Menu

Auditoria de TI, GRC, Segurança Cibernética, Riscos e Controles

Metodologia de Auditoria de TI: GAIT-R’s Top-Down

Com o aumento da dependência de sistemas de informação e tecnologias para processar, armazenar e transmitir dados, aumenta-se também o risco de falhas de segurança e violações de dados.

O GAIT-R é uma metodologia de auditoria de Tecnologia da Informação (TI), sendo “GAIT” o acrônimo para “Guidance for the Audit of Information Technology” e a letra “R” referindo-se à versão “Revised” (revisada) da metodologia.

Tal metodologia ajuda a garantir que as organizações estejam cientes dos riscos de TI e tenham controles efetivos em vigor para minimizar esses riscos. Isso é crucial para a proteção da confidencialidade, integridade e disponibilidade dos dados, bem como para a continuidade dos negócios.

Desenvolvida pelo IIA (Institute of Internal Auditors), a metodologia foi desenvolvida visando fornecer orientações para os auditores internos em relação aos riscos de TI e como avaliar o ambiente de controle de TI de uma organização e identificar possíveis riscos e vulnerabilidades. O GAIT-R abrange uma ampla gama de áreas de TI, incluindo, mas não se limitando à governança, gerenciamento de projetos, gerenciamento de mudanças, segurança da informação, continuidade dos negócios, entre outras.

Como avaliar o risco de TI é apenas uma parte da revisão e avaliação holística dos riscos para o alcance dos objetivos de negócio, os passos discutidos a seguir cobrem todo o processo de identificação de riscos e controles.

A metodologia consiste em oito etapas, começando com a compreensão do objetivo da revisão (ou avaliação de controles) e terminando com um escopo de trabalho definido. Vejamos:

  1. Identificar os objetivos de negócio para os quais os controles devem ser avaliados.
    .
  2. Identificar os principais controles nos processos de negócios necessários para fornecer uma garantia razoável de que os objetivos de negócios serão alcançados.
    .
  3. Identificar as funções críticas de TI utilizadas, a partir dos principais controles de negócio.
    .
  4. Identificar as aplicações relevantes em que os ITGC’s (IT General Controls) precisam ser testados.
    .
  5. Identificar os riscos do processo de ITGC e os objetivos de controle relacionados.
    .
  6. Identificar os ITGC’s para testar se atendem aos objetivos de controle.
    .
  7. Realizar uma revisão holística de todos os principais controles.
    .
  8. Determinar o escopo da revisão e construir um programa adequado de teste de desenho e efetividade.

Quer saber mais?

Explore o professional guidance “GAIT For Business and IT Risk” do IIA.

 

Foto do post: rawpixel.com no Freepik

 

* * * * *

 

Post Navigation

Segurança da Informação na era da Internet das Coisas (IoT)

Using Mitre ATT&CK in Enterprise Cybersecurity

Postagens relacionadas:

Lista de Livros sobre Auditoria, Riscos, Controles Internos e Compliance

Lista de Livros sobre Auditoria, Riscos, Controles Internos e Compliance

MPDFT apura vazamento de dados em empresa de crédito

Controles de TI e Fatores de Risco

planejamento-execucao-auditoria-sistemas-ti

Planejamento e Execução de uma Auditoria de Sistemas de Informação

Deixe uma resposta:

Seu endereço de e-mail não será publicado.

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

Site Footer

📜 Todo o conteúdo deste site está disponível sob a licença Creative Commons BY-NC-SA 4.0, salvo disposição em contrário.
🎓 O site possui fins educacionais e informativos, e nenhum conteúdo deve ser interpretado como aconselhamento jurídico ou tecnológico.
💬 As opiniões expressas neste site/blog são exclusivamente minhas e não representam as de meus empregadores passados, presentes ou futuros.
🔒 Valorizamos sua privacidade. Para mais informações, consulte nossa Política de Privacidade e o Aviso Legal.