O Tribunal de Contas do Município de São Paulo (TCMSP) acaba de disponibilizar na sua página da intranet a nova versão do Manual Técnico de Auditoria de TI, que aborda auditoria de segurança em aplicações web. A publicação, cujo conteúdo foi desenvolvido pelo Grupo de Auditoria de Tecnologia da Informação (GATI), está entre as iniciativas do Projeto de Aprimoramento dos Métodos de Fiscalização no âmbito do Planejamento Estratégico do TCMSP (e-TCM 8887/2020).
A principal novidade dessa versão é a inclusão do tema “Auditoria de Segurança em Aplicações Web”, tratado nos itens 4.4 e 4.5 do manual. Adicionalmente, foi criado um Procedimento Operacional Padrão (POP), que tem como objetivo orientar os auditores quanto à aplicação de técnicas e procedimentos para auditorias de segurança em aplicações web.
O assunto abordado é especialmente crítico diante dos casos cada vez mais frequentes de vazamentos de informações e acessos indevidos provocados por ataques cibernéticos. Por outro lado, a disponibilização cada vez maior de serviços públicos on-line e a necessidade de aderência à Lei Geral de Proteção de Dados Pessoais (LGPD) tornam ainda mais relevantes os cuidados com a Segurança da Informação.
Em sua primeira versão, o Manual Técnico de Auditoria de TI forneceu as bases para a auditoria governamental de segurança da informação, complementado também por um POP e um checklist de Auditoria em Segurança da Informação, que contemplam outros aspectos, tais como os requerimentos de segurança para data centers, sistemas, bancos de dados e procedimentos de salvaguarda de informações.
Tanto o Manual quanto seus POPs são baseados em normativos técnicos reconhecidos no âmbito da Segurança da Informação, como as normas “NBR ISO-27001” e “NBR ISO-27002”, bem como na legislação nacional correlata.
Esse trabalho faz parte de um conjunto de ações da SFC para organizar e normatizar seus procedimentos de fiscalização. Na área de Tecnologia da Informação, a SFC conta com o Grupo de Auditoria de Tecnologia da Informação (GATI), composto por auditores especializados em TI, que desde 2017 vem realizando acompanhamento de licitações de bens e serviços de TI e auditorias dos sistemas da Prefeitura de SP, contemplando também os aspectos de Segurança da Informação.
ASCOM TCMSP