Professional Documents
Culture Documents
GSIC345
AUDITORIA E CONFORMIDADE DE
SEGURANA DA INFORMAO
VERSO 1
Dilma Rousseff
Presidente da Repblica
Jos Elito Carvalho Siqueira
Ministro do Gabinete de Segurana Institucional
Antonio Sergio Geromel
Secretrio Executivo
Raphael Mandarino Junior
Diretor do Departamento de Segurana da Informao e
Comunicaes
Reinaldo Silva Simio
Coordenador Geral de Gesto da Segurana da
Informao e Comunicaes
Fernando Haddad
Ministro da Educao
UNIVERSIDADE DE BRASLIA
Jos Geraldo de Sousa Junior
Reitor
Joo Batista de Sousa
Vice-Reitor
Pedro Murrieta Santos Neto
Decanato de Administrao
Rachel Nunes da Cunha
Decanato de Assuntos Comunitrios
Mrcia Abraho Moura
Decanato de Ensino de Graduao
Oviromar Flores
Decanato de Extenso
Denise Bomtempo Birche de Carvalho
Decanato de Pesquisa e Ps-graduao
Nora Romeu Rocco
Instituto de Cincias Exatas
Priscila Barreto
Departamento de Cincia da Computao
CEGSIC
Coordenao
Jorge Henrique Cabral Fernandes
Secretaria Pedaggica
Andria Lac
Eduardo Loureiro Jr.
Lvia Souza
Odacyr Luiz Timm
Ricardo Sampaio
Assessoria Tcnica
Gabriel Velasco
Secretaria Administrativa
Indiara Luna Ferreira Furtado
Jucilene Gomes
Martha Arajo
Texto e ilustraes: Roberto W. S. Rodrigues; Jorge H. C. F.ernandes | Capa, projeto grfico e diagramao: Alex Harlen
Desenvolvido em atendimento ao plano de trabalho do Programa de Formao de Especialistas para a Elaborao da
Metodologia Brasileira de Gesto de Segurana da Informao e Comunicaes CEGSIC 2009-2011.
Este material distribudo sob a licena creative commons
http://creativecommons.org/licenses/by-nc-nd/3.0/br/
Sumrio
[6] Currculo Resumido do Autor (Roberto Wagner da Silva Rodrigues)
[6] Currculo Resumido do Autor (Jorge Henrique Cabral Fernandes)
[7] 1. Introduo
1.1 Princpios Gerais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
1.2 Controle Interno . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
1.3 Auditoria e Controle, Interno e Externo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.4 Porque Necessria a Segurana da Informao? . . . . . . . . . . . . . . . . . . . 10
1.5 Porque Auditar a Segurana da Informao? . . . . . . . . . . . . . . . . . . . . . . . . 11
1. Introduo
A sempre crescente demanda por prestao de mais e melhores servios pblicos tornou
necessrio disponibilizar meios de processamento de dados e de comunicao para troca de
informaes, bem como para permitir interao entre as organizaes pblicas e os cidados.
Essa interao tem sido mediada cada vez mais pela Internet e por meio de servios de e-gov
apoiados em sistemas de informao computadorizados. Consequentemente, a segurana (especialmente a disponibilidade, a integridade, a confidencialidade ou sigilo e a autenticidade)
dessas informaes passou a ser uma preocupao do poder pblico e um tema crtico da
gesto moderna, seja ela pblica ou privada. Uma forma de gerenciar essa criticidade criar
normas, formular polticas, padronizar procedimentos e prticas, estabelecer medies e mtricas, alm de automatizar controles, de modo a no s aumentar previsibilidade dos resultados dessa prestao de servio, mas principalmente melhorar a capacidade de lidar com riscos
decorrentes das vulnerabilidades dos sistemas sejam eles manuais ou automatizados - e das
ameaas existentes (sobretudo as originadas da Internet).
Essas normas, polticas, procedimentos, prticas, mtricas e mecanismos automatizados
so controles, e podem ser analisadas atravs de sua vinculao com os objeto de controle
que so decompostos em pontos de controle. A auditoria de segurana de informao uma
atividade devidamente estruturada para examinar criteriosamente a situao desses controles
que se aplicam segurana da informao, especialmente por meio da anlise de objetos e
seus pontos de controle, vis-a-vis a probabilidade de ameaas s informaes crticas sobre as
quais atuam esses controles. Isto necessrio porque os controles ou a ausncia deles podem
se constituir em vulnerabilidades explorveis ou portas de entrada para produzir incidentes
de segurana da informao. A auditoria cria condies tcnicas para investigar e emitir um
juzo sobre as evidncias encontradas, de modo a se antecipar ante a possveis riscos de violao de um patrimnio precioso: os ativos de informao. Esses ativos correspondem quelas
informaes e todos os recursos associados que tm alto valor para o negcio pblico ou privado. Consideram-se como ativos de informao os processos organizacionais e processuais
(procedimentos, roteiros, atividades), itens fsicos (instalaes, equipamentos, cabeamento) e
lgicos (programas, sistemas, estruturas de dados), que devem ser auditados continuamente.
De outra forma, auditoria a expresso de opinio feita por um profissional devidamente
qualificado, acerca de uma determinada situao, e documentada na forma de um relatrio
ou parecer. Para tal, o auditor emprega prticas geralmente aceitas, baseadas em um mtodo
racional, em evidncias, em respeito aos princpios ticos, com responsabilidade perante o
cliente, com devido cuidado e habilidade profissional, sujeito reviso por pares, mas com
independncia no que se refere roteirizao, investigao e anlise e produo do relato.
