7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
1/118
Auditoria de Seguranada Informao
Luiz Otvio Botelho Lento
Mrcio Ghisi Guimares
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
2/118
CrditosUniversidade do Sul de Santa Catarina | Campus UnisulVirtual | Educao Superior a Distncia
ReitorAilton Nazareno Soares
Vice-ReitorSebastio Salsio Heerdt
Chefe de Gabinete da ReitoriaWillian Corra Mximo
Pr-Reitor de Ensino ePr-Reitor de Pesquisa,Ps-Graduao e InovaoMauri Luiz Heerdt
Pr-Reitora de AdministraoAcadmicaMiriam de Ftima Bora Rosa
Pr-Reitor de Desenvolvimentoe Inovao InstitucionalValter Alves Schmitz Neto
Diretora do CampusUniversitrio de TubaroMilene Pacheco Kindermann
Diretor do Campus Universitrioda Grande FlorianpolisHrcules Nunes de Arajo
Secretria-Geral de EnsinoSolange Antunes de Souza
Diretora do CampusUniversitrio UnisulVirtualJucimara Roesler
Equipe UnisulVirtual
Diretor AdjuntoMoacir Heerdt
Secretaria Exe cutiva e CerimonialJackson Schuelter Wiggers (Coord.)Marcelo Fraiberg Machado
Tenille CatarinaAssessoria de AssuntosInternacionaisMurilo Matos Mendona
Assessoria de Rela o com PoderPblico e Foras ArmadasAdenir Siqueira VianaWalter Flix Cardoso Junior
Assessoria DAD - Disciplinas aDistnciaPatrcia da Silva Meneghel (Coord.)Carlos Alberto AreiasCludia Berh V. da SilvaConceio Aparecida KindermannLuiz Fernando MeneghelRenata Souza de A. Subtil
Assessoria de Inovao e
Qualidade de EADDenia Falco de Bittencourt (Coord.)Andrea Ouriques BalbinotCarmen Maria Cipriani Pandini
Assessoria de TecnologiaOsmar de Oliveira Braz Jnior (Coord.)Felipe FernandesFelipe Jacson de FreitasJeferson Amorin OliveiraPhelipe Luiz Winter da SilvaPriscila da SilvaRodrigo Battistotti PimpoTamara Bruna Ferreira da Silva
Coordenao Cursos
Coordenadores de UNADiva Marlia FlemmingMarciel Evangelista Catneo
Roberto IunskovskiAuxiliare s de CoordenaoAna Denise Goularte de SouzaCamile Martinelli SilveiraFabiana Lange PatricioTnia Regina Goularte Waltemann
Coordenadores GraduaoAlosio Jos RodriguesAna Lusa MlbertAna Paula R.PachecoArtur Beck NetoBernardino Jos da Silva
Charles Odair Cesconetto da SilvaDilsa MondardoDiva Marlia FlemmingHorcio Dutra MelloItamar Pedro BevilaquaJairo Aonso HenkesJanana Baeta NevesJorge Alexandre Nogared CardosoJos Carlos da Silva JuniorJos Gabriel da SilvaJos Humberto Dias de ToledoJoseane Borges de MirandaLuiz G. Buchmann FigueiredoMarciel Evangelista CatneoMaria Cristina Schweitzer VeitMaria da Graa PoyerMauro Faccioni FilhoMoacir FogaaNlio HerzmannOnei Tadeu DutraPatrcia FontanellaRoberto IunskovskiRose Clr Estivalete Beche
Vice-Coordenadores GraduaoAdriana Santos RammBernardino Jos da SilvaCatia Melissa Silveira RodriguesHorcio Dutra MelloJardel Mendes VieiraJoel Irineu LohnJos Carlos Noronha de OliveiraJos Gabriel da SilvaJos Humberto Dias de ToledoLuciana ManroiRogrio Santos da CostaRosa Beatriz Madruga PinheiroSergio SellTatiana Lee Marques
Valnei Carlos DenardinSmia Mnica Fortunato (Adjunta)
Coordenadores Ps-GraduaoAlosio Jos RodriguesAnelise Leal Vieira CubasBernardino Jos da SilvaCarmen Maria Cipriani PandiniDaniela Ernani Monteiro WillGiovani de PaulaKarla Leonora Dayse NunesLetcia Cristina Bizarro BarbosaLuiz Otvio Botelho LentoRoberto IunskovskiRodrigo Nunes LunardelliRogrio Santos da CostaThiago Coelho SoaresVera Rejane Niedersberg Schuhmacher
Gerncia Administrao
AcadmicaAngelita Maral Flores (Gerente)Fernanda Farias
Secretaria de Ensi no a DistnciaSamara Josten Flores (Secretria de Ensino)Giane dos Passos (Secretria Acadmica)Adenir Soares JniorAlessandro Alves da SilvaAndra Luci MandiraCristina Mara SchaufertDjeime Sammer BortolottiDouglas SilveiraEvilym Melo LivramentoFabiano Silva MichelsFabricio Botelho EspndolaFelipe Wronski HenriqueGisele Terezinha Cardoso FerreiraIndyanara RamosJanaina Conceio
Jorge Luiz Vilhar MalaquiasJuliana Broering MartinsLuana Borges da SilvaLuana Tarsila HellmannLuza Koing ZumblickMaria Jos Rossetti
Marilene de Ftima CapeletoPatricia A. Pereira de CarvalhoPaulo Lisboa CordeiroPaulo Mauricio Silveira BubaloRosngela Mara SiegelSimone Torres de Oliveira
Vanessa Pereira Santos MetzkerVanilda Liordina Heerdt
Gesto DocumentalLamuni Souza (Coord.)Clair Maria CardosoDaniel Lucas de MedeirosJaliza Thizon de BonaGuilherme Henrique KoerichJosiane LealMarlia Locks Fernandes
Gerncia Administrativa eFinanceiraRenato Andr Luz (Gerente)Ana Luise WehrleAnderson Zandr PrudncioDaniel Contessa LisboaNaiara Jeremias da RochaRaael Bourdot Back
Thais Helena BonettiValmir Vencio Incio
Gerncia de Ensino, Pesquisa eExtensoJanana Baeta Neves (Gerente)Aracelli Araldi
Elaborao de ProjetoCarolina Hoeller da Silva BoingVanderlei BrasilFrancielle Arruda Rampelotte
Reconhecimento de CursoMaria de Ftima Martins
ExtensoMaria Cristina Veit (Coord.)
