You are on page 1of 118

Auditoria de Segurana da Informao

Luiz Otvio Botelho Lento Mrcio Ghisi Guimares

Crditos
Universidade do Sul de Santa Catarina | Campus UnisulVirtual | Educao Superior a Distncia
Reitor Ailton Nazareno Soares Vice-Reitor Sebastio Salsio Heerdt Chefe de Gabinete da Reitoria Willian Corra Mximo Pr-Reitor de Ensino e Pr-Reitor de Pesquisa, Ps-Graduao e Inovao Mauri Luiz Heerdt Pr-Reitora de Administrao Acadmica Miriam de Ftima Bora Rosa Pr-Reitor de Desenvolvimento e Inovao Institucional Valter Alves Schmitz Neto Diretora do Campus Universitrio de Tubaro Milene Pacheco Kindermann Diretor do Campus Universitrio da Grande Florianpolis Hrcules Nunes de Arajo Secretria-Geral de Ensino Solange Antunes de Souza Diretora do Campus Universitrio UnisulVirtual Jucimara Roesler Equipe UnisulVirtual Diretor Adjunto
Moacir Heerdt Avenida dos Lagos, 41 Cidade Universitria Pedra Branca | Palhoa SC | 88137-900 | Fone/fax: (48) 3279-1242 e 3279-1271 | E-mail: cursovirtual@unisul.br | Site: www.unisul.br/unisulvirtual

Coordenadores Graduao

Alosio Jos Rodrigues Ana Lusa Mlbert Ana Paula R.Pacheco Artur Beck Neto Bernardino Jos da Silva Charles Odair Cesconetto da Silva Dilsa Mondardo Diva Marlia Flemming Horcio Dutra Mello Itamar Pedro Bevilaqua Jairo Afonso Henkes Janana Baeta Neves Jorge Alexandre Nogared Cardoso Jos Carlos da Silva Junior Jos Gabriel da Silva Jos Humberto Dias de Toledo Joseane Borges de Miranda Luiz G. Buchmann Figueiredo Marciel Evangelista Catneo Maria Cristina Schweitzer Veit Maria da Graa Poyer Mauro Faccioni Filho Moacir Fogaa Nlio Herzmann Onei Tadeu Dutra Patrcia Fontanella Roberto Iunskovski Rose Clr Estivalete Beche

Marilene de Ftima Capeleto Patricia A. Pereira de Carvalho Paulo Lisboa Cordeiro Paulo Mauricio Silveira Bubalo Rosngela Mara Siegel Simone Torres de Oliveira Vanessa Pereira Santos Metzker Vanilda Liordina Heerdt

Patrcia de Souza Amorim Poliana Simao Schenon Souza Preto

Gerncia de Desenho e Desenvolvimento de Materiais Didticos


Mrcia Loch (Gerente)

Karine Augusta Zanoni Marcia Luz de Oliveira Mayara Pereira Rosa Luciana Tomado Borguetti

Assuntos Jurdicos

Bruno Lucion Roso Sheila Cristina Martins

Gesto Documental

Lamuni Souza (Coord.) Clair Maria Cardoso Daniel Lucas de Medeiros Jaliza Thizon de Bona Guilherme Henrique Koerich Josiane Leal Marlia Locks Fernandes

Desenho Educacional

Marketing Estratgico Portal e Comunicao

Gerncia Administrativa e Financeira


Renato Andr Luz (Gerente) Ana Luise Wehrle Anderson Zandr Prudncio Daniel Contessa Lisboa Naiara Jeremias da Rocha Rafael Bourdot Back Thais Helena Bonetti Valmir Vencio Incio

Vice-Coordenadores Graduao
Adriana Santos Ramm Bernardino Jos da Silva Catia Melissa Silveira Rodrigues Horcio Dutra Mello Jardel Mendes Vieira Joel Irineu Lohn Jos Carlos Noronha de Oliveira Jos Gabriel da Silva Jos Humberto Dias de Toledo Luciana Manfroi Rogrio Santos da Costa Rosa Beatriz Madruga Pinheiro Sergio Sell Tatiana Lee Marques Valnei Carlos Denardin Smia Mnica Fortunato (Adjunta)

Gerncia de Ensino, Pesquisa e Extenso


Janana Baeta Neves (Gerente) Aracelli Araldi

Elaborao de Projeto

Carolina Hoeller da Silva Boing Vanderlei Brasil Francielle Arruda Rampelotte

Cristina Klipp de Oliveira (Coord. Grad./DAD) Roseli A. Rocha Moterle (Coord. Ps/Ext.) Aline Cassol Daga Aline Pimentel Carmelita Schulze Daniela Siqueira de Menezes Delma Cristiane Morari Eliete de Oliveira Costa Elosa Machado Seemann Flavia Lumi Matuzawa Geovania Japiassu Martins Isabel Zoldan da Veiga Rambo Joo Marcos de Souza Alves Leandro Roman Bamberg Lygia Pereira Lis Air Fogolari Luiz Henrique Milani Queriquelli Marcelo Tavares de Souza Campos Mariana Aparecida dos Santos Marina Melhado Gomes da Silva Marina Cabeda Egger Moellwald Mirian Elizabet Hahmeyer Collares Elpo Pmella Rocha Flores da Silva Rafael da Cunha Lara Roberta de Ftima Martins Roseli Aparecida Rocha Moterle Sabrina Bleicher Vernica Ribas Crcio Vanessa de Andrade Manoel (Coord.) Letcia Regiane Da Silva Tobal Mariella Gloria Rodrigues Vanesa Montagna

Rafael Bavaresco Bongiolo Catia Melissa Silveira Rodrigues Andreia Drewes Luiz Felipe Buchmann Figueiredo Rafael Pessi

Gerncia de Produo Design Visual

Arthur Emmanuel F. Silveira (Gerente) Francini Ferreira Dias Pedro Paulo Alves Teixeira (Coord.) Alberto Regis Elias Alex Sandro Xavier Anne Cristyne Pereira Cristiano Neri Gonalves Ribeiro Daiana Ferreira Cassanego Davi Pieper Diogo Rafael da Silva Edison Rodrigo Valim Fernanda Fernandes Frederico Trilha Jordana Paula Schulka Marcelo Neri da Silva Nelson Rosa Noemia Souza Mesquita Oberdan Porto Leal Piantino

Reconhecimento de Curso
Maria de Ftima Martins

Acessibilidade

Multimdia

Secretaria Executiva e Cerimonial


Jackson Schuelter Wiggers (Coord.) Marcelo Fraiberg Machado Tenille Catarina

Extenso Pesquisa

Maria Cristina Veit (Coord.) Daniela E. M. Will (Coord. PUIP, PUIC, PIBIC) Mauro Faccioni Filho (Coord. Nuvem)

Avaliao da aprendizagem

Srgio Giron (Coord.) Dandara Lemos Reynaldo Cleber Magri Fernando Gustav Soares Lima Josu Lange

Assessoria de Assuntos Internacionais


Murilo Matos Mendona

Coordenadores Ps-Graduao

Ps-Graduao Biblioteca

Assessoria de Relao com Poder Pblico e Foras Armadas


Adenir Siqueira Viana Walter Flix Cardoso Junior

Assessoria DAD - Disciplinas a Distncia

Patrcia da Silva Meneghel (Coord.) Carlos Alberto Areias Cludia Berh V. da Silva Conceio Aparecida Kindermann Luiz Fernando Meneghel Renata Souza de A. Subtil

Alosio Jos Rodrigues Anelise Leal Vieira Cubas Bernardino Jos da Silva Carmen Maria Cipriani Pandini Daniela Ernani Monteiro Will Giovani de Paula Karla Leonora Dayse Nunes Letcia Cristina Bizarro Barbosa Luiz Otvio Botelho Lento Roberto Iunskovski Rodrigo Nunes Lunardelli Rogrio Santos da Costa Thiago Coelho Soares Vera Rejane Niedersberg Schuhmacher Acadmica Angelita Maral Flores (Gerente) Fernanda Farias

Anelise Leal Vieira Cubas (Coord.) Salete Ceclia e Souza (Coord.) Paula Sanhudo da Silva Marlia Ignacio de Espndola Renan Felipe Cascaes

Claudia Gabriela Dreher Jaqueline Cardozo Polla Ngila Cristina Hinckel Sabrina Paula Soares Scaranto Thayanny Aparecida B. da Conceio

Conferncia (e-OLA)

Carla Fabiana Feltrin Raimundo (Coord.) Bruno Augusto Zunino Gabriel Barbosa

Gerncia de Logstica Logsitca de Materiais

Produo Industrial

Marcelo Bittencourt (Coord.)

Jeferson Cassiano A. da Costa (Gerente) Carlos Eduardo D. da Silva (Coord.) Abraao do Nascimento Germano Bruna Maciel Fernando Sardo da Silva Fylippy Margino dos Santos Guilherme Lentz Marlon Eliseu Pereira Pablo Varela da Silveira Rubens Amorim Yslann David Melo Cordeiro

Gerncia Servio de Ateno Integral ao Acadmico


Maria Isabel Aragon (Gerente) Ana Paula Batista Detni Andr Luiz Portes Carolina Dias Damasceno Cleide Incio Goulart Seeman Denise Fernandes Francielle Fernandes Holdrin Milet Brando Jenniffer Camargo Jessica da Silva Bruchado Jonatas Collao de Souza Juliana Cardoso da Silva Juliana Elen Tizian Kamilla Rosa Mariana Souza Marilene Ftima Capeleto Maurcio dos Santos Augusto Maycon de Sousa Candido Monique Napoli Ribeiro Priscilla Geovana Pagani Sabrina Mari Kawano Gonalves Scheila Cristina Martins Taize Muller Tatiane Crestani Trentin

Gesto Docente e Discente

Enzo de Oliveira Moreira (Coord.)

Capacitao e Assessoria ao Docente

Assessoria de Inovao e Qualidade de EAD

Gerncia Administrao

Denia Falco de Bittencourt (Coord.) Andrea Ouriques Balbinot Carmen Maria Cipriani Pandini

Assessoria de Tecnologia

Secretaria de Ensino a Distncia


Samara Josten Flores (Secretria de Ensino) Giane dos Passos (Secretria Acadmica) Adenir Soares Jnior Alessandro Alves da Silva Andra Luci Mandira Cristina Mara Schauffert Djeime Sammer Bortolotti Douglas Silveira Evilym Melo Livramento Fabiano Silva Michels Fabricio Botelho Espndola Felipe Wronski Henrique Gisele Terezinha Cardoso Ferreira Indyanara Ramos Janaina Conceio Jorge Luiz Vilhar Malaquias Juliana Broering Martins Luana Borges da Silva Luana Tarsila Hellmann Luza Koing Zumblick Maria Jos Rossetti

Osmar de Oliveira Braz Jnior (Coord.) Felipe Fernandes Felipe Jacson de Freitas Jefferson Amorin Oliveira Phelipe Luiz Winter da Silva Priscila da Silva Rodrigo Battistotti Pimpo Tamara Bruna Ferreira da Silva

Alessandra de Oliveira (Assessoria) Adriana Silveira Alexandre Wagner da Rocha Elaine Cristiane Surian (Capacitao) Elizete De Marco Fabiana Pereira Iris de Souza Barros Juliana Cardoso Esmeraldino Maria Lina Moratelli Prado Simone Zigunovas Anderson da Silveira (Ncleo Comunicao) Claudia N. Nascimento (Ncleo NorteMaria Eugnia F. Celeghin (Ncleo Plos) Andreza Talles Cascais Daniela Cassol Peres Dbora Cristina Silveira Ednia Araujo Alberto (Ncleo Sudeste) Francine Cardoso da Silva Janaina Conceio (Ncleo Sul) Joice de Castro Peres Karla F. Wisniewski Desengrini Kelin Buss Liana Ferreira Luiz Antnio Pires Maria Aparecida Teixeira Mayara de Oliveira Bastos Michael Mattar

Avaliaes Presenciais

Tutoria e Suporte

Nordeste)

Coordenao Cursos Coordenadores de UNA


Diva Marlia Flemming Marciel Evangelista Catneo Roberto Iunskovski

Graciele M. Lindenmayr (Coord.) Ana Paula de Andrade Angelica Cristina Gollo Cristilaine Medeiros Daiana Cristina Bortolotti Delano Pinheiro Gomes Edson Martins Rosa Junior Fernando Steimbach Fernando Oliveira Santos Lisdeise Nunes Felipe Marcelo Ramos Marcio Ventura Osni Jose Seidler Junior Thais Bortolotti

Gerncia de Marketing

Eliza B. Dallanhol Locks (Gerente)

Auxiliares de Coordenao

Ana Denise Goularte de Souza Camile Martinelli Silveira Fabiana Lange Patricio Tnia Regina Goularte Waltemann

Relacionamento com o Mercado Alvaro Jos Souto Relacionamento com Polos Presenciais
Alex Fabiano Wehrle (Coord.) Jeferson Pandolfo

Universidade do Sul de Santa Catarina

Auditoria de Segurana da Informao


Livro Digital

Palhoa UnisulVirtual 2012

Copyright UnisulVirtual 2012 Nenhuma parte desta publicao pode ser reproduzida por qualquer meio sem a prvia autorizao desta instituio. Edio Livro Digital Professor Conteudista
Mrcio Ghisi Guimares Luiz Otvio Botelho Lento

Coordenao de Curso
Luiz Otvio Botelho Lento

Design Instrucional
Delma Cristiane Morari

Projeto Grfico e Capa


Equipe Design Visual

Diagramao
Jordana Paula Schulka

Reviso
Amaline Mussi

005.8 L59

Lento, Luiz Otvio Botelho Auditoria de segurana da informao : livro digital / Luiz Otvio Botelho Lento, Mrcio Ghisi Guimares ; design instrucional Delma Cristiane Morari. Palhoa : UnisulVirtual, 2012. 116 p. : il. ; 28 cm. Inclui bibliografia.

1. Proteo de dados - Auditoria. 2. Sistemas de recuperao da informao Medidas de segurana. I. Guimares, Mrcio Ghisi. II. Morari, Delma Cristiane. III. Ttulo.

Ficha catalogrfica elaborada pela Biblioteca Universitria da Unisul

Luiz Otvio Botelho Lento Mrcio Ghisi Guimares

Auditoria de Segurana da Informao


Livro Digital

Designer Instrucional Delma Cristiane Morari

Palhoa UnisulVirtual 2012

Sumrio

7 9 11 15 43 69 89

Apresentao Palavras dos professores Plano de estudo Unidade 1


Auditoria e sua importncia em uma organizao

Unidade 2
Auditoria da tecnologia da informao

Unidade 3
Auditoria de segurana da informao

Unidade 4
Auditoria de sistemas de gesto de segurana da informao

105 Para concluir os estudos 107 Minicurrculos 109 Respostas e comentrios das atividades de autoaprendizagem
e colaborativas

113

Referncias

Apresentao

Caro/a estudante, O livro digital desta disciplina foi organizado didaticamente, de modo a oferecer a voc, em um nico arquivo pdf, elementos essenciais para o desenvolvimento dos seus estudos. Constituem o livro digital: Palavras dos professores (texto de abertura); Plano de estudo (com ementa, objetivos e contedo programtico da disciplina); Objetivos, Introduo, Sntese e Saiba mais de cada unidade; Leituras de autoria do professor conteudista; Atividades de autoaprendizagem e gabaritos; Enunciados das atividades colaborativas; Para concluir estudos (texto de encerramento); Minicurrculos dos professores conteudistas; e Referncias. Lembramos, no entanto, que o livro digital no constitui a totalidade do material didtico da disciplina. Dessa forma, integram o conjunto de materiais de estudo: webaulas, objetos multimdia, leituras complementares (selecionadas pelo professor conteudista) e atividades de avaliao (obrigatrias e complementares), que voc acessa pelo Espao UnisulVirtual de Aprendizagem. Tais materiais didticos foram construdos especialmente para este curso, levando em considerao as necessidades da sua formao e aperfeioamento profissional. Atenciosamente, Equipe UnisulVirtual

Palavras dos professores

Caro/a estudante, Seja bem-vindo/a disciplina Auditoria de Segurana da Informao. Como voc j deve saber, o Sistema de Gesto de Segurana da Informao (SGSI) estratgico para o sucesso do negcio de uma organizao. Neste mundo globalizado, a necessidade de manter o SGSI adequado s necessidades da organizao passou a constituir prioridade entre a alta direo e os gestores de segurana das organizaes. Por sua vez, o processo de auditoria tornou-se uma ferramenta eficaz a, pois suas constataes e concluses podem ajudar a manter o sistema de gesto dentro das expectativas da organizao. Esta disciplina tem como objetivo apresentar a voc, na perspectiva dos autores, uma primeira viso do que vem a ser Auditoria de Segurana da Informao. Buscando ressaltar, igualmente, a sua importncia para o negcio de uma organizao. Na atualidade, as empresas dependem dos recursos da Tecnologia da Informao para terem competitividade nos negcios. No existe mais espao para processamento de dados manualmente. Todas as informaes esto gravadas em banco de dados e as regras de negcios esto implementadas em sistemas de informao. Sem os recursos de TI, a grande maioria das empresas deixa de operar. Nesse contexto, a segurana das informaes vital para a continuidade dos negcios das empresas. Mas ser que as informaes esto seguras nas empresas? A resposta a essa pergunta pode ser encontrada pela auditoria de segurana das informaes. Somente realizando constantes auditorias nos recursos de TI que se pode afirmar estarem as informaes realmente seguras, ou no.

A abrangncia da auditoria pode variar conforme a complexidade dos recursos de TI utilizados pela empresa, ou seja, a auditoria dinmica e deve ser realizada por um auditor independente. Este livro abordar alguns tpicos relevantes de TI que devem ser auditados e as razes para a realizao da auditoria. Bom estudo a todos! Professores Mrcio Ghisi Guimares e Luiz Otvio Botelho Lento

Ps-graduao

Plano de estudo

O plano de estudo visa a orient-lo/a no desenvolvimento da disciplina. Possui elementos que o/a ajudaro a conhecer o contexto da disciplina e a organizar o seu tempo de estudos. O processo de ensino e aprendizagem na UnisulVirtual leva em conta instrumentos que se articulam e se complementam, portanto a construo de competncias se d sobre a articulao de metodologias e por meio das diversas formas de ao/mediao. So elementos desse processo: o livro digital; o Espao UnisulVirtual de Aprendizagem (EVA); as atividades de avaliao (a distncia, presenciais e de autoaprendizagem); o Sistema Tutorial.

Objetivo geral
Compreender as principais estratgias que norteiam a realizao de uma auditoria computacional e desenvolver habilidades para a sua execuo em ambientes corporativos.

Ementa
Conceito e organizao de auditoria. Controles organizacionais. Controle de mudanas. Controle de operao de sistemas. Controle sobre o ambiente de rede.

Contedo programtico/objetivos
A seguir, as unidades que compem o livro digital desta disciplina e os seus respectivos objetivos. Estes se referem aos resultados que voc dever alcanar ao final de uma etapa de estudo. Os objetivos de cada unidade definem o conjunto de conhecimentos que voc dever possuir para o desenvolvimento de habilidades e competncias necessrias a este nvel de estudo.

Unidades de estudo: 4

Unidade 1 Auditoria e sua importncia em uma organizao


Pode-se afirmar que a auditoria a atribuio responsvel por fiscalizar os processos de uma organizao. Sua principal funo revelar se os processos esto sendo executados corretamente, constantemente, de forma preventiva ou corretiva, e, principalmente, independente. A auditoria pode ser classificada por tipos, como: interna, externa, administrativa, contbil, financeira, operacional e de tecnologia da informao.

Unidade 2 Auditoria de tecnologia da informao


Esta unidade estuda a importncia da auditoria na rea de TI, pois ela compreende todas as reas relacionadas TI. Todos os processos podem e devem ser auditados, desde a deciso sobre tecnologias a ser adotadas, desenvolvimento de sistemas, integrao entre sistemas, comunicao entre mquinas, mudanas de sistemas e tecnologias, equipes de desenvolvimentos, prioridades, controles organizacionais, legalidade jurdica, bem como os resultados. A auditoria no setor TI imprescindvel, haja vista que, hoje, muitas organizaes param de operar pelo fato de a respectiva tecnologia de TI adotada deixar de funcionar.

Ps-graduao

Unidade 3 Auditoria de segurana da informao


Atualmente, uma organizao no consegue mais operar sem sistemas de informao que operam de forma integrada entre si, pois isto vital para assegurar a continuidade de funcionamento das organizaes. A operao de sistemas revela o resultado de todo um trabalho de anlise e implantao de sistemas. Auditando a operao de sistemas, pode-se concluir que as regras de negcio foram implantadas e executadas corretamente. Os nveis de auditoria devem aprofundar, de acordo com a segurana crtica das informaes, por meio dos controles de acesso lgico e fsico.

Unidade 4 Auditoria de sistemas de gesto de segurana da informao


Esta unidade trata da importncia de se ter um sistema de gesto de segurana da informao (SGSI) implementado em uma organizao, o que permite ao responsvel pela segurana das informaes visualizar, com muito mais eficincia e em tempo real, a situao dos sistemas integrados.

Carga horria: 30 horas

Auditoria de Segurana da Informao

Unidade 1

Auditoria e sua importncia em uma organizao

Objetivos de aprendizagem
Compreender a necessidade de realizao de auditoria nas organizaes. Distinguir os tipos de auditoria e sua aplicabilidade. Perceber a contribuio da constante aplicao de auditoria para a segurana das informaes de uma organizao. Conhecer o planejamento da auditoria e a importncia do planejamento na aplicao da auditoria.

Introduo
A globalizao e a dinmica na composio e realizao de negcios entre as organizaes no pas e no mundo uma realidade crescente a cada dia. A necessidade do uso contnuo de sistemas computacionais em seus negcios assegurou s organizaes oferecerem produtos com mais qualidade e competitividade. Esse novo cenrio passou a prover uma nova demanda de tcnicas e solues de monitoramento e controle dos processos de negcio. Isso porque a necessidade, cada vez maior, de minimizar falhas e impactos no negcio da organizao, como por exemplo, riscos de investimentos, boa imagem junto aos seus stakeholders, veio a tornar-se uma das prioridades de seus gerentes. Dentre os diversos mecanimos existentes que podem prover o monitoramento e controle dos processos do negcio de uma organizao, pode-se citar a auditoria. que a auditoria consiste em um importante instrumento do processo de gesto de Tecnologia da Informao (TI) de uma organizao. Esta unidade ir apresentar os conceitos bsicos de auditoria em uma organizao.

16

Conceito, tipos e caractersticas de auditoria


Luiz Otvio Botelho Lento

No decorrer dos anos, o mundo empresarial cresceu de forma significativa, integrando universos diversos, compostos por organizaes de vrios segmentos de mercado, e oferecendo um leque amplo de produtos, com variedade de formatos referentes aquisio e utilizao. A competitividade no mercado globalizado est mais voraz. Fatores como a interao das economias (ex: MERCOSUL, Europa e NAFTA), as constantes alteraes geopolticas e sociais, em conjunto com a evoluo tecnolgica, reforam a competitividade. As organizaes que fazem parte dessa nova realidade esto cada vez mais vulnerveis perante esse mercado, pois necessitam manter uma constante atualizao em relao s diversas demandas emergentes. Uma soluo para esse problema juntar esforos. Em virtude disto, as organizaes se unem, de forma cooperativa, com o objetivo de atender uma determinada demanda de negcio. Com isso, novas estruturas interorganizacionais, criadas e distribudas com base na ajuda mtua, so, atualmente, uma realidade e uma soluo cabvel ante as obrigatoriedades estabelecidas por um novo mercado. A busca constante por novas solues e produtos deve-se a essa crescente evoluo do mercado, cada vez mais competitivo e voltil, que, junto globalizao da tecnologia e da economia, fator influente na busca de solues mais eficientes, com custos mais acessveis. As empresas que esto vivenciando esta realidade vm buscando unir foras para minimizar custos e obter solues que atendam de forma objetiva os seus clientes. Nesse contexto, vem crescendo a utilizao de organizaes virtuais como soluo, em conjunto com o conceito de Cloud Computing, pois asssegura uma sada para esta questo, possibilitando: coordenar recursos compartilhados de forma descentralizada (sem controle centralizado); fazer uso de protocolos e interfaces padres, de propsito geral e aberta; e proporcionar qualidades de servios no triviais.

Organizaes visuais
Um estilo de computao escalvel de recursos de TI identificado como um fornecimento de servio para clientes externos, por meio da tecnologia da internet. Os consumidores desses servios visualizam-nos apenas para utilizao, sem se preocupar com a arquitetura de implementao ou programao desses. Saiba mais em: <http://www.gartner.com>.

Cloud Computing
a designao aceita para redes independentes, formadas dinamicamente por meio de empresas e organizaes convencionais de um modo geral, distribudas geograficamente, com objetivos comuns, compartilhando tecnologia de informao e comunicao, trabalhando de forma cooperativa, de modo a possibilitar uma melhor qualidade de servio e competncias na soluo de problemas comuns. (ZHANG; GU, 2003).