Em linhas gerais, a auditoria de segurana da informao pretende assegurar que os ativos de informao, considerados os objetos de auditoria em segurana da informao, estejam absolutamente sob controle da organizao. Para tal, preciso verificar que os controles
estejam de acordo com as normas e polticas de segurana estabelecidas para esses ativos,
bem como se o que est em operao alcana os objetivos de segurana definidos. A auditoria
de segurana de informao envolve tambm o provimento de uma avaliao independente
dos controles da organizao (normas, polticas, padres, procedimentos, prticas, mtricas
e mecanismos) empregados para salvaguardar a informao, em formato eletrnico ou no,
contra perdas, danos, divulgao no intencional e indisponibilidades. Por fim, a auditoria
uma atividade realizada na forma de aes projetizadas, que tem um incio, meio e fim, e que
visam produzir resultados dentro de custos, prazos e qualidades esperadas. Para alcanar tais
objetos, as auditorias, projetos individuais, agrupam-se em programas, que compreendem a
realizao de vrias auditorias ao longo de um perodo de tempo de meses ou anos, e que
visam melhorar sistematicamente o desempenho, a eficincia e a segurana organizacionais.
Ambiente de Controle
Avaliao do risco
Atividades de Controle
Segundo o COSO (2007), atividades de controle so polticas e procedimentos que garantem a realizao das diretivas da gesto, as quais devem ser estabelecidas e comunicadas
atravs de toda a organizao, em todos os nveis e atravs de todas as funes. Tais atividades
devem ser diretamente ligadas ao tratamento dos riscos para alcance dos objetivos.
Informao e Comunicao
Segundo o COSO (2007) o componente informao e comunicao de um sistema de controle interno compreende criar um ambiente onde as necessidades de informao organizacionais so satisfeitas. A informao gerida em todos os nveis da organizao, visando o alcance
dos objetivos de negcio. A gesto comunica-se efetivamente com os agentes da organizao.
H canais efetivos e mtodos no retributivos para comunicar informaes significantes para os
nveis superiores da organizao. H tambm efetiva comunicao entre a gesto e o conselho,
de modo que cada qual tenha conhecimento de seus papis relativos governana.
Monitoramento
Segundo o COSO (2007), monitoramento uma avaliao, por pessoal apropriado, acerca
do desenho e operao de controles de uma forma adequadamente regular e a tomada de
aes necessrias. O monitoramento pode ser efetuado por meio de atividades contnuas e
avaliaes separadas. Os sistemas de controle interno devem ser estruturados para monitorarem a si mesmos de forma contnua, at um certo de grau, de modo que quanto maior for o
grau e a efetividade do monitoramento contnuo, menor a necessidade de avaliaes separadas. Por fim, tambm conforme o COSO, usualmente, alguma combinao de monitoramento
contnuo e avaliaes em separado garantir que o sistema de controle interno manter sua
efetividade ao longo do tempo. A auditoria uma abordagem de avaliao em separado.
Texto complementar
No caso do Brasil, a Lei n10.180, de 2001, organiza e disciplina os Sistemas de Planejamento e de Oramento Federal, de Administrao Financeira Federal, de Contabilidade Federal e de Controle Interno do
Poder Executivo Federal, e d outras providncias. O Ttulo V desta Lei descreve as finalidades, a organizao e as competncias deste controle interno, coordenado pela Secretaria Federal de Controle Interno da
Controladoria Geral da Unio, e que, dentre outras atribuies deve realizar auditorias nos sistemas contbil, financeiro, oramentrio, de pessoal e demais sistemas administrativos e operacionais.
Texto Complementar
Auditoria Contbil
O tema Auditoria herda um arcabouo conceitual slido da rea contbil, onde mais se desenvolveu. A
auditoria contbil tem como objeto as contas pblicas ou privadas, seja para verificar o desempenho da
organizao frente ao seus objetivos de lucros nas organizaes privadas, seja na verificao da prestao
de contas nas organizaes pblicas. Tem ainda a funo de verificar que os registros contbeis esto em
conformidade com as normas e procedimentos exarados nos marcos regulatrios da atividade contbil. A
funo da contabilidade no s ser um instrumento de deciso, mas tambm de informao. Na medida
em que a informao passa a ser o bem mais precioso das organizaes na era da Sociedade da Informao,
h tendncia de convergncia entre as atividades de auditoria contbil e de segurana da informao. No
de somenos importncia mencionar que o resultado de auditorias contbeis tem srias implicaes sociais
e econmicas nas esferas pblicas e privadas pelos impactos que podem provocar na vida das pessoas em
funo de sua natureza alocativa.
10
sejam eles pblicos ou privados. Essas atividades constituem a gesto da informao, que tem
suas prticas definidas pelos sistemas de informao que apiam os processos de trabalho na
organizao, sejam eles manuais ou automticos. A gesto da informao tem fundamentos
na administrao, na contabilidade, na arquivologia, nas tecnologias da informao e da comunicao, nas cincias da informao e da computao, entre outras. Como ferramenta de
segurana, a gesto da informao lana mo de elementos organizacionais, humanos, fsicos
e tecnolgicos, integrados por meio de arquitetura e engenharia de sistemas, ou de forma
mais geral atravs de uma abordagem ciberntica.
O objetivo da auditoria da segurana da informao, aderente ao componente de monitoramento do COSO (2007) ento o controle de informaes relevantes para o relato da gesto,
conforme tais informaes so produzidas, identificadas, armazenadas, distribudas, usadas e
processadas, dentro dos parmetros estabelecidos pelos processos de controle da organizao, a fim de suportar o alcance dos objetivos de negcio.