PesquisaDaniela E. M. Will (Coord. PUIP, PUIC, PIBIC)Mauro Faccioni Filho (Coord. Nuvem)
Ps-GraduaoAnelise Leal Vieira Cubas (Coord.)
BibliotecaSalete Ceclia e Souza (Coord.)Paula Sanhudo da SilvaMarlia Ignacio de EspndolaRenan Felipe Cascaes
Gesto Docente e DiscenteEnzo de Oliveira Moreira (Coord.)
Capacitao e Assessoria aoDocenteAlessandra de Oliveira (Assessoria)Adriana SilveiraAlexandre Wagner da RochaElaine Cristiane Surian (Capacitao)
Elizete De MarcoFabiana PereiraIris de Souza BarrosJuliana Cardoso EsmeraldinoMaria Lina Moratelli PradoSimone Zigunovas
Tutoria e SuporteAnderson da Silveira (Ncleo Comunicao)Claudia N. Nascimento (Ncleo Norte-Nordeste)Maria Eugnia F. Celeghin (Ncleo Plo s)Andreza Talles CascaisDaniela Cassol PeresDbora Cristina SilveiraEdnia Araujo Alberto (Ncleo Sudeste)Francine Cardoso da SilvaJanaina Conceio (Ncleo Sul)Joice de Castro PeresKarla F. Wisniewski Desengrini
Kelin BussLiana FerreiraLuiz Antnio PiresMaria Aparecida TeixeiraMayara de Oliveira BastosMichael Mattar
Patrcia de Souza AmorimPoliana SimaoSchenon Souza Preto
Gerncia de Desenho eDesenvolvimento de Materiais
DidticosMrcia Loch (Gerente)
Desenho EducacionalCristina Klipp de Oliveira(Coord. Grad./DAD)Roseli A. Rocha Moterle (Coord. Ps/Ext.)Aline Cassol DagaAline PimentelCarmelita SchulzeDaniela Siqueira de MenezesDelma Cristiane MorariEliete de Oliveira CostaElosa Machado SeemannFlavia Lumi MatuzawaGeovania Japiassu MartinsIsabel Zoldan da Veiga RamboJoo Marcos de Souza AlvesLeandro Roman BambergLygia PereiraLis Air Fogolari
Luiz Henrique Milani QueriquelliMarcelo Tavares de Souza CamposMariana Aparecida dos SantosMarina Melhado Gomes da SilvaMarina Cabeda Egger MoellwaldMirian Elizabet Hahmeyer Collares ElpoPmella Rocha Flores da SilvaRaael da Cunha LaraRoberta de Ftima MartinsRoseli Aparecida Rocha MoterleSabrina BleicherVernica Ribas Crcio
Acessibilida deVanessa de Andrade Manoel (Coord.)Letcia Regiane Da Silva TobalMariella Gloria RodriguesVanesa Montagna
Avaliao da ap rendizagem
Claudia Gabriela DreherJaqueline Cardozo PollaNgila Cristina HinckelSabrina Paula Soares ScarantoThayanny Aparecida B. da Conceio
Gerncia de LogsticaJeerson Cassiano A. da Costa (Gerente)
Logsitca de MateriaisCarlos Eduardo D. da Silva (Coord.)Abraao do Nascimento GermanoBruna MacielFernando Sardo da SilvaFylippy Margino dos SantosGuilherme LentzMarlon Eliseu PereiraPablo Varela da SilveiraRubens AmorimYslann David Melo Cordeiro
Avaliaes Prese nciaisGraciele M. Lindenmayr (Coord.)Ana Paula de AndradeAngelica Cristina GolloCristilaine MedeirosDaiana Cristina BortolottiDelano Pinheiro GomesEdson Martins Rosa JuniorFernando SteimbachFernando Oliveira SantosLisdeise Nunes FelipeMarcelo RamosMarcio VenturaOsni Jose Seidler JuniorThais Bortolotti
Gerncia de MarketingEliza B. Dallanhol Locks (Gerente)
Relacionamento com o MercadoAlvaro Jos Souto
Relacionamento com PolosPresenciaisAlex Fabiano Wehrle (Coord.)Jeerson Pandolo
Karine Augusta ZanoniMarcia Luz de OliveiraMayara Pereira RosaLuciana Tomado Borguetti
Assuntos JurdicosBruno Lucion RosoSheila Cristina Martins
Marketing Estratg icoRaael Bavaresco Bongiolo
Portal e ComunicaoCatia Melissa Silveira RodriguesAndreia DrewesLuiz Felipe Buchmann FigueiredoRaael Pessi
Gerncia de ProduoArthur Emmanuel F. Silveira (Gerente)Francini Ferreira Dias
Design VisualPedro Paulo Alves Teixeira (Coord.)Alberto Regis EliasAlex Sandro XavierAnne Cristyne Pereira
Cristiano Neri Gonalves RibeiroDaiana Ferreira CassanegoDavi PieperDiogo Raael da SilvaEdison Rodrigo ValimFernanda FernandesFrederico TrilhaJordana Paula SchulkaMarcelo Neri da SilvaNelson RosaNoemia Souza MesquitaOberdan Porto Leal Piantino
MultimdiaSrgio Giron (Coord.)Dandara Lemos ReynaldoCleber MagriFernando Gustav Soares LimaJosu Lange
Conferncia (e-OLA)Carla Fabiana Feltrin Raimundo (Coord.)Bruno Augusto ZuninoGabriel Barbosa
Produo IndustrialMarcelo Bittencourt (Coord.)