Ps-graduao

17

Em paralelo, novas vulnerabilidades e ameaas foram criadas, tornando os negcios das organizaes mais suscetveis a ataques. Tal possibilidade forou os administradores, em conjunto com a sua equipe de Tecnologia da Informao, a buscar alternativas de proteo com a finalidade de mitigar essas vulnerabilidades e, assim, reduzir a chance de ocorrer ataques ao seu negcio. Dessa forma, conforme citado em Smola (2010), a importncia da Gesto da Segurana da Informao hoje um fator fundamental para o sucesso do negcio de qualquer organizao, independente de seu tamanho ou rea de atuao. A implantao de um Sistema de Gesto de Segurana da Informao (SGSI), em conformidade com os requisitos descritos na norma ISO 27001, fator estratgico e de sucesso para o negcio da organizao. Em paralelo, a aplicao de boas prticas de segurana da informao, conforme citadas na ISO 27002, tambm deve ser adotada no projeto de segurana de informao da organizao. A norma ISO 27001, responsvel em estabelecer os requisitos do SGSI de uma organizao, baseia-se no modelo de processo PDCA (Plan Do Check Act), conforme pode ser visualizado na Figura 1.
Modelo PDCA aplicado ao processo do SGSI Parceiros Interessados Parceiros Interessados

Plan
Especifca o SGSI Implementa e opera o SGSI Monitora e revisa o SGSI Manuteno e monitora o SGSI

Do

Act

Expectativas e necessidades de segurana da informao

Check

Segurana da informao gerenciada

Figura 1 - Modelo de Processos PDCA Fonte: ISO 27001 (2005).

Como pode ser visto, o ciclo PDCA representado por quatro fases: Planejamento: nesta, de forma geral, so planejadas e projetadas as atividades referentes ao SGSI, como por exemplo, polticas e procedimentos de segurana; Execuo: aqui, so implantadas e operacionalizadas as polticas, controles, processos e procedimentos do SGSI; Verificao: de uma forma geral, nessa etapa audita-se o SGSI, analisando e avaliando a eficincia, por exemplo, de suas polticas, procedimentos e controles;

Auditoria e sua importncia em uma organizao

18

Aes corretivas: com base na etapa de verificao, so tomadas aes que previnam ou que venham a corrigir as atividades referentes ao SGSI, especificadas na fase de planejamento e implantadas na fase de execuo. O sucesso da implantao e manuteno do SGSI est baseado na verificao constante das suas atividades. A auditoria dos seus componentes possibilita que o SGSI esteja sempre alinhado s necessidades de segurana da informao do negcio da organizao. Esse fato torna a auditoria, de forma ampla, uma ferramenta fundamental manuteno e adequao do SGSI estratgia do negcio.
Evidncia de auditoria
Evidncias de auditoria: so registros, apresentao de fatos ou outras informaes, pertinentes aos critrios de auditoria. A auditoria pode ser quantitativa ou qualitativa.

Critrios de auditoria
Critrios de auditoria: consiste em um conjunto de polticas, procedimentos ou requisitos. Os critrios de auditoria so usados como uma referncia contra a qual a evidncia da auditoria comparada.

Conceituar auditoria pode ser considerado um tanto quanto fcil, pois existem algumas definies em torno desse assunto. Todavia a NBR ISO 19011 define auditoria como um processo sistemtico, documentado e independente para obter evidncias de auditoria e avali-las objetivamente de modo a determinar a extenso na qual os critrios de auditoria so atendidos.

Outra definio interessante de auditoria est em UFERSA (2010): so exames, anlises, avaliaes, levantamento e comprovaes, metodologicamente estruturados para a avaliao da integridade, adequao, eficincia, eficcia e economicidade dos processos, dos sistemas de informaes e de controles internos integrados da organizao, visando a atingir o cumprimento de seus objetivos. Segundo Mello (2005), a auditoria pode ser definida como uma atividade que engloba o exame das operaes, processos, sistemas e responsabilidades gerenciais de uma determinada entidade, com o intuito de verificar a sua conformidade com certos objetivos e polticas institucionais, oramentos, regras, normas ou padres. Poderiam ser mencionadas, ainda, algumas definies mais: acredita-se, entretanto, que essas duas atendam s expectativas deste estudo. Ressalta-se que uma auditoria caracteriza-se pela confiana e princpios, tornandose ferramenta eficiente e confivel. Dessa forma, contribui para as polticas de gesto e controle, provendo as organizaes de informaes que possibilitem melhorar os seus processos de negcio. A NBR ISO 19011 apresenta alguns desses princpios, relacionados aos auditores, possibilitando que sejam fornecidas concluses de auditoria relevantes e suficientes e permitindo que auditores trabalhem de forma independente e cheguem a concluses semelhantes em situaes semelhantes. Veja na sequncia.

Ps-graduao

19

Conduta tica: consiste na alma do profissional, confiana, integridade, confidencialidade e discrio. A tica consiste em uma caracterstica inerente s aes do ser humano, tornando-se um componente fundamental sociedade. Obrigao: existe a obrigao de reportar com veracidade e exatido todas as informaes pertinentes auditoria, relacionadas com as constataes e as concluses da auditoria e seus respectivos relatrios. Conscincia profissional: os auditores devem ter a preocupao de realizar as tarefas da forma mais profissional, de acordo com a importncia e a confiana depositada em uma auditoria. Independncia: a base para a imparcialidade e objetividade das concluses de uma auditoria, porque os auditores so independentes em relao ao que ser auditado, assim como no se ligam aos interesses e s tendncias apresentadas. Evidncia: a evidncia de auditoria pode ser verificada, pois ela realizada com base em amostras de informaes que se encontram disponveis.

Sendo assim, pode-se dizer que a auditoria talvez um mal/bem necessrio a qualquer organizao. Saber at quanto o seu processo de negcio eficiente, ou mesmo, at quanto o seu sistema de informaes seguro, uma necessidade estratgica para o negcio. Logo, se for perguntado por que auditar, a resposta pode ser imediata: uma necessidade estratgica para o negcio da organizao, o qual pode ser validado pela auditoria.

Tipos de auditoria
As auditorias podem estar em conformidade com diversos critrios, como por exemplo, o objetivo, a periodicidade e o posicionamento do auditor/rgo fiscalizador. O objetivo de uma auditoria pode estar relacionado necessidade de se verificarem falhas em um processo e, assim, poder corrigi-lo. A periodicidade de uma auditoria pode estar relacionada necessidade ou ao tipo de negcio. Sendo assim, Neto e Solonca (2007) apresentam um quadro com os tipos de auditoria, separando-os em 3 classes abrangentes: forma de abordagem; rgo fiscalizador e rea envolvida. Com isso, oferecem uma ampla viso dos diversos tipos de auditoria que podem existir.

Auditoria e sua importncia em uma organizao

20

Classificao

Tipos de auditoria
Auditoria horizontal

Descrio
Auditoria com tema especfico, realizada em vrias entidades ou servios, paralelamente. Foca em uma atividade especfica qualquer ou atividades com fortes indcios de fraudes ou erros. Auditoria realizada por um departamento interno, responsvel pela verificao e avaliao dos sistemas e procedimentos internos de uma entidade. Um de seus objetivos reduzir a probabilidade de fraudes, erros, prticas ineficientes ou ineficazes. Esse servio deve ser independente e prestar contas diretamente classe executiva da corporao. Auditoria realizada por uma empresa externa e independente da entidade que est sendo fiscalizada, com o objetivo de emitir um parecer sobre a gesto de recursos da entidade, sua situao financeira, a legalidade e regularidade de suas operaes. Trabalho conjunto de auditorias internas e externas, devido superposio de responsabilidades dos rgos fiscalizadores, caracterizado pelo uso comum de recursos e comunicao recproca dos resultados. Acompanhamento, exame e avaliao da execuo de programas e projetos governamentais. Auditoria do planejamento estratgico verifica se os principais objetivos da entidade so atingidos e se as polticas e estratgias so respeitadas. Engloba o plano da organizao, seus procedimentos, diretrizes e documentos de suporte tomada de deciso. relativa fidedignidade das contas da instituio. Essa auditoria, consequentemente, tem como finalidade fornecer alguma garantia de que as operaes e o acesso aos ativos se efetuem de acordo com as devidas autorizaes.
continua...

Quanto forma de abordagem:

Auditoria orientada

Auditoria interna

Quanto ao rgo fiscalizador:

Auditoria externa

Auditoria articulada

Auditoria de programas de governo

Quanto rea envolvida:

Auditoria administrativa

Auditoria contbil

Ps-graduao

21

Classificao

Tipos de auditoria
Auditoria financeira

Descrio
Conhecida tambm como auditoria das contas. Consiste na anlise das contas, da situao financeira, da legalidade e regularidade das operaes e aspectos contbeis, financeiros, oramentrios e patrimoniais, verificando se todas as operaes foram corretamente autorizadas, liquidadas, ordenadas, pagas e registradas. Auditoria de legalidade conhecida como auditoria de conformidade. Consiste na anlise da legalidade e regularidade das atividades, funes, operaes ou gesto de recursos, verificando se esto em conformidade com a legislao em vigor. Incide em todos os nveis de gesto, nas fases de programao, execuo e superviso, sob a tica da economia, eficincia e eficcia. Analisa tambm a execuo das decises tomadas e aprecia at que ponto os resultados pretendidos foram atingidos. Tipo de auditoria essencialmente operacional, por meio da qual os auditores analisam os sistemas de informtica, o ambiente computacional, a segurana de informaes e o controle interno da entidade fiscalizada, identificando seus pontos fortes e deficincias.

Quanto rea envolvida:

Auditoria operacional

Auditoria da Tecnologia da Informao

Quadro 1 Classificao das auditorias Fonte: Neto e Solonca (2007).

Auditoria interna/externa
A classificao quanto ao rgo fiscalizador/posicionamento do auditor destaca 2 tipos de auditoria aplicados, em sua maioria, nas organizaes, independente da rea de atuao ou forma de abordagem. Essa terminologia utilizada pela grande maioria dos auditores para classificar um processo de auditoria. Desta forma, este item busca um maior detalhamento das caractersticas das auditorias internas e externas, dando maior ateno auditoria interna, tendo em vista a sua aplicabilidade dentro das organizaes.

Auditoria e sua importncia em uma organizao

22

Segundo CONAB e COAUD (2008, p. 5), a auditoria interna


o conjunto de tcnicas que visa avaliar, de forma amostral, a gesto da companhia, pelos processos e resultados gerenciais, mediante a confrontao entre uma situao encontrada com um determinado critrio tcnico, operacional ou normativo. Trata-se de um importante componente de controle das corporaes na busca da melhor alocao dos recursos do contribuinte, no s atuando para corrigir os desperdcios, as impropriedades/ disfunes, a negligncia e a omisso, mas, principalmente, antecipandose a essas ocorrncias, buscando garantir os resultados pretendidos, alm de destacar os impactos e benefcios sociais advindos, em especial sob a dimenso da equidade, intimamente ligada ao imperativo de justia social.

A necessidade de realizar auditorias internas vai de encontro com os objetivos de controle, controle de processos, processos e procedimentos do sistema de gesto. Logo, qualquer organizao dever garantir que as auditorias sejam realizadas em intervalos de tempo planejados, de acordo com os elementos citados. Quanto auditoria externa, so encontradas algumas definies, principalmente relacionadas questo financeira/contbil da organizao, como a citada no portal da auditoria, que a trata como o exame das demonstraes financeiras feitas, com o propsito de expressar uma opinio sobre a propriedade com que estas apresentam a situao patrimonial e financeira da empresa e o resultado das operaes no perodo do exame. Entretanto uma definio mais genrica de auditoria externa ocorreria quando se audita um fornecedor ou quando se auditado por um cliente, por exemplo. Um exemplo simples quando uma organizao sofre uma auditoria de segurana da informao com base na norma ISO 27001. O auditor externo, de forma macro, verifica se todos os controles de segurana da informao necessrios esto implantados.

Iniciao de uma auditoria


Para que uma auditoria seja iniciada, os seus objetivos globais devem estar alinhados aos objetivos do programa de auditoria, bem como o escopo de abrangncia e os seus critrios.

Ps-graduao

23

Objetivos
determinar a extenso da conformidade dos documentos da organizao contra os critrios de auditoria; avaliar a capacidade da documentao da organizao de garantir conformidade com requisitos legais, contratuais e regulamentares; determinar a eficcia da documentao da organizao em atender os objetivos especificados; identificar as possveis melhorias da documentao.

Escopo
O escopo de uma auditoria est relacionado descrio da extenso e limites da auditoria em termos de localizao fsica, unidades organizacionais, atividades, processos, ativos de informao, avaliaes de risco.

Critrios
Os critrios podem incluir polticas e procedimentos aplicveis organizao, normas, requisitos legais (leis), regulamentos, requisitos contratuais, sistema de gesto, e prticas, entre outros.

Atributos e responsabilidades de um auditor


Um auditor deve possuir alguns atributos, como: possuir capacidade de deciso; ser rgido e possuir autoconfiana; ser tico, educado e instrudo; ser verstil, ter a mente aberta, ser diplomtico, perceptivo e observador (BSI, 2008); estar sempre em conformidade com os requisitos da organizao; participar na confeco da agenda da auditoria, bem como conduzi-la de forma adequada; registrar e relatar as constataes; manter a independncia e confidencialidade, bem como manter os registros de auditoria.

Auditoria e sua importncia em uma organizao

24

Boas prticas de uma auditoria


Conforme citado em BSI 2008, Curso Auditor Interno, algumas boas prticas durante uma auditoria devem ser observadas: notifique sempre e com antecedncia a realizao de uma auditoria, seja ela externa ou interna, e tambm informe a importncia dela para a organizao; faa as perguntas s pessoas responsveis pela rea que est sendo auditada. No se esquea de que as perguntas devem ser claras e objetivas. Evite realizar vrias perguntas ao mesmo tempo; seja imparcial durante todo o processo de auditoria, buscando sempre evidncias: com isso, voc evita quaisquer concluses precipitadas; seja sempre atencioso e educado, procure usar uma linguagem polida, no argumente com qualquer pessoa ou segmento da organizao; no discuta, no faa crticas; e procure sempre apresentar as suas constataes durante o processo da auditoria.

Terminologia adotada em uma auditoria


Este item visa a apresentar alguns conceitos, considerados como gerais, utilizados, normalmente, durante um processo de auditoria, independente de sua classificao. Conceitos como campo, mbito e natureza so bsicos para qualquer tipo de auditoria.

Campo: est relacionado ao objeto (pode ser uma instituio pblica ou privada ou um determinado setor da mesma) a ser fiscalizado, perodo e o tipo da auditoria (operacional, financeira, etc.). mbito: define o grau de abrangncia e a profundidade das tarefas. rea de verificao: delimita de modo preciso os temas da auditoria, em funo da entidade a ser fiscalizada e da natureza da auditoria. Controle: consiste na fiscalizao exercida sobre as atividades das pessoas, departamentos, produtos, etc., de forma que as atividades executadas ou produtos mantenham-se dentro das normas preestabelecidas.

Ps-graduao

25

Trs tipos de controle so exercidos: Preventivo - previne erros e invases, por exemplo, identificao e autenticao de usurios do sistema via a utilizao de senhas; Detector - detecta erros, tentativas de invases, etc. (arquivos logs, realizao de controle de acesso de usurios); Corretivo - minimiza o impacto causado por falhas ou erros, corrigindo-os (poltica de segurana, plano de contingncia). Objetivos de controle: so metas de controle a serem alcanadas, ou aspectos negativos a ser evitados em cada transao, atividade ou funo fiscalizada. Procedimentos de auditoria: um conjunto de verificaes e averiguaes que permite obter e analisar as informaes necessrias ao parecer do auditor. Esses procedimentos devem ser de conhecimentos dos auditores antes do incio da auditoria. Achados de auditoria: so fatos a ser considerados como importantes para o auditor. Para que esses dados constem no relatrio, eles devem estar baseados em fatos e evidncias. Papis de trabalho: so registros que evidenciam atos e fatos observados pelo auditor (planilhas, documentos, etc.). Recomendaes de auditoria: realizada na fase de relatrio, isto , so medidas corretivas exequveis, sugeridas para corrigir as falhas detectadas (DIAS, 2000).

Programa de auditoria
Um programa de auditoria, segundo a NBR ISO 19011, consiste em uma ou um conjunto de auditorias planejado para um determinado perodo de tempo e com um propsito especfico. A quantidade de auditorias que iro compor um programa de auditoria est diretamente relacionada ao escopo de abrangncia, natureza (ex.: corretiva ou punitiva) e ao tipo de negcio da organizao, o nvel de complexidade da organizao que ser auditada. O programa de auditoria responsvel, tambm, por estabelecer todas as atividades que possibilitam o planejamento e organizao, execuo e manuteno de todas as auditorias que fazem parte do programa, independente do tipo, fornecendo todos os recursos necessrios para que sejam executadas de forma eficiente, em um determinado perodo de tempo (NBR, 2002).

Auditoria e sua importncia em uma organizao

26

Desta forma, pode-se dizer que o programa de auditoria um plano de ao, detalhado, com o objetivo de dar ao auditor as diretivas necessrias realizao de seu trabalho. Possui objetivos, escopo de abrangncia, um conjunto de procedimentos necessrios equipe de auditoria na realizao de seu trabalho. O programa de auditoria dever ser estruturado, com base em um padro, e poder conter elementos como: caractersticas do sistema organizacional a ser auditado; reas/segmentos de negcio envolvidos; perodo de realizao da auditoria; objetivos da auditoria; cronograma dos trabalhos; equipe de auditores; custos envolvidos para a realizao da auditoria; procedimentos para a realizao da auditoria; questionrios de coleta de informaes; campo para observaes dos auditores; orientaes gerais (CONAB; COAUD, 2008). Vale a pena ressaltar que o programa de auditoria deve ser flexvel o suficiente para sofrer alteraes, no caso de situaes no previstas ou intempestivas durante o processo de auditoria. Ele tambm deve apoiar-se no processo de deciso da equipe de auditoria, caso exista a necessidade de ampliar a coleta de informaes, anlises e/ou realizaes de teste de auditoria.

A gerncia de um programa de auditoria


O modelo de gerncia do programa de auditoria segue as prerrogativas descritas pelo modelo de processos do ciclo PDCA, conforme pode ser visualizado na Figura 2. Normalmente, em uma auditoria interna, a autoridade da gerncia do programa de auditoria delegada pela alta direo da organizao ao seu respectivo responsvel, o gerente do programa. Esse gerente responsvel em estabelecer, implantar, monitorar, analisar e melhorar o programa de auditoria, alm de identificar e garantir que todos os recursos necessrios a sua execuo sejam providos (NBR, 2002). No caso de uma auditoria externa, o auditor chefe ser o responsvel em conduzir todo o processo que est relacionado a ela, do incio ao final das atividades.

Ps-graduao

27

Alta direo
Responsab ilidade
m gra prooria o o d dit st au Ge de a

Gerente

Executar
Implementar o programa de auditoria

Planejar

Estabelecer o programa de auditoria

Processo de Gesto

Monitorar e analisar o programa de auditoria

Vericar

Melhorar o programa de auditoria

Agir

Figura 2 Processo de gesto do programa de auditoria Fonte: Elaborao do autor (2011).

Referncias
AUDITORIA externa ou auditoria independente. Portal da auditoria. nov. 2011. Disponvel em: <http://www.portaldeauditoria.com.br/sobreauditoria/o-que-e-Auditoria-Externa.asp>. Acesso em: 14 dez. 2011. VILA, Rafael. Imagem de lupa sobre grficos financeiros: auditoria. Blog luz loja de consultoria. 2 nov. 2011. Disponvel em: <http://blog.lojadeconsultoria.com.br/inspiracao/ conheca-as-10-empresas-mais-sustentaveis-do-mundo-sera-mesmo/attachment/imagemde-lupa-sobre-graficos-financeiros-auditoria-luz-loja-de-consultoria/>. Acesso em: 7 dez. 2011. BRITISH STANDARDS INSTITUTE (BSI). Auditor Interno ISO/IEC 27001:2005 Sistema de Gesto de Segurana da Informao BSI Learning, 2008. BRITISH STANDARDS INSTITUTE (BSI). Curso Auditor Interno ISO/IEC 27001: 2005 SGSI, BSI Learning, 2008.

Auditoria e sua importncia em uma organizao

28

DIAS, Cludia. Segurana e auditoria da tecnologia da informao. Rio de Janeiro: Excel Books, 2000. ISO/IEC 27001. Tecnologia da Informao, Tcnicas de Segurana, Sistemas de Gerenciamento de Segurana da Informao, Necessidades ISO/IEC, 2005. ISO/IEC 27002. Information technology, Security techniques, Code of practice for information security management, Redesignation of ISO/IEC 17799: 2005. MANUAL de auditoria interna. 2 verso. Companhia Nacional de Abastecimento CONAB; Coordenadoria de Auditoria Interna (COAUD), 2008. Disponvel em: <http://www.conab. gov.br/downloads/regulamentos/ManualdeAuditoriaInterna.pdf>. Acesso em: 9 dez. 2011. MELLO, Agostinho de Oliveira. Instituto dos auditores internos do Brasil. Organizao bsica da auditoria interna. Biblioteca Tcnica de Auditoria Interna, 2005. NBR ISO 19011. Diretrizes para auditorias de sistema de gesto da qualidade, NBR. 2002. NETO, Ablio Bueno; SOLONCA, Davi. Auditoria de sistemas informatizados. Palhoa: UnisulVirtual, 2007. SMOLA, Marcos. A importncia da gesto da segurana da informao. 2010. Disponvel em: <http://www.lyfreitas.com/artigos_mba/GestaoSegurancaInformacao.pdf>. Acesso em: 9 dez. 2011. SHAO-HUA Zhang, NING Gu. Research on Workflow of Virtual Organization, The Eighth International Conference on Computer Supported Cooperative Work in Design, Xiamen, China, 2003. UNIDADE de auditoria interna. Definies de auditoria interna. Universidade Federal Rural do Semi-rido (UFERSA), 05 mar. 2009. Disponvel em: <http://www2.ufersa.edu.br/portal/ divisoes/audint/1315>. Acesso em: 9 dez. 2011.

Ps-graduao

29

Planejameto da auditoria
Luiz Otvio Botelho Lento Mrcio Ghisi Guimares

O planejamento a pea fundamental para o sucesso da auditoria, sendo o tempo alocado para a etapa de planejamento compatvel com a sua realizao. Desta forma, no se deve reduzir o tempo de realizao dessa etapa, pois isso poder incorrer em erros durante a execuo da auditoria, provenientes de um mau planejamento. Durante a fase de planejamento, o programa de auditoria estabelecido, e, ento, o gerente se preocupa, basicamente, com trs aspectos: os objetivos e o escopo de abrangncia do programa de auditoria; os recursos (oramentos) necessrios para a realizao da auditoria; as responsabilidades e a importncia relativa ou papel desempenhado para cada situao ou segmento de negcio em um determinado momento/contexto; os procedimentos, como por exemplo: as possveis situaes crticas que devem ser controladas, identificadas em um determinado segmento de negcio da organizao, por exemplo. Referem-se s vulnerabilidades, aos riscos operacionais latentes, entre outros (NBR, 2002; CONAB; COAUD, 2008).

Objetivos/escopo de abrangncia
Os objetivos do programa de auditoria so estabelecidos para direcionar tanto o planejamento quanto a realizao das auditorias. Esses objetivos esto principalmente relacionados com: a prioridade da alta direo e suas perspectivas de negcio; os requisitos e necessidades do sistema de gesto da organizao; os estatutos, regulamentos e contratos; a necessidade do cliente, dos parceiros (fornecedores), ou seja, dos stakeholders; os riscos referentes ao negcio da organizao.
Stakeholders
So as partes interessadas, qualquer grupo ou indivduo que pode afetar ou ser afetado pela realizao dos objetivos da empresa. (FREEMANN, 1984).

Auditoria e sua importncia em uma organizao

30

Quanto abrangncia do programa de auditoria, ela estabelecida em conformidade com o tipo de negcio, tamanho da empresa, entre outros aspectos. Ressalta-se que os objetivos determinados na fase de planejamento esto diretamente relacionados abrangncia, bem como a sua durao. Questes como a diversidade dos segmentos de negcio, filiais e/ou departamentos influenciam na abrangncia, pois se pode determinar que ela esteja fisicamente relacionada a um departamento e/ou filial, ou logicamente relacionada a um ou a mais segmentos de negcio dentro da organizao.

Recursos
Um programa de auditoria necessita de vrios elementos para a sua realizao, sendo que a alocao de recursos para a execuo est diretamente relacionada ao seu sucesso. Recursos financeiros so primordiais, pois eles possibilitam que as atividades da auditoria sejam desenvolvidas, implantadas, gerenciadas e melhoradas. Questes como viagens, hospedagens, aquisio de dispositivos necessrios execuo do programa de auditoria devem ser alocadas nessa fase do planejamento. A equipe de auditores outro elemento fundamental. Ter uma equipe qualificada e competente para realizar as tarefas de auditoria essencial na obteno do resultado final com qualidade, confivel e compatvel com as expectativas do cliente.

Responsabilidades
Alm da figura do gerente do programa de auditoria designado pela alta direo em uma auditoria interna, ou o auditor chefe, devem existir outros componentes, capazes tecnicamente (auditores), que tambm iro assumir responsabilidades. Esses auditores podero assumir responsabilidades como: estabelecer os objetivos e a abrangncia do programa de auditoria; garantir que os recursos sejam fornecidos; garantir que o modelo de gesto do programa de auditoria seja executado de forma eficiente; garantir que todas as informaes coletadas e analisadas, bem como as concluses (ex: relatrios), sejam armazenadas e mantidas de forma segura e pelo tempo necessrio.

Ps-graduao

31

Procedimentos
O programa de auditoria, como citado, um plano de ao, e esse, por conseguinte, composto por um conjunto de procedimentos. Esses procedimentos abrangem um leque de tarefas, especificadas durante a etapa de planejamento, responsveis pelas diretrizes de todo o processo de auditoria. Conforme citado na NBR (2002), os procedimentos devem tratar de aspectos como: planejar e programar as auditorias; executar as auditorias; selecionar auditores em conformidade com as atividades a serem realizadas, bem como especificar as suas funes e responsabilidades; realizar monitoramento das atividades da auditoria como tambm manter os seus registros de controle; elaborar relatrios a serem apresentados posteriormente ao cliente; monitorar a eficincia da auditoria.