Note que o controle, mesmo sendo necessrio para o alcance de garantias para o desempenho organizacional, cria limitaes s aes dos agentes que executam processos na organizao. Ou seja, por sua prpria natureza e necessidade, produz cerceamento de liberdade de
aes dos agentes, que se no fossem feitas levariam ao caos. Desta forma importante que
todos estes agentes recebam uma clara mensagem da alta administrao quanto forma de
tratar a informao com segurana, pois central para o controle dos negcios e alcance da
misso institucional. As responsabilidades individuais dos agentes devem ser alinhadas com
essa mensagem (viso de segurana) e a questo da segurana da informao deve ser embutida na cultura organizacional.
A mensagem da necessidade de segurana da informao usualmente estabelecida por
uma poltica. A poltica de segurana da informao, tratada em detalhes no texto de Souza
Neto (2010), deve tornar claro que cada participante ou colaborador na organizao (agentes
em geral) um ator relevante quando se trata de proteger ativos de informao, principalmente aqueles considerados estratgicos ou crticos. Os agentes devem estar cientes dos riscos de
segurana existentes e das medidas preventivas que devem ser tomadas (OECD, 2002). Alm
disso, responsabilidades claras devem ser atribudas aos agentes, de modo que se possam distribuir tarefas especficas ou gerais para que se esteja sempre aperfeioando os mecanismos
de segurana da informao implantados. De forma mais prtica, a poltica de segurana da
informao o principal controle de segurana numa organizao, e a ele se articulam (e na
maioria dos casos se subordinam) todos os demais controles
11
Seo 6: Descreve objetos e pontos de controle mais adequados auditoria de desempenho operacional de segurana da informao.
Seo 7: Descreve objetos e pontos de controle mais adequados estratgia de auditoria de conformidade de segurana da informao.
Seo 8: Apresenta um modelo de plano de segurana, orientador essencial auditoria, bem como discute o papel da gesto de riscos de segurana.
Seo 10: Descreve alguns produtos ou artefatos que so as entregas que um auditor
de segurana da informao deve produzir aps executar uma roteirizao de auditoria.
Seo 12: Apresenta consideraes Finais. Descreve as limitaes do texto e da possibilidade de trabalhar com auditoria em segurana da informao de forma vivel e
organizada.
12
Acompanhamento ps-auditoria
13
Somente uma anlise contextualizada, produzida por um auditor poder indicar qual o
melhor propsito da auditoria. Questes especficas sobre propsito de uma auditoria de segurana da informao so descritas na Seo 3.
Destaque
Pontos de controle podem remeter a artefatos fsicos, como placas de sinalizao e instalaes fsicas ou
artefatos lgicos tais como senhas de acesso a sistemas. Portanto, podem ser fsico ou lgicos, tangveis ou
intangveis. Desvios ou percepes de riscos devem ser examinados para se identificar quais pontos de controle tm relao com esses riscos, definindo seu grau de criticidade para a segurana. A busca de indcios
e evidncias de situaes de insegurana que merecem ateno e sua correta interpretao pode levar a
uma constatao ou achado importante, desde que executados com mtodos claros e reproduzveis, e, se for
o caso, com mtodos cientficos. Veja, por exemplo Lopez (2010).
14
15
16
cionais de auditoria e os pareceres. O Auditor dever produzir pelo menos um plano de auditoria,
um relatrio situacional e um parecer para cada engajamento de auditoria (ver Seo 8).
17
Cada um dos tipos de auditoria pode seguir mtodos diferentes e possui um arcabouo
conceitual e necessidades de especializao distintas.
18
19
Sequncia
de auditoria
Objeto(s) de auditoria
Pontos de Controle
objetivo
recursos
riscos
custos (anlise econmica)
responsabilidades
perfis
requisitos de acesso
classificao de documentos
ferramentas de segurana etc.
20
21
operacional se tem a preocupao com a eficincia e eficcia das operaes, cuja inobservncia compromete os resultados aumentando os riscos.
No caso da auditoria de conformidade, os objetos de auditoria tm como propsito garantir a integridade, a disponibilidade e a confiabilidade desses ativos conforme preconizam
os padres e especificaes determinados pela e para a organizao dos controles em prtica.
Pontos de controle requerem observncia de regras que esto mais sujeitas a questes de consistncia da regras ou de aderncia das aes de segurana em face do que est determinado
nas regras. Nas sees seguintes so apresentados detalhes de cada tipo de auditoria.
22
Poltica de segurana
Documentao
Cultura de segurana
Sistema de segurana
Registros de auditoria
5.1.2 Atividades dos funcionrios envolvidos com segurana devem ser supervisionadas e controladas atravs de procedimentos padres devidamente documentados
com polticas claras de seleo, treinamento e avaliao de desempenho desses profissionais.
5.1.3 Poltica de segregao de funes e controles de acesso deve ser constantemente perseguida para garantir na prtica a idoneidade dos processos.
5.1.4 Indicadores de gesto para auscultar os recursos computacionais que esto sob
procedimentos de segurana devem ser estabelecidos. Mecanismos de segurana
no podem provocar mau desempenho dos recursos.
23
5.2.2 Declarao da alta direo de que est compromissada com o que est definido
na poltica deve ser de conhecimento de todos;
5.2.3 preciso saber se existe um alinhamento da poltica de segurana da informao com os objetivos de negcio, no caso, com a misso institucional e a legislao;
5.2.4 Devem ser definidas responsabilidades gerais e especficas a respeito da segurana da informao, seja para indivduos, seja para instncias colegiadas: comisses,
comits, grupos de trabalho etc.