Gerncia Servio de AtenoIntegral ao AcadmicoMaria Isabel Aragon (Gerente)Ana Paula Batista DetniAndr Luiz PortesCarolina Dias DamascenoCleide Incio Goulart SeemanDenise FernandesFrancielle FernandesHoldrin Milet BrandoJennifer CamargoJessica da Silva BruchadoJonatas Collao de SouzaJuliana Cardoso da SilvaJuliana Elen TizianKamilla RosaMariana SouzaMarilene Ftima CapeletoMaurcio dos Santos AugustoMaycon de Sousa CandidoMonique Napoli RibeiroPriscilla Geovana PaganiSabrina Mari Kawano GonalvesScheila Cristina MartinsTaize MullerTatiane Crestani Trentin
Avenida dos Lagos, 41 Cidade Universitria Pedra Branca | Palhoa SC | 88137-900 | Fone/fax: (48) 3279-1242 e 3279-1271 | E-mail: [email protected] |Site: www.unisul.br/unisulvirtual
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
3/118
Universidade do Sul de Santa Catarina
Auditoria de Segurana
da InformaoLivro Digital
PalhoaUnisulVirtual
2012
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
4/118
Ficha catalogrca elaborada pela Biblioteca Universitria da Unisul
Copyright UnisulVirtual 2012
Nenhuma parte desta publicao pode ser reproduzida porqualquer meio sem a prvia autorizao desta instituio.
Edio Livro Digital
Professor ConteudistaMrcio Ghisi GuimaresLuiz Otvio Botelho Lento
Coordenao de CursoLuiz Otvio Botelho Lento
Design InstrucionalDelma Cristiane Morari
Projeto Grco e CapaEquipe Design Visual
DiagramaoJordana Paula Schulka
RevisoAmaline Mussi
.L Lento, Luiz Otvio Botelho
Auditoria de segurana da informao : livro digital / Luiz OtvioBotelho Lento, Mrcio Ghisi Guimares ; design instrucional Delma
Cristiane Morari. Palhoa : UnisulVirtual, . p. : il. ; cm.
Inclui bibliograa.
. Proteo de dados - Auditoria. . Sistemas de recuperao dainformao Medidas de segurana. I. Guimares, Mrcio Ghisi. II.Morari, Delma Cristiane. III. Ttulo.
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
5/118
Auditoria de Seguranada Informao
Livro Digital
Luiz Otvio Botelho LentoMrcio Ghisi Guimares
Designer InstrucionalDelma Cristiane Morari
PalhoaUnisulVirtual
2012
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
6/118
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
7/118
7 Apresentao
9 Palavras dos professores
11 Plano de estudo
15 Unidade 1Auditoria e sua importncia em uma organizao
43 Unidade 2Auditoria da tecnologia da informao
69 Unidade 3Auditoria de segurana da informao
89 Unidade 4Auditoria de sistemas de gesto de segurana da informao
105 Para concluir os estudos
107 Minicurrculos
109 Respostas e comentrios das atividades de autoaprendizageme colaborativas
113 Referncias
Sumrio
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
8/118
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
9/118
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
10/118
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
11/118
Caro/a estudante,
Seja bem-vindo/a disciplina Auditoria de Segurana da Informao.
Como voc j deve saber, o Sistema de Gesto de Segurana da Informao (SGSI) estratgico para o sucesso do negcio de uma organizao.
Neste mundo globalizado, a necessidade de manter o SGSI adequado s
necessidades da organizao passou a constituir prioridade entre a alta direo e
os gestores de segurana das organizaes. Por sua vez, o processo de auditoria
tornou-se uma ferramenta ecaz a, pois suas constataes e concluses podem
ajudar a manter o sistema de gesto dentro das expectativas da organizao.
Esta disciplina tem como objetivo apresentar a voc, na perspectiva dos autores,
uma primeira viso do que vem a ser Auditoria de Segurana da Informao.Buscando ressaltar, igualmente, a sua importncia para o negcio de uma
organizao.
Na atualidade, as empresas dependem dos recursos da Tecnologia da Informao
para terem competitividade nos negcios. No existe mais espao para
processamento de dados manualmente. Todas as informaes esto gravadas
em banco de dados e as regras de negcios esto implementadas em sistemas
de informao. Sem os recursos de TI, a grande maioria das empresas deixa de
operar. Nesse contexto, a segurana das informaes vital para a continuidadedos negcios das empresas.
Mas ser que as informaes esto seguras nas empresas?
A resposta a essa pergunta pode ser encontrada pela auditoria de segurana das
informaes. Somente realizando constantes auditorias nos recursos de TI que
se pode armar estarem as informaes realmente seguras, ou no.
Palavras dos professores
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
12/118
Ps-graduao
A abrangncia da auditoria pode variar conforme a complexidade dos recursos de
TI utilizados pela empresa, ou seja, a auditoria dinmica e deve ser realizada por
um auditor independente.
Este livro abordar alguns tpicos relevantes de TI que devem ser auditados e as
razes para a realizao da auditoria.
Bom estudo a todos!
Professores Mrcio Ghisi Guimares e Luiz Otvio Botelho Lento
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
13/118
O plano de estudo visa a orient-lo/a no desenvolvimento da disciplina. Possui
elementos que o/a ajudaro a conhecer o contexto da disciplina e a organizar o
seu tempo de estudos.
