Um processo de auditoria interna focado em Segurança da Informação e Privacidade (atendendo à ISO/IEC 27001 e à LGPD) é estruturado de forma cíclica e preventiva. Ele serve para avaliar se os controles de segurança estão sendo executados corretamente e se as evidências coletadas garantem a conformidade da organização. Com base na estrutura atual, utilizando a plataforma Kyros Audit, o fluxo do processo de auditoria interna funciona em 4 grandes fases (Ciclo PDCA):

1. Planejamento e Agendamento (No Kyros Audit) O processo começa com a definição do escopo e da periodicidade das avaliações. Como o Kyros Audit permite gerar formulários por período, o planejamento deve refletir o ciclo necessário para cada norma:
  • Agendamento Periódico: Configuração dos ciclos no sistema (ex: auditorias semestrais para LGPD ou anuais para os blocos de controles da ISO 27001).
  • Seleção de Formulários: Criação e atribuição de questionários específicos dentro do sistema.
2. Preparação (Uso da Wiki) Antes de iniciar a execução a campo, o auditor (ou o responsável pela avaliação) realiza a fase de auditoria documental:
  • Consulta à Wiki: O auditor acessa as documentações disponibilizadas na Wiki interna do Kyros Audit para revisar as políticas, normas e procedimentos de segurança vigentes (ex: Política de Segurança da Informação, Política de Privacidade, Processo de Cofre de Senhas, Fluxos de Movimentação de Colaboradores).
  • Critério de Auditoria: O documento oficial armazenado na Wiki estabelece a “regra do jogo”. O formulário do Kyros Audit vai validar se o que está escrito na Wiki está sendo praticado no dia a dia.
3. Execução e Coleta de Evidências (No Kyros Audit) Esta é a fase operacional, onde as perguntas agendadas começam a ser respondidas:
  • Coleta Manual e Subformulários: O auditor preenche as respostas avaliando os controles internos.
  • Automações: Para itens técnicos, o sistema pode acionar rotinas ou integrações automáticas para coletar dados e registrar o status do controle sem intervenção humana.
  • Evidências de Auditoria: Para cada resposta (principalmente conformidades e não-conformidades), são anexadas as provas necessárias (prints de telas, logs de sistemas, relatórios gerados ou o próprio link de referência da Wiki).
4. Relatório e Planos de Ação Após a execução, o Kyros Audit consolida as respostas para gerar a visão real da maturidade de segurança:
  • Identificação de Gaps;
  • Tratamento de Desvios (plano de ação ou plano de remediação);
  • Melhoria Contínua.
Obs.: Caso um processo mude após a auditoria, o novo padrão é documentado na Wiki, e o formulário de auditoria do Kyros Audit é atualizado para o próximo ciclo, fechando o ciclo de melhoria contínua da governança Corporativa. Este fluxo garante total rastreabilidade: a política nasce na Wiki, o controle é testado e agendado pelo Kyros Audit, as evidências são anexadas e o nível de conformidade fica sempre documentado.

Política de Segurança da Informação

O objetivo principal da PSI é estabelecer as diretrizes, regras e responsabilidades para proteger os ativos de informação da empresa contra ameaças internas e externas, garantindo a continuidade do negócio e minimizando riscos de segurança. De forma prática, ela visa assegurar os três pilares fundamentais da Segurança da Informação (a tríade CID), além de garantir o cumprimento legal:
  • Confidencialidade: Garantir que as informações (dados de clientes, estratégias de negócio, dados pessoais tratados pela LGPD) sejam acessadas exclusivamente por pessoas autorizadas.
  • Integridade: Preservar a exatidão, completude e os métodos de processamento da informação, evitando que dados sejam alterados ou deletados de forma indevida ou maliciosa.
  • Disponibilidade: Garantir que os usuários autorizados tenham acesso à informação e aos sistemas sempre que necessário para a execução de suas funções.
  • Conformidade Legal e Normativa: Alinhar as operações da empresa às exigências legais da LGPD e aos padrões internacionais de boas práticas da ISO/IEC 27001, evitando sanções, multas e processos judiciais.
  Em suma, o objetivo da PSI não é burocratizar ou engessar os processos da empresa, mas sim criar um ambiente digital seguro e confiável onde a inovação e o crescimento possam acontecer de forma sustentável e protegida.