24
5.7.2 Cada detalhe de eventos-chave, como a entrada de pessoas, sejam nas instalaes sejam em sistemas registrado com hora e data. A sada de pessoas de instalaes crticas tambm deve ser registrada igualmente.
5.7.3 Alteraes em configuraes dos sistemas devem ser registradas. Uma ferramenta de gesto de mudanas e versionamento poder capturar essas alteraes.
5.7.4 O acesso a arquivos nos bancos de dados precisa ser registrado. Uma forma de
facilitar a auditoria ter um nico administrador do banco ou muito poucos. Qualquer problema pode ser rastreado de volta ao seus autores ou responsveis.
5.7.5 Cada pessoa deve ter privilgios de acesso bem definidos. O uso desses privilgios deve ser registrado e acompanhado.
5.7.6 Todas as tentativas de acesso a qualquer objeto de auditoria que foram rejeitadas devem ser registradas para verificao.
5.8.4 Definir quais perfis de recursos humanos so necessrios e a quantidade de pessoas para os projetos previstos no plano.
5.8.5 Apresentar o oramento do custo da rea de tecnologia de informao apontando o que custo de apoio e o que finalstico e qual o percentual a ser investido
em segurana.
5.8.6 Definir as prioridades de segurana dos sistemas ou processos a serem automatizados com um cronograma estimativo. Para mais detalhes ver Fernandes (2010b)
25
5.8.8 Padronizar relatrios gerenciais e sumrios de informaes para subsidiar a cpula da organizao em seus processos decisrios.
26
6.1.2 preciso construir uma rea de recepo para que se tenha um acesso controlado s instalaes da organizao, considerando uma ameaa qualquer acesso no
autorizado por outras entradas ou sadas devidamente restritas.
6.1.3 preciso implantar barreiras fsicas para impedir acesso no autorizado a permetros de segurana ou a reas especficas demarcadas como tal.
6.1.4 Todas as portas corta-fogo devem ter alarmes e o material devem estar de acordo com normas internacionais de resistncia a incndios.
6.1.5 Todas as salas devem ter sistema de deteco de intrusos e todas as entradas e
sadas das instalaes devem estar o tempo todo protegidas.
6.1.7 Devem existir procedimentos especiais para segurana fsica do parque de servidores:
6.1.7.1 Controle de acesso a instalaes dos computadores principais e seus perifricos, somente para pessoas autorizadas.
6.1.8 Devem existir procedimentos especiais para controle de acesso a backups, em dispositivos magnticos ou no, devem ser implantados e rigorosamente controlados.
6.1.9 Deve existir controle sobre armazenamento em pendrives ou qualquer dispositivo mvel por meio de alerta de segurana contra cpias no autorizadas.
27
6.1.10 Todas as comunicaes com os dispositivos que acessam a rede interna da organizao devem ser criptografadas utilizando os protocolos adequados.
6.2.1.3 Absoluta ateno a cdigos que podem conter vulnerabilidades que permitem invaso, por exemplo, por meio de SQL injection, pois devem ser controlados.
6.2.1.4 Todos os sistemas, programas, scripts, folhas de estilo etc devem ser versionados e com autoria devidamente registrada.
6.2.1.5 Processamento (condicional): verificar a criao de novos dados (registros, objetos etc).
6.2.1.9 Processamento (condio): examinar dados usando lgica ou testes de condies, para identificar similaridades ou diferenas.
6.2.1.10 Transcrio: verificar cpia de dados de uma mdia para outra colocando o
devido rtulo com classificao de segurana.
6.2.2 Verificar que os programas de computador so concebidos de acordo com metodologias de roteirizao que favorecem a construo de sistemas seguros, com especial ateno a software para a WEB (OWASP, 2011).
6.2.4 Verificar que as rotinas de funcionamento de procedimentos de teste de sistemas e programas esto em pleno uso.
28
6.3.1.2 Verificar alguma coisa que o usurio sabe (cdigo secreto, senha).
6.3.2 Implantao de dispositivos biomtricos para verificao automtica de identidade baseados em caractersticas fsicas do usurio como digitais, iris etc.
6.3.3 Deve existir uma nica forma de acesso lgico aos sistemas de uma organizao,
mesmo que sejam sistemas diferentes, integrados ou no.
6.3.4 Cada usurio deve ser responsabilizado por aquilo que realiza com suas credenciais. Isso inclui inclusive tcnicos que alterem configuraes de hardware e software
(ver texto complementar a seguir).
6.3.5 A rea de segurana da informao deve ser informada a respeito dos desligamentos dos funcionrios para que suas credenciais sejam desativadas.
6.3.6 A rea de gesto de pessoas deve saber sobre os usurios que acessam os seus
dados e o nveis de acesso atribudos a esses usurios.
6.3.7 Acesso a programas utilitrios que possam modificar dados corporativos deve
estar absolutamente estrito a pessoas da rea de Tecnologia e ao usurio responsvel.
29
6.4.2 Deve existir uma estratgia definida para utilizao dos bancos de dados por
sistemas de informao, pessoas ou programas.
6.4.3 Se deve manter rigoroso sigilo sobre informaes sensveis da organizao, utilizando recursos de proteo automtica ou manuais para dados operacionais sensveis.
6.4.4 Ocorrncia de perda de dados deve ser investigada, pois pode ser sintoma de
ameaas aos ativos de informao: sabotagens, invases, engenharia social etc.
6.4.5 Ocorrncia de destruio de arquivos deve ser investigada, pois pode significar
imprudncia do responsvel ou at sabotagem e fraudes.