Exemplos de produtos da fase de planejamento


Pode-se ver que a etapa de planejamento substancial para o sucesso do processo de auditoria. Para resumir e prover um melhor entendimento desta etapa, detalham-se algumas decises que lhe so especficas: I. determinar e acordar o escopo; II. firmar os objetivos da auditoria; III. estabelecer os critrios da auditoria; IV. planejar a frequncia com que ela ser executada, bem como a sua importncia; V. fixar o tempo de durao; VI. definir a equipe de auditoria e o planejamento dos custos envolvidos. Acompanhe no Quadro 1 o exemplo de um programa de auditoria em que descrito o departamento que ser auditado entre os meses de janeiro a dezembro. X auditoria programada somente com base na importncia S auditoria adicional

Auditoria e sua importncia em uma organizao

32

Departamento
Financeiro Projeto Pesquisa Vendas Jurdico Pessoal (RH) Administrativo Produo Marketing

Jan
X

Fev Mar Abr Mai Jun Jul


S X X X X S X S X X S S

Ago

Set Out

Nov Dez

Quadro 1 Programa de auditoria Fonte: BSI (2008).

Os principais pontos de uma agenda de auditoria a ser desenvolvidos durante a fase de planejamento so: reunio de abertura/apresentaes; anlise do escopo da auditoria e dos processos que estaro envolvidos; responsabilidades; conformidade e aspectos legais; especificao dos pontos que faro parte da auditoria (correo de processos de venda); resumo/reunio de encerramento.

Executar
Durante esta etapa, o programa de auditoria implementado e as partes interessadas so apresentadas a esse programa. Iniciam-se todas as tarefas de coordenao e planejamento do programa de auditoria; a equipe de auditoria escolhida; os recursos so disponibilizados para a realizao desse processo, entre outras tarefas. Sendo assim, pode-se dizer que a implementao da auditoria consiste basicamente na sua execuo, referida no que foi planejado.

Ps-graduao

33

Nessa fase do processo de gesto do programa de auditoria, faz-se necessrio manter registros referentes : execuo da auditoria planos de auditoria, relatrios de auditoria, relatrios de no conformidade, relatrios de ao corretiva e preventiva; anlise do programa de auditoria; pessoal da auditoria seleo da equipe, competncia de seus membros; avaliao de desempenho da equipe (NBR, 2002).

Verificar
Nesta etapa, o programa de auditoria sofre um monitoramento em intervalos de tempo adequados, e tambm avaliado se os objetivos da auditoria foram alcanados. A anlise crtica do programa de auditoria deve considerar algumas questes, como resultados e tendncias do monitoramento; conformidade com os procedimentos; evoluo e expectativas dos stakeholders; registros do programa de auditoria e consistncia no desempenho entre as equipes de auditoria em situaes semelhantes (NBR, 2002).

Agir
Esta etapa busca melhorar o programa de auditoria, com base nas informaes que foram monitoradas e analisadas na etapa anterior. Tais resultados podem prover uma oportunidade de melhoria do programa, possibilitam que aes corretivas possam ser planejadas e conduzidas, provendo melhorias ao processo de auditoria. Os resultados obtidos durante e aps a implantao das melhorias no programa de auditoria podem ser apresentados alta direo.

Atividades de uma auditoria


A auditoria composta por um conjunto de atividades, conforme pode ser visualizado na Figura 1, e que sero descritas a seguir.

Auditoria e sua importncia em uma organizao

34

Iniciar a auditoria

Realizar a anlise e crtica dos documentos

Preparar as atividades da auditoria

Executar as atividades de auditoria

Relatrios da auditoria

Concluso e acompanhamento da auditoria

Figura 1 - Atividades de consultoria Fonte: NBR (2002).

Iniciar a auditoria
Escolhido o lder da equipe de auditoria, so definidos os objetivos, o escopo e os critrios dela. Os objetivos da auditoria, normalmente definidos pelo cliente, podem incluir: o quanto o sistema auditado deve estar em conformidade com os critrios de auditoria; a avaliao da capacidade do sistema em concordncia com os requisitos, regulamentos e contratos; a avaliao da eficcia do sistema em alcanar os seus objetivos; e a identificao dos mdulos do sistema que podem sofrer melhorias (NBR, 2002). O escopo est relacionado abrangncia e aos limites da auditoria como localizaes fsicas (filiais, departamentos, etc.), atividades e processos a serem auditados, bem como o tempo de sua execuo. No caso do critrio de auditoria, trata-se de uma referncia utilizada para verificar a conformidade do sistema com as polticas, normas, regulamentos, etc. Escolhida a equipe de auditoria, estabelecido o contato inicial com o cliente. Esse contato busca: estabelecer canais de comunicao entre o auditor e o auditado; apresentar o lder da auditoria; fornecer informaes sobre o tempo de durao e a equipe da auditoria; solicitar acesso aos documentos que sero utilizados durante a auditoria e definir regras de segurana.

Ps-graduao

35

Anlise crtica dos documentos


Antes do incio da auditoria, os documentos do auditado devem ser analisados de forma criteriosa, com o objetivo de verificar a conformidade do sistema, como documento, com o critrio da auditoria. A documentao fornecida pode ser composta por registros referentes ao sistema e/ou documentos de auditorias anteriores, por exemplo. Vale a pena ressaltar que a anlise deve levar em considerao o tipo, a complexidade e a abrangncia do negcio da organizao. No caso da documentao ser considerada inadequada, o lder da equipe da auditoria informa ao cliente o problema, e decidido se ela ser interrompida ou suspensa, at que o problema referente documentao seja resolvido. (NBR, 2002).

Preparar as atividades de auditoria (fonte 13)


Dentre as atividades da auditoria, existe a confeco do seu plano. Esse plano um acordo entre a auditoria e o auditado para fornecer uma base referente realizao do processo. O plano dever conter, basicamente: os objetivos da auditoria; o critrio e qualquer documento de referncia; o escopo da auditoria; as datas e lugares onde as atividades sero realizadas; a durao da atividade no local (reunies com o auditado e com a equipe de auditoria); as funes e responsabilidades dos membros da equipe de auditoria; e, a alocao dos recursos para a realizao da auditoria. (NBR, 2002).

Executar as atividades de auditoria (fonte 13)


A primeira atividade realizar a reunio de abertura com a direo e os responsveis pelas funes ou processos do auditado. Essa reunio visa a: confirmar o plano de auditoria; apresentar as atividades que sero executadas; confirmar os canais de comunicao; e, ouvir questionamentos do auditado e dar respostas. Durante a realizao da auditoria, importante manter a comunicao entre os membros da equipe, como tambm com o cliente auditado. Essa comunicao d uma viso do andamento da auditoria e das preocupaes ao auditado sobre as constataes negativas, bem como as evidncias que proporcionem um risco evidente e significativo. (NBR, 2002).

Auditoria e sua importncia em uma organizao

36

As informaes coletadas durante o processo de auditoria devem ser feitas por amostragem e verificadas (objetivos, escopo, critrio, atividades e processos). Somente essas informaes averiguadas que podem ser evidncias de auditoria, sendo, inclusive, registradas. Vale ressaltar que as evidncias so informaes verificadas, obtidas por amostragem, geram uma incerteza, que deve ser tratada/ relembrada por aqueles que atuam baseados nas concluses. Essas informaes podem ser coletadas via entrevistas, com os membros dos segmentos de negcio a serem auditados; ou, por observao das atividades realizadas na organizao; ou, tambm, por meio da anlise crtica dos documentos do sistema de gesto, fornecidos pelo auditado. As constataes da auditoria so geradas com base na anlise das evidncias, de acordo com o critrio da auditoria. As constataes, segundo a NBR 2002, podem indicar tanto conformidade quanto no conformidade com o critrio da auditoria. Por exemplo, quando um controle de segurana no foi implantado, ele pode estar em no conformidade com a norma ISO 27001. As constataes tambm podem ser utilizadas como uma oportunidade de melhoria para o sistema de gesto da organizao, pois uma falha ou problema foi constatado durante o processo de auditoria. As concluses da auditoria devem, antes de apresentadas, ser discutidas entre a equipe de auditoria. As discusses tm de levar em considerao algumas questes, por exemplo: anlise crtica das constataes, bem como quaisquer outras informaes coletadas durante o processo de auditoria; acordo fechado em relao s concluses, sem se esquecer das incertezas do processo de auditoria; recomendaes especificadas. Dessa forma, na reunio de encerramento, todas as constataes e concluses so apresentadas ao auditado, para que ele possa, alm de ter a cincia dos fatos, compreender o relatrio final da auditoria. Lembra-se que o relatrio final deve ser entregue, exclusivamente, para quem encomendou a auditoria, e no ao auditado (NBR, 2002). A NBR 2002 apresenta um fluxo geral do processo de auditoria desde a coleta das informaes at a sua concluso da auditoria, como pode ser visto na Figura 2.

Ps-graduao

37

Fontes de Informao

Coleta de informaes por amostragem e vericao

Evidncia da Auditoria

Avaliao com base no critrio da auditoria

Constataes da Auditoria

Analisando Criticamente

Concluses da Auditoria

Figura 2 - Processo de auditoria Fonte: NBR (2002).

Relatrios de auditoria
Os relatrios de auditoria so de responsabilidade do lder da equipe, o qual deve fornecer todas as informaes do processo de auditoria, de modo preciso, resumido e claro, alm de todos os elementos que fizeram parte do processo de auditoria (critrio, constataes, concluses, etc.). O relatrio da auditoria de propriedade de quem a solicitou, devendo ser mantido o grau de confidencialidade necessria, emitido dentro de um prazo acordado entre auditor e cliente, bem como datado e assinado.

Auditoria e sua importncia em uma organizao

38

Concluso e acompanhamento da auditoria


Pode-se dizer que uma auditoria foi concluda quando todas as atividades descritas no programa dela foram concludas e o relatrio aprovado e distribudo. Todos os documentos referentes ao processo devem ser guardados de forma adequada, ou, ento, destrudos de acordo com o que foi combinado entre o auditor e o cliente, bem como o descrito no programa de auditoria. As concluses da auditoria podem levar a aes corretivas, preventivas ou de melhorias pela organizao. Essas aes so realizadas pelo auditado dentro de um determinado prazo, acordado entre ambas as partes, para que posteriormente seja verificado se foram todas realizadas e de forma eficiente. Pode-se acrescentar que essa verificao chamada de auditoria subseqente (NBR, 2002).

Referncias
AUDITORIA externa ou auditoria independente. Portal da auditoria. nov. 2011. Disponvel em: <http://www.portaldeauditoria.com.br/sobreauditoria/o-que-e-Auditoria-Externa.asp>. Acesso em: 14 dez. 2011. VILA, Rafael. Imagem de Lupa sobre Grficos Financeiros: auditoria. Blog luz loja de consultoria. 2 nov. 2011. Disponvel em: <http://blog.lojadeconsultoria.com.br/inspiracao/ conheca-as-10-empresas-mais-sustentaveis-do-mundo-sera-mesmo/attachment/imagem-delupa-sobre-graficos-financeiros-auditoria-luz-loja-de-consultoria/>. Acesso em: 7 dez. 2011. BRITISH STANDARDS INSTITUTE (BSI). Auditor Interno ISO/IEC 27001: 2005 Sistema de Gesto de Segurana da Informao BSI Learning, 2008. BRITISH STANDARDS INSTITUTE (BSI). Curso Auditor Interno ISO/IEC 27001:2005 SGSI, BSI Learning, 2008. DIAS, Cludia. Segurana e auditoria da tecnologia da informao. So Paulo: Excel Books, 2000. FREEMAN, R. E. Strategic management: a stakeholder approach. Massachusetts: Pitman, 1984.

Ps-graduao

39

ISO/IEC 27001. Tecnologia da Informao, Tcnicas de Segurana, Sistemas de Gerenciamento de Segurana da Informao, Necessidades, ISO/IEC, 2005. ISO/IEC 27002. Information technology, Security techniques, Code of practice for information security management, Redesignation of ISO/IEC 17799: 2005. MANUAL de auditoria interna. 2 verso. Companhia Nacional de Abastecimento CONAB; Coordenadoria de Auditoria Interna (COAUD), 2008. Disponvel em: <http://www.conab. gov.br/downloads/regulamentos/ManualdeAuditoriaInterna.pdf>. Acesso em: 9 dez. 2011. MCAFEE compra de empresa de gesto da segurana da informao. Notcias do setor. Multidata: tecnologia, gesto, resultados. 5 out. 2011. Disponvel em: <http://www. multidata.com.br/noticia-do-setor/mcafee-compra-de-empresa-de-gestao-da-seguranca-dainformacao.html> Acesso em: 8 dez. 2011. MELLO, Agostinho de Oliveira. Instituto dos auditores internos do Brasil. Organizao bsica da auditoria interna. Biblioteca Tcnica de Auditoria Interna. 2005. NBR ISO 19011. Diretrizes para auditorias de sistema de gesto da qualidade, 2002. NETO, Ablio Bueno; SOLONCA, Davi. Auditoria de sistemas informatizados. Palhoa: UnisulVirtual, 2007. SMOLA, Marcos. A importncia da gesto da segurana da informao. 2010. Disponvel em: <http://www.lyfreitas.com/artigos_mba/GestaoSegurancaInformacao.pdf>. Acesso em: 9 dez. 2011. SHAO-HUA Zhang, NING Gu. Research on Workflow of Virtual Organization, The Eighth International Conference on Computer Supported Cooperative Work in Design, Xiamen, China, 2003. UNIDADE de auditoria interna. Definies de auditoria interna. Universidade Federal Rural do Semi-rido (UFERSA). 05 mar. 2009. Disponvel em: <http://www2.ufersa.edu.br/portal/ divisoes/audint/1315>. Acesso em: 9 dez. 2011.

Auditoria e sua importncia em uma organizao

40

Atividades de autoaprendizagem
1. Considerando o contedo estudado nesta unidade, assinale as alternativas corretas. a. ( ) Uma auditoria caracteriza-se pela confiana e pelos princpios de conduta tica, obrigao, conscincia profissional, independncia e evidncia. b. ( ) As auditorias so nicas e integrais, no podendo ser classificadas por tipos. c. ( ) A auditoria interna realizada por uma empresa externa e independente da entidade que est sendo fiscalizada. d. ( ) A auditoria da tecnologia da informao audita o ambiente computacional sempre em conjunto com o departamento contbil. e. ( ) O auditor deve ser independente de quem encomendou a auditoria, para no haver influncia no relatrio. f. ( ) O planejamento da auditoria a fase mais importante do processo. g. ( ) O escopo de uma auditoria representa os seus limites e deve ser alterado durante a execuo da auditoria. h. ( ) recomendvel que o relatrio da auditoria seja entregue primeiramente a quem a encomendou. 2. A partir dos estudos sobre auditoria da tecnologia da informao, analise as proposies a seguir, marcando V para as sentenas verdadeiras e F para as falsas, com relao auditoria da tecnologia da informao: a. ( ) Restringe-se ao ambiente computacional do departamento de TI. b. ( ) Relaciona-se com o departamento financeiro e o departamento contbil. c. ( ) Pode tambm auditar a equipe de desenvolvimento de sistemas. d. ( ) Pode ter no mbito da auditoria apenas um sistema especfico.

Ps-graduao

41

Atividades colaborativas
Com base no que voc estudou nesta unidade, responda s perguntas abaixo na ferramenta Frum e comente as respostas dos seus colegas. 1. Qual a diferena entre auditoria interna e externa? 2. Por que importante estabelecer os objetivos da auditoria na fase de planejamento do programa de auditoria? 3. Por que razo o auditor deve ser independente?

Sntese
A necessidade de realizao de auditoria na rea da tecnologia da informao faz-se presente pela importncia que os sistemas integrados de informao tm para com uma organizao. Como os sistemas na atualidade so vitais para a continuidade e competitividade de uma organizao, no aconselhvel e seguro deix-los sem constantes auditorias. Em muitos casos, os erros e deficincias nos sistemas computacionais s so percebidos quando ocorrem, gerando, certamente, prejuzos que poderiam ser evitados por auditorias. As auditorias podem ser classificadas em diversos tipos, como interna, externa, operacional, contbil, financeira ou relacionada tecnologia da informao. A auditoria est relacionada diretamente segurana da informao, ou seja, quanto mais crtica for a informao, mais intensa e constante devem ser realizadas as auditorias. fundamental que cada auditoria tenha inicialmente o seu planejamento, pois a sua execuo deve seguir o que foi planejado, no se afastando do que fora estabelecido.

Auditoria e sua importncia em uma organizao

42

Caso ocorra, durante uma auditoria, um achado importante, esse pode desencadear outra, para que a auditoria inicial no saia do mbito estabelecido no planejamento. Por fim, fundamental que o auditor seja completamente independente, para que os resultados no sejam encomendados ou distorcidos. E, ainda: o relatrio final da auditoria deve ser entregue primeiramente a quem a encomendou, pois os resultados desse processo, na maioria dos casos, so sigilosos e no devem ser conhecidos por terceiros.

Saiba mais
MONTEIRO, Emiliano Soares. Segurana em ambientes corporativos. Florianpolis: VisualBooks, 2003. FERREIRA, Fernando Nicolau Freitas. Segurana da informao. Rio de Janeiro: Cincia Moderna, 2003.

Ps-graduao

Unidade 2

Auditoria da tecnologia da informao

Objetivos de aprendizagem
Compreender a abrangncia e importncia da auditoria da tecnologia da informao em cada rea da TI e no todo. Conhecer as principais reas da TI que devem ser auditadas. Compreender a importncia de se realizarem auditorias contnuas para a segurana da organizao.

Introduo
Quanto custa a perda da informao? No se trata de uma pequena informao, mas de toda a base de dados de uma empresa Atualmente, pela competitividade das empresas e tempo de resposta da informao, no h mais controle de informaes de forma manual, como havia at o incio da dcada de 80. Hoje, as empresas manipulam seus dados, gerando informaes, via tecnologia da informao, atravs dos quatro pilares mais relevantes, interligados entre si: banco de dados, redes, sistemas e hardware. Se apenas um desses pilares deixar de funcionar, todo o gerenciamento das informaes para e, consequentemente, a empresa para. No h mais espao para correr riscos. As empresas esto totalmente dependentes da rea de TI para terem continuidade no negcio. Para se ter uma ideia de como, atualmente, estamos dependentes da rea de Tecnologia da Informao, imagine um produto que, ao ser passado no caixa de um supermercado, faz surgir a mensagem produto no cadastrado. A venda simplesmente no se realiza. Se uma lotrica est com o sistema fora do ar, a operao simplesmente no realizada, pois no existe espao para ser realizada manualmente. Passagens no so vendidas, quando seus sistemas esto fora do ar. Bancos no realizam transaes com sistemas fora do ar. Ligaes telefnicas no so realizadas com sistemas fora do ar. Sem que

44

percebamos, nossas vidas e as das empresas j esto muito comprometidas com a TI e dependentes dela. Ento, nada mais importante que realizar auditoria na rea de TI, para se ter certeza de que a mesma est segura e se evitarem panes e paradas indesejveis. Esta unidade aborda as principais reas da TI que devem ser auditadas com frequncia. De acordo com o porte das empresas, as reas destacadas podem sofrer expanses ou alteraes. Sendo assim, todo recurso novo de TI tem de ser relacionado no planejamento da auditoria.

Ps-graduao

45

Abrangncia da auditoria da TI e sua importncia


Mrcio Ghisi Guimares

Definir com exatido a abrangncia da TI e as reas que podem ser auditadas seria uma atitude no muito correta, pois a complexidade pode variar, de uma empresa para outra, bem como o volume de recursos que uma empresa utiliza e que, do mesmo modo, pode variar de empresa para empresa. Outro ponto relevante com relao auditoria a dinmica. A abrangncia da segurana de uma auditoria no pode ser a mesma. A auditoria tem de ser dinmica, de acordo com a variao dos recursos de informtica que a empresa utiliza. At mesmo uma rea de abrangncia como banco de dados pode ser dividida em subreas, conforme a complexidade dos dados, como criptografias, procedures, armazenamentos, usurios, senhas de acesso, permisses, indo at os logs de transaes. Quanto mais crtica a informao, mais importncia deve ser atribuda segurana da mesma. Desta forma, qual a correta abrangncia da auditoria na rea da Tecnologia da Informao? A resposta correta est na amplitude de cada empresa. Se a empresa grande, maior o nmero de reas que devem ser auditadas; j, se a empresa pequena, o nmero de reas a serem auditadas menor. Mas, sendo a empresa grande ou pequena, todas as reas em que a empresa utiliza Tecnologia da Informao devem ser abrangidas pela auditoria. Logo, no devendo nenhuma rea ficar sem proteo, a auditoria deve ser completa e proporcional aos recursos da TI que a empresa utiliza. O responsvel pela solicitao da auditoria da TI pretende obter a maior segurana possvel; em decorrncia, a auditoria ter abrangncia em todas as reas relacionadas a TI, no ficando neste caso nenhuma rea importante ou relevante descoberta. Tambm desta forma, a responsabilidade sobre a auditoria atribuda a quem realiza a mesma, devendo responder por erros no apontados ou omisses. A auditoria da TI pode ser especfica a uma determinada rea ou abranger todo o ambiente da TI. Pode ser uma auditoria do tipo operacional, buscando verificar a gesto dos recursos de informtica, ou o nvel de segurana do recurso de informtica em questo. Lembra-se que, antes de realizar a auditoria em si, o planejamento da mesma deve ser realizado previamente e aprovado. A seguir, sero apresentadas as quatro reas mais relevantes da rea da Tecnologia da Informao que devem ser auditadas, relativamente segurana da informao, como banco de dados, sistemas de desenvolvimento, redes e hardware. As outras reas no so menos importantes e tambm devem ser vistas pela auditoria, a saber, criptografia, contratos, manutenes, atualizaes, resultados, tempos de resposta, etc.

Auditoria da tecnologia da informao

46

rea de banco de dados


A rea de banco de dados considerada de suma importncia e vital para a continuidade de operao de uma empresa. Praticamente, com raras excees, no existe uma empresa que sobreviva com suas operaes sem um banco de dados, seja de qual tipo for. Inclusive a rea de banco de dados muito visada por ataques, para deix-lo fora de operao e, consequentemente, interromper a operao da empresa. Para se ter uma ideia mais precisa da importncia do banco de dados, imagine todas as outras reas mais importantes operando corretamente, como rede e aplicaes. Mas, se o banco de dados fica fora de operao, a operao da empresa tambm para. As abordagens a seguir no sero do ponto de vista tcnico e especfico de um determinado banco de dados, como Oracle ou SQL-Server, mas de um ponto de vista genrico, possibilitando que sejam aplicadas a qualquer banco de dados. Instalao: Do ponto de vista da segurana da informao, a auditoria deve checar se a instalao foi seguida corretamente como determina o fornecedor, bem como se o banco de dados foi instalado por pessoa com competncia suficiente para tal. Tambm deve verificar se os respectivos programas de atualizaes fornecidos foram aplicados. que, uma instalao incorreta pode deixar portas vulnerveis a ataques, assim como, por questes de tempo de acesso, o dimensionamento das datas bases, as senhas ou as permisses podem ter de ser desinstalados e instalados novamente no banco de dados, e este processo pode deixar a empresa fora de operao. Tambm deve checar se a instalao foi coerente com a licena de uso adquirida pela empresa. Instalaes sem as respectivas licenas constituem um risco muito alto segurana do banco de dados e, por isso, durante a auditoria, deve ser apontado o risco que a empresa est correndo. Configurao: Pode-se atribuir configurao de um banco de dados todos os requisitos pertinentes, como data bases, tabelas, usurios, senhas, permisses, chaves de acesso das tabelas e tempo de acesso. As tabelas de um banco de dados e seus relacionamentos devem receber uma ateno maior da auditoria. Tabela muito grande ou tempo de acesso muito lento pode comprometer o desempenho da aplicao e, consequentemente, a satisfao do usurio. A solicitao do detalhamento dos acessos s tabelas de um banco de dados pode apontar uma sobrecarga em uma determinada tabela, assim como o nmero total de registros. Caso essas duas caractersticas sejam constatadas, devem ser apontadas na auditoria, para a devida correo.

Ps-graduao

47

Alm da verificao das tabelas e relacionamentos entre as mesmas, tambm deve ser confirmada a correta configurao dos usurios nas respectivas aplicaes. O correto cada usurio estar configurado somente para o respectivo banco de dados ao qual tem acesso. Caso a configurao no esteja correta, a segurana dos dados pode estar seriamente comprometida, pois usurio sem permisso a um determinado banco de dados pode acess-lo e obter informaes para as quais no tenha permisso. Esta constatao muito relevante e tambm deve ser notificada no relatrio de auditoria, especificando o usurio que no est devidamente configurado. Ainda h a possibilidade de algum usurio que j tenha se desligado da empresa fazer parte da configurao de usurios do banco de dados. Alm de destacar a importncia de, imediatamente, ser removida a referida configurao, importante apurar se existe uma metodologia de acompanhamento de desligamento de usurio, quando o funcionrio demitido da empresa.

