Auditorias de Segurança
O propósito de uma Auditoria de Segurança é simples e objectivo: trata-se de verificar se a organização possui práticas e sistemas que garantam a sua segurança: ao nível físico, ou seja, das suas instalações; ao nível da informação, ou seja, dos dados relevantes para a sua operação, e ao nível dos equipamentos que suportam o armazenamento e o fluxo dessa informação.
No entanto, as práticas correctas não são obra do acaso. São normalmente reflexo de um trabalho apurado de organização de procedimentos, verificação da sua adequação, renovação de sistemas, padronização de tarefas, rotinas de reporting, e de uma inegociável atitude de comprometimento dos quadros superiores da organização.
A forma como a segurança moderna tem vindo a evoluir, aproximou-a definitivamente de outras áreas, onde, às técnicas consagradas pela experiência, se juntaram as mais modernas inovações tecnológicas e avançados arquétipos de projecto e implementação.
O modelo de apreciação subjacente a uma auditoria, seja em que área de actividade for, está inevitavelmente ligado a um determinado paradigma, normalmente transcrito para um modelo sequencial, tipicamente compreendendo várias vertentes, da apreciação teórica à sua verticalização modular.
O modelo adoptado pela Business Control reflecte esta tendência. Desenvolvido internamente, foi construído através da adaptação de várias metodologias de auditoria de segurança de empresas multinacionais nossas representadas e de standards de auditoria internacionais.
O BCSA - Business Control Security Analisys baseia-se na norma ISO 17799, nomeadamente na sua declinação publicada pelos British Standards (BS), no US National Industry Security Program, tal como vertido no Operating Manual, no Facility Security Plan Audit Checklist da Canadian Marityme Security e no Facility Safety Audit and Security Checklist do US Departament of Environement and Natural Resources.
Auditorias de Segurança Física
As BCSA – Business Control Security Analisys, dividem-se em duas grandes áreas distintas, porém complementares:
SecurityContempla a apreciação do estudo das Políticas de Segurança da organização, como esta encara, planeia e estrutura a segurança das suas instalações, e de que forma é efectuada a prática da função segurança, assim como a revisão e avaliação continuada da referida prática.
Trata-se de avaliar se a organização pensou a sua segurança contra intrusão ou abuso interno, como verteu esse entendimento nas práticas de dia a dia, no que diz respeito ao seu planeamento, execução e controlo.
Paralelamente, observa-se e avalia-se a adequação dos meios, humanos ou outros, afectados à operacionalização da função segurança.
Numa outra dimensão da protecção, avalia-se a adequação das medidas na sua vertente legal, enquadrando regulamentos internos e práticas às normativas em vigor.
SafetyA exemplo da auditoria de Security, esta auditoria contempla a apreciação do estudo das Políticas de Segurança da organização, neste caso, como a organização encara, planeia e estrutura a segurança das suas instalações na vertente da protecção das pessoas e bens sob a óptica alargada da higiene e da segurança no trabalho.
É igualmente analisada a forma como é efectuada a prática da função segurança, assim como a revisão e avaliação continuada da referida prática.
Paralelamente, observa-se e avalia-se a adequação dos meios, humanos ou outros, afectados à operacionalização da função safety.
São igualmente endereçados os enquadramentos legais desta função, nomeadamente quanto à adequação das práticas e normas internas ao quadro legal vigente.
Auditorias da Informação e dos Sistemas
Podendo ser equacionada e desenvolvida de forma autónoma, ou subsequente à auditoria de Security, esta análise debruça-se sobre a política de segurança da organização quanto à protecção da sua Informação, e de que forma essa política foi traduzida em procedimentos e acções adequadas.
São analisados os aspectos infraestruturais de suporte da informação, e os meios para sua protecção, inventariando-se e classificando-se os seus elementos.
Tratam-se igualmente as questões relacionadas com a segurança relativa ao pessoal com acesso à informação, a par das questões ambientais e físicas da infraestrutura.
Paralelamente, são tratadas e analizadas as questões relacionadas com a gestão da informação, na vertente dos procedimentos para a sua protecção contra ameaças internas e externas, manutenção e actualização, entre outros.
É igualmente avaliada a conformidade de equipamentos e software, bem como das práticas para a sua protecção, na sua vertente legal, enquadrando regulamentos internos e práticas às normativas em vigor.