6.4.6 Verificar ocorrncia de falhas de hardware que provoquem erros de processamento, de informaes erradas ou de distoro de integridade de dados.
6.4.7 Erro de entrada de dados. Esse um dos eventos relacionados tambm a usurios. Os programas de entrada de dados permitem erros que sujam os bancos de
dados tendo reflexo na qualidade das informaes produzidas. A elevada superfcie
de exposio de aplicaes de governo eletrnico Internet demanda que este ponto de controle seja profundamente investigado.
6.4.8 Backups peridicos dos dados que devem ser realizados de acordo com um planejamento prvio e critrios diferenciados para diferentes graus de sensibilidade das
informaes.
6.4.9 Contas de usurios que acessam diretamente os bancos de dados ou por meio
de utilitrios em situao privilegiada devem ser observadas.
6.4.10 Atualizar os bancos de dados com as novas verses mais seguras. Ficar atento
lista de vulnerabilidades de cada verso, por meio de consulta peridica a bases de
dados de vulnerabilidades.
6.5.2 Tempo mdio entre falhas (MTBF Mean Time Between Failures). Indicador clssico, que consiste em identificar o tempo mdio de disponibilidade dos servios, sem
a ocorrncia de falhas. possvel assim medir o grau de disponibilidade dos ativos.
6.5.3 Tempo mdio entre o aparecimento de um problema ou incidente e sua comunicao ao Service Desk. preciso auditar os procedimentos que levam os problemas
e incidentes a serem conhecidos pela organizao. Esse tempo pode ser reduzido a
zero se existirem sistemas automatizados que os detectam, usualmente chamados
de monitores.
6.5.4 Razo entre a quantidade de vezes que um procedimento operacional de segurana foi realizado e quantidade de vezes que o mesmo deveria ter sido executado.
30
Permite verificar que os procedimentos operacionais esto sendo executados na periodicidade definida.
6.5.5 Percentual de sistemas cujos requisitos de segurana no esto sendo atendidos. Permite avaliar o sucesso da implantao de normas e polticas de segurana da
informao e remete, para cada caso, no aprofundamento do porqu das regras no
estarem sendo atendidas.
6.5.6 Percentual de incidentes causados por violaes ou falhas de segurana. Analisar o volume de incidentes provenientes de problemas na implantao de polticas
de segurana. Como ser abordado na Seo 11, a prpria auditoria pode ser objeto
de auditoria.
6.5.7 Percentual de indicadores incorretos por servio de segurana. Visa verificar que o
nvel de erro dos indicadores de cada servio de segurana implantados na organizao.
6.5.10 Quantidade de propostas de melhoria de servios produzidos no perodo. Verificar a execuo da atividade de anlise de servios e propostas de melhoria.
6.6.2 Tempo mdio de atendimento aps um alarme de segurana ser disparado, envolvendo efetivao dos procedimentos de contingncia ou de providncias predefinidas.
6.6.3 Tempo mdio para a soluo de um problema de segurana, provida pela equipe de segurana da informao.
6.6.4 Percepo do usurio a respeito dos mecanismo de segurana implantados, enquanto garantia de segurana de que seus dados no esto sendo violados.
6.7.2 Redes sem fio devem ser protegidas usando o protocolo mais seguro e j relativamente bem testado no mercado.
31
6.7.6 Acesso a servios crticos devem ser baseado no uso de certificado digital.
6.7.11 Rotinas adequadas de proteo e controle do fluxo de dados com devida observncia da sazonalidade dos eventos.
Novamente cabe destacar que a lista no exaustiva, e que a todos os itens deve ser dada
ateno conforme as necessidades de proteo da organizao. Cada objeto de auditoria pode
ser desmembrado em pontos de controle ainda mais detalhados. A Seo 9 apresenta um
modelo de investigao desses objetos com seus respectivos pontos de controle, detalhando
ainda mais o modelo da Figura 2.
32
7. Auditoria de Conformidade
A Auditoria de Conformidade em segurana da informao tem o propsito de verificar que
as informaes produzidas pela organizao, seja por sistemas computacionais ou por registros
manuais, esto em conformidade com os padres de segurana definidos em documentos normativos reconhecidos. Dado que se est tratando de organizaes que se apoiam fortemente
em sistemas computacionais, esse tipo de auditoria centra em procedimentos para verificar que
recursos tecnolgicos, ou que as informaes produzidas por sistemas computacionais ou armazenadas em banco de dados esto em conformidade com os normativos. Observe que se inclui,
no caso do servio pblico, o arcabouo legal referente rea de segurana (ver anexo I).
Segundo Juran e outros (1990), quando tratando de auditorias na rea da qualidade, uma
auditoria de conformidade uma auditoria que examina se aquilo que est sendo auditado est
de acordo com as especificaes de produtos e servios. Esse texto segue analogamente a mesma ideia, no sentido de que a auditoria de conformidade examina se os objetos de auditoria de
segurana da informao esto de acordo com as especificaes dos servios ou bens relacionados segurana da informao, desde que essas especificaes, materializadas em normas, estejam homologadas pela gesto. Tais especificaes podem estar em qualquer documento que
tenha como propsito a padronizao, o que inclui documentos externos organizao pblica.
04/IN01/DSIC/GSIPR, de 14 de agosto de 2009, que estabelece diretrizes para o processo de Gesto de Riscos de Segurana da Informao e Comunicaes GRSIC nos
rgos ou entidades da Administrao Pblica Federal, direta e indireta APF.
33
06/IN01/DSIC/GSIPR, de 11 de novembro de 2009, que estabelece diretrizes para Gesto de Continuidade de Negcios, nos aspectos relacionados Segurana da Informao e Comunicaes, nos rgos e entidades da Administrao Pblica Federal,
direta e indireta APF.