O processo de ensino e aprendizagem na UnisulVirtual leva em conta instrumentos quese articulam e se complementam, portanto a construo de competncias se d sobre a
articulao de metodologias e por meio das diversas formas de ao/mediao.
So elementos desse processo:
o livro digital;
o Espao UnisulVirtual de Aprendizagem (EVA);
as atividades de avaliao (a distncia, presenciais e de autoaprendizagem);
o Sistema Tutorial.
Objetivo geral
Compreender as principais estratgias que norteiam a realizao de uma auditoria
computacional e desenvolver habilidades para a sua execuo em ambientes
corporativos.
Ementa
Conceito e organizao de auditoria. Controles organizacionais. Controle de
mudanas. Controle de operao de sistemas. Controle sobre o ambiente de rede.
Plano de estudo
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
14/118
Ps-graduao
Contedo programtico/objetivos
A seguir, as unidades que compem o livro digital desta disciplina e os seus
respectivos objetivos. Estes se referem aos resultados que voc dever alcanar
ao nal de uma etapa de estudo. Os objetivos de cada unidade denem o
conjunto de conhecimentos que voc dever possuir para o desenvolvimento de
habilidades e competncias necessrias a este nvel de estudo.
Unidades de estudo: 4
Unidade 1 Auditoria e sua importncia em uma organizao
Pode-se armar que a auditoria a atribuio responsvel por scalizar os
processos de uma organizao. Sua principal funo revelar se os processos
esto sendo executados corretamente, constantemente, de forma preventiva ou
corretiva, e, principalmente, independente. A auditoria pode ser classicada por
tipos, como: interna, externa, administrativa, contbil, nanceira, operacional e de
tecnologia da informao.
Unidade 2 Auditoria de tecnologia da informao
Esta unidade estuda a importncia da auditoria na rea de TI, pois ela compreende
todas as reas relacionadas TI. Todos os processos podem e devem ser
auditados, desde a deciso sobre tecnologias a ser adotadas, desenvolvimento
de sistemas, integrao entre sistemas, comunicao entre mquinas, mudanas
de sistemas e tecnologias, equipes de desenvolvimentos, prioridades, controles
organizacionais, legalidade jurdica, bem como os resultados. A auditoria no setor
TI imprescindvel, haja vista que, hoje, muitas organizaes param de operar pelo
fato de a respectiva tecnologia de TI adotada deixar de funcionar.
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
15/118
Auditoria de Segurana da Informao
Unidade 3 Auditoria de segurana da informao
Atualmente, uma organizao no consegue mais operar sem sistemas de
informao que operam de forma integrada entre si, pois isto vital para
assegurar a continuidade de funcionamento das organizaes. A operao de
sistemas revela o resultado de todo um trabalho de anlise e implantao de
sistemas. Auditando a operao de sistemas, pode-se concluir que as regras de
negcio foram implantadas e executadas corretamente. Os nveis de auditoria
devem aprofundar, de acordo com a segurana crtica das informaes, por meio
dos controles de acesso lgico e fsico.
Unidade 4 Auditoria de sistemas de gesto de segurana da
informao
Esta unidade trata da importncia de se ter um sistema de gesto de segurana
da informao (SGSI) implementado em uma organizao, o que permite ao
responsvel pela segurana das informaes visualizar, com muito mais ecincia
e em tempo real, a situao dos sistemas integrados.
Carga horria: 30 horas
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
16/118
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
17/118
Auditoria e sua importncia
em uma organizao
Unidade 1
Objetivos de aprendizagemCompreender a necessidade de realizao de auditoria nas organizaes.
Distinguir os tipos de auditoria e sua aplicabilidade.
Perceber a contribuio da constante aplicao de auditoria para asegurana das informaes de uma organizao.
Conhecer o planejamento da auditoria e a importncia do planejamento
na aplicao da auditoria.
Introduo
A globalizao e a dinmica na composio e realizao de negcios entre
as organizaes no pas e no mundo uma realidade crescente a cada dia. A
necessidade do uso contnuo de sistemas computacionais em seus negcios
assegurou s organizaes oferecerem produtos com mais qualidade e
competitividade.
Esse novo cenrio passou a prover uma nova demanda de tcnicas e solues de
monitoramento e controle dos processos de negcio. Isso porque a necessidade,
cada vez maior, de minimizar falhas e impactos no negcio da organizao, como
por exemplo, riscos de investimentos, boa imagem junto aos seus stakeholders,
veio a tornar-se uma das prioridades de seus gerentes.
Dentre os diversos mecanimos existentes que podem prover o monitoramento e
controle dos processos do negcio de uma organizao, pode-se citar a auditoria.
que a auditoria consiste em um importante instrumento do processo de gesto
de Tecnologia da Informao (TI) de uma organizao.
Esta unidade ir apresentar os conceitos bsicos de auditoria em uma organizao.
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
18/118
16
Ps-graduao
Conceito, tipos e caractersticas de auditoriaLuiz Otvio Botelho Lento
No decorrer dos anos, o mundo empresarial cresceu de forma signicativa,
integrando universos diversos, compostos por organizaes de vrios segmentos
de mercado, e oferecendo um leque amplo de produtos, com variedade de
formatos referentes aquisio e utilizao. A competitividade no mercado
globalizado est mais voraz. Fatores como a interao das economias (ex:
MERCOSUL, Europa e NAFTA), as constantes alteraes geopolticas e sociais,
em conjunto com a evoluo tecnolgica, reforam a competitividade. As
organizaes que fazem parte dessa nova realidade esto cada vez mais
vulnerveis perante esse mercado, pois necessitam manter uma constante
atualizao em relao s diversas demandas emergentes. Uma soluo para esse
problema juntar esforos.
Em virtude disto, as organizaes se unem, de forma cooperativa, com o
objetivo de atender uma determinada demanda de negcio. Com isso, novas
estruturas interorganizacionais, criadas e distribudas com base na ajuda mtua,
so, atualmente, uma realidade e uma soluo cabvel ante as obrigatoriedades
estabelecidas por um novo mercado.
