está relacionada com o cumprimento de objetivos do negócio, nomeadamente:
- Necessidade de se realizar uma avaliação independente dos processos de transferência das responsabilidades (desde a seleção de fornecedores à adjudicação dos serviços), gestão da relação, cumprimento dos requisitos contratuais e legais ao longo da duração do contrato e gestão de incidentes e disputas; e
- Capacitar a gestão com instrumentos de monitorização e avaliação dos impactos da externalização de determinadas atividades no ambiente de risco e controlo interno do negócio .
Relativamente ao planeamento e escopo deste tipo de revisões, deverá focar-se nas atividades externalizadas e garantir a cobertura das principais componentes da relação entre as partes, nomeadamente:
- Planeamento e definição de escopo e objetivos da revisão;
- Cumprimento dos requisitos de negócio:
- Cumprimento das expectativas do negócio em relação ao contrato:e
- Avaliação dos riscos identificados e monitorização da sua evolução.
- Conformidade contratual:
- Avaliação do contrato (disposições contratuais e execução do contrato).
- Gestão da relação:
- Entrega dos serviços contratados de acordo com os requisitos de qualidade e quantidade;
- Entrega de serviços adicionais;
- Gestão de incidentes;
- Faturação dos serviços prestados; e
- Revisão dos termos da relação.
- Operação e controlo dos serviços prestados:
- Operação dos serviços conforme planeado; e
- Responsabilidade pelos processos e controlos.
- Cumprimento dos requisitos de conformidade legal e normativos acordados:
- Garantia de auditabilidade dos termos contratuais e requisitos legais/normativos;
- Revisão dos controlos gerais informáticos;
- Conformidade legal/normativa.
- Governança
- Modelo de governança sobre o ambiente externalizado (ex. políticas, procedimentos, comités)
Uma das caraterísticas interessantes do “Outsourced IT Environments Audit/Assurance Program” é a ligação do programa de auditoria com os objetivos e práticas de controlo referidas na framework COBIT 4.1, bem como com os principais domínios do COSO . Desta forma é possível garantir a realização de um trabalho robusto e alinhado com as boas práticas de mercado e requisitos no contexto do risco e controlo interno. Um trabalho desta natureza requer competências e experiência em diversos domínios do sistema de informação, podendo ser resumidos através da identificação dos principais objetivos de controlo COBIT 4.1 que são referenciados:
- DS1.3 Service Level Agreements;
- DS1.4 Operating Level Agreements;
- DS1.5 Monitoring and Reporting of Service Level Achievements;
- DS1.6 Review of Service Level Agreements and Contracts;
- DS2.2 Supplier Relationship Management;
- DS2.3 Supplier Risk Management;
- DS2.4 Supplier Performance Monitoring;
- ME2.5 Assurance of Internal Control;
- ME2.6 Internal Control at Third Parties;
- ME3.1 Identification of External Legal, Regulatory and Contractual Compliance Requirements;
- ME3.3 Evaluation of Compliance With External Requirements
- ME3.4 Positive Assurance of Compliance
- DS9.2 Identification and Maintenance of Configuration Items
Conclusão
De um momento para o outro o auditor deixa de ser capaz de fazer uma auditoria com visitas ao data center, de olhar para a validade dos extintores, de ver se a cablagem está devidamente acomodada ou se inspecionar se há sinais de o data center ser utilizado para outros fins que não os previstos. O programa de auditoria passa a estar centrado em contratos, anexos e relatórios de monitorização . É de facto uma alteração significativa mas que não tem necessariamente de acarretar muito mais do que alterações das competências do auditor para execução do programa de auditoria e o atingimento dos mesmos fins.
Com os novos paradigmas da cloud este tipo de revisões ganhará ainda maior complexidade, sendo necessário recorrer sempre que possível a guias e programas de auditoria robustos que apoiem o auditor a cumprir com os objetivos da sua função.
Cumprimentos desde Portugal… estamos juntos!
Referências:
Outsourced IT Environments Audit/Assurance Program - http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Outsourced-IT-Environments-Audit-Assurance-Program.aspx [1] http://www.datacenterdynamics.com.br/node/65200