Permisses de usurios: Alm da correta configurao de cada usurio da empresa, tambm pertinente verificar as permisses que cada um tem e se esto corretamente configuradas no banco de dados. Um determinado usurio pode ter acesso a um determinado banco, mas pode no ter total permisso de acesso a todas as tabelas do mesmo, ou ainda, a parte de determinada tabela do banco. Este tipo de controle e implantao mais trabalhoso, mas lembrar que se trata de uma excelente porta de entrada de invasores. Conforme a importncia, segurana e sigilo das informaes, as permisses devem estar corretamente configuradas. To importante quanto atribuir permisses, destacar quem o responsvel por configurar as respectivas permisses, pois estas so dinmicas como a empresa, ou seja, a permisso atribuda hoje pode j no ser a mesma em um perodo seguinte. Backup: A rigor, todo banco de dados deve ter um backup digno da sua importncia. No concebvel um banco de dados sem um procedimento de backup. A periodicidade, nmero de cpias, local de armazenamento, mdia, etc., variam de empresa para empresa. O que se observa nos dias atuais que os discos esto com uma enorme rea de armazenamento, e isto permite armazenar todas as transaes, inviabilizando a realizao de uma cpia de segurana. Nestes casos, realizado um espelhamento da informao, ou seja, a informao atualizada, simultaneamente, em dois ou mais discos. Mas vale lembrar que um disco uma mquina como outra qualquer e tambm est sujeita a falhas. De uma forma ou de outra, um procedimento de backup imprescindvel e deve existir, mas, caso no exista, a auditoria deve recomendar que o mesmo seja implantado imediatamente. To importante quanto ter um backup realizar uma simulao de restore (retorno dos dados do backup ) para a certificao da consistncia do prprio backup, pois o procedimento de restore no pode deixar a empresa com suas operaes interrompidas, enquanto realizado.

Auditoria da tecnologia da informao

48

Documentao: As pessoas no so eternas em uma empresa, tanto podem ser desligadas, como mudar de rea de atuao. Na falta dessas, a documentao o melhor canal de entendimento do diagrama de tabelas e seus respectivos relacionamentos. Tambm, ter a documentao no suficiente, pois preciso verificar se a mesma est sendo constantemente atualizada. E somente pessoas autorizadas documentao que podem ter acesso a ela, pois a documentao nas mos de pessoas no autorizadas pode revelar informaes sigilosas. Disponibilidade: Teoricamente, por se tratar de uma rea vital de funcionamento e, muitas vezes, durante os 365 dias por ano e 24 horas por dia, a disponibilidade do banco de dados deve ser real o tempo todo. A disponibilidade passa pelo tempo de acesso aceitvel das informaes e pela equipe responsvel pela manuteno do mesmo. H quem diga que ter um no ter nenhum e ter dois talvez ter um. Desta forma, ter disponvel apenas uma pessoa para a manuteno do banco de dados no seguro, pois, na falta dessa pessoa, o banco fica sem manuteno. Integridade: Uma informao no pode ter redundncia, pois este um fator que contribui para erros na informao. Muitas vezes, a integridade de difcil constatao, por exigir um conhecimento mais detalhado das tabelas e relacionamentos do banco. Uma forma mais rpida de averiguar a integridade contat-lo junto aos usurios, indagando deles se as informaes esto sendo disponibilizadas de forma correta (SCHNEIER, 2001). Confiabilidade: Da mesma forma que a integridade, ao perderem a confiabilidade os dados colocam todo um sistema em descrdito diante do usurio, o qual passa a ter certo tipo de restrio ao uso do mesmo. A confiabilidade de suma importncia para a segurana dos dados. A perda de contabilidade deve ser ressaltada na auditoria, caso seja detectada (SCHNEIER, 2001). Senhas de acesso: Muitas das senhas de acesso das aplicaes e permisses de usurios ficam armazenadas no banco de dados. importantssimo que estas estejam criptografadas. A vulnerabilidade das senhas pode acarretar vazamento de informaes, em caso de acesso indevido s aplicaes, assim como alteraes no permitidas. Tambm interessante verificar se h controle sobre uma periodicidade de alteraes das senhas e checar os tamanhos e caracteres das senhas. Existem senhas fortes e senhas fracas. As fracas so combinaes que podem facilmente ser descobertas por algum ou por algum software.

Ps-graduao

49

rea de sistemas de informao


A importncia da rea de sistemas de informao proporcional ao gerenciamento das informaes da empresa. por meio dos sistemas desenvolvidos ou adquiridos por terceiros que a empresa gera suas informaes. Sistemas mal concebidos geram ineficincia, ineficcia, atraso, conflito, falta de agilidade e perda da competitividade no gerenciamento das informaes. Os sistemas no so e no podem ser estticos. A manuteno deve ser constante, diante de alteraes em legislaes, erros de desenvolvimento ou mudanas nas regras de negcio. Sempre deve haver uma garantia de disponibilidade de manuteno, pois a falta de manuteno certamente colocar a segurana das informaes em risco. Portanto, inevitavelmente a rea de sistemas deve ser auditada constantemente. De regra, os principais pontos da rea de sistemas, segundo Dias (2000), so equipe de desenvolvimento, sistemas terceirizados e tecnologias de desenvolvimento. Equipe de desenvolvimento: Quando se faz a opo de desenvolvimento interno, h a necessidade da constituio de uma equipe competente para tal. O desenvolvimento interno traz como grande vantagem, justamente, o desenvolvimento de um sistema especfico para o negcio da empresa. Isto pode resultar em grande vantagem, mas a condio que a equipe interna de desenvolvimento tenha condies de promov-lo e de fazer as respectivas manutenes. Trata-se de um ponto muito importante para ser auditado, pois, se a equipe no estiver capacitada tecnicamente e em nmero compatvel com os sistemas existentes, fatalmente a segurana da informao estar comprometida. Normalmente, pessoas j comprometidas com um nmero determinado de sistemas no tm mais disponibilidade para novos desenvolvimentos ou manutenes. A equipe tambm deve estar apta com relao tecnologia adotada pela empresa, especificamente com referncia linguagem de programao, plataformas de desenvolvimento, linguagem SQL de banco de dados, etc. No nada significante uma equipe grande, onde poucos de seus membros aos detentores de conhecimento tcnico apto, rpido e eficaz. A auditoria deve verificar tais aspectos e apont-los, se for o caso. Rotatividade na equipe de desenvolvimento no bem vista, devido complexidade dos sistemas: o repasse de informaes nesse contexto no ocorre facilmente, tampouco em curto espao de tempo. Tambm a satisfao pessoal, salarial e o ambiente de trabalho devem ser vistos. Em conversa com alguns membros da equipe, isto se pode observar facilmente.

Auditoria da tecnologia da informao

50

O aperfeioamento tambm de suma importncia. Uma equipe no pode ficar sem continuidade de treinamento tecnolgico. Por parte da empresa ou dos prprios membros da equipe ou ainda de uma forma mista, o treinamento deve acontecer. Equipe sem treinamento comprometer, em algum momento, a continuidade de operao dos sistemas, por incompatibilidade tecnolgica. Sistemas terceirizados: Em alguns casos, a empresa opta pela terceirizao de desenvolvimento, passando a adquirir um sistema pronto, comumente chamado de pacote, pelo fato de a empresa ter que us-lo da forma como entregue. Esta prtica traz como vantagens a independncia de uma equipe interna, ou seja, a empresa no se preocupa com a rea de sistemas, passando esta responsabilidade para outra empresa. Pode ser comum, com o passar de algum tempo, que a empresa usuria fique de certa forma dependente da empresa terceirizada. Esta forma de relacionamento deve ser auditada, para averiguar a situao de relacionamento referente ao desempenho, manuteno, satisfao, tempo de atendimento e atualizao dos sistemas conforme as necessidades da empresa usuria. Tambm deve ser considerada a relao custo-benefcio.

Exemplo
Quando uma empresa A terceiriza seus sistemas a uma empresa B, com o tempo a empresa A pode ficar dependente da empresa B, devido ao domnio da complexidade dos sistemas, somente pela empresa B. Assim, a empresa B acaba relaxando suas atividades com a empresa A, porque sabe da dependncia desta. Tal relao deve ser verificada. Isto se percebe na prtica. No uma regra, mas pode acontecer e deve-se verificar atravs de auditoria.

Outro ponto a ser verificado a capacidade de continuidade da empresa terceirizada no mercado. Uma ruptura pode ter consequncias fortes no negcio da empresa usuria, pela possibilidade de interrupo em seus negcios. Uma boa prtica assuntar se a empresa terceirizada consta com uma boa carteira de clientes. As mudanas na legislao ocorrem com mais ou menos frequncia, dependendo da rea de atuao dos sistemas, como tributria ou previdenciria, e estas mudanas devem ser atualizadas nos sistemas. Em alguns, normal as empresas terceirizadas terem um maior controle e acompanhamento dessas mudanas do que as empresas usurias, fato que pode evitar processamento errneo de informaes e, consequentemente, a gerao de multas e correes. Este ponto deve ser verificado atentamente pela auditoria, para a segurana da correta aplicao dos sistemas.

Ps-graduao

51

Uma desvantagem de terceirizar os sistemas com apenas um fornecedor ficar na dependncia do mesmo, e ter de aceitar os termos e custos da relao contratual. Desta forma, conveniente apurar se esta prtica est acontecendo, buscando comparao contratual com outras empresas. Conforme j afirmado, percebe-se que uma grande vantagem da terceirizao est na despreocupao da empresa usuria com a rea de sistemas, passando a preocupar-se totalmente com o ramo do seu negcio de atuao. Quando a terceirizao traz uma boa relao custo benefcio, no sentido de satisfao dos processamentos dos sistemas, rapidez na manuteno, acompanhamento da legislao, essa prtica passa a ser uma boa opo. importante destacar que terceirizados so os sistemas, no os dados. Portanto a propriedade dos dados armazenados nos banco de dados da empresa usuria, e, no caso de haver ruptura na relao com a empresa terceirizada, a empresa usuria garante a integridade dos dados. Esse ponto importantssimo e deve ficar esclarecido na relao contratual e averiguado na auditoria, para a segurana da informao. Tecnologias de desenvolvimento: O ideal seria que todas as empresas utilizassem tecnologia de ponta no desenvolvimento de sistemas. Mas isso nem sempre possvel ou atingvel, pois h um alto custo envolvido. Um sistema com, aproximadamente, quatro milhes de linhas de cdigo escrito em uma linguagem de programao com Delphi, por exemplo, no fcil converter para outra tecnologia, como Java. Nem sempre as converses obtm sucesso com um nico programa conversor. Alm de converter um sistema de milhes de linhas de cdigo, h um custo financeiro, de tempo e de disponibilidade de mo de obra, que nem sempre est disponvel.

Importante
Existem programas com o propsito de converter sistemas escritos em uma determinada linguagem de programao para outra. S que estes programas conversores no conseguem converter, na prtica, 100% do cdigo pretendido. Estas partes no convertidas devem ser convertidas na mo. Por este motivo, nem sempre as converses obtm sucesso automaticamente.

Por dificuldade das condies apontadas e por comodidade em atualizar um sistema que vem funcionando a contento da empresa usuria, os sistemas acabam passando dcadas com a mesma tecnologia, que pode j estar descontinuada pelo fornecedor. Isso representa um problema que pode acarretar a no

Auditoria da tecnologia da informao

52

obteno de mo de obra para dar continuidade e manuteno aos sistemas. E, consequentemente, a empresa usuria fica comprometida em suas operaes. Um grande exemplo dessa constatao so os sistemas desenvolvidos em COBOL e que ainda rodam perfeitamente, principalmente nos bancos. A soluo encontrada por estes para obterem, atualmente, programadores com conhecimento de COBOL foi dar-lhes treinamento prprio, pois os cursos de graduao no ofertam mais este tipo de tecnologia. Outro ponto relevante quanto deciso de mudana de tecnologia. Toda mudana para melhor bem-vinda, mas, antes de iniciar, preciso ter certeza de que h uma equipe com conhecimento na nova tecnologia e disponibilidade de tempo. Caso estas condies no estejam disponveis, uma forte tendncia para o fracasso de mudana de tecnologia acontecer. Neste caso, a empresa pode chegar ao ponto de conviver com duas tecnologias ao mesmo tempo, ou seja, a antiga e a nova, aumentando consideravelmente o tempo e disponibilidade de manuteno e, principalmente, o comprometimento de integrao entre sistemas. Esta situao pode vir a prejudicar, em muito, a operao de uma empresa, podendo inclusive ocorrer paradas de processamentos e prejuzos certos. Esta constatao dever ser apontada em auditoria, caso haja indcios de que possa ocorrer ou esteja ocorrendo. Mesmo que no haja um trabalho de migrao de tecnologia em andamento, a auditoria deve verificar se as tecnologias utilizadas no momento esto em continuidade pelos respectivos fornecedores. Caso haja uma tendncia de migrao, esta deve iniciar com um planejamento, que destacar as capacidades necessrias e disponveis, como os recursos humanos tecnicamente capacitados, hardware e software. Inicialmente, recomendvel que se faa um teste piloto, com um pequeno mdulo de um sistema, e seguir migrando passo a passo, pois, caso acontea algum imprevisto, fica mais fcil retornar situao inicial. Mudanas do todo, de uma s vez, tem fortes probabilidades de apresentar imprevistos e problemas.

rea de redes
A comunicao entre o ambiente corporativo viabilizada atravs da rede de computadores. Sem uma rede, a troca de informaes, as atualizaes de dados, as consultas e as emisses de relatrios simplesmente no ocorrem. Mesmo havendo um excelente banco de dados e um eficaz sistema de informao, a empresa deixa de operar, se no contar com a rede de computadores. Portanto de suma importncia esta rea ser auditada. A confiabilidade, integridade e disponibilidade so pontos especficos de auditoria. As informaes devem chegar

Ps-graduao

53

aos usurios de forma ntegra e confivel. Para que isso acontea, todos os pontos por onde a rede trafega devem estar disponveis. O trfego de rede deve ser monitorado pelo administrador da rede para conferir se h ocorrncia de gargalos e pontos de sobrecarga. A rede de computadores um timo instrumento de verificao do desempenho de sistemas. Muitas vezes o tempo de resposta de sistemas no satisfatrio, no por deficincia da rede, mas por deficincia na concepo dos sistemas de informao que geram enormes trfegos de informaes desnecessrias a serem trafegadas na rede. A segurana da rede tambm ponto de averiguao de auditoria, pois esta essencial contra ataques de hackers e funcionrios mal-intencionados. A segurana deve ser aumentada, quando a empresa usuria expande seus negcios, realizando novas conexes com filiais: quanto maior a evoluo, maior fica a preocupao com a segurana da rede. A rea de redes muito visada para ataques, pois basta comprometer a rede, que a empresa usuria deixa de operar. Atualmente o grande grau de conectividade trouxe outros tipos de problema inerentes s novas tecnologias, e estes problemas servem como porta de entrada de ataques, se no forem corretamente configurados e protegidos (SCHNEIER, 2001). Com relao internet, o surgimento do conjunto de protocolos Transmission Control Protocol/ Internet Protocol (TCP/IP) aumentou o alcance das invases. J, com relao aos investimentos na segurana da rede, estes devem ser vistos tambm pela auditoria para evitar redes vulnerveis e incidentes. Uma anlise de riscos e uma metodologia para quantificar e qualificar os nveis de segurana da rede so importantes. Esta anlise auxilia na criao de uma proposta de justificativa de investimentos para a implantao de um sistema de segurana adequado. Fundamental e fortemente a se destacar a existncia de uma poltica de segurana na empresa. Quando h uma poltica definida sobre o que pode e o que no pode na empresa, esta deve ser apresentada a todos os funcionrios da empresa. De uma forma ou de outra, nenhum funcionrio pode violar a poltica de segurana, alegando desconhecimento da mesma. Uma vez tomado conhecimento, o funcionrio evitar violar as regras de segurana, por conhecimento das penalidades que possa sofrer. A poltica de segurana a base para a segurana da informao. Caso no haja este procedimento implantado, o auditor deve efetuar a constatao no relatrio de auditoria. A importncia desta poltica vital, pois esta que definir, por exemplo, as normas de definio de senhas, firewall, softwares permitidos, regras de e-mail, drivers, sites permitidos, etc. Em suma, vrios pontos da rede devem ser checados, como o sistema de deteco de intruso, criptografia, autenticao, configurao do ambiente corporativo, funcionalidades de redes sem fio, arquitetura de rede, entre outros.

Auditoria da tecnologia da informao

54

rea de hardware
O processamento somente pode ocorrer caso exista o hardware. Ele uma mquina como outra qualquer e, consequentemente, est sujeita a panes. H quem pense que o hardware tem que funcionar at o resto da vida e s muda esta concepo quando o v quebrar, deixando uma determinada operao inviabilizada. comum algumas pessoas confiarem tanto em seus hardwares que acabam no realizando os devidos backups das informaes. A grande surpresa acontece quando esses param de funcionar. Atualmente, os preos dos hardwares esto estabilizados, no permitindo realizar grandes economias no parque de hardware. A troca ou substituio do parque de hardware recomendvel e deve ocorrer sempre de forma contnua. Normalmente, em empresas com grandes quantidades de servidores e computadores, as substituies ocorrem por partes, sempre de forma gradativa, onde os mais velhos so substitudos por mais novos e, assim, sucessivamente. Repete-se: no aconselhvel deixar correr um determinado tempo relevante sem aquisies de novos hardwares, por risco de, em algum tempo, ter um parque desatualizado e velho. Hardwares velhos costumam apresentar problemas de contato e comprometimento da segurana da informao (SCHNEIER, 2001). Em reas vitais de segurana da informao, recomendvel que se troquem os hardwares constantemente, por mais novos que sejam, para evitar riscos de paradas. A poltica de troca deve ser examinada pela auditoria. Outro ponto a ser visto so os contratos de manuteno ou garantias. Normalmente as empresas utilizam hardwares at enquanto o prazo de garantia est vigorando e, aps o trmino deste, adquirem hardwares novos e transferem os usados para reas menos crticas. O acesso de pessoas a determinados hardwares, como servidores, deve ser visto pela auditoria por questes de segurana, como tambm os riscos quanto a raios, alagamentos, umidade e incndio. A proteo aos roteadores de rede importante para evitar atos de pessoas mal-intencionadas em desativ-los.

Referncias
DIAS, Cludia. Segurana e auditoria da tecnologia da informao. Rio de Janeiro: Excel Books, 2000. SCHNEIER, Bruce. Segurana com: segredos e mentiras sobre a proteo na vida digital. Rio de Janeiro: Campus, 2001.

Ps-graduao

55

Controles organizacionais
Mrcio Ghisi Guimares

Estrutura do departamento de informtica


O departamento de informtica deve ter sua estrutura organizacional delineada de acordo com os objetivos e estratgias da empresa. Sem uma estrutura bem definida, a desorganizao impede um definido e claro atendimento aos demais departamentos. que as funes e atribuies no ficam claras perante as solicitaes, por indefinio das funes e as atribuies de cada funcionrio. Assim, no se sabe exatamente quem o responsvel por determinado atendimento ao usurio e acaba-se acumulando funes em demasia para uns e poucas para outros.

Exemplo
Caso exista na estrutura uma diviso de desenvolvimento de sistemas, e esta dividida por setores de sistemas, fica claro a quem atribuir a responsabilidade por determinado sistema, referente manuteno ou implementao de novas funcionalidades. Inclusive o comprometimento de pessoas com os projetos.

Uma estrutura bem definida de informtica passa pelas divises bsicas, como banco de dados, redes, desenvolvimento de sistemas, suporte ao cliente e a gerncia geral para comunicao com a alta diretoria (CAMPOS, 2006). Havendo uma estrutura bem definida e comprometida, fica fcil para a gerncia de informtica realizar seu planejamento, assim como justificar necessidades, prazos, comprometimentos, disponibilidades, prioridades e recursos. As pessoas envolvidas tm cincia de suas responsabilidades e, consequentemente, se comprometem em cumprir suas funes, pois sabem que a possibilidade de serem cobradas lquida e certa, visto que j foram previamente definidas como responsveis pelo atendimento de determinada rea.

Exemplo
Se, na rea de banco de dados, a funo de backup determinada para o funcionrio X, fica fcil cobrar de X a realizao, ou no, do referido backup. Caso a funo de backup no seja definida a nenhum funcionrio especfico, fica difcil responsabilizar uma determinada pessoa pela funo.

Auditoria da tecnologia da informao

56

Quanto maior a empresa, mais recursos de informtica so consumidos e mais pessoas so envolvidas. Ficando a cargo da gerncia de informtica fixar a estratgia de informtica a ser seguida por um tempo determinado, esta estratgia pode ser definida como um Plano Diretor de Informtica, projetado em conjunto com a alta gerncia (MONTEIRO, 2003). O envolvimento da alta gerncia fundamental e necessrio, pois, quando a mesma est comprometida com as atribuies do departamento de informtica, a liberao de recursos fica mais vivel. O departamento de informtica o responsvel em atribuir aos respectivos funcionrios a funo de documentao e padronizao dos sistemas. A documentao importante para no gerar dependncia de funcionrios. Caso no haja documentao atualizada e acessvel a quem a necessite, a empresa pode ficar sob risco de dependncia de determinados funcionrios. E caso a pessoa responsvel por determinado sistema sem documentao se desligue da empresa, esta poder ter grandes chances de ter seus sistemas comprometidos. Padres devem rigorosamente ser cumpridos, no se pode deixar que programadores e analistas trabalhem como bem queiram. necessrio que estes trabalhem sob um padro nico e conhecido e utilizado por todos. Departamento de informtica que utiliza padres tem maiores produtividades, pois a semelhana de trabalho entre os membros da equipe passa a ser regra, e isto facilita o entendimento e o relacionamento. Desta forma, a auditoria da Tecnologia da Informao tem que passar pela verificao da estrutura do departamento de informtica, visto que uma estrutura bem organizada e definida contribui muito para a segurana das informaes; j, uma estrutura no definida e desorganizada coloca em risco a segurana das informaes, referente a retrabalho, sobrecarga de funes, delegaes mal definidas de competncia, responsabilidades no assumidas, mau atendimento aos usurios e at backup inexistente dos dados ou desatualizados.

Recursos humanos
No departamento de informtica, a base dos recursos humanos composta por programadores e analistas de desenvolvimento e suporte. Esta no uma boa concepo, no caso de ocorrer alto ndice de rotatividade de pessoal no departamento. Devido complexidade das funes de programao e anlise de sistemas, as pessoas necessitam de um entendimento da arquitetura do sistema que est sendo desenvolvido.

Ps-graduao

57

O no entendimento da arquitetura do sistema por uma nova pessoa exige algum tempo at que venha a ter compreenso do sistema no qual vai trabalhar, tornando a rotatividade um problema para a continuidade de desenvolvimento e operao de sistemas. Ainda, muitas vezes no to simples e fcil encontrar pessoas disponveis no mercado, as quais tenham a habilidade necessria. Desta forma, a auditoria deve averiguar no departamento de recursos humanos a rotatividade de pessoal do departamento de informtica. Atualmente, pela legislao trabalhista brasileira, o tempo de aviso prvio proporcional ao tempo de servio, assim o tempo muito curto para divulgar vaga de trabalho, selecionar candidatos e realizar treinamento. Nesse contexto, bem possvel que, ao ser contratada, esta pessoa j no encontre disponvel para lhe repassar informaes o funcionrio que a antecedeu. Esta constatao pode contribuir para a segurana da informao, caso a pessoa demissionria seja a nica a entender a arquitetura do sistema e, ainda, se o sistema no tiver a documentao adequada. Tambm importante examinar a forma de contratao. O ideal que as pessoas que formam a equipe de desenvolvimento sejam selecionadas por competncia e experincia, e no por indicao poltica ou de parentesco. Uma equipe composta por pessoas no qualificadas suficientemente no deve receber atribuies, pelo simples fato de no ter capacidade tcnica para assumi-las. Em desdobramento, estas pessoas acabam procurando tarefas menos importantes, entretenimento na internet, conversa com colegas, perturbando e atrapalhando, consequentemente, o ambiente de desenvolvimento. Essa constatao importante e deve ser relacionada na auditoria da segurana da informao. As contrataes devem ser realizadas baseadas nas tecnologias que a empresa utiliza, pois realizar treinamentos de novas ferramentas despende tempo e dinheiro e o retorno no vem em curto prazo. Outro ponto a ser destacado a prioridade pessoal de trabalho. Os funcionrios com maior tempo na empresa se atribuem prioridade de treinamento relativamente a funcionrios novos. Dessa maneira, oferecer treinamento a recm-chegado pode levar os veteranos a sentirem-se constrangidos e ofendidos. Certamente estes podero diminuir a produtividade por falta de reconhecimento ou procurar outra empresa para trabalhar. Na rea da TI, as ferramentas de desenvolvimentos so constantemente renovadas no mercado e o treinamento da equipe de desenvolvimento crucial para que esta no fique defasada perante o que ofertado no mercado. O ideal que a empresa tenha um planejamento de treinamento. Os custos de treinamento podem ser por conta do funcionrio, da empresa ou uma combinao mista.