07/IN01/DSIC/GSIPR, de 6 de maio de 2010, que estabelece diretrizes para implementao de controles de acesso relativos Segurana da Informao e Comunicaes
nos rgos e entidades da Administrao Pblica Federal, direta e indireta APF.
34
TEXTO COMPLEMENTAR
35
b. verificar que as documentaes expedidas que tratam de ativos crticos ou sensveis obedecem ao decreto 4553/02 quanto classificao de nveis de sigilo ou a
outros regulamentos como uma portaria do prprio rgo que trate do assunto
de forma mais especfica; e
c. Verificar que todos os procedimentos de segurana, sejam de gesto, sejam operacionais, obedecem a padres de segurana especificados.
Documentos de projetos considerados crticos ao negcio e que precisam ser protegidos de acordo com critrios aprovados pela alta direo. O prprio documento
objeto de auditoria.
Se no mbito da organizao no esto em usos esses padres ou melhores prticas ento a organizao pode criar suas prprias normas de segurana da informao, que sob o
ponto de vista metodolgico, estaro subordinadas s normas do DSIC/GSIPR. Essas normas
devem estar referidas em uma poltica de segurana da informao vlida para toda organizao, como j discutido.
A poltica de segurana da informao, para verificar que as atualizaes das estratgias de segurana da informao ali previstas esto sendo seguidas;
Os procedimentos de segurana j padronizados, de onde se deve procurar divergncias entre o que foi auditado e o que est prescrito nas normas em que os procedimentos esto inscritos. Tais divergncias so tradicionalmente chamadas de no-conformidades.
36
Normas de propriedade intelectual, so tambm referncias importantes, pois a quebra de propriedade intelectual pode gerar uma insegurana jurdica, o que pode levar
a indisponibilidade de servios.
Normas de atualizao e reteno de backups. As unidades de armazenamento podem ser inspecionadas para verificao.
Chaves Pblicas. Verificar que os mecanismos de chave pblica esto sendo utilizados
de acordo com a ICP-Brasil para os casos assim exigidos.
Texto Complementar
37
OSTENSIVOS: sem classificao, cujo acesso pode ser franqueado a qualquer interessado;
ii) RESERVADOS: dados ou informaes cuja revelao no autorizada possa comprometer planos, operaes ou objetivos neles previstos ou referidos.
iii) CONFIDENCIAIS: dados ou informaes que, no interesse do Poder Executivo e das
partes, devam ser de conhecimento restrito e cuja revelao no autorizada possa
frustrar seus objetivos ou acarretar dano segurana da sociedade e do Estado.
iv) SECRETOS: dentre outros, dados ou informaes referentes a sistemas, instalaes,
programas, projetos, planos ou operaes de interesse da defesa nacional, a assuntos
diplomticos e de inteligncia e a planos ou detalhes, programas ou instalaes estratgicos, cujo conhecimento no autorizado possa acarretar dano grave segurana
da sociedade e do Estado.
v) ULTRA-SECRETOS: dentre outros, dados ou informaes referentes soberania e
integridade territorial nacionais, a planos e operaes militares, s relaes internacionais do Pas, a projetos de pesquisa e desenvolvimento cientfico e tecnolgico
de interesse da defesa nacional e a programas econmicos, cujo conhecimento no
autorizado possa acarretar dano excepcionalmente grave segurana da sociedade
e do Estado.
7.5 Concluses
A auditoria de conformidade consiste ento em examinar se objetos ou aes realizados
ou em realizao esto de acordo com normas pr-estabelecidas. Essas normas geralmente definem padres de desempenho, de procedimentos, de processos, de execuo, de produtos de
sistemas e demais objetos ou aes que tm especificaes normativas que servem de referncia para exame da auditoria. As normas criam expectativas de que, uma vez seguida as regras,
haver maior previsibilidade de resultados proporcional ao grau de aderncia a esses padres.
38
39
Segundo Fernandes (2010b), a gesto de riscos tem o efeito de tornar uma organizao
mais segura, isto , que possui um grau satisfatrio de garantia de que continuar a funcionar
adequadamente conforme suas caractersticas estabelecidas, mesmo na presena de eventos
negativos decorrentes da interao com agentes maliciosos ou na ocorrncia de eventos decorrentes de acidentes ou desastres de origem natural ou ambiental. Segurana significa continuar a cumprir seus objetivos de negcio, mesmo em face do sinistro. (Fernandes, 2010b).
A garantia de funcionamento da organizao decorre da implementao de um plano
de segurana da informao, cujo principal insumo o Plano de Tratamento do Risco (PTR),
produzido na fase de Tratamento do Risco (Ver Figura 4). O Tratamento do Risco ocorre aps
a Anlise e Avaliao do Risco, tambm chamada de Apreciao. Do Plano de Tratamento do
Risco deriva diretamente o Plano de Segurana da Informao, pois o primeiro precisa ser aceito pelo gestor da organizao na fase de Aceitao do Risco (Ver Figura 4). Uma vez aceito, o
Plano de Segurana passa a ser executado e continuamente monitorado e comunicado entre
os agentes que constituem a organizao.
O Quadro 2 apresenta um modelo de plano de tratamento do risco, usualmente desenvolvido na Fase de Tratamento do Risco na gesto do Risco.
importante destacar que a gesto do risco se inicia (ver topo da Figura) com uma Definio
do Contexto para a gesto do risco, na qual so definidos os critrios para a gesto do risco. Para
detalhes sobre o processo geral descrito na figura o leitor remetido a Fernandes (2010).