A busca constante por novas solues e produtos deve-se a
essa crescente evoluo do mercado, cada vez maiscompetitivo e voltil, que, junto globalizao da tecnologia
e da economia, fator inuente na busca de solues mais
ecientes, com custos mais acessveis. As empresas que
esto vivenciando esta realidade vm buscando unir foras
para minimizar custos e obter solues que atendam de
forma objetiva os seus clientes.
Nesse contexto, vem crescendo a utilizao de organizaes
virtuais como soluo, em conjunto com o conceito de Cloud
Computing, pois asssegura uma sada para esta questo,
possibilitando:
coordenar recursos compartilhados de forma
descentralizada (sem controle centralizado);
fazer uso de protocolos e interfaces padres, de propsito
geral e aberta; e
proporcionar qualidades de servios no triviais.
Cloud Computing
a designao aceita para redes
independentes, formadas dinamicamente
por meio de empresas e organizaes
convencionais de um modo geral,
distribudas geogracamente, com
objetivos comuns, compartilhando
tecnologia de informao e comunicao,
trabalhando de forma cooperativa, de
modo a possibilitar uma melhor qualidade
de servio e competncias na soluo de
problemas comuns. (ZHANG; GU, 2003).
Organizaes visuaisUm estilo de computao escalvel
de recursos de TI identicado como
um fornecimento de servio para
clientes externos, por meio da tecnologia
da internet. Os consumidores desses
servios visualizam-nos apenas para
utilizao, sem se preocupar com a
arquitetura de implementao ou
programao desses. Saiba mais em:
.
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
19/118
Auditoria e sua importncia em uma organizao
17
Em paralelo, novas vulnerabilidades e ameaas foram criadas, tornando os
negcios das organizaes mais suscetveis a ataques. Tal possibilidade forou os
administradores, em conjunto com a sua equipe de Tecnologia da Informao, a
buscar alternativas de proteo com a nalidade de mitigar essas vulnerabilidades
e, assim, reduzir a chance de ocorrer ataques ao seu negcio.
Dessa forma, conforme citado em Smola (2010), a importncia da Gesto da
Segurana da Informao hoje um fator fundamental para o sucesso do negcio
de qualquer organizao, independente de seu tamanho ou rea de atuao. A
implantao de um Sistema de Gesto de Segurana da Informao (SGSI), em
conformidade com os requisitos descritos na norma ISO 27001, fator estratgico
e de sucesso para o negcio da organizao. Em paralelo, a aplicao de boas
prticas de segurana da informao, conforme citadas na ISO 27002, tambm
deve ser adotada no projeto de segurana de informao da organizao.
A norma ISO 27001, responsvel em estabelecer os requisitos do SGSI de uma
organizao, baseia-se no modelo de processo PDCA (Plan Do Check Act),
conforme pode ser visualizado na Figura 1.
ParceirosInteressados
ParceirosInteressados
Expectativas enecessidadesde segurana
da informao
Segurana dainformaogerenciada
Plan
Modelo PDCA aplicado ao processo do SGSI
Do
Check
Especifca o SGSI
Implementa eopera o SGSI
Manuteno emonitora o SGSI
Monitora erevisa o SGSI
Act
Figura 1 -- Modelo de Processos PDCAFonte: ISO 27001 (2005).
Como pode ser visto, o ciclo PDCA representado por quatro fases:
Planejamento: nesta, de forma geral, so planejadas e projetadas
as atividades referentes ao SGSI, como por exemplo, polticas e
procedimentos de segurana;
Execuo: aqui, so implantadas e operacionalizadas as polticas,
controles, processos e procedimentos do SGSI;
Vericao: de uma forma geral, nessa etapa audita-se o SGSI, analisando
e avaliando a ecincia, por exemplo, de suas polticas, procedimentos e
controles;
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
20/118
18
Ps-graduao
Aes corretivas: com base na etapa de vericao, so tomadas aes
que previnam ou que venham a corrigir as atividades referentes ao
SGSI, especicadas na fase de planejamento e implantadas na fase de
execuo.
O sucesso da implantao e manuteno do SGSI est baseado na vericao
constante das suas atividades. A auditoria dos seus componentes possibilita que o
SGSI esteja sempre alinhado s necessidades de segurana da informao do negcio
da organizao. Esse fato torna a auditoria, de forma ampla, uma ferramenta
fundamental manuteno e adequao do SGSI estratgia do negcio.
Conceituar auditoria pode ser considerado um tanto quanto
fcil, pois existem algumas denies em torno desse
assunto. Todavia a NBR ISO 19011 dene auditoria como umprocesso sistemtico, documentado e independente para
obter evidncias de auditoria e avali-las objetivamente
de modo a determinar a extenso na qual os critrios de
auditoria so atendidos.
Outra denio interessante de auditoria est em UFERSA
(2010): so exames, anlises, avaliaes, levantamento
e comprovaes, metodologicamente estruturados
para a avaliao da integridade, adequao, ecincia,
eccia e economicidade dos processos, dos sistemas de
informaes e de controles internos integrados da organizao, visando a atingir o
cumprimento de seus objetivos.
Segundo Mello (2005), a auditoria pode ser denida como uma atividade que
engloba o exame das operaes, processos, sistemas e responsabilidades
gerenciais de uma determinada entidade, com o intuito de vericar a sua
conformidade com certos objetivos e polticas institucionais, oramentos, regras,
normas ou padres. Poderiam ser mencionadas, ainda, algumas denies mais:
acredita-se, entretanto, que essas duas atendam s expectativas deste estudo.