Auditoria da tecnologia da informao

58

De uma forma ou de outra, o treinamento deve ser realizado. Caso a auditoria constate que no h na empresa uma constncia de cursos de treinamento para acompanhar as tecnologias do mercado, fatalmente a empresa ter uma equipe defasada tecnologicamente. A combinao salrio, treinamento, ambiente de trabalho e horrio deve resultar numa equao satisfatria tanto ao funcionrio como empresa. Uma relao salarial boa, porm com baixa oferta de treinamento e um ambiente de trabalho ruim, pode levar a uma baixa satisfao do funcionrio. J uma baixa poltica salarial pode ser compensada por uma boa poltica de treinamento e ambiente de trabalho. A constatao para a auditoria que, se no houver harmonia no trabalho entre estes elementos, a equipe de desenvolvimento pode ficar desfalcada, a qualquer momento, de um de seus membros, e esta perda pode comprometer o desenvolvimento ou manuteno de sistema e, consequentemente, a segurana da informao (DIAS, 2000). Um plano de avaliao e desempenho bem-vindo na empresa. As pessoas devem saber que possuem metas a serem cumpridas e sentirem-se satisfeitas ao atingi-las. As metas no podem ser rigorosas, a ponto de deixar os funcionrios estressados e com jornada de trabalho longa para cumpri-las. Tambm no podem ficar soltas, a ponto de terminar uma tarefa quando bem entenderem. Os desempenhos devem ser tabulados e mostrados ao funcionrio para acompanhamento. Em algumas empresas, o desempenho convertido em remunerao salarial. A avaliao de desempenho deve ser verificada pela auditoria. Quanto segurana da informao referente a pessoas, as frias podem dar um bom indcio da situao pessoal na empresa. No caso de uma determinada pessoa no usufruir de frias por seguidos anos e exercer praticamente as mesmas funes, na hiptese de haver alguma inteno de fraude ou sabotagem fica mais fcil de esconder operaes mal-intencionadas. Porm, quando h substituio de pessoas, as mesmas funes so exercidas por pessoas diferentes e, neste caso, fica mais difcil esconder ou fraudar procedimentos. Esta constatao deve ser observada pelo auditor da TI. O acmulo de funes e procedimentos tambm pode ser um indcio de colaborao para atos mal-intencionados, pois uma mesma pessoa detm todos os passos de um determinado procedimento (DIAS, 2000). Esta prtica deve ser averiguada com ateno pela auditoria e, conforme a importncia dos procedimentos, o auditor deve recomendar que haja uma diviso de responsabilidades destes procedimentos.

Ps-graduao

59

Recursos computacionais de hardware e software


Os recursos computacionais devem ser geridos de forma otimizada e, exclusivamente, para trabalho, no sendo utilizados para fins particulares. Desvios de funcionalidades ou ociosidade de equipamentos de hardware ou software no so vistos como uma boa prtica. Primeiro, porque, quanto mais equipamentos houver em uma determinada empresa, mais difcil fica a justificativa de novas aquisies. Segundo, porque, com o passar do tempo, os equipamentos se defasam e precisam ser trocados, comprometendo o oramento do departamento de informtica, que pode fazer falta em outras reas essenciais, e, de forma indireta, comprometer a segurana da informao. Existem exemplos de computadores que so, praticamente, utilizados para pouco trabalho, ou seja, ficam ligados e executam quase nenhuma tarefa relacionada ao trabalho, na maioria do tempo restam disponveis a entretenimento na internet (CAMPOS, 2006). Essas questes devem ser localizadas pelo auditor. Aquisio de equipamentos de hardware deve ser contemplada no planejamento de aquisio (FERREIRA, 2003). Para empresas com grande nmero de equipamentos, recomendvel uma rotina de aquisio, para evitar que todo o parque tenha que ser trocado de uma s vez. A deciso da empresa em adiar as trocas dos equipamentos pode acarretar insuficincia de recursos financeiros no momento das aquisies e a necessidade de conviver com equipamentos velhos e ultrapassados, sujeitos a interrupes de processamento ou perda de informaes, afetando, consequentemente, a segurana da informao. A manuteno dos equipamentos, seja durante o prazo de garantia, ou no, deve ser revista pela auditoria, pois uma manuteno com tempo de atendimento longo compromete a segurana da informao. Os softwares a serem utilizados pelos funcionrios da empresa devem ser somente aqueles definidos e autorizados pela poltica de segurana estabelecida e difundida pela empresa. A ausncia de controle sobre a utilizao de software propicia que funcionrios instalem softwares sem as devidas licenas de aquisio, de forma a colocar a empresa sob risco de pirataria. Aqui, o auditor deve verificar quais so os softwares autorizados pela empresa e confrontar com os utilizados pelos funcionrios. Caso o auditor detecte a existncia de um software pirata instalado em algum equipamento de funcionrio, alm da recomendao da desinstalao do mesmo, a atitude principal detectar de que maneira a instalao ocorreu, para que esta ocorrncia seja evitada em outros equipamentos.

Auditoria da tecnologia da informao

60

Referncias
CAMPOS, Andr L. N. Sistema de segurana da informao. Florianpolis: Visual Books, 2006. DIAS, Cludia. Segurana e auditoria da tecnologia da informao. Rio de Janeiro: Excel Books, 2000. FERREIRA, Fernando Nicolau Freitas. Segurana da informao. Rio de Janeiro: Cincia Moderna, 2003. MONTEIRO, Emiliano Soares. Segurana em ambientes corporativos. Florianpolis: VisualBooks, 2003.

Ps-graduao

61

Controle de mudanas
Mrcio Ghisi Guimares

Mudanas na rea de TI devem ser vistas com cautela (DIAS, 2000). Uma mudana deve ser bem fundamentada perante a relao custo benefcio. primordial que todos os recursos necessrios mudana estejam disponveis no momento que forem necessrios. Mudanas mal planejadas podem levar a empresa a ficar numa situao pior que anteriormente e comprometer a segurana da informao. As piores decises de mudanas ocorrem quando as necessidades no so bem fundamentadas e quando decididas por apenas uma pessoa (GRAEML, 2003). Os principais tpicos que o auditor deve verificar com ateno so os que seguem.

Mudana de ferramentas de tecnologia


Uma das reas mais sensveis e complexas a mudanas, quando no planejada corretamente, a de sistemas de informao. As operaes e transaes das empresas dependem de seus sistemas de informao, e, por isso, no podem parar um dia sequer. As ferramentas de desenvolvimento, como as linguagens de programao, passam por evoluo constantemente. Como os grandes sistemas de informao iniciam seus cdigos fontes com uma determinada linguagem de programao e seguem nesta at o final do desenvolvimento, estes acabam exigindo, s vezes, at uma dcada para chegar a um nvel de excelncia de integrao com outros sistemas. Ao serem concludos, correm o risco de estar escritos em uma linguagem em incio de descontinuao. Como todo investimento que se deve pagar, comum que estes sistemas acabem sendo aproveitados por mais um tempo ainda.

Destaque
Em suma, quando se percebe, todo o parque de sistemas est defasado em termos de tecnologia, no em termos de satisfao das necessidades. Assim, esta necessidade vai ficando cada vez mais inadivel e chega um momento em que a disponibilidade de mo de obra especializada comea a ficar escassa, difcil de ser encontrada para prestao das manutenes necessrias.

Auditoria da tecnologia da informao

62

Essa uma forte necessidade e justificativa de mudana, sendo que os recursos necessrios para a mudana devem estar rigorosamente assegurados, sob o risco de colocar a segurana das informaes em jogo. Mudanas mal sucedidas podem levar a empresa a ficar no meio de uma mudana, ou seja, no ter mais recursos, principalmente, de mo de obra, para continuar a mudana e ficar com parte dos sistemas em uma tecnologia e parte com outra. Isto acarreta ainda mais recursos especializados para prestao de manuteno. Caso o auditor encontre um planejamento de mudana, ainda h tempo para verificao da garantia dos recursos necessrios antes do incio da execuo da referida mudana. Caso a mudana j tenha sido iniciada e no esteja seguindo o planejamento por questes no previstas, a recomendao que se procure trabalhar na viabilizao de recursos a mais para terminar a mudana. A deciso por mudana que no deve ser autorizada a baseada em mudar por mudar, sem uma justificativa aceita pelos usurios, departamento de informtica e, principalmente, alta gerncia (DIAS, 2000).

Exemplo
Pode-se atribuir como exemplo das principais mudanas, como sendo as mais crticas, as linguagens de programao dos sistemas, bancos de dados, ambiente de redes e sistemas proprietrios para software livre.

comum mudanas mal-sucedidas aps um determinado tempo de execuo entrarem em conflito de responsabilidades, onde as pessoas acabam umas colocando culpas em outras e fugindo dos insucessos. Desta forma, a auditoria tem de verificar se existe em andamento alguma deciso por mudana tecnolgica no planejamento ou se ainda no foi detectada, mas se faz necessria.

Mudana por concepo de sistemas de informao


Mudana por concepo de sistemas de informao no se refere mudana de tecnologia. A mudana pode ocorrer na mesma tecnologia utilizada pelo sistema antigo, ou no. Normalmente esta necessidade vem por defasagem de concepo de sistemas escritos h algum tempo, cujas necessidades no mais atendem aos negcios da empresa. Em alguns casos, as mudanas so mais simples de implementao, mas, quando so mais extensas e complexas, exigem mais ateno no planejamento da mudana para certificao da garantia dos recursos necessrios (GRAEML, 2003).

Ps-graduao

63

Em alguns casos, os sistemas de informao acabam recebendo manutenes mal implementadas e documentadas ao longo do tempo. Esse fato acaba tornando a manuteno cada vez mais trabalhosa e dificultosa, a ponto de o departamento de informtica decidir pelo desenvolvimento de um novo sistema de informao (DIAS, 2000). Perante os olhos dos usurios, que no visualizam os cdigos de programao, mas apenas utilizam os sistemas, trocar um sistema que teoricamente funciona por outro, somente se esse for to bom quanto o velho sistema, ou melhor. Caso este benefcio no seja alcanado pela falta de recursos para a concretizao da mudana, a insatisfao dos usurios ser grande e ter forte poder de influncia na alta gerncia. Portanto qualquer deciso de mudana na concepo de sistemas de informao deve ser criteriosamente verificada pelo auditor da TI, porque este tipo de mudana pode comprometer fortemente a segurana da informao.

Mudana por integrao em sistemas de informao


Mudana por integrao em sistemas de informao recebe um tratamento muito especial e uma ateno detalhada por parte da auditoria. A integrao com sistemas de informaes novos ou a partir de modificaes afeta diretamente os dados armazenados no banco de dados, podendo fortemente afetar as transaes de informaes. O cuidado que deve ser executado referente realizao de um teste piloto como preveno e, posteriormente, realizar testes exaustivos nas novas bases de dados integradas. que, caso uma integrao no tenha sucesso no todo ou em parte, a recuperao da situao inicial pode ser muito trabalhosa. Normalmente, estas recuperaes so executadas por meio de programas auxiliares, de modo que todo um controle de procedimentos das transaes burlado, colocando em risco a segurana das informaes. Quando a necessidade de integrao faz-se presente, a execuo da mesma torna-se inevitvel. Logo um planejamento da execuo deve ser elaborado cuidadosamente, podendo retornar situao inicial, caso necessrio. A dificuldade de retorno da situao inicial relevante devido ao fato de que, atualmente, as transaes das empresas so executadas vinte e quatro horas por dia. Assim, retornar a uma posio de um ou dois dias atrs torna-se problemtico, pois um grande nmero de transaes realizado enquanto a integrao executada, e essas no podem ser desprezadas. Por exemplo: enquanto os sistemas so alterados para a realizao da integrao, a empresa continua a operar com vendas, compras, pagamentos, alteraes em cadastros, etc. Portanto, quando a auditoria constata esta necessidade, tem de apont-la, pois este procedimento afeta diretamente as informaes armazenadas no banco de dados.

Auditoria da tecnologia da informao

64

As mudanas de sistema operacional so mais fceis, ao ponto de serem integradas pela facilidade de realizao de um teste piloto. O auditor deve averiguar se uma simulao da troca do sistema operacional foi realizada ou est prevista. Nesta simulao, o sistema de gesto da empresa tambm deve ser testado, no se reduzindo apenas simulao do sistema operacional. Tambm uma ateno deve ser atribuda quando os sistemas de informao so integrados com sistemas bsicos baseados em software livre. A migrao deste tipo de software requer cuidados na realizao de testes pilotos de compatibilidade e garantias da existncia de manuteno. possvel que a migrao de um sistema operacional proprietrio para sistema operacional um livre comprometa algumas funcionalidades dos sistemas de informao de gesto da empresa. Este cuidado deve ser levado em considerao pelo auditor, caso constate essa iniciativa de migrao. Outro ponto a ser destacado a resistncia a mudanas por determinadas pessoas, principalmente, quando essas detm o controle das informaes. possvel que as informaes necessrias no sejam repassadas na sua totalidade ou o sejam de forma errnea propositadamente. A resistncia a mudanas pode acontecer por motivos de perda de poder, ou seja, em alguns casos a mudana pode alterar procedimentos e funes de determinadas pessoas, e estas no querem perder poder ou status. Essa situao tem de ser analisada cuidadosamente pelo auditor, pois uma integrao falha em alguma parte pode resultar em prejuzos na segurana da informao.

Referncias
DIAS, Cludia. Segurana e auditoria da tecnologia da informao. Rio de Janeiro: Excel Books, 2000. GRAEML, Alexandre Reis. Sistemas de informao: o alinhamento da estratgia de TI com a estratgia corporativa. So Paulo: Atlas, 2003.

Ps-graduao

65

Atividades de autoaprendizagem
1. Com base nos seus estudos na rea de banco de dados, assinale V para as sentenas verdadeiras e F para as falsas. a. ( ) A instalao do banco de dados deve ser verificada pelo auditor. b. ( ) No necessrio atribuir permisses a todos os usurios. c. ( ) Backup do banco de dados no deve ser auditado. d. ( ) As senhas de acesso devem ser armazenadas com criptografia. 2. A partir dos estudos na rea de sistemas de informao, analise as proposies a seguir, marcando V para as sentenas verdadeiras e F para as falsas. a. ( ) A rotatividade da equipe de desenvolvimento uma boa prtica. b. ( ) O desenvolvimento interno requer uma equipe competente. c. ( ) A terceirizao diminui a necessidade de uma equipe interna. d. ( ) A mudana de linguagem de programao de um sistema de informao uma tarefa simples de execuo. 3. De acordo com o que voc estudou nesta unidade, analise as frases a seguir e assinale as alternativas corretas. a. ( ) A rea de redes deve ser auditada por ser muito visada por hackers. b. ( ) O acmulo de funes no departamento de informtica no preocupante. c. ( ) A forma de contratao de recursos humanos para o departamento de informtica no de competncia do auditor da TI. d. ( ) O acmulo de funes e procedimentos tambm pode ser um indcio de colaborao para atos mal-intencionados. e. ( ) Mudana de ferramentas de tecnologia pode comprometer a segurana das informaes.

Auditoria da tecnologia da informao

66

Atividades colaborativas
1. Defina uma rea da Tecnologia da Informao que voc considera muito importante e que deve ser auditada e justifique a escolha. Publique sua resposta na ferramenta Frum e troque informaes com os seus colegas. 2. Por que a mudana de ferramenta de desenvolvimento de sistemas de informao pode acarretar riscos segurana da informao? Pesquise em livros, revistas, jornais, internet, dentre outros meios. Publique sua pesquisa na ferramenta Exposio.

Sntese
Com a leitura desta unidade, pode-se concluir que a auditoria da Tecnologia da Informao ampla e dinmica. Esta unidade apresentou alguns tpicos considerados relevantes, mas o conhecimento no se deve limitar apenas ao que foi apresentado aqui. A auditoria deve seguir a dinmica da empresa, e no ser esttica, devendo acompanhar os recursos de informtica da empresa. Algumas reas so vitais e, por isso, devem sempre ser auditadas, como: banco de dados, sistemas de informao, redes e hardware. Esses quatro pilares so bsicos e devem sofrer auditoria constantemente. A importncia da rea de banco de dados est diretamente relacionada com o armazenamento dos dados. Se esse ficar fora do ar, nenhuma informao pode ser inserida, alterada, excluda ou listada. Simplesmente a empresa para de operar. Atravs de um controle rgido de senhas de acesso e definio de permisses para todos os usurios, o banco de dados deve estar protegido de acessos indevidos. Ter apenas um banco de dados no significa que este jamais v apresentar algum tipo de pane, parada ou perda dos dados. Assim, recomendvel que, atravs de backup ou replicao, os dados tenham uma cpia de segurana, a qual possa ser restaurada a qualquer momento e de forma rpida. Assim, a auditoria na rea de bancos de dados precisa ser constante. A rea de sistemas de informao tambm outra rea crtica de segurana e auditoria, pois atravs dos sistemas que as informaes so manipuladas.

Ps-graduao

67

Os sistemas refletem as regras de negcio da empresa, que, por muitas vezes, so sigilosas e levam tempo para funcionar corretamente e de forma integrada com outros sistemas. Se os sistemas estiverem tambm fora do ar, novamente a empresa para de operar. As tecnologias empregadas no desenvolvimento dos sistemas requerem muita ateno e cuidado, para que os sistemas no fiquem defasados com o tempo, levando a uma espcie de bola de neve de difcil renovao tecnolgica. As equipes de desenvolvimento tambm devem ser acompanhadas pela auditoria, referentemente capacidade tcnica, remunerao, ambiente de trabalho, rotatividade e treinamento. A rea de redes outra rea vital, ela a responsvel pela comunicao entre os servidores e as estaes de trabalho, na modelagem atual de cliente-servidor. Esta rea muito visada por hackers, pois atravs da rede que as invases encontram a porta de entrada para atacar outras reas. O administrador de redes deve monitorar, constantemente, os acessos pela rede, detectando possveis invases, gargalos e monitorao do trfego da rede. Polticas de segurana tambm devem ser divulgadas na empresa, como mais uma forma de restringir o que pode e o que no pode ser utilizado. Tambm esta rea deve ser monitorara constantemente pela auditoria. O hardware tambm deve ter um acompanhamento do estado em que se encontra e o tempo de vida. Para um grande parque de equipamentos, recomendvel que, constantemente, parte dos equipamentos seja trocada. Equipamentos responsveis pelo armazenamento ou manipulao de informaes crticas devem ser renovados com mais frequncia, para evitar paradas de informao. A eficiente utilizao do hardware evita a compra de equipamentos desnecessrios e consequente aumento dos custos de aquisio e manuteno. Estas reas so os pilares da Tecnologia da Informao. Outras reas tambm devem ser auditadas, como comunicao, equipes, controles organizacionais, mudanas, criptografia, contratos, alinhamento do departamento de informtica com a alta gerncia, segregao de funes, etc. O conjunto destas reas forma a abrangncia da auditoria da TI referente segurana da informao. O controle organizacional tambm tem sua importncia na estrutura e organizao do departamento de informtica. Esse departamento o que controla os recursos de informtica da empresa. Uma estrutura bem definida define corretamente as responsabilidades e atribuies de cada membro da equipe. Sem responsabilidades definidas, a cobrana torna-se de difcil aplicao.

Auditoria da tecnologia da informao

68

Quanto aos recursos humanos, estes devem estar capacitados tecnicamente para assegurar mais produtividade em menor tempo de desenvolvimento de novos sistemas e nas manutenes. Deve-se prestar ateno quanto oferta de treinamentos, que tm de ocorrer de forma coerente com as atribuies dos membros da equipe. A auditoria tambm tem de estar atenta ao controle das mudanas. possvel que uma mudana mal planejada e sem garantia dos recursos computacionais para realizar a mudana comprometa completamente a segurana das informaes, chegando ao caos tecnolgico. Em suma, a auditoria da segurana da Tecnologia da Informao tem uma responsabilidade acima da prpria TI, pois a auditoria que aponta se os recursos de informtica esto sendo utilizados plenamente, ou se h erros, omisses ou falhas. A auditoria deve ser constante e dinmica; e, ainda, preventiva, ou corretiva.

Saiba mais
Se voc pretende continuar aprofundando seus estudos, de forma a consolidar, ainda mais, seus conhecimentos sobre auditoria da tecnologia da informao, acesse os sites: Gabinete de Segurana Institucional da Repblica. Departamento de Segurana da Informao e Comunicaes. Disponvel em: <http://dsic.planalto.gov.br>. Acesso em: 12 mar. 2012. Revista Info Exame. Disponvel em: <http://www.info.abril.com.br>. Acesso em 12 mar. 2012. Software livre no governo do Brasil. Disponvel em: <http://www.softwarelivre.gov. br/artigos>. Acesso em: 12 mar. 2012

Ps-graduao

Unidade 3

Auditoria de segurana da informao

Objetivos de aprendizagem
Compreender os aspectos necessrios para a correta operao de sistemas, de modo que estes no comprometam a segurana da informao e no interrompam a continuidade dos negcios da empresa. Identificar os nveis de segurana de controles lgicos, fsicos e ambientais implantados pela Poltica de Segurana da Informao definida pela empresa.

Introduo
Os recursos da Tecnologia da Informao de uma empresa, como banco de dados, redes, desktops, servidores, sistemas, no representam, sozinhos ou parados, a rea de TI em operao. preciso que esses recursos estejam em funcionamento em conjunto, para que se perceba o funcionamento dos sistemas projetados. Os sistemas de informao, quando em funcionamento, representam a operao de sistemas. Por meio dela, possvel diagnosticar se o planejamento e projetos de recursos de TI esto em correto funcionamento. Geralmente, mais fcil auditar a operao de sistemas do que, especificamente, todos os recursos de TI em separado, pois a operao de sistemas representa o resultado final esperado do conjunto dos recursos de TI. Para auditar a operao de sistemas, o auditor tem de dividir essa tarefa em partes, de forma a seguir toda a trajetria do fluxo da informao, a saber, a entrada de dados, o processamento e a sada. O auditor no pode confiar no sistema informatizado, sendo necessrio, portanto, realizar partes do fluxo manualmente, em separado, e confrontar os resultados obtidos manualmente com as sadas geradas pelo computador.

70

Muitos erros de operao de sistemas somente so descobertos pelo usurio, e, neste momento, os erros j causaram danos de inconsistncia nas informaes. Trata-se de erros que podem demandar custos financeiros, tempo e mo de obra para a correo, podendo, inclusive, conforme a gravidade, interromper as operaes da empresa. Por causa desse risco na segurana das informaes, o auditor precisa realizar auditoria na operao de sistemas, constantemente. A tecnologia utilizada nos sistema relevante perante a auditoria, pois a utilizao de tecnologias ultrapassadas comprometer a operao dos sistemas no futuro. Em termos de falta de mo de obra para a manuteno, a evoluo dos sistemas operacionais e hardware podem no comportar a tecnologia ultrapassada, levando a empresa a utilizar recursos velhos e desgastados. importante frisar que os sistemas no operam de forma isolada, atualmente, como uma ilha dentro da empresa. Ao contrrio, necessitam estar integrados com os demais sistemas, para que no haja redundncia nas informaes. Assim, o auditor precisa estar atento tecnologia adotada nos sistemas, de modo que a integrao seja uma tarefa fcil na empresa. Sistemas de informao, quando no integrados, aumentam a operao dos prprios sistemas e colocam em risco a segurana das informaes. Quanto aos nveis de segurana da informao, estes so definidos pela implantao de uma Poltica de Segurana da Informao, definida pela empresa, e submetida ao conhecimento e cumprimento de todos os funcionrios, sem exceo. Os nveis de segurana da informao abordados nesta unidade so relacionados aos controles lgicos, fsicos e ambientais, que podem ser mais ou menos intensificados, conforme a necessidade de segurana da informao.

Ps-graduao

71

Controles de operao de sistemas


Mrcio Ghisi Guimares

A operao de sistemas no compreende somente a execuo isolada de um sistema, mas a integrao com os demais sistemas da empresa. Muitas vezes, esse controle acaba no sendo de fcil verificao, devido ao volume de transaes ou pela possibilidade de os sistemas terem sidos desenvolvidos por fornecedores diferentes, fato que dificulta mais ainda a auditoria. Outro ponto relevante a indisponibilidade do cdigo fonte pelas empresas desenvolvedoras, pois a empresa usuria adquire um sistema de terceiros, esta adquire apenas a licena de uso do sistema, sem a disponibilizao do cdigo fonte, acarretando, desta forma, a necessidade da auditoria apenas na operao de sistemas. Quando o sistema desenvolvido na prpria empresa usuria por uma equipe de desenvolvimento interno, o cdigo fonte fica acessvel para auditoria (DIAS, 2000). Mas compreender a lgica de programao dos sistemas no uma tarefa fcil e simples, devido ao extenso nmero de linhas de cdigo dos sistemas, podendo passar facilmente da casa de milhes de linhas de cdigo. Para compreender o cdigo fonte, necessrio que o auditor tenha conhecimentos profundos na mesma linguagem em que o sistema foi desenvolvido, ou em mais de uma, quando h sistemas desenvolvidos por diferentes linguagens de programao e integrados entre si. Em suma, auditar a operao de sistemas pode ser uma forma mais fcil e eficaz, porque tem a possibilidade de verificar diretamente os resultados iniciais, o processamento e as sadas, e, caso exista algum comprometimento, auditandose a operao de sistemas, constatar-se- a ocorrncia de inconsistncia mais facilmente. Na sequncia, so apresentados alguns tpicos relevantes na auditoria de operao de sistemas.

Entrada de dados
A entrada de dados tem uma grande importncia e significncia na relao entre a entrada, o processamento e a sada de dados. Caso os dados de entrada sejam inseridos de forma inconsistente, comprometem a relao do processamento e da sada. Para a segurana dos dados, o auditor deve realizar uma auditoria na entrada de dados.

