Integridade : que os dados não sejam corrompidos, perdidos, manipulados de forma a alterar seu conteúdo.

Disponibilidade: que os dados disponíveis para acessa-los  a qualquer momento porque seja autorizado.

Autenticidade : que os dados sigam sempre sendo íntegros a sua criação e  qualquer alteração sejam feitas apenas por intersessão das partes envolvidas.

Essa nova lei terá efeito sobre todos os setores da economia para empresas de todos os tamanhos.

De tal forma, neste momento se tornou mais forte ainda a importância de garantir que todos os pontos colocados pela LGPD sejam garantidos.

E, para isso, todas as soluções de segurança devem estar em conformidade, a fim de garantir uma proteção completa dos dados de clientes.

Assim, é possível analisar que o principal desafio enfrentado por todas as empresas que trabalham com dados no momento é justamente garantir a proteção de todos eles.

Ou seja, uma auditoria nada  mais é, do que um processo de verificação da estrutura da corporação, realizada por profissionais capacitados para tal.

Ela procura analisar e avaliar a eficácia dos processos, exercendo também uma função preventiva, a fim de determinar se esses são adequados e se cumprem com seus determinados objetivos ou estratégias.

Assim, por meio da auditoria é possível estabelecer mudanças que sejam necessárias para obtenção desses objetivos.

Ou seja, trata-se do processo de verificação de toda a estrutura computacional de uma organização.

Na auditoria de TI, verifica-se se as operações da área estão em conformidade com os objetivos propostos, como políticas institucionais e o que é definido em lei.

Dessa forma, é possível garantir a integridade dos dados manipulados, verificando aspectos de segurança e qualidade.Auditoria de sistemas e a Organização Nacional de Padronização.

No entanto, uma auditoria não pode ser realizada de qualquer maneira. Para isso, existem organizações de normatização dedicadas ao estabelecimento de modelos de padronização de processos.

A ISO, por exemplo, sigla para Organização Internacional de Padronização, é um desses órgãos. Sua função é promover a normatização de produtos e serviços, a fim de conferir qualidade aos mesmos.

Trata-se de um de um órgão de reconhecimento mundial que já publicou mais de 22 mil padrões internacionais. Sua representante no Brasil é a ABNT, ou Associação Brasileira de Normas Técnicas.

Quando as organizações determinam estratégias para garantir qualidade e competitividade aos seus produtos e serviços, ou ainda quando é preciso estabelecer salvaguardas para o atendimento de requisitos técnicos, há a necessidade de implementar um sistema de gestão.

Isso significa seguir as normas ISO. O processo de auditoria de gestão, por exemplo, tem como referência a norma ISO 19001:2018.

Porém, quando falamos especificamente da auditoria de sistema de informação, devemos observar outra norma, a ISO 27000:2018.

A ISO 27000 é composta por cerca de quarenta normas que versam sobre a tecnologia da informação, técnicas de segurança e sistemas de gestão.

1.Auditoria interna

A auditoria interna é um processo realizado pela própria organização para auditar seus sistemas e procedimentos.

Com isso, a empresa visa garantir que seus parâmetros estejam sendo seguidos devidamente e que os resultados esperados sejam atingidos.

Por meio dessa auditoria, a organização toma conhecimentos dos processos que não estão em conformidade com suas diretrizes e identifica oportunidades de melhorias.

No entanto, a auditoria interna não pode ser realizada por qualquer profissional. Para ser um auditor é preciso ter as competências necessárias, habilidades e experiências para executar sua função com êxito.

Para isso, o auditor interno deve ter conhecimento e ser treinado na ISO 19011, bem como no sistema ao qual será auditado.

Esse tipo de auditoria é de suma importância para organizações que desejam medir, de forma eficaz, seu desempenho em relação às normas e diretrizes a serem seguidas.

2.Auditoria externa

A auditoria externa, como você já deve imaginar, é realizada por um auditor independente.

Por mais que a organização acredite que uma auditoria interna seja eficiente, a auditoria externa e especializada é fundamental para averiguar se os processos estão, de fato, adequados às normas e diretrizes pré-determinadas.

A importância de uma auditoria externa vem da independência em relação a empresa e, por isso, sua opinião não pode sofrer nenhum tipo de influência.

Esse tipo de auditoria pode ser contratada pela própria empresa ou pode ser um processo determinado pela leis relacionadas ao setor de atuação da empresa, tornando a auditoria externa obrigatória.

Nesse último caso, o auditor, normalmente, é um órgão regulador.

Desse modo, esse tipo de procedimento garante a segurança, integridade das informações e mais qualidade no tocante aos serviços de TI que a empresa realiza.

Verificar se os sistemas estão seguindo as diretrizes desejadas também aumenta a confiabilidade nesses processos.

Do mesmo modo, a auditoria também confere à organização mais transparência e verifica a necessidade de adoção de ferramentas e sistemas mais adequados, garantindo uma análise mais apurada dos riscos em TI.

Por fim, a auditoria também assegura que os sistemas estejam seguindo a legislação e outras diretrizes de qualidade, mitigando riscos com problemas legais.

Além disso, a auditoria externa, em especial, também garante à organização credibilidade quanto aos seus serviços, tanto perante clientes quanto fornecedores, por exemplo.

Portanto, a auditoria de sistemas contribui para uma constante melhoria na organização. Assim, podemos considerar como os fundamentos de auditoria de sistemas:

Como você já sabe, auditoria pode ser aplicada a uma organização de duas formas: interna e externa. Nos dois casos o responsável por realizar a auditoria é o auditor.

O auditor deve ter profundo conhecimento a respeito da área auditoria. Ou seja, no caso da auditoria de sistemas, o profissional deve ter algum tipo de formação em tecnologia, como segurança da informação, por exemplo.

Mas não apenas isso, para ser um auditor é preciso ser treinado para tal. No caso dos auditores internos, é comum que a própria organização tenha um departamento de treinamento.

Uma auditoria completa pode ser resumida em quatro passos básicos:

Nós já falamos nesse artigo que a criação e vigência cada vez mais próxima da Lei Geral de Proteção de Dados traz consigo uma oportunidade para que as empresas reavaliem a forma com que processam dados.

Isso significa a implementação cada vez maior de uma auditoria de sistemas nas organizações.

Isso porque a LGPD prevê uma série de requisitos a serem cumpridos por essas organizações, visando a regulamentação das práticas do uso de dados.

O objetivo da lei é proporcionar um cenário de segurança jurídica para proteger o direito à liberdade e privacidade dos usuários.

Junto com essas regras há, também, a determinação de sanções para as empresas que descumprirem a lei. O que obriga as empresas a adaptarem-se o mais rápido possível à nova legislação.

Ou seja, uma empresa que conta com uma auditoria interna de sistemas está se resguardando de possíveis sanções legais.

Mas não é apenas isso. A LGPD prevê em seu art. 20 a possibilidade da realização de auditorias externas.

De acordo com a lei, a organização estará sujeita à realização de auditoria pela Autoridade Nacional de Proteção de Dados (ANPD) quando não fornecer informações requeridas pelo titular, conforme descreve o parágrafo segundo do mesmo artigo:

“Em caso de não oferecimento de informações de que trata o § 1º deste artigo baseado na observância de segredo comercial e industrial, a autoridade nacional poderá realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais.”.