Ressalta-se que uma auditoria caracteriza-se pela conana e princpios, tornando-
se ferramenta eciente e convel. Dessa forma, contribui para as polticas de
gesto e controle, provendo as organizaes de informaes que possibilitem
melhorar os seus processos de negcio.
A NBR ISO 19011 apresenta alguns desses princpios, relacionados aos auditores,
possibilitando que sejam fornecidas concluses de auditoria relevantes e
sucientes e permitindo que auditores trabalhem de forma independente e
cheguem a concluses semelhantes em situaes semelhantes. Veja na sequncia.
Evidncia de auditoria
Evidncias de auditoria: so registros,
apresentao de fatos ou outrasinformaes, pertinentes aos critrios
de auditoria. A auditoria pode ser
quantitativa ou qualitativa.
Critrios de auditoria
Critrios de auditoria: consiste em um
conjunto de polticas, procedimentos
ou requisitos. Os critrios de auditoria
so usados como uma referncia
contra a qual a evidncia da auditoria
comparada.
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
21/118
Auditoria e sua importncia em uma organizao
19
Conduta tica: consiste na alma do prossional, conana, integridade,
condencialidade e discrio. A tica consiste em uma caracterstica inerente s
aes do ser humano, tornando-se um componente fundamental sociedade.
Obrigao: existe a obrigao de reportar com veracidade e exatido todas as
informaes pertinentes auditoria, relacionadas com as constataes e as
concluses da auditoria e seus respectivos relatrios.
Conscincia prossional: os auditores devem ter a preocupao de realizar as
tarefas da forma mais prossional, de acordo com a importncia e a conana
depositada em uma auditoria.
Independncia: a base para a imparcialidade e objetividade das concluses de uma
auditoria, porque os auditores so independentes em relao ao que ser auditado,
assim como no se ligam aos interesses e s tendncias apresentadas.
Evidncia: a evidncia de auditoria pode ser vericada, pois ela realizada com base
em amostras de informaes que se encontram disponveis.
Sendo assim, pode-se dizer que a auditoria talvez um mal/bem necessrio a
qualquer organizao. Saber at quanto o seu processo de negcio eciente, ou
mesmo, at quanto o seu sistema de informaes seguro, uma necessidade
estratgica para o negcio. Logo, se for perguntado por que auditar, a respostapode ser imediata: uma necessidade estratgica para o negcio da organizao,
o qual pode ser validado pela auditoria.
Tipos de auditoria
As auditorias podem estar em conformidade com diversos critrios, como por
exemplo, o objetivo, a periodicidade e o posicionamento do auditor/rgo
scalizador. O objetivo de uma auditoria pode estar relacionado necessidade dese vericarem falhas em um processo e, assim, poder corrigi-lo. A periodicidade de
uma auditoria pode estar relacionada necessidade ou ao tipo de negcio.
Sendo assim, Neto e Solonca (2007) apresentam um quadro com os tipos de
auditoria, separando-os em 3 classes abrangentes: forma de abordagem; rgo
scalizador e rea envolvida. Com isso, oferecem uma ampla viso dos diversos
tipos de auditoria que podem existir.
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
22/118
20
Ps-graduao
Classicao Tipos de auditoria Descrio
Quanto forma
de abordagem:
Auditoria horizontal Auditoria com tema especco, realizada emvrias entidades ou servios, paralelamente.
Auditoria orientada Foca em uma atividade especca qualquer ouatividades com fortes indcios de fraudes ou erros.
Quanto ao rgoscalizador:
Auditoria interna Auditoria realizada por um departamentointerno, responsvel pela vericao e avaliaodos sistemas e procedimentos internos deuma entidade. Um de seus objetivos reduzira probabilidade de fraudes, erros, prticasinecientes ou inecazes. Esse servio deve serindependente e prestar contas diretamente classe executiva da corporao.
Auditoria externa Auditoria realizada por uma empresa externae independente da entidade que estsendo scalizada, com o objetivo de emitirum parecer sobre a gesto de recursos daentidade, sua situao nanceira, a legalidadee regularidade de suas operaes.
Auditoria articulada Trabalho conjunto de auditorias internase externas, devido superposio deresponsabilidades dos rgos scalizadores,caracterizado pelo uso comum de recursose comunicao recproca dos resultados.
Quanto reaenvolvida:
Auditoria deprogramas degoverno
Acompanhamento, exame e avaliao da execuode programas e projetos governamentais.Auditoria do planejamento estratgico verica seos principais objetivos da entidade so atingidose se as polticas e estratgias so respeitadas.
Auditoriaadministrativa
Engloba o plano da organizao, seusprocedimentos, diretrizes e documentosde suporte tomada de deciso.
Auditoria contbil relativa dedignidade das contas da instituio.Essa auditoria, consequentemente, tem como
nalidade fornecer alguma garantia de que asoperaes e o acesso aos ativos se efetuemde acordo com as devidas autorizaes.
continua...
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
23/118
Auditoria e sua importncia em uma organizao
21
Classicao Tipos de auditoria Descrio
Quanto reaenvolvida:
Auditoria nanceira Conhecida tambm como auditoria das contas.Consiste na anlise das contas, da situaonanceira, da legalidade e regularidade das
operaes e aspectos contbeis, nanceiros,oramentrios e patrimoniais, vericando se todasas operaes foram corretamente autorizadas,liquidadas, ordenadas, pagas e registradas.Auditoria de legalidade conhecida como auditoriade conformidade. Consiste na anlise da legalidadee regularidade das atividades, funes, operaesou gesto de recursos, vericando se esto emconformidade com a legislao em vigor.
Auditoria operacional Incide em todos os nveis de gesto, nas fases deprogramao, execuo e superviso, sob a tica
da economia, ecincia e eccia. Analisa tambma execuo das decises tomadas e aprecia at queponto os resultados pretendidos foram atingidos.