Auditoria de segurana da informao

72

A entrada de dados pode acontecer de duas formas: inseridas pelo usurio, atravs de alguma interface de entrada de dados; ou, pela sada de algum sistema (onde a sada de um sistema a entrada de outro). Entre essas duas alternativas, a primeira mais simples de ser verificada. Mesmo assim, no se trata de uma tarefa simples de verificar, pois preciso conferir o armazenamento dos dados de entrada no banco de dados sem passar por rotinas de processamento. Desta forma, requisito do auditor ter conhecimento de linguagem de banco de dados, por exemplo, no caso, a linguagem SQL, para realizar as selees no banco e confrontar com as informadas pelo usurio na entrada de dados. Outra necessidade para o auditor saber identificar em quais tabelas do banco de dados estes esto armazenados. Caso o auditor no detenha tais informaes, pode ser assessorado por um tcnico de sua confiana (DIAS, 2000). A auditoria deve ser independente, mas a independncia de que se trata aqui no se resume apenas a um requisito ao auditor. Caso o auditor requisite um tcnico para assessor-lo, este no deve ser uma pessoa relacionada com o sistema de informao que est sendo auditado. que tal tcnico pode esconder alguma violao na entrada de dados, ou direcionar o auditor para outra rea, a fim de esconder uma rea que deseja no ser auditada. A importncia dessa constatao efetiva, pois a influncia de um tcnico comprometido com os sistemas auditados pode comprometer os resultados da auditoria fortemente. importante tambm conferir a massa de dados, pois checar somente a entrada de um simples documento pode no representar toda a extenso dos tipos de dados e seus relacionamentos. Aconselha-se que todos os dados sejam anotados manualmente, para comparao com os dados que ficaram armazenados no banco de dados, como por exemplo, nomes, descrio, nmeros, datas. Uma perfeita entrada de dados est diretamente relacionada com as crticas e validaes implantadas nas interfaces de entrada. Quanto mais crticas as validaes dos dados na entrada, menores sero as possibilidades de armazenamento errneo. Acontece que a implantao de crticas nas interfaces consome tempo da equipe de desenvolvimento e, muitas vezes, esta est com prazos curtos para a entrega de sistemas e acaba no desenvolvendo as crticas da forma mais ideal e segura. O auditor no deve averiguar somente a sintaxe dos tipos de dados de entrada, como float, moeda, inteiro, datas e texto, mas tambm a entrada lgica dos dados, por exemplo, uma data posterior no ser menor que a anterior, aceitar um tipo fora da escala existente no sistema, aceitar valores nulos quando no so permitidos, diferenciar os valores de nulo, zero e vazio, etc.

Ps-graduao

73

Pela complexidade, em alguns casos necessrio que o auditor desenvolva uma rotina de captao dos dados de entrada aps serem armazenados no banco de dados para uma posterior apreciao. Na auditoria de entrada de dados, quando estes no so informados pelo usurio, mas sim por meio da sada de sistema, isto requer mais cautela e cuidado. Ou seja: a entrada de dados no informada pelo usurio, como a digitao de um cadastro qualquer, por exemplo, o resultado do total das vendas por vendedor no final do dia, que ser a entrada para outro sistema, automaticamente. Muitas vezes no existe tempo de parada nos sistemas para coleta e observao, devido velocidade com que os dados esto integrados. Nestes casos, o auditor tem de implantar uma rotina de captura dos dados e inseri-la no sistema, para acompanhamento dos dados. uma tarefa que requer ajuda de algum tcnico com conhecimento em estrutura de tabelas do sistema. Isso nem sempre uma tarefa fcil de ser implantada, seja por comprometimento do tcnico com a entrada de dados, pelo tempo de disponibilidade dele pelo conhecimento do sistema, seja por acesso ao cdigo fonte do sistema. Resumindo, a tarefa de auditar a entrada dos dados muito importante e nem sempre representa uma tarefa simples. Para afirmar em auditoria que a entrada dos dados est segura, preciso ter averiguado, realmente, a entrada de dados. E, ainda: para o relatrio da auditoria ter credibilidade necessrio relatar, com detalhes, a maneira que a entrada de dados foi auditada, de modo a no haver contestao.

Processamento de dados
O processamento est entre a entrada e a sada de dados. possvel auditar o processamento dos dados analisando o cdigo fonte dos sistemas ou a operao dos mesmos. Lembra-se que nem sempre o cdigo fonte est disponvel para ser auditado. Porm, mesmo disponvel, a complexidade de rotinas e o volume destes cdigos ao serem analisados exigiriam muito tempo para a auditoria ser completada. E, considerando que muitas rotinas podem estar em linguagem de programao diferente, isto demandaria ao auditor mais conhecimentos tcnicos que o normal. A segurana das informaes pode estar comprometida por rotinas de processamento que foram alteradas de forma a gerar sadas diferentes para certas ocorrncias pr-determinadas. O processamento dos dados uma porta de manipulao indevida de dados de fcil implantao, pois uma rotina pode

Auditoria de segurana da informao

74

simplesmente ser iniciada ou escondida por um simples comando de operao. Por esta razo que o auditor deve, alm de ser independente, ter certeza do comprometimento das pessoas que esto participando da auditoria, evitando prejudicar a eficcia da mesma. Uma das maneiras do auditor conferir o processamento dos dados por meio da anlise das partes especficas do processamento manualmente e em paralelo, para confrontao dos resultados (DIAS, 2000). Mas, para que isto seja possvel, ainda necessrio que o auditor tenha conhecimento lgico do processamento pretendido, ou seja, conhecimentos de contabilidade, administrao, tributao, previdncia, entre outros. O resultado de um processamento gravado, normalmente, no banco de dados, para posterior disponibilizao. Tratando-se de uma inteno de fraudar dados, nem sempre os dados que so gravados so disponibilizados na sada, ocorrendo, ento, um banco de dados paralelos, controlados por um processamento tambm paralelo. Desta forma, se preciso for, o auditor deve inserir algumas rotinas de sua confiana entre o processamento, por um determinado tempo e regio, para posterior conferncia. Quando a auditoria for preventiva ou corretiva, o sigilo da mesma no to necessrio, mas, quando esta for encomendada por suspeita de fraude, o sigilo necessrio, pois a divulgao de uma auditoria faz com que as pessoas comprometidas retirem rotinas de processamento fraudadoras dos sistemas, enquanto a auditoria est acontecendo. Como visto, realizar auditoria no processamento dos dados no uma tarefa simples, mas altamente necessria. Para a segurana das informaes, o auditor no pode deixar esta rea descoberta.

Sada de dados
A sada de dados o resumo da entrada e o processamento. Se h erros na entrada e/ou no processamento, certamente a sada de dados ficar comprometida. Muitos erros que ocorrem na entrada ou no processamento somente so descobertos na sada de dados. comum os erros na sada de dados serem descobertos apenas pelo usurio. Quando isso ocorre, j tarde, e, provavelmente, os erros j esto gravados no banco de dados, comprometendo alguma parte dos dados por um determinado perodo de transao.

Ps-graduao

75

Alguns erros descobertos na sada de dados podem ter consequncias tributrias ou previdencirias, gerando valores a pagar a mais e multas e correes financeiras, alm da mo de obra necessria para a correo, podendo inclusive a empresa ficar sem operao, no todo ou em parte, por algum tempo. Para no descobrir erros na sada de dados por intermdio do usurio, necessrio equipe de desenvolvimento testar exaustivamente o sistema, principalmente na sada de dados. Esta tarefa, em alguns casos, realizada, de forma muito simples ou viciada, pelo desenvolvedor. Aqui, este no testa a sada de dados com diferentes formas de entrada de dados e processamento.

Exemplo
O teste de uma rotina de clculo de juros de uma conta sendo paga em atraso. O desenvolvedor sempre testa a diferena de dias entre as duas datas, a de vencimento e a de pagamento. Presume-se que a data de pagamento seja sempre posterior data de vencimento. Na pressa, ou por falta de qualidade, o desenvolvedor sempre testa com duas datas vlidas. O auditor deve testar esta rotina, por exemplo, com uma ou duas datas invlidas, ou ainda, com a data de vencimento sendo igual ou anterior data de pagamento, para verificar se a rotina prev estas condies errneas. que datas invlidas no podem calcular o montante de juros sem apresentar mensagem de erro.

Assim o auditor deve observar se a etapa de testes dos sistemas foi exaustiva, pois a pouca averiguao nos testes pode comprometer a segurana dos dados.

Destaque
A inexistncia de erros na sada de dados no significa a inexistncia de erros.

Somente uma auditoria completa e minuciosa pode afirmar a existncia, ou no, de erros (DIAS, 2000). Desta forma, conveniente que o auditor refaa manualmente uma operao de todo o processo de entrada, processamento e sada, para confrontar com as sadas do computador. Devido integrao de sistemas e necessidades de conhecimentos administrativos, tributrios ou previdencirios, nem sempre essa tarefa de fcil realizao. Caso o auditor no detenha todos os conhecimentos necessrios, ele deve ser assessorado.

Auditoria de segurana da informao

76

Em alguns sistemas, as sadas de dados foram amparadas por legislao especfica. Nestes casos, preciso verificar a legislao em vigor para certificar-se de que as alteraes, por ventura ocorridas, foram implantadas para a correta sada de dados. Um dos pontos principais que afetam a sada de dados a mudana de sistemas ou a integrao com outros (DIAS, 2000). Caso isto esteja ocorrendo, ou, em curto espao de tempo, tenha ocorrido, o auditor deve ser mais atento auditoria na sada de dados. Concluindo, o auditor jamais pode deixar a sada de dados sem auditoria, pois esta o resultado final de todo o aproveitamento dos recursos da Tecnologia da Informao que a empresa utiliza.

Controle de acessos e permisses


Na concepo de sistemas de informao, no existe operao de sistemas onde todos tm permisso de utilizar todas as funcionalidades possveis. Por questo de segurana, no admissvel que sistemas de informao no disponham de controles de acesso e controle de permisses. Pessoas no autorizadas a acessar um determinado sistema de informao no devem ter acesso ao mesmo (DIAS, 2000). Para este controle, inicialmente, todas as entradas principais de acesso ao menu principal do sistema devem ser protegidas por senha e login de acesso. Mesmo que o indivduo seja funcionrio de confiana de uma empresa, se ele no fizer parte do relacionamento de determinado sistema, no deve receber os cdigos de acesso. Esta atitude necessria, porque, em caso de descobrimento de acessos indevidos ou fraudes, fica mais fcil identificar o universo de pessoas habilitadas ao acesso do sistema, e, consequentemente, iniciar a averiguao de responsabilidades. O auditor deve confrontar pessoalmente quais pessoas esto habilitadas a operar determinado sistema e verificar se as senhas esto corretamente cadastradas no sistema e armazenadas com criptografia. No seguro armazenar senhas no criptografadas, pois outras pessoas do departamento de informtica, que detm conhecimento de programao e banco de dados, podem facilmente descobrir as senhas de acesso e passar a acessar o sistema com a senha de outro, ou ainda repassar para terceiros. As senhas de acesso devem ser frequentemente trocadas e os funcionrios que so desligados da empresa devem ter as senhas bloqueadas imediatamente. comum encontrar senhas de acesso ainda cadastradas para funcionrios

Ps-graduao

77

j desligados da empresa h um bom tempo. Isso acontece pela ausncia de uma Poltica de Segurana detalhada ou inexistncia da mesma na empresa. A falta de implantao de senhas de acesso pode ocasionar acessos indevidos e, consequentemente, vazamento de informaes confidenciais. Portanto, a existncia de senhas de acesso fundamental para a segurana da informao e tem de ser auditada, assim como a relao de pessoas habilitadas ao acesso. Implantar apenas o controle de acesso nos sistemas de informao no uma medida suficiente para a segurana da informao. Assim, todas as pessoas que tenham acesso ao sistema teriam as mesmas permisses. preciso implantar as permisses pertinentes a cada pessoa que tenha acesso ao sistema. A implantao de permisses importantssima em um sistema de informao e deve ser verificada pelo auditor.

Exemplo
Um estagirio tem acesso ao sistema tanto quanto um gerente, mas as permisses dentro do sistema para o estagirio e o gerente devem ser diferentes.

A estrutura de permisses deve estar bem protegida para evitar a facilidade de alterao temporria. Funcionrios com conhecimento tcnico podem alterar a estrutura de permisses para possibilitar acesso alm do permitido a determinado funcionrio e depois retornar a situao inicial. Assim, tambm fundamental que a estrutura de permisses esteja em local restrito ou protegido por criptografia. O auditor tem que averiguar tal situao com muita ateno.

Manuteno de sistemas
A operao de sistema deve ocorrer de forma contnua, conforme o planejamento das funcionalidades dos sistemas, de modo que no haja interrupo na operao, pois, se ocorresse, poderia provocar a parada de funcionamento da empresa (DIAS, 2000). D para imaginar uma lotrica funcionando normalmente sem a operao de seus sistemas, ou um supermercado ou um banco com parada no computador? At quando a operao dos sistemas ter continuidade normal em funo de alteraes em novas necessidades, integraes e alteraes de legislaes? Para que estas alteraes sejam implantadas rapidamente e de forma correta, de modo a no comprometer a operao dos sistemas, necessrio que haja uma equipe ou empresa terceirizada sempre de prontido para a realizao das manutenes nos sistemas.

Auditoria de segurana da informao

78

Ter uma equipe de desenvolvimento totalmente comprometida com o desenvolvimento de novos sistemas sinal de falta de mo de obra para a manuteno dos sistemas j existentes e, consequentemente, risco para a operao dos sistemas e segurana das informaes. O desenvolvimento de novos sistemas significa trabalhar em sistemas que a empresa ainda no disponibilizou para operao e funcionamento. A manuteno de sistemas significa trabalhar em sistemas que j esto em funcionamento. Isto representa equipes com diferentes comprometimentos, e, se a maioria das equipes est alocada com o desenvolvimento de novos sistemas, consequentemente faltar equipe ou pessoas para dar continuidade de manuteno nos sistemas j existentes. (DIAS, 2000). Outro ponto a ser analisado pelo auditor se existem funcionrios com conhecimento da arquitetura de determinado sistema aptos a dar manuteno ao mesmo. A falta ou indisponibilidade desse profissional tornar a manuteno muito mais demorada, alm de comprometer a eficcia do prprio trabalho de manuteno em si, pois funcionrio sem competncia fatalmente poder realizar manuteno errnea. A manuteno de sistemas no muito bem vista pela equipe de desenvolvimento. Em muitas situaes, no tarefa fcil de ser implantada, por requerer bons conhecimentos da arquitetura do sistema e porque, normalmente, o servio realizado no aparece perante os olhos de chefes e usurios. Por isso, as pessoas acabam preferindo o desenvolvimento de novos sistemas ou mdulos: so mais fceis de iniciao e apresentam resultados mais vistosos. Sem desconsiderar que existe um rtulo na rea de informtica: quem no tem capacidade de realizar um novo sistema alocado para a manuteno. Desta forma, possvel que, ao realizar a auditoria na manuteno dos sistemas, o auditor constate a falta de pessoas destinadas manuteno. Esta constatao representa um risco segurana da informao e tem de ser destacada no relatrio de auditoria.

Futuro dos sistemas


de suma importncia que o auditor analise o futuro de continuidade dos sistemas de informao, o qual est relacionado existncia de manuteno e acompanhamento da tecnologia oferecida no mercado. Sob o aspecto de acompanhamento da tecnologia de mercado, o auditor deve verificar com ateno as tecnologias utilizadas pelos sistemas e a situao de continuidade de tais tecnologias asseguradas pelos respectivos fornecedores. Como os sistemas chegam a um volume grande de linhas de cdigo, passando a casa dos milhes (linhas de cdigo j testadas e funcionando), a troca dessas por outra tecnologia no tarefa de simples realizao, em termos de complexidade, custos

Ps-graduao

79

financeiros e disponibilidade de mo de obra. Por essas razes, os sistemas acabam utilizando a linguagem de desenvolvimento concebida inicialmente. No difcil encontrar grandes sistemas em operao escritos em linguagens de programao pouco utilizadas na atualidade, como COBOL, Delphi, MUMPS ou Assembly. Conforme j analisado anteriormente, a grande desvantagem de um sistema estar escrito em uma linguagem de pouca oferta no mercado reside na escassez de oferta de mo de obra com conhecimento na referida linguagem, comprometendo, consequentemente, a manuteno e continuidade do mesmo Postergar no tempo a atualizao de tecnologias de desenvolvimento nos sistemas colocar em risco a segurana das informaes, pois possvel que um novo sistema operacional ou hardware no suporte mais o funcionamento de tecnologias descontinuadas e que leve a empresa a ficar refm de tecnologias ultrapassadas e velhas. Outro ponto a ser auditado a integrao de novos sistemas e tecnologias. O conceito de informatizao est cada vez mais integrado nas solues, no havendo espao para ilhas isoladas de sistemas. E, por desatualizao de tecnologia, a integrao com outros sistemas pode tornar a integrao uma tarefa de difcil realizao, trazendo conflitos nas operaes dos sistemas e emperrando o fluxo das informaes. Os acompanhamentos das tecnologias utilizadas pelos sistemas em comparao com as ofertadas pelo mercado passam pela capacidade da equipe tcnica. Um comparativo entre as tecnologias utilizadas pelos sistemas de informao na empresa e as ofertadas pelo mercado de trabalho deve ser analisado, para verificar se as tecnologias utilizadas pela empresa esto defasadas, ou no. Assim, se necessrio for, uma poltica de treinamento inicial e constante deve existir na empresa. Quanto ao futuro dos sistemas, constata-se que se trata de um grande patrimnio da empresa e a porta de relacionamento com clientes e fornecedores. Por isso mesmo, merece receber ateno especial do auditor, para evitar que a segurana das informaes esteja comprometida no futuro. Alm destes aspectos, devem ser auditados a atualizao do hardware, cargas de aumento dos bancos de dados, satisfao dos usurios, aumento do trfego de rede, controles fsicos e ambientais, etc. Eles formam as bases para o suporte dos sistemas e, se no estiverem corretamente dimensionados, certamente a operao de sistemas estar comprometida.

Referncia
DIAS, Cludia. Segurana e auditoria da tecnologia da informao. Rio de Janeiro: Excel Books, 2000.

Auditoria de segurana da informao

80

Nveis de segurana da informao


Mrcio Ghisi Guimares

Basicamente, a Poltica de Segurana um conjunto de normas que define o que e no permitido na empresa, em termos de software e hardware. Essa poltica deve ser de conhecimento de todos os funcionrios, sem exceo. Inclusive funcionrios do alto escalo devem cumprir a poltica de segurana, para dar exemplo aos demais funcionrios. Tm de saber sobre suas normas, aceitao e implementao. O conhecimento de todos os funcionrios inibe a alegao de desculpas para justificar a realizao de ato no permitido pela Poltica de Segurana (DIAS, 2000). Os termos definidos pela Poltica de Segurana, basicamente, so referentes aos softwares permitidos, hardware, gerenciamento dos e-mails, acesso de pessoas, acessos lgicos, fsicos e ambientais. Um bom exemplo de norma quanto aos softwares permitidos. Ela deve especificar os softwares que os funcionrios podem instalar e utilizar em seus computadores, de modo a evitar a utilizao de cpias piratas na empresa. Com isso, evitam-se riscos de toda ordem, inclusive a instalao de vrus. Mesmo tendo um controle de segurana das informaes eficiente, tudo pode ser perdido caso haja furto de um servidor, por exemplo. Nesse caso, todas as informaes depositadas no referido servidor so perdidas, como instalao do banco de dados, dados, sistemas, configurao de senhas, permisses, redes, etc. Aqui, a Poltica de Segurana deve definir os acessos fsicos de pessoas aos locais dos hardwares que requerem maiores segurana, portas com senhas para abertura, cmeras de vigilncia, etc. (DIAS, 2000). H que se considerar o acompanhamento de funcionrios aos visitantes durante a permanncia na empresa. Os nveis de segurana da informao so dinmicos, portanto, e crescem medida que a informao requer maior ou menor segurana. A seguir sero abordados os nveis de acesso lgico, fsico e de controles ambientais.

Ps-graduao

81

Nvel de acesso lgico


Quanto custa a perda da informao? Para algumas empresas, significa o fechamento ou interrupo por algum tempo; para outras, pode no acontecer nada, porque h como repor as informaes perdidas. Supondo-se que, nos dias atuais, no existe controle de informao fora do computador, deduz-se que todas as informaes esto depositadas no computador. Por isso, os nveis de controle dos acessos lgicos tm de ser checados pelo auditor com muita ateno. que qualquer software que venha a ser danificado propositadamente pode comprometer toda a operao da empresa. Para que a empresa tenha um alto nvel de controle de acesso lgico em alguns de seus principais recursos computacionais, algumas prticas devem ser observadas. Veja no quadro.

Banco de dados: Os bancos de dados devem estar protegidos por senhas de acesso ao banco e permisses em nvel de tabelas, por usurio, estendendo as permisses em nvel de atributo da tabela. Ainda, se for o caso, os acessos podem ser direcionados por View, que so basicamente uma consulta, e no um acesso direto ao banco. O banco de dados o corao das informaes e deve estar protegido fortemente, em nvel de usurio, pois alguns funcionrios da rea de TI podem acessar indevidamente o banco de dados sem ser por uma aplicao comercial da empresa, mas por outros meios de acesso, por exemplo, pelo ambiente de desenvolvimento do programador. Outros controles tambm podem ser averiguados pelo auditor, como alternncia de senhas de acesso ao banco pelo Database Administrator (DBA), implantao de Trigger, Ruler, Stored Procedure, etc. Os backups tambm devem ser cuidadosamente verificados pelo auditor em termos de frequncia, nmero de cpias, replicao dos dados, acessos remotos, etc. Os prprios arquivos de senhas devem estar armazenados de forma criptografada e em local seguro quanto a acesso. Aplicativos: Os cdigos fontes dos aplicativos so alvos de ataques. Por isso, o local onde os cdigos fontes ficam armazenados deve ser muito seguro, inviabilizando o acesso por pessoas no autorizadas (DIAS, 2000). Definir as pessoas que tm acesso ao cdigo fonte aumenta a segurana do mesmo, alm de evitar violaes indevidas; tambm fica mais fcil levantar os responsveis por eventual alterao indevida. Dentro do cdigo fonte, rotinas podem ser inseridas para captao e transferncia de dados, alterao do banco de dados ou parte dele, aumento de acesso via rede, etc. Consequentemente, a segurana das informaes pode estar em risco. Por esses motivos, o auditor deve verificar o controle de acesso ao cdigo fonte dos aplicativos. O estudo do cdigo fonte pode desvendar a arquitetura de armazenamento dos dados no banco de dados e facilitar acesso indevido.

Auditoria de segurana da informao

82

Sistema operacional: um software muito visado para ataques, inclusive a configurao, pois a neutralizao do sistema operacional interrompe todo o funcionamento dos demais softwares da empresa, mesmo o banco de dados, redes e sistemas de gesto. um software que requer ateno especial do auditor, no que se refere sua segurana. Log de transaes: O log de transaes uma ferramenta que transmite segurana altssima, pois todas as transaes realizadas ou parte delas podem ser armazenadas para posterior auditoria, vale dizer, ele registra as aes dos usurios. interessante destacar que o log pode ser parametrizado a qualquer momento por quem tenha acesso a ele, e isso pode comprometer as suas informaes caso uma suposta fraude venha a ser realizada. Senhas de rede: As senhas de rede em conjunto com o logon identificam o usurio e, consequentemente, as permisses de acesso que esse ter em aplicativos da empresa. A importncia do sigilo das senhas de rede relevante (DIAS, 2000), e, se no estas forem totalmente confidenciais, outro funcionrio pode acessar um computador com a senha de um colega e visualizar todas as suas informaes sem permisso. Por isso, aconselhvel que, ao sarem momentaneamente de seus locais de trabalho, funcionrios ativem o controle de bloqueio do computador, no deixem os referidos computadores acessados nas aplicaes. O auditor tem que checar o local e forma do armazenamento das senhas de rede e o sigilo entre os funcionrios.

Deste modo, constata-se que o nvel de segurana atribudo aos controles de acesso lgico diretamente proporcional ao nvel crtico da segurana da informao. Os riscos a controles de acesso inadequado podem ser os mais variados possveis, desde uma simples visualizao de informaes at como provocar a parada de uma empresa. Portanto recomendado ao auditor averiguar constantemente os nveis de segurana da informao.

Nvel de acesso fsico


O controle de acesso fsico verifica o acesso fsico das pessoas aos equipamentos de hardware, por exemplo, servidores, desktops, roteadores, etc. (DIAS, 2000). A perda desses equipamentos por sabotagem ou furtos traz graves problemas segurana da informao. Por medida preventiva, apenas as pessoas autorizadas podem ter acesso a esses equipamentos.

Ps-graduao

83

Como alguns desses equipamentos armazenam os dados - os servidores de banco de dados --, pessoas no autorizadas podem copiar, alterar, excluir ou verificar informaes diretamente destes equipamentos. Assim, o acesso deve ser restrito, os horrios de acesso devem ser monitorados: em horrios fora do expediente normal da empresa, os equipamentos podem ficar vulnerveis a acessos fsicos indevidos. Os controles administrativos mais comuns para os acessos fsicos so os crachs de identificao, que devem ser retirados na entrada da empresa e identificar a pessoa como visitante durante todo o tempo em que estiver em suas dependncias. (DIAS, 2000). Em empresas maiores, nem todos os funcionrios so conhecidos por outros funcionrios. Assim, pela falta de crach de identificao de visitante, por exemplo, um funcionrio pode identificar uma pessoa dentro da empresa como colega de trabalho, quando esta pode ser um visitante. Um funcionrio ao ver uma pessoa dentro da empresa com crach de visitante tomar medidas mais cautelosas com relao a este visitante. Outro controle administrativo relevante quanto a receber algum visitante. Ter um funcionrio da empresa para acompanh-lo em todo o tempo do trajeto que este realizar na empresa (DIAS, 2000). Ter ateno tambm quanto a papeis e rascunhos em cima das mesas, pois podem trazer informaes teis a pessoas indevidas. Ter os documentos e informaes importantes dentro de gavetas protegidas por chaves. Controles explcitos so bem-vindos, inibem violaes, como por exemplo, a instalao de cmeras de filmagem dos ambientes. Os nveis de controle fsico devem ser maiores ou menores conforme for a necessidade de segurana das informaes. O auditor tem de apontar a situao existente juntamente com a situao ideal, se for o caso.