Conforme a ISO/IEC 27005:2008, os benefcios decorrentes da adoo de uma abordagem
de gesto de riscos aderente norma compreendem:
Riscos so identificados.
40
41
9. Instrumentos e Ferramentas
A realizao de uma auditoria eficaz no pode prescindir de instrumentos, ferramentas e
eventualmente, trabalhos de tcnicos especializados, descritos no restante desta seo.
42
AUDITORIA
( ) Gesto
(X ) Operacional
( ) Conformidade
Objeto de
Auditoria (OA)
OA1
Computadores
OA2
Rede sem Fio
OA3
Criptografia
OA4
Rede LAN
OA5
Protocolos
Data: ___/___/
___
Local:
Lista de
Verificao:
SIM (S) NO (N)
NO E APLICA
(N/A) ?
Em
Andamento
Verificado
?
Validado
?
N/A
N/A
N/A
N/A
N/A
N/A
Observe que o Quadro 1 lista os objetos e os pontos de controle e faz trs perguntas. A primeira indica se o controle existe para cada objeto e ponto de controle. A resposta vem de uma
lista de verificao respondida com SIM, NO e No se Aplica (N/A). A coluna em Andamento
indica que providncias j esto sendo tomadas para a anlise. A coluna Verificado indica se
o ponto de controle foi testado. A coluna Validado indica se o controle referente ao PC foi
43
validado, ou seja, se foi testado e est em pleno funcionamento. O formulrio per se permite abordagens diferenciadas, envolvendo testes de controle e testes substantivos, onde for o
caso. Na coluna Lista de Verificao, por exemplo, o objetivo perguntar sobre a existncia ou
no do controle. Uma entrevista poder ser suficiente, se o propsito fazer um levantamento
da situao para saber se certos controles j foram elencados. Responder SIM ou NO apenas
confere se a organizao j iniciou o processo de segurana de seus ativos de informao.
Algumas combinaes obtidas no Quadro levam a providncias e procedimentos diferentes.
Se um ponto de controle, j catalogado como sensvel segurana dos ativos de informao
ainda no foi implantado, uma auditoria de gesto recomendada.
Razes diversas como falta de profissionais qualificados, custos elevados, ou mesmo a inexistncia de ferramentas cuja aquisio no foi priorizada, podem determinar essa ausncia.
Outros controles precisam ser testados. Por exemplo, a sequncia OA1/PC3 => N,N,N,N indica
que no existe o controle em prtica, e, portanto, nada pde ser verificado ou validado. Neste
caso, preciso consultar as decises relacionadas a este ponto de controle quanto a prazos,
custos, pessoal, dentre outras auditorias. Ou seja, a auditoria deve ser aprofundada e considerada prioritria para o OA1/PC3.
Agora, caso seja constatada a existncia do controle e sua operao j tenha sido implantada, a auditoria recomendada a de desempenho operacional, desde que se queira checar
indicadores de eficcia do controle. O exemplo OA4/PC4 => S,S,S,S significa que o PC foi validado. Para que tal validao acontea, o funcionamento do IPSEC deve ser demonstrado, seja
por um analisador de protocolos, seja por verificao da configurao da VPN (Virtual Private
Network), mesmo que seja bvio que o IPSEC esteja sendo utilizado. Em segurana mesmo o
que bvio no pode ser negligenciado. bvio que agentes de uma organizao no a sabotariam. A Engenharia Social est a para mostrar que isso pode ser feito at mesmo sem haver
inteno de faz-lo.
Para finalizar, no se pode deixar de mencionar a gesto e os planos de continuidade.
Esse plano no ser tratado aqui por questo de espao, mas verificar a sua existncia e seus
parmetros j por si s objeto de uma auditoria que merece muita ateno. Planos de continuidade devem ser testados, pois descrevem em detalhes os procedimentos de manuteno
dos negcios crticos e a restaurao de plena capacidade operacional da organizao em caso
de crises e catstrofes. , portanto, um elemento indispensvel para a segurana.
44
Wireshark, um front end para sniffing de rede, que realiza anlise de comunicaes
entre computadores em vrios protocolos.
Algumas verificaes so mais elementares, como o anlise do firewall e suas configuraes. Essas anlises, automatizadas ou no, do visibilidade a evidncias escondidas.
Reconhecimento do terreno
Escaneamento e Enumerao
Engenharia Social
Hacking de computadores
Vrus e Vermes
Phishing
45
Negao de servio
Roubo de sesses
Injeo de SQL
Segurana fsica
Estouro de Buffers
Criptografia
A atividade de um hacker tico deve seguir os seguintes passos, conforme indica Graves (2007):
Discusso de necessidades com o cliente
Anlise de resultados
46
47
PROGRAMA DE AUDITORIA
Datas
Auditor(res)
Incio
__/__/___
N Programa
____________
_______________________________________
Fim
__/__/___
Cdigo
Pontos de Controle
Descrio
Prioridade (severidade)
Tipo
de Auditoria
OC.PC
XXXXXXXXXXXX
(1,2,3 ou 4)
Gesto (G)
Operacional (O)
Conformidade (C)
Justificativa
Parmetros
Objetivo
Obs.
xxxxxxxxxxx
xxxxxxxxx
xxxxxxxxx
xxxxxxxxx
48
5. Cada ponto de controle deve ser descrito tal qual ele foi elencado. Importante que
todos os objetos de controle e pontos de controle faam parte de um catlogo onde
estejam definidos o que fazer (procedimentos e testes) para cada um deles.