Auditoria daTecnologia daInformao
Tipo de auditoria essencialmente operacional,por meio da qual os auditores analisamos sistemas de informtica, o ambientecomputacional, a segurana de informaese o controle interno da entidade scalizada,identicando seus pontos fortes e decincias.
Quadro 1 Classicao das auditoriasFonte: Neto e Solonca (2007).
Auditoria interna/externa
A classicao quanto ao rgo scalizador/posicionamento do auditor destaca
2 tipos de auditoria aplicados, em sua maioria, nas organizaes, independente
da rea de atuao ou forma de abordagem. Essa terminologia utilizada pela
grande maioria dos auditores para classicar um processo de auditoria. Desta
forma, este item busca um maior detalhamento das caractersticas das auditoriasinternas e externas, dando maior ateno auditoria interna, tendo em vista a sua
aplicabilidade dentro das organizaes.
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
24/118
22
Ps-graduao
Segundo CONAB e COAUD (2008, p. 5), a auditoria interna
o conjunto de tcnicas que visa avaliar, de forma amostral, a gesto da
companhia, pelos processos e resultados gerenciais, mediante a confrontao
entre uma situao encontrada com um determinado critrio tcnico,operacional ou normativo. Trata-se de um importante componente de
controle das corporaes na busca da melhor alocao dos recursos do
contribuinte, no s atuando para corrigir os desperdcios, as impropriedades/
disfunes, a negligncia e a omisso, mas, principalmente, antecipando-
se a essas ocorrncias, buscando garantir os resultados pretendidos, alm
de destacar os impactos e benefcios sociais advindos, em especial sob a
dimenso da equidade, intimamente ligada ao imperativo de justia social.
A necessidade de realizar auditorias internas vai de encontro com os objetivos
de controle, controle de processos, processos e procedimentosdo sistema degesto. Logo, qualquer organizao dever garantir que as auditorias sejam
realizadas em intervalos de tempo planejados, de acordo com os elementos
citados.
Quanto auditoria externa, so encontradas algumas denies, principalmente
relacionadas questo nanceira/contbil da organizao, como a citada no
portal da auditoria, que a trata como o exame das demonstraes nanceiras
feitas, com o propsito de expressar uma opinio sobre a propriedade com que
estas apresentam a situao patrimonial e nanceira da empresa e o resultadodas operaes no perodo do exame. Entretanto uma denio mais genrica
de auditoria externa ocorreria quando se audita um fornecedor ou quando se
auditado por um cliente, por exemplo. Um exemplo simples quando uma
organizao sofre uma auditoria de segurana da informao com base na norma
ISO 27001. O auditor externo, de forma macro, verica se todos os controles de
segurana da informao necessrios esto implantados.
Iniciao de uma auditoriaPara que uma auditoria seja iniciada, os seus objetivos globais devem estar
alinhados aos objetivos do programa de auditoria, bem como o escopo de
abrangncia e os seus critrios.
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
25/118
Auditoria e sua importncia em uma organizao
23
Objetivos
determinar a extenso da conformidade dos documentos da organizao
contra os critrios de auditoria;
avaliar a capacidade da documentao da organizao de garantirconformidade com requisitos legais, contratuais e regulamentares;
determinar a eccia da documentao da organizao em atender os
objetivos especicados;
identicar as possveis melhorias da documentao.
Escopo
O escopo de uma auditoria est relacionado descrio da extenso e limites da
auditoria em termos de localizao fsica, unidades organizacionais, atividades,
processos, ativos de informao, avaliaes de risco.
Critrios
Os critrios podem incluir polticas e procedimentos aplicveis organizao,
normas, requisitos legais (leis), regulamentos, requisitos contratuais, sistema de
gesto, e prticas, entre outros.
Atributos e responsabilidades de um auditor
Um auditor deve possuir alguns atributos, como:
possuir capacidade de deciso;
ser rgido e possuir autoconana;
ser tico, educado e instrudo;ser verstil, ter a mente aberta, ser diplomtico, perceptivo e observador
(BSI, 2008);
estar sempre em conformidade com os requisitos da organizao;
participar na confeco da agenda da auditoria, bem como conduzi-la de
forma adequada;
registrar e relatar as constataes;
manter a independncia e condencialidade, bem como manter os
registros de auditoria.
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
26/118
24
Ps-graduao
Boas prticas de uma auditoria
Conforme citado em BSI 2008, Curso Auditor Interno, algumas boas prticas
durante uma auditoria devem ser observadas:
notique sempre e com antecedncia a realizao de uma auditoria,
seja ela externa ou interna, e tambm informe a importncia dela para a
organizao;
faa as perguntas s pessoas responsveis pela rea que est sendo
auditada. No se esquea de que as perguntas devem ser claras e
objetivas. Evite realizar vrias perguntas ao mesmo tempo;
seja imparcial durante todo o processo de auditoria, buscando sempre
evidncias: com isso, voc evita quaisquer concluses precipitadas;
seja sempre atencioso e educado, procure usar uma linguagem polida,
no argumente com qualquer pessoa ou segmento da organizao; no
discuta, no faa crticas; e
procure sempre apresentar as suas constataes durante o processo da
auditoria.
Terminologia adotada em uma auditoria
Este item visa a apresentar alguns conceitos, considerados como gerais,
utilizados, normalmente, durante um processo de auditoria, independente de sua
classicao. Conceitos como campo, mbito e natureza so bsicos para qualquer
tipo de auditoria.
Campo: est relacionado ao objeto (pode ser uma instituio pblica ou privada ou
um determinado setor da mesma) a ser scalizado, perodo e o tipo da auditoria
(operacional, nanceira, etc.).
mbito: dene o grau de abrangncia e a profundidade das tarefas.
rea de vericao: delimita de modo preciso os temas da auditoria, em funo da
entidade a ser scalizada e da natureza da auditoria.