Nvel de controle ambiental


Os controles ambientais devem estar definidos na Poltica de Segurana com relao a incndios, enchentes, raios, ondas de calor, umidade, fornecimento de energia eltrica e refrigerao dos equipamentos (DIAS, 2000). Devido s mudanas climticas que esto acontecendo com mais frequncia, sendo muitas delas imprevisveis, como enchentes e ondas de calor, estas, quando acontecem, podem danificar os equipamentos, comprometendo a segurana das informaes. Desta forma, o local fsico dos equipamentos pode ser mais ou menos vulnervel a riscos ambientais.

Auditoria de segurana da informao

84

Incndios: Os controles inerentes proteo contra incndios podem ser atribudos existncia de extintores de incndio prximos aos equipamentos, mveis com materiais a prova de fogo, ausncia de papis prximos a equipamentos, existncia de equipamentos detectores de fumaa ou calor, etc. Enchentes: Caso os principais equipamentos como, principalmente, os servidores de aplicao, banco de dados, redes ou e-mail ficarem em solo, ao nvel da rua, qualquer enchente pode atribuir comprometimento. O ideal que os equipamentos mais importantes fiquem em andares mais altos. Porm, se ficarem logo abaixo do telhado, possvel que goteiras, infiltraes ou vazamentos de gua caiam sobre os equipamentos. Portanto aconselhvel ao auditor verificar a localizao dos equipamentos estratgicos da empresa para a segurana das informaes. Raios: Durante as trovoadas, os raios so frequentes, e contar com a sorte no uma boa poltica de segurana, pois, se um raio cai na rede de energia da empresa, pode queimar os equipamentos e, consequentemente, provocar a perda das informaes. Checar o sistema de proteo a raios faz parte da auditoria de segurana da informao. Umidade: Locais prximos praia ou muito chuvosos transmitem maior umidade ao ar, provocando queima nas placas dos equipamentos e danos diversos, com a possibilidade de determinar a parada do equipamento. importante o auditor verificar a umidade do ar em locais propensos a estas condies.

Referncia
DIAS, Cludia. Segurana e auditoria da tecnologia da informao. Rio de Janeiro: Excel Books, 2000.

Ps-graduao

85

Atividades de autoaprendizagem
1. De acordo com o que voc estudou sobre a operao de sistemas, analise as frases a seguir e assinale V para as sentenas verdadeiras e F para as falsas. a. ( ) O sistema de informao deve criticar e validar a entrada de dados. b. ( ) Normalmente inconsistncias nas sadas de dados so descobertas pelos usurios. c. ( ) No possvel representar partes do processamento de dados manualmente. d. ( ) No necessrio auditar o processamento de dados, pois os sistemas so corretos. 2. Com base nos estudos desta disciplina, assinale as alternativas corretas. a. ( ) Os controles de acesso e permisses delimitam as funcionalidades permitidas aos usurios nos sistemas de informao. b. ( ) No necessrio ter controle de permisses nos sistemas de informao, basta apenas senhas de acesso. c. ( ) Sistemas de informao somente requerem manuteno aps um ano de funcionamento. d. ( ) A tecnologia empregada nos sistemas de informao pode comprometer o futuro funcionamento do mesmo, por falta de disponibilidade de mo de obra capacitada para a manuteno, mesmo que o hardware suporte o sistema de informao defasado. e. ( ) Auditar operao de sistemas pode requerer conhecimentos alm da rea de informtica.

Auditoria de segurana da informao

86

3. A partir dos estudos sobre os nveis de segurana da informao, analise as proposies a seguir, marcando V para verdadeiras e F para as falsas. a. ( ) Os nveis de segurana para os acessos lgicos no so aplicados ao banco de dados. b. ( ) Os nveis de segurana no devem ser aplicados a proteo dos cdigos fontes dos Sistemas de informao. c. ( ) Os nveis de controle de acesso fsico preocupam-se com a segurana dos equipamentos. d. ( ) Os controles ambientais no fazem parte dos nveis de segurana da informao, por terem importncia menor que os controles lgicos e fsicos.

Atividades colaborativas
1. Com base no que voc estudou nesta unidade, responda pergunta abaixo na ferramenta Exposio e lembre-se de consultar a resposta dos seus colegas. Qual a importncia de realizao de auditoria na operao de sistemas?

2. Qual a razo de os controles de acesso lgico serem auditados? Responda pergunta na ferramenta Exposio e consulte as respostas dos seus colegas.

Ps-graduao

87

Sntese
Nesta unidade, estudou que a auditoria sobre a operao de sistemas fazse necessria pelo motivo de a operao de sistema representar o resultado da execuo de todos os recursos de TI utilizados pela empresa. Caso haja inconsistncia na entrada de dados, no processamento ou na sada, a operao de sistemas mostrar esta inconsistncia. O auditor deve auditar pelo menos as reas principais da operao de sistemas, mesmo no havendo erros ou inconsistncias aparentes, podendo realizar auditoria preventiva, em vez de corretiva. Normalmente, inconsistncias nos dados ou informaes processadas erroneamente so descobertas pelos usurios e, neste caso, as consequncias j se consumaram no armazenamento das informaes no banco de dados. A recuperao de provveis inconsistncias pode demandar custos financeiros, tempo e mo de obra, podendo provocar, inclusive, a parada das operaes da empresa no todo ou em parte. Voc tambm viu que, alm das entradas de dados, processamento e sada de dados, o auditor tambm deve verificar o controle de acessos e permisses. Estes tm a funo de evitar que pessoas no autorizadas tenham acesso a determinado sistema ou parte deste. O controle de acessos deve ser implantado para todos os usurios do sistema e de fundamental importncia para a segurana e sigilo das informaes. Voc tambm constatou que nenhum sistema funciona para sempre, conforme projetado inicialmente. Que as regras de negcio da empresa so dinmicas e mudam constantemente, de acordo com a competitividade de mercado. Por esta razo, os sistemas precisam acompanhar tais mudanas de regras atravs da manuteno de sistemas. Desta forma, o auditor precisa verificar a existncia de uma estrutura de manuteno constante, para prestar o necessrio suporte aos sistemas. Sem a manuteno necessria, rapidamente os sistemas se defasam e ficam inteis, comprometendo a segurana das informaes. Voc tambm constatou que a verificao da tecnologia utilizada pelos sistemas em operao de suma importncia, pois utilizar tecnologias defasadas certamente comprometer a continuidade de operao no futuro, podendo chegar ao ponto de no haver oferta de suporte tecnolgico e/ou mo de obra suficiente para a continuidade de operao dos sistemas, comprometendo totalmente a segurana das informaes.

Auditoria de segurana da informao

88

Voc tambm concluiu que os nveis de segurana devem aumentar ou diminuir conforme a importncia da informao, atravs dos controles de acesso lgico, fsico e ambiental. Que esses controles podem ser definidos pela Poltica de Segurana da Informao, implantada pela empresa, com consentimento da alta gerncia, e de conhecimento de todos os funcionrios, sem exceo. O controle de acesso lgico requer muita ateno por parte do auditor, pois tem que atribuir segurana de acessos ao banco de dados, cdigo fonte dos aplicativos, sistema operacional, senhas de rede e o log de transaes, ferramenta poderosssima para futura auditoria, no caso de violao. Assim, a verificao das operaes de sistemas e a definio dos nveis de segurana representam, em conjunto, a auditoria de segurana da informao de uma empresa e, conforme a importncia da informao, deve ocorrer de forma constante.

Saiba mais
CAMPOS, ANDR, L. N. Sistema de segurana da informao. Florianpolis: Visual Books, 2006. FERREIRA, Fernando Nicolau Freitas. Segurana da informao. Rio de Janeiro: Cincia Moderna, 2003. MONTEIRO, Emiliano Soares. Segurana em ambientes corporativos. Florianpolis: VisualBooks, 2003.

Ps-graduao

Unidade 4

Auditoria de sistemas de gesto de segurana da informao

Objetivos de aprendizagem
Compreender o significado de um Sistema de Gesto de Segurana da Informao, as razes para elaborao, implantao, execuo e acompanhamento. Conhecer os passos e as estratgias necessrias para o monitoramento e auditoria. Entender a abrangncia das responsabilidades e competncias das pessoas envolvidas no Sistema de Gesto de Segurana da Informao. Reconhecer a importncia de existncia de um Sistema de Gesto de Segurana da Informao para a segurana das informaes, em um mundo onde as informaes esto depositadas totalmente em sistemas de informao.

Introduo
No momento empresarial atual, as empresas no conseguem operar sem os recursos da Tecnologia da Informao. As informaes das empresas esto, praticamente em sua plenitude, depositadas em banco de dados hospedados em computador. Toda a arquitetura de hardware e software necessria para a operao dessas informaes. A utilizao dos recursos de TI , de certa forma, complexa e exige algum tempo at que todos os sistemas estejam integrados entre si e funcionando conforme as regras de negcio da empresa. Desta forma, uma questo de sobrevivncia no perder as informaes armazenadas nos computadores. Sem elas, a empresa pode certamente parar de operar. Proteger as informaes uma questo prioritria e sem espao para erros ou amadorismo.

90

Mas como saber se as informaes esto seguras, ou no? Neste contexto, no se pode deixar as empresas contando com a sorte. A melhor prtica para assegurar a segurana implantar um SGSI para garantia da continuidade dos negcios. Apenas a existncia de um Sistema de Gesto de Segurana da Informao (SGSI) no significa que as informaes estejam seguras. preciso auditar o SGSI para constatar se o mesmo est sendo eficiente e condizente com a segurana necessria, averiguando o comprometimento dos funcionrios, os responsveis pelo cumprimento das regras, e se esto recebendo apoio da alta gerncia. Algumas normas tcnicas apresentam um roteiro para implantao e execuo de auditoria em SGSI. A mais voltada para a auditoria regulamentada pela Associao Brasileira de Normas Tcnicas (ABNT), pela norma ABNT NBR ISSO/IEC 27001: 2006, que especifica requisitos e fornece orientaes para os organismos que prestam servios de auditoria e certificao de um Sistema de Gesto da Segurana da Informao.

Ps-graduao

91

Auditoria de Sistemas de Gesto de Segurana da Informao


Marcio Ghisi Guimares

Antes de verificar o escopo da auditoria de Sistema de Gesto de Segurana da Informao (SGSI), necessrio compreender a sua abrangncia. A seguir sero apresentados alguns tpicos (ISO/IEC 27001, 2005, 2006) mais relevantes que norteiam o auditor ao adequar a abrangncia da auditoria ao porte da empresa e do fator crtico de segurana da informao, analisando-lhe os passos desde a implantao at a execuo do mesmo.

SGSI
Um Sistema de Gesto de Segurana da Informao um conjunto de regras e normas adotado por uma empresa, com o intuito de garantir a segurana de suas informaes quanto a controles, perdas, roubos, alteraes e consultas indevidas. No se trata de um sistema de informao convencional programado com uma linguagem de programao, mas de um procedimento para monitorar e analisar o comportamento das informaes e garantir a segurana destas. Os objetivos pretendidos do SGSI devem ser confrontados com os resultados esperados, desta maneira o SGSI deve ser parametrizado para adequar-se com os processos da empresa e garantir a segurana de continuidade dos negcios. Os riscos envolvidos com a perda da informao versus a segurana do SGSI devem ser analisados. A abrangncia de auditoria de um SGSI vai desde a segurana fsica e lgica da informao at a verificao da legislao pertinente s obrigaes contratuais. A documentao do SGSI tem de estar sempre em conformidade com o que praticado pela empresa e pelos funcionrios envolvidos, sendo revista constantemente e reapresentada a todos os envolvidos pelos responsveis em conferir a execuo do SGSI.

Abrangncia do SGSI
A delimitao da abrangncia muito importante para o auditor, pois por meio desta que se consegue constatar as responsabilidades dos envolvidos. Normalmente, quando as responsabilidades, funes e limites no ficam bem definidos, por exemplo, nos casos de perda da informao, fica difcil encontrar

Auditoria de sistemas de gesto de segurana da informao

92

o verdadeiro responsvel. Assim, a abrangncia atribui no somente as responsabilidades como tambm os requisitos cobertos pelo SGSI. Pode variar de empresa para empresa, devendo cobrir reas como tecnologia envolvida em desenvolvimento de sistemas, sistemas operacionais, ferramentas de escritrio, integrao de sistemas, banco de dados, redes, controles organizacionais, equipes, etc. Em cada rea de abrangncia, o auditor deve checar se o SGSI est sendo cumprido e se condiz para que a segurana da informao realmente seja eficaz.

Alinhamento do SGSI com os negcios da empresa


O SGSI tem de estar alinhado com os negcios da empresa em relao a estratgias de negcio, competitividade, atuao no mercado, relao com clientes e fornecedores, dentre outros. O momento atual e o futuro pretendido devem estar alinhados com as normas e regras do SGSI.

Exemplo
Se a empresa pretende utilizar tecnologia WEB na totalidade de seus sistemas de gesto de vendas, o SGGI deve conter uma regra proibindo o desenvolvimento de novas solues que no utilizem a tecnologia WEB, e assim por diante.

Outro ponto relevante a ser auditado se a parte legal envolvida est implantada nos sistemas ou se esta pode gerar impedimento para novos negcios, como por exemplo, se as licenas dos softwares existentes so suficientes para futuros negcios.

Riscos
Os riscos devem ser mensurados e constados no SGSI e estar bem claros para todos os envolvidos, assim como para a alta gerncia. O auditor tem de constatar se os riscos esto contemplados pelo SGSI e se condizem com a realidade. Os riscos podem ser divididos em atuais e futuros. Os atuais envolvem a integrao dos sistemas existentes com o negcio atual. Os riscos futuros so derivados de futuros negcios que a empresa pretenda, como por exemplo, a fuso com outras empresas, aberturas de filiais, mudanas de tecnologia, expanso de negcios com fornecedores, que podem comprometer a utilizao dos recursos de TI.

Ps-graduao

93

A importncia de mensurar os riscos to relevante, porque, justamente atravs do conhecimento destes que se implantam as regras de segurana no SGSI. Essencial que a alta gerncia tenha conhecimento dos riscos que a empresa esteja correndo, para no ser surpreendida. Uma avaliao constante dos riscos deve ser realizada e a estratgia de recuperao, em caso de perda ou dano, tem que estar relacionada. Muitas vezes, as polticas de conteno para evitar riscos demandam custos financeiros, tempo e consomem mais recursos computacionais e humanos. Por estes motivos, gerentes de informtica ou diretores relegam o segundo plano de implantao de medidas, no sentido de evitar riscos, deixando que eles existam e possam acontecer. Nestes casos, cabe ao auditor responsabilizar pontualmente a pessoa pelo eventual risco que a empresa est correndo. O simples fato de atribuir um determinado risco a uma determinada pessoa faz com que esta delegue medidas para evitar o risco de segurana da informao.

Ameaas de invaso
Ameaa de invaso o que toda empresa no quer. As invases podem vir tanto de fora da empresa como de dentro. A proteo contra invaso tem de ser contemplada pelo SGSI e o auditor tem de verificar se existem tentativas de invaso ou se j ocorreram. As invases podem interferir na continuidade dos negcios da empresa, como perda de confiabilidade das informaes, integridade e, principalmente, a continuidade de disponibilidade da mesma. O auditor avalia o grau de risco de cada possibilidade de invaso. Normalmente a proteo contra invaso est na constante atualizao dos softwares de proteo. Ter evitado uma invaso no significa que a empresa no v mais sofrer o mesmo ataque, por isso os controles contra acessos indevidos precisam estar ativos durante as 24 horas do dia, inclusive sobre dados e informaes que saiam da empresa, como por exemplo, o envio de cpias de segurana para locais fora da empresa.

Recursos de TI abrangentes no SGSI


Os recursos de TI, hardware e software, devem estar documentados no SGSI. Ter os respectivos recursos autorizados pode no ser o suficiente, preciso que estes sejam utilizados em conformidade com o estipulado pelo SGSI. Um exemplo de utilizao pode ser conferido aos e-mails, os quais devem ser utilizados com a

Auditoria de sistemas de gesto de segurana da informao

94

finalidade de efetuar operaes relacionadas ao trabalho na empresa, e no para assuntos particulares. Atividades de trabalho inerentes s atividades da empresa tambm devem ser conferidas pelo auditor, pois possvel que funcionrios tragam trabalhos externos empresa, para serem executados ali. Este tipo de prtica tem de ser verificado por softwares que realizem varreduras nas estaes de trabalho, em busca de contedos suspeitos.

Implantao do SGSI
Antes de realizar a implantao do SGSI, preciso checar se o mesmo condiz com as medidas e as regras condizentes, por sua vez, com a natureza da segurana da informao de que a empresa necessita. O auditor tambm deve averiguar se as pessoas envolvidas na elaborao do SGSI tm capacidade tcnica para tal realizao. Uma vez elaborado o SGSI, um plano de implantao deve ser tratado, visto que pode haver resistncia por parte de alguns funcionrios com relao a poder e antiguidade na empresa. O processo de implantao deve deixar clara a necessidade de um SGSI na empresa e o benefcio do mesmo para a segurana da informao, como tornar evidente que este um processo irreversvel.

Execuo do SGSI
Tudo no pode ficar excelente apenas no papel, preciso averiguar se as normas e controles propostos no SGSI esto sendo executados pelos envolvidos e respaldados pela alta gerncia. O auditor tem que conferir detalhadamente as normas contidas no SGSI e verificar in loco se esto sendo cumpridas. O no cumprimento do SGSI representa um risco de alto nvel. Pior que no ter um SGSI ter um que no cumprido, ter a sensao que as informaes esto protegidas, quando no esto. O auditor deve realizar esta verificao em vrios nveis e locais na empresa, inclusive realizando tentativas de violao das regras do SGSI para a verificao da eficincia dos controles de segurana. relevante que uma avaliao peridica do SGSI seja feita e repassada ao conhecimento dos envolvidos, para, cada vez mais, ampliar as responsabilidades dos funcionrios da empresa perante a aplicao do SGSI. O incio da implantao do SGSI tem que ser documentado e validado pela alta gerncia e levado ao conhecimento de todos os funcionrios envolvidos e, se for o caso, coletar um ciente de cada funcionrio da empresa. A importncia do conhecimento elimina, futuramente, a alegao de desconhecimento do SGSI para justificar prticas ilegais.

Ps-graduao

95

Acompanhamento do SGSI
No basta implantar um SGSI e virar as costas e achar que tudo correr perfeito: necessrio acompanhar a execuo para analisar se o que foi elaborado est sendo cumprido e se o mesmo suficiente para garantir a segurana da informao. O acompanhamento deve existir e um relatrio deve ser divulgado constantemente a todos os envolvidos, inclusive os erros e ajustes que se fizeram necessrios devem constar a. Para que o SGSI no seja relegado a segundo plano, justifica-se a importncia do acompanhamento, assim como importante divulgar as aes de correo e se estas foram suficientes. O acompanhamento ainda deve verificar se as auditorias foram realizadas regularmente e a sua respectiva abrangncia. A ausncia de auditoria pode esconder deficincias do SGSI, e, conforme a gravidade dessas, colocar as informaes em risco. possvel que o SGSI fique defasado por falta de recursos humanos disponveis na empresa, o que pode decorrer de uma forte mudana de estratgia em seus negcios. Esta constatao deve ser apontada pelo auditor para certificao de que o SGSI no esteja prejudicado em sua abrangncia. O relatrio do acompanhamento, como o prprio auditor, tambm pode sugerir um aperfeioamento no SGSI. Manter um histrico do acompanhamento muito til para constatar se as aes passadas se tornaram eficazes. Um histrico um forte respaldo para justificar uma ao futura, inclusive uma ao de conduta individual no apropriada.

Importante
Um aspecto relevante quanto ao acompanhamento levar em considerao as constataes colocadas pelos funcionrios, pois algumas sugestes podem trazer medidas de segurana eficazes, visto que so eles que lidam no dia a dia com as informaes.

Ou seja, a leitura que se faz da necessidade de acompanhamento traduz-se na constatao de que o SGSI eficaz, ou no, o que muito importante para o auditor, pois, conforme o caso, pode levar a rever todo o modelo do SGSI, ou garantir a tranquilidade de que as informaes esto seguras.

Referncias
ISO/IEC 27001. Tecnologia da Informao, Tcnicas de Segurana, Sistemas de Gerenciamento de Segurana da Informao, Necessidades ISO/IEC, 2005. ISO/IEC 27001. Tecnologia da Informao, Tcnicas de Segurana, Sistemas de Gerenciamento de Segurana da Informao, Requisitos ISO/IEC, 2006.

Auditoria de sistemas de gesto de segurana da informao

96

Responsabilidades e competncias
Marcio Ghisi Guimares

A garantia dos recursos tecnolgicos tambm deve ser auditada, pois, sem estes recursos prometidos, fatalmente alguma interferncia na segurana das informaes ocorrer. As responsabilidades podem ser atribudas a recursos humanos, competncia de auditoria, parecer da alta gerncia, do mesmo modo que a responsabilidade sobre o futuro da aplicao das auditorias.

Responsabilidades e competncias da alta gerncia


Quando a alta gerncia define uma linha a ser tomada pelo Sistema de Gesto de Segurana da Informao (ISO/IEC 27001, 2006), esta deve assumir a responsabilidade do sucesso ou do fracasso. Se os resultados no forem os esperados, uma auditoria pode revelar os motivos de tal resultado. Influncias alheias (crises internacionais, enchentes, etc.) vontade da alta gerncia podem ocasionar desvios de resultados, mas o no cumprimento das regras estipuladas deve ser apurado, e verificadas as devidas responsabilidades (GIL, 2000). Em muitos casos, a execuo do SGSI requer recursos financeiros que foram garantidos previamente pela alta gerncia. A liberao parcial desses recursos pode comprometer os objetivos esperados. De forma independente, se for o caso, o auditor deve apontar esta constatao em seu relatrio de auditoria. A competncia da alta gerncia no deve influenciar diretamente os trabalhos tcnicos dos funcionrios. Para a comunicao entre ambos existem os chefes intermedirios, os quais devem ser acionados para tal comunicao. A ao direta da alta gerncia sobre os funcionrios pode violar a estrutura organizacional da empresa e acarretar o constrangimento de chefes intermedirios e descontentamentos por parte de outros. A responsabilidade e a competncia mais relevante da alta gerncia residem no cumprimento da liberao dos recursos autorizados inicialmente e limitamse a sua abrangncia de competncia. (GIL, 2000). Tambm no deve trocar os objetivos ou metas anteriormente estipuladas sem uma razo consistente, pelo fato de que mudanas de objetivos podem acarretar perdas de trabalho ou retrabalho.

Ps-graduao

97

Responsabilidades da garantia de recursos tecnolgicos


Recursos previamente estipulados com relao a hardware, software e recursos humanos devem ser garantidos e liberados pela alta gerncia, conforme estipulados no SGSI (ISO/IEC 27001, 2006). A falta desses pode comprometer os objetivos, as metas e os prazos. O no comprometimento de recursos justificase quando as ocorrncias alheias vontade da alta gerncia ocorrem, como por exemplo: enchentes, colapsos na economia, perda de clientes potenciais, etc. De forma independente, se a falta de recursos comprometer a segurana da informao, o auditor deve apontar no relatrio de auditoria o detalhamento ocasionado pelo no cumprimento dos recursos previamente autorizados.

Responsabilidades de recursos humanos


No suficiente aos recursos humanos a capacidade tcnica apenas; tambm necessrio o comprometimento com os projetos de desenvolvimento, relativo ao cumprimento dos prazos j estabelecidos (GIL, 2000). A existncia de uma estrutura organizacional bem definida e respeitada faz com que os recursos humanos no sejam submetidos a tarefas alm das j assumidas. O descontrole na deliberao de atividades para recursos humanos pode comprometer prazos e qualidade dos projetos. Normalmente os recursos humanos tm um limite na capacidade de atividade e a sobrecarga pode gerar insatisfao. A delegao de atividades, responsabilidades no cumprimento de prazos tem de ser auditada; igualmente deve ser checada no SGSI a existncia ou no de algum controle neste sentido. A TI sofre atualizaes tecnolgicas constantemente, deste modo o treinamento dos recursos humanos faz-se necessrio, evitando que a empresa fique tecnologicamente defasada e tenha dificuldades de continuao de negcio (ISO/IEC 27001, 2006). O treinamento deve ocorrer por responsabilidade dos funcionrios, da empresa ou de forma mista. Cabe ao auditor verificar a quem compete a responsabilidade de treinamento. As atribuies de atividades aos recursos humanos no capacitados comprometem diretamente os prazos, a qualidade de software, a satisfao dos clientes. Recurso humano no capacitado tarefa ao qual submetido pode chegar ao ponto de ele no cumprir os projetos, alm de estender os prazos de entrega. Por isso, relevante ao auditor apurar a responsabilidade de cada recurso humano com relao atividade que executa.