6. O nvel de risco e severidade da situao determinante do nvel de prioridade que
se deve dar auditoria para cada ponto de controle. Se um stio eletrnico est sob
constante ataque, provvel que o nvel de severidade seja mximo, portanto, com
prioridade mxima de atendimento.
7. Deve-se justificar porque determinado ponto de controle est merecendo ateno ou
se apenas parte de uma rotina de auditoria.
8. O objetivo da auditoria deve ser claramente definido. Observar que existe um custo
associado a cada projeto e sua utilidade deve ser avaliada. O nvel de risco um parmetro importante na deciso de prosseguir com a auditoria.
9. Observar que para um mesmo ponto de controle podem ser realizados vrios tipos
de auditoria.
Um relatrio tcnico de auditoria de segurana da informao deve sugerir as penalidades a ser aplicadas em caso de descumprimento dos acordos de nvel de servios pactuados e
contratados ou das normas legais a que se referem de cada um dos servios de segurana da
organizao, quando assim for caso. Esses relatrios devem levar em considerao os resultados da auditoria dos indicadores ou dos pontos de controle selecionados.
Os relatrios tcnicos de auditoria devem ser elaborados em prazos determinados a contar do recebimento do incio da execuo do plano de auditoria, pois tais relatrios so usados
como insumos para anlise do resultado da gesto, das operaes e dos testes de conformidade realizados pela equipes de segurana da informao. Devem ser elaborados periodicamente, contendo o resultado dos indicadores dos servios de auditoria realizados. Tal informao
servir de insumo para a avaliao dos servios realizados e dos indicadores alcanados no
perodo.
Finalmente, outro relatrio importante o que define uma escala de quais auditores iro
fazer ou fizeram quais auditorias. Poder ser necessrio recuperar a experincia de cada auditoria como uma forma de aprendizagem para organizao. As providncias adotadas e aquelas
mais eficazes devem ser compartilhadas e registradas, pois podem ser um insumo importante
para se realizar uma gesto do conhecimento gerado pelos auditores.
Com base no plano de segurana, renovado regularmente, ser preciso formular uma roteirizao de auditoria para cada ao de auditoria prevista dentro de uma rotina de trabalho.
49
50
51
52
Referncias
ABIN Agncia Brasileira de Inteligncia. Compilao de legislao relacionada com informao. Disponvel: http://www.abin.gov.br/modules/mastop_
publish/?tac=Legisla%E7%E3o. ltimo acesso em fevereiro de 2011.
ABNT - Associao Brasileira de Normas Tcnicas. NBR ISO 19011: Diretrizes para auditorias de sistema de gesto da qualidade e/ou ambiental. Rio de Janeiro: ABNT.
Novembro de 2002. 25 p.
ABNT - Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27001 - Tecnologia da
informao Tcnicas de segurana Sistemas de gesto de segurana da informao Requisitos. Rio de Janeiro: ABNT. 2006.
ABNT - Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27002 - Tecnologia da
informao Tcnicas de segurana Cdigo de prtica para a gesto da segurana da informao. Rio de Janeiro: ABNT. 2005.
ABNT - Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27005 - Tecnologia da
informao Tcnicas de segurana Gesto de riscos de segurana da informao. Rio de Janeiro: ABNT. 2008.
ARAJO, A. P. F. Infraestrutura de Tecnologia da Informao (Notas de Aula). Braslia:
Departamento de Cincia da Computao do Instituto de Cincias Exatas da Universidade de Braslia. 2010. 40 p.
BRASIL. Constituio da Repblica Federativa do Brasil de 05/10/1988 - Constituio da
Repblica Federativa do Brasil. (Excertos).
BRASIL. Decreto 1171 de 22/06/1994 - Aprova o Cdigo de tica Profissional do Servidor
Pblico Civil do Poder Executivo Federal.
BRASIL. Decreto 3505 de 13/06/2000 - Institui a Poltica de Segurana da Informao nos
rgos e entidades da Administrao Pblica Federal.
BRASIL. Decreto 4553 de 27/12/2002 - Dispe sobre a salvaguarda de dados, informaes, documentos e materiais sigilosos de interesse da segurana da sociedade e
do Estado, no mbito da Administrao Pblica Federal, e d outras providncias.
BRASIL. Decreto 4915 de 12/12/2003 - Dispe sobre o Sistema de Gesto de Documentos de Arquivo - SIGA, da Administrao Pblica Federal, e d outras providncias.
BRASIL. Lei 7170 de 14/12/1983 - Define os Crimes contra a Segurana Nacional, a Ordem
Poltica e Social, Estabelece seu Processo e Julgamento e d outras Providncias.
BRASIL. Lei 8027 de 12/04/1990 - Dispe sobre normas de Conduta dos servidores pblicos civis da Unio, das Autarquias e das Fundaes Pblicas, e d outras providncias.
BRASIL. Lei 8159 de 08/01/1991 - Dispe sobre a Poltica Nacional de Arquivos Pblicos
e Privados e d outras providncias.
BRASIL. Lei 9279 de 14/05/1996 - Regula direitos e obrigaes relativos propriedade
industrial.
CHAIM, R. M. Modelagem, Simulao e Dinmica de Sistemas (Notas de Aula). Braslia:
Departamento de Cincia da Computao do Instituto de Cincias Exatas da Universidade de Braslia. 2010. 48 p.
COSO - Committee of Sponsoring Organizations of the Treadway Commission. Internal
Control Integrated Framework: Guidance for Smaller Public Companies: Reporting on Internal Control over Financial Reporting: Executive Summary: Guidance.
EUA: COSO. October 2005. 207 p.
53
54
55
56
57