Auditoria de sistemas de gesto de segurana da informao

98

Rotatividade de recursos humanos no um bom sinal. Repassar o conhecimento de sistemas integrados de informao no uma tarefa que se faa em curto espao de tempo. Quando uma pessoa decide sair da empresa, o tempo do aviso prvio determinado pela Consolidao das Leis Trabalhistas (CLT) era de trinta dias corridos. Com o advento da Constituio Federal a durao do aviso prvio era, at outubro/2011, de 30 (trinta) dias, independentemente do tempo de servio do empregado na empresa. Com a publicao da Lei 12.506/2011, a partir de 13/10/2011 a durao passou a ser considerada de acordo com o tempo de servio do empregado, podendo chegar at a 90 (noventa) dias. Assim, em um curto espao de tempo, a empresa tem de selecionar, admitir e treinar uma nova pessoa. Este fato pode comprometer a segurana da informao, pois na rea da Tecnologia da Informao nem sempre em um curto espao de tempo possvel repassar o funcionamento e a arquitetura dos sistemas para outra pessoa facilmente. Desta forma, o auditor deve averiguar as responsabilidades de comprometimento de trabalho dos empregados com a empresa e vice-versa. A rotatividade de difcil normatizao em um SGSI, mas uma linha de comunicao com os recursos humanos sobre satisfao, problemas ocorridos, casos de sucesso, bem-vinda.

Responsabilidade e competncia de auditoria no SGSI


A auditoria no Sistema de Gesto de Segurana da Informao tem que analisar desde a elaborao, implantao, execuo e documentao (GIL, 2000). Todas estas etapas devem ser auditadas constantemente, conforme o grau crtico de segurana das informaes. Neste sentido, cabe ao auditor verificar a quem cabe a responsabilidade de autorizar as auditorias no SGSI. Durante a auditoria no SGSI, o auditor tem que estar ciente das suas competncias, de forma a no prejudicar o andamento dos trabalhos dos auditados. A auditoria no SGSI deve ficar limitada ao escopo do SGSI, ou seja, abrangncia do mesmo. Caso o auditor descubra um fato relevante e irrefutvel, o auditor deve apontar este fato para outra auditoria, de modo a no comprometer a j existente em termos de qualidade e prazo. Lembra-se que o auditor tem de possuir carter imparcial, para no deixar que o relatrio de auditoria seja influenciado por quem encomendou a auditoria. Se o auditor no for imparcial, coloca em risco a sua reputao perante a empresa, os auditados e os colegas auditores. A auditoria no SGSI deve ter um planejamento, com data inicial e final de auditoria e o escopo da mesma. Aps definidos estes parmetros no planejamento, o custo financeiro definido. Estes parmetros no devem ser alterados, pois quem encomenda a auditoria espera receber o relatrio da mesma na data final planejada e pelo custo financeiro previamente acordado. Desta forma, o auditor tem responsabilidade com o planejamento da auditoria.

Ps-graduao

99

Parecer da alta gerncia sobre a auditoria no SGSI


importante que o auditor entregue o seu relatrio final de auditoria somente para quem encomendou a auditoria (ISO/IEC 27001, 2005). Por questes de sigilo, resultados de auditoria devem ser divulgados para o conhecimento de terceiros somente por quem encomendou a auditoria. Mesmo assim, interessante ao auditor conhecer o parecer da alta gerncia sobre o relatrio final da auditoria, pois este parecer pode influenciar na qualidade e no planejamento de futuras auditorias. Assim como as auditorias, os pareceres tambm devem ficar documentados para formar o histrico das auditorias no SGSI. O histrico serve de justificativa para novas aes de auditorias. A satisfao, ou no, da alta gerncia pode levar a alterao na elaborao, melhoramento ou at a uma reviso mais profunda.

Futuro da auditoria no SGSI


Como as empresas utilizam recursos de TI e dependem deles cada vez mais, faz-se necessria a realizao de auditorias no SGSI para a segurana das informaes, pois as empresas no podem, em hiptese nenhuma, perd-las. Com a perda da informao, muitas empresas param de operar, mesmo sem perda de nenhum produto de estoque, por exemplo. Mas como a complexidade tecnolgica dos recursos de informtica aumenta a capacidade tcnica do auditor, tambm deve acompanhar a evoluo tecnolgica (ISO/IEC 27001, 2005). Muitas vezes, fica difcil a uma s pessoa dominar o conhecimento de vrias reas. Nestes casos, o auditor deve assessorar-se de outras pessoas que detm o conhecimento necessrio. Sem o conhecimento tcnico das diversas reas tecnolgicas, fica difcil realizar a auditoria com a qualidade pretendida. A auditoria deve ser o mais breve possvel, para no atrapalhar as atividades dos auditados, no estender os custos e apresentar o retorno o mais breve possvel a quem encomendou a auditoria. Portanto realizar auditoria sem conhecimento tcnico far com que o tempo de execuo aumente, alm de lhe comprometer a eficcia. Assim pode-se deduzir que a necessidade de auditoria crescente, mas a capacidade de realizao, de parte dos auditores passa pela evoluo e acompanhamento tecnolgico destes.

Auditoria de sistemas de gesto de segurana da informao

100

Referncias
GIL, Antonio de Loureiro. Auditoria de computadores. So Paulo: Atlas, 2000. ISO/IEC 27001. Tecnologia da Informao, Tcnicas de Segurana, Sistemas de Gerenciamento de Segurana da Informao, Necessidades ISO/IEC, 2005. ISO/IEC 27001. Tecnologia da Informao, Tcnicas de Segurana, Sistemas de Gerenciamento de Segurana da Informao, Requisitos ISO/IEC, 2006.

Atividades de autoaprendizagens
1. De acordo com o que voc estudou sobre Sistema de Gesto de Segurana da Informao (SGSI), analise as frases a seguir e assinale V para as sentenas verdadeiras e F para as falsas. a. ( ) O SGSI deve ter o apoio da alta gerncia. b. ( ) A alta gerncia no precisa ter conhecimento do SGSI, apenas os funcionrios. c. ( ) necessrio realizar auditoria no SGSI apenas na implantao do mesmo. d. ( ) Os riscos so previstos no SGSI.

2. Com base nos estudos desta disciplina, assinale as alternativas corretas. a. ( ) O auditor deve limitar-se abrangncia do SGSI. b. ( ) O SGSI deve estar alinhado com os negcios da empresas e, caso as estratgias de negcio mudem, o SGSI deve ser revisto. c. ( ) As ameaas de invases que, por ventura, tenham ocorridos no devem constar no histrico do SGSI. d. ( ) Os recursos de TI no so contemplados pelo SGSI. e. ( ) A implantao do SGSI deve ser amplamente divulgada, para evitar alegao de desconhecimento por partes dos envolvidos.

Ps-graduao

101

3. A partir dos estudos sobre as responsabilidades e competncias, analise as proposies a seguir, marcando V para as sentenas verdadeiras e F para as falsas. a. ( ) A alta gerncia tem responsabilidade sobre o SGSI. b. ( ) Os funcionrios no tm responsabilidades sobre o SGSI. c. ( ) Um recurso humano deve ter a competncia para realizar a tarefa a que submetido. d. ( ) A auditoria no SGSI deve ficar limitada ao escopo do SGSI.

Atividades colaborativas
1. Considerando o contedo estudado da unidade 4, responda: Por que razo a auditoria deve ficar limitada ao planejamento da mesma? Publique sua resposta na ferramenta Frum.

2. Considerando o contedo estudado, responda, com suas prprias palavras, por que razo o auditor deve ser independente? Justifique a sua resposta, utilizando a ferramenta Frum.

3. Qual a importncia do parecer da alta gerncia sobre o relatrio final de auditoria? Justifique sua resposta, utilizando a ferramenta Exposio.

Sntese
A delimitao da abrangncia muito importante para o auditor, pois atravs desta que o auditor pode constatar as responsabilidades dos envolvidos. O SGSI deve estar alinhado com os negcios da empresa, com relao a estratgias de negcio, competitividade, atuao no mercado, relao com clientes e fornecedores, etc.

Auditoria de sistemas de gesto de segurana da informao

102

Os riscos devem ser mensurados e constar no SGSI. Estes devem ficar bem claros para todos os envolvidos, como tambm para a alta gerncia. As invases podem vir de fora da empresa, como tambm de dentro. A proteo contra invaso deve ser contemplada pelo SGSI; tambm deve ser verificado pelo auditor se existem tentativas de invaso e, ainda, se j ocorreram. Claramente, deve estar documentada a utilizao dos recursos de hardware e software no SGSI. O auditor tambm deve verificar se as pessoas envolvidas na elaborao do SGSI tm capacidade tcnica para tal realizao. Uma vez elaborado o SGSI, um plano de implantao deve ser tratado, visto que pode haver resistncia por parte de alguns funcionrios com relao a poder e antiguidade na empresa. Na execuo do SGSI, preciso verificar se as normas e controles propostos no SGSI esto sendo executados pelos envolvidos e respaldados pela alta gerncia. Por fim, o acompanhamento se faz necessrio, para verificar se o que foi elaborado est sendo cumprido e suficiente para garantir a segurana da informao. As responsabilidades e competncias precisam estar bem definidas para melhor comprometimento das pessoas envolvidas. Quando a alta gerncia define uma linha a ser tomada pelo SGSI, esta deve assumir a responsabilidade de sucesso ou fracasso. A responsabilidade da garantia de recursos tecnolgicos deve estar previamente estipulada com relao a hardware, software e recursos humanos que devem ser garantidos e liberados pela alta gerncia, conforme estipulados no SGSI. A falta destes pode comprometer objetivos, metas e prazos. No suficiente aos recursos humanos a capacidade tcnica apenas. necessrio o comprometimento com os projetos de desenvolvimento, no tocante ao cumprimento de prazos j estabelecidos. O treinamento dos recursos humanos faz-se necessrio, para que a empresa no fique tecnologicamente defasada e tenha dificuldades de continuao de negcio. Por responsabilidade dos funcionrios, pela empresa ou por uma forma mista, o treinamento deve ocorrer.

Ps-graduao

103

Neste sentido, cabe ao auditor verificar a quem cabe a responsabilidade de autorizar as auditorias no SGSI. Durante a auditoria no SGSI, o auditor deve estar ciente das suas competncias, de forma a no prejudicar o andamento dos trabalhos dos auditados. A auditoria no SGSI deve ficar limitada ao escopo do SGSI, ou seja, somente abrangncia do mesmo. Por questes de sigilo, resultados de auditoria devem ser divulgados para o conhecimento de terceiros somente por quem encomendou a auditoria. Mesmo assim, interessante ao auditor conhecer o parecer da alta gerncia sobre o relatrio final da auditoria, pois este parecer pode influenciar na qualidade e no planejamento de futuras auditorias. Por fim, o futuro das auditorias nos Sistemas de Gesto da Segurana da Informao est condicionado capacidade tcnica do auditor e da utilizao de recursos tecnolgicos pelas empresas. As empresas esto consumindo cada vez mais recursos tecnolgicos e seguem cada vez mais dependentes destes. Os negcios das empresas esto totalmente inseridos em sistemas de informao, no existindo espao para operaes manuais. Mas, para a realizao de auditorias em SGSI, o auditor deve ter conhecimento tcnico das reas que vai auditar, ou assessorar-se de pessoas com os conhecimentos necessrios. Desta forma, conclui-se que as auditorias vo se fazer necessrias para garantir a segurana das informaes.

Saiba mais
ISO/IEC FCD 27007. Information technology, Security techniques, Guidelines for information security management systems auditing. ISO/IEC JTC 1/SC 27 N9971. Information technology, Security techniques, Guidelines for identification, collection, acquisition and preservation of digital evidence. ISO/IEC WD 27008. Information technology, 10 Security techniques, Guidelines for auditors on information security 11 management systems controls.

Auditoria de sistemas de gesto de segurana da informao

Para concluir os estudos

Parabns por ter concludo com xito o contedo desta disciplina. Aps a leitura deste livro didtico, voc pde concluir a importncia da auditoria diretamente relacionada com a segurana da informao. Quanto mais crtica for a segurana da informao, mais necessria a auditoria da segurana da informao. Em empresas que dependem totalmente das informaes depositadas em computadores para a continuidade de seus negcios, quanto custa a perda das informaes? A perda das informaes pode deixar uma empresa sem operao por dias, causando enorme prejuzo no faturamento e colocando em risco a sua credibilidade perante clientes, fornecedores e alta gerncia. A auditoria no se faz presente somente para evitar perda de informao, mas tambm para saber se a operao de sistemas est condizente e correta com a legislao pertinente, com as regras de negcio e com o alinhamento da alta gerncia. O auditor deve ser imparcial. A importncia disto est relacionada diretamente com a qualidade da auditoria. Se o auditor alterar seu relatrio de auditoria por interesse de quem encomendou a auditoria, toda a auditoria estar comprometida, como tambm a sua reputao. O auditor deve por si s descobrir e verificar os fatos, no deve perguntar nada ao auditado. obvio que se o auditado estiver escondendo alguma operao fraudulenta ou incorreta, este esconder informaes e operaes inconsistentes. Tambm existe a inteno do auditado de tentar prejudicar a auditoria, no sentido de no repassar totalmente as informaes para o auditor, ou repass-las de forma errnea.

106

No mundo da Tecnologia da Informao, todos os recursos de TI utilizados pela empresa, sejam mais ou menos importantes, devem ser auditados, pois o processamento de dados um conjunto de recursos necessrios para disponibilizar as informaes, e, se apenas um destes recursos fica fora de operao, a informao pode deixar de ser disponibilizada. Por fim, a auditoria da segurana da informao dinmica, devendo ser flexvel conforme a complexidade de utilizao dos recursos de TI pela empresa. Logo, as reas apresentadas neste livro como as que devem ser auditadas podem sofrer expanso, aumentando a abrangncia da auditoria. Um conhecimento mais aprofundado sobre a Auditoria da Segurana da Informao voc encontrar nas referncias bibliogrficas postas neste livro. Mas, certamente, o contedo apresentado neste livro lhe dar o embasamento inicial para a realizao da auditoria da segurana da informao.

Ps-graduao

Minicurrculos

Luiz Otvio Botelho Lento Graduado em Cincias Naval, pela Escola Naval. Mestre em Cincia da Computao pela Universidade de Campinas (UNICAMP) (Sistemas Distribudos) e doutorando na Universidade Federal de Santa Catarina (UFSC), em Engenharia Eltrica, com concentrao na rea de Segurana da Informao. Oficial da Marinha da reserva, j atuou no governo federal na rea de redes de computadores e segurana da informao. Consultor de treinamento e consultor de empresas na rea de redes e segurana. Professor das disciplinas Rede de Computadores e Segurana da Informao nos cursos de graduao no Centro Universitrio de Braslia (UNICEUB), bem como orientador de trabalhos de concluso de curso (TCC). Professor de cursos de graduao e ps-graduao na rea de redes de computadores e segurana da informao na Universidade Catlica de Braslia (UCB). Consultor de Segurana do SENAI de Santa Catarina (CTAI) bem como professor nos cursos de graduao e ps-graduao na rea de redes e segurana da informao. Consultor da Federao das Indstrias do Estado de Santa Catarina (FIESC) na rea de redes de computadores e segurana da informao. Atualmente, professor nos cursos de graduao e ps-graduao da Universidade Estcio de S na rea de redes de computadores e segurana da informao. Professor de graduao e ps-graduao da Unisul, na modalidade presencial, e da UnisulVirtual nas reas de redes, segurana da informao e software livre, e coordenador do curso de ps-graduao de Implantao de Software Livre e Gesto de Segurana da Informao. Autor de livros didticos na rea de redes, segurana da informao e software livre. Membro da ISACA e da ABNT/CB21/CE 27 Comit Brasileiro de Computadores e Processamento de Dados Segurana da Informao (colaborador).

108

Mrcio Ghisi Guimares Formado em Cincias da Computao pela Universidade Federal de Santa Catarina (UFSC). Especialista em Auditoria de Controle Externo pela Universidade do Estado de Santa Catarina (UDESC). Mestre em Sistemas de Conhecimento pela UFSC. Professor na Universidade do Sul de Santa Catarina (UNISUL), na modalidade de ensino presencial e na UnisulVirtual a distncia. Foi conteudista dos livros de Modelos de Negcios em Software Livre, Seleo e Avaliao de Software e, agora, em Auditoria da Segurana da Informao. Atualmente Auditor Fiscal de Controle Externo no Tribunal de Contas do Estado de Santa Catarina, na rea de Cincias da Computao.

Ps-graduao

Respostas e comentrios das atividades de autoaprendizagem e colaborativas

Unidade 1
Autoaprendizagem 1. A, E, F, H 2. a) V, b) F, c) V, d) V Colaborativas 1. A interna est relacionada a sua prpria organizao, isto , audita-se o prprio sistema, e a externa, quando se audita um fornecedor ou quando se auditado por um cliente. 2. Os objetivos do programa de auditoria so importantes para direcionar tanto o planejamento quanto a realizao das auditorias. 3. Basicamente, para que o relatrio final no seja influenciado por quem encomendou a auditoria. Caso o auditor no seja independente, esse coloca sua reputao em dvida e deve assumir as responsabilidades da divulgao do relatrio final. Tambm outra auditoria pode ser encomendada e ser auditada por outro auditor, para confrontar os relatrios finais.

Unidade 2
Autoaprendizagem 1. a) V, b) F, c) F, d) V 2. a) F, b) V, c) V, d) F 3. A, D, E

110

Colaborativas 1. A escolha da rea pessoal, mas deve ser justificada a escolha para promover debate. 2. A mudana pode comprometer os sistemas de informao e estes afetarem as informaes armazenadas no banco de dados.

Unidade 3
Autoaprendizagem 1. a) V, b) V, c) F, d) F 2. A, D, E 3. a) F, b) F, c) V, d) F Colaborativas 1. A operao de sistemas representa o resultado da execuo dos recursos de TI que a empresa utilizada pela empresa e representa a operao das transaes da empresa. Os sistemas em operao transcrevem as transaes que a empresa realiza. Portanto, se a operao de sistema estiver inconsistente, o fluxo de transaes da empresa estar tambm comprometido, visto que, nos dias atuais, as empresas operam totalmente de forma informatizada, as operaes das empresas esto implantadas e so executadas pelos sistemas em operao e por esta forte constatao devem ser fortemente auditados os sistemas em operao. 2. Os controles lgicos representam a segurana em recursos vitais, como o banco de dados, aplicativos, sistema operacional e redes. Estes recursos so muito visados por ataques de violao e, por este motivo, requerem uma maior ateno do auditor.

Ps-graduao

111

Unidade 4
Autoaprendizagem 1. a) V, b) F, c) F, d) V 2. a) V, b) V, c) F, d) F, e) V 3. a) V, b) F, c) V, d) V Colaborativas 1. O aluno deve responder no sentido de que a auditoria deve ter uma data de incio e trmino. Dentro deste perodo, o auditor deve realizar o que foi estipulado no planejamento. Se o auditor se estender alm do que foi estipulado no planejamento da auditoria, este correr o risco de extrapolar os prazos de incio e trmino, como tambm pode extrapolar os custos financeiros. 2. O aluno deve responder no sentido de que, se o auditor no for independente, o relatrio final da auditoria pode no transcrever a situao real da segurana da informao. Tambm a reputao do auditor pode ficar comprometida. 3. importante ao auditor conhecer o parecer da alta gerncia para saber se os resultados alcanados satisfizeram os interesses da alta gerncia, ou no. A satisfao da alta gerncia pode alterar a conduta das prximas auditorias. O parecer deve ficar documentado na auditoria.

Auditoria de Segurana da Informao

Referncias

ANDR, L. N. Campos. Sistema de segurana da informao. Florianpolis: Visual Books, 2006. AUDITORIA externa ou auditoria independente. Portal da auditoria. nov. 2011. Disponvel em: <http://www.portaldeauditoria.com.br/sobreauditoria/o-que-eAuditoria-Externa.asp>. Acesso em: 14 dez. 2011. VILA, Rafael. Imagem de lupa sobre grficos financeiros: auditoria. Blog luz loja de consultoria. 2 nov. 2011. Disponvel em: <http://blog.lojadeconsultoria.com.br/ inspiracao/conheca-as-10-empresas-mais-sustentaveis-do-mundo-sera-mesmo/ attachment/imagem-de-lupa-sobre-graficos-financeiros-auditoria-luz-loja-deconsultoria/>. Acesso em: 7 dez. 2011. BRITISH STANDARDS INSTITUTE (BSI). Auditor Interno ISO/IEC 27001:2005 Sistema de Gesto de Segurana da Informao BSI Learning, 2008. BRITISH STANDARDS INSTITUTE (BSI). Curso Auditor Interno ISO/IEC 27001: 2005 SGSI, BSI Learning, 2008. CAMPOS, Andr L. N. Sistema de segurana da informao. Florianpolis: Visual Books, 2006. DIAS, Cludia. Segurana e auditoria da tecnologia da informao. Rio de Janeiro: Excel Books, 2000. FERREIRA, Fernando Nicolau Freitas. Segurana da informao. Rio de Janeiro: Cincia Moderna, 2003. FOINA, Paulo Rogrio. Tecnologia de informao: planejamento e gesto. So Paulo: Atlas, 2001. FREEMAN, R. E. Strategic management: a stakeholder approach. Massachusetts: Pitman, 1984.

114

Gabinete de Segurana Institucional da Repblica. Departamento de Segurana da Informao e Comunicaes. Disponvel em: <http://dsic.planalto.gov.br/>. Acesso em: 12 mar. 2012. GIL, Antonio de Loureiro. Auditoria de computadores. So Paulo: Atlas, 2000. GRAEML, Alexandre Reis. Sistemas de informao: o alinhamento da estratgia de TI com a estratgia corporativa. So Paulo: Atlas, 2003. ISO/IEC 27001. Tecnologia da Informao, Tcnicas de Segurana, Sistemas de Gerenciamento de Segurana da Informao, Necessidades, ISO/IEC, 2005. ISO/IEC 27001. Tecnologia da Informao, Tcnicas de Segurana, Sistemas de Gesto de segurana da informao, Requisitos, ISO/IEC, 2006. ISO/IEC 27002. Information technology, Security techniques, Code of practice for information security management, Redesignation of ISO/IEC 17799: 2005. ISO/IEC FCD 27007. Information technology, Security techniques, Guidelines for information security management systems auditing. ISO/IEC JTC 1/SC 27 N9971. Information technology, Security techniques, Guidelines for identification, collection, acquisition and preservation of digital evidence. ISO/IEC WD 27008. Information technology, 10 Security techniques, Guidelines for auditors on information security 11 management systems controls. LYRA, Mauricio Rocha Lyra. Segurana e auditoria em sistema de informao. Rio de Janeiro: Cincia Moderna, 2008. MANUAL de auditoria interna. 2 verso. Companhia Nacional de Abastecimento (CONAB); Coordenadoria de Auditoria Interna (COAUD), 2008. Disponvel em: <http://www.conab.gov.br/downloads/regulamentos/ManualdeAuditoriaInterna. pdf>. Acesso em: 9 dez. 2011. MCAFEE compra de empresa de gesto da segurana da informao. Notcias do setor. Multidata: tecnologia, gesto, resultados. 5 out. 2011. Disponvel em: <http:// www.multidata.com.br/noticia-do-setor/mcafee-compra-de-empresa-de-gestao-daseguranca-da-informacao.html> Acesso em: 8 dez. 2011. MELLO, Agostinho de Oliveira. Instituto dos auditores internos do Brasil. Organizao bsica da auditoria interna. Biblioteca Tcnica de Auditoria Interna. 2005.

Ps-graduao

115

MONTEIRO, Emiliano Soares. Segurana em ambientes corporativos. Florianpolis: VisualBooks, 2003. NAKAMURA, Emlio Tissato. Segurana de redes em ambientes coorporativos. So Paulo: Novatec Editora, 2007. NBR ISO 19011. Diretrizes para auditorias de sistema de gesto da qualidade, 2002. NETO, Ablio Bueno; SOLONCA, Davi. Auditoria de sistemas informatizados. Palhoa: UnisulVirtual, 2007. RAMOS, Anderson; ANDRUCIOLI, Alexandre; SOUZA, Alexandre de; VARGAS, Alexandre; GALVO, Mrcio; HASHIMOTO, Rafael; GIORGI,Ricardo; AGIA, Rodrigo. Guia oficial para formao de gestores em segurana da informao. Rio de Janeiro: ZOUK, 2006. REVISTA Info Exame. Disponvel em: <http://www.info.abril.com.br>. Acesso em 12 mar. 2012. ROCHA, Joo. Os dados da sua empresa esto seguros? Duvido! Rio de Janeiro: Brasport, 2004. SCHNEIER, Bruce. Segurana.com: segredos e mentiras sobre a proteo na vida digital. Rio de Janeiro: Campus, 2001. SMOLA, Marcos. A importncia da gesto da segurana da informao. 2010. Disponvel em: <http://www.lyfreitas.com/artigos_mba/ GestaoSegurancaInformacao.pdf>. Acesso em: 9 dez. 2011. SMOLA, Marcos. Gesto da segurana da informao: uma viso executiva. Rio de Janeiro: Campus. 2003. SHAO-HUA Zhang, NING Gu. Research on Workflow of Virtual Organization, The Eighth International Conference on Computer Supported Cooperative Work in Design, Xiamen, China, 2003. SOFTWARE livre no governo do Brasil. Disponvel em: <http://www.softwarelivre. gov.br/artigos>. Acesso em: 12 mar. 2012. UNIDADE de auditoria interna. Definies de auditoria interna. Universidade Federal Rural do Semi-rido (UFERSA). 05 mar. 2009. Disponvel em: <http://www2. ufersa.edu.br/portal/divisoes/audint/1315>. Acesso em: 9 dez. 2011.

Auditoria de Segurana da Informao

You might also like