Controle: consiste na scalizao exercida sobre as atividades das pessoas,
departamentos, produtos, etc., de forma que as atividades executadas ou produtos
mantenham-se dentro das normas preestabelecidas.
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
27/118
Auditoria e sua importncia em uma organizao
25
Trs tipos de controle so exercidos:
Preventivo - previne erros e invases, por exemplo, identicao e
autenticao de usurios do sistema via a utilizao de senhas;
Detector - detecta erros, tentativas de invases, etc. (arquivos logs,
realizao de controle de acesso de usurios);
Corretivo - minimiza o impacto causado por falhas ou erros, corrigindo-os
(poltica de segurana, plano de contingncia).
Objetivos de controle: so metas de controle a serem alcanadas, ou aspectos
negativos a ser evitados em cada transao, atividade ou funo scalizada.
Procedimentos de auditoria: um conjunto de vericaes e averiguaes que
permite obter e analisar as informaes necessrias ao parecer do auditor. Esses
procedimentos devem ser de conhecimentos dos auditores antes do incio da
auditoria.
Achados de auditoria: so fatos a ser considerados como importantes para o
auditor. Para que esses dados constem no relatrio, eles devem estar baseados em
fatos e evidncias.
Papis de trabalho: so registros que evidenciam atos e fatos observados pelo
auditor (planilhas, documentos, etc.).
Recomendaes de auditoria: realizada na fase de relatrio, isto , so medidascorretivas exequveis, sugeridas para corrigir as falhas detectadas (DIAS, 2000).
Programa de auditoria
Um programa de auditoria, segundo a NBR ISO 19011, consiste em uma ou um
conjunto de auditorias planejado para um determinado perodo de tempo e
com um propsito especco. A quantidade de auditorias que iro compor um
programa de auditoria est diretamente relacionada ao escopo de abrangncia,
natureza (ex.: corretiva ou punitiva) e ao tipo de negcio da organizao, o nvel
de complexidade da organizao que ser auditada.
O programa de auditoria responsvel, tambm, por estabelecer todas
as atividades que possibilitam o planejamento e organizao, execuo e
manuteno de todas as auditorias que fazem parte do programa, independente
do tipo, fornecendo todos os recursos necessrios para que sejam executadas de
forma eciente, em um determinado perodo de tempo (NBR, 2002).
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
28/118
26
Ps-graduao
Desta forma, pode-se dizer que o programa de auditoria um plano de ao,
detalhado, com o objetivo de dar ao auditor as diretivas necessrias realizao
de seu trabalho. Possui objetivos, escopo de abrangncia, um conjunto de
procedimentos necessrios equipe de auditoria na realizao de seu trabalho.
O programa de auditoria dever ser estruturado, com base em um padro, e
poder conter elementos como:
caractersticas do sistema organizacional a ser auditado;
reas/segmentos de negcio envolvidos;
perodo de realizao da auditoria;
objetivos da auditoria;
cronograma dos trabalhos;equipe de auditores;
custos envolvidos para a realizao da auditoria;
procedimentos para a realizao da auditoria;
questionrios de coleta de informaes;
campo para observaes dos auditores;
orientaes gerais (CONAB; COAUD, 2008).
Vale a pena ressaltar que o programa de auditoria deve ser exvel o suciente
para sofrer alteraes, no caso de situaes no previstas ou intempestivas
durante o processo de auditoria. Ele tambm deve apoiar-se no processo de
deciso da equipe de auditoria, caso exista a necessidade de ampliar a coleta de
informaes, anlises e/ou realizaes de teste de auditoria.
A gerncia de um programa de auditoria
O modelo de gerncia do programa de auditoria segue as prerrogativas descritaspelo modelo de processos do ciclo PDCA, conforme pode ser visualizado na Figura
2. Normalmente, em uma auditoria interna, a autoridade da gerncia do programa
de auditoria delegada pela alta direo da organizao ao seu respectivo
responsvel, o gerente do programa. Esse gerente responsvel em estabelecer,
implantar, monitorar, analisar e melhorar o programa de auditoria, alm de
identicar e garantir que todos os recursos necessrios a sua execuo sejam
providos (NBR, 2002). No caso de uma auditoria externa, o auditor chefe ser o
responsvel em conduzir todo o processo que est relacionado a ela, do incio ao
nal das atividades.
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
29/118
Auditoria e sua importncia em uma organizao
27
Implementar o
programa de auditoria
Monitorar e analisar o
programa de auditoria
Gerente
Alta direo
Responsabilidade
Gest
odop
rograma
deau
ditori
a
VerificarProcesso de Gesto
Agir
Planejar
Executar
Melhorar o programa
de auditoria
Estabelecer o programa
de auditoria
Figura 2 Processo de gesto do programa de auditoriaFonte: Elaborao do autor (2011).
Referncias
AUDITORIA externa ou auditoria independente.Portal da auditoria. nov. 2011. Disponvel
em: .
Acesso em: 14 dez. 2011.
VILA, Rafael. Imagem de lupa sobre grcos nanceiros: auditoria. Blog luz loja de
consultoria. 2 nov. 2011. Disponvel em: . Acesso em: 7 dez.
2011.
BRITISH STANDARDS INSTITUTE (BSI). Auditor Interno ISO/IEC 27001:2005 Sistema de
Gesto de Segurana da Informao BSI Learning, 2008.
BRITISH STANDARDS INSTITUTE (BSI). Curso Auditor Interno ISO/IEC 27001: 2005 SGSI, BSI
Learning, 2008.
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
30/118
28
Ps-graduao
DIAS, Cludia. Segurana e auditoria da tecnologia da informao. Rio de Janeiro: Excel
Books, 2000.
ISO/IEC 27001. Tecnologia da Informao, Tcnicas de Segurana, Sistemas de
Gerenciamento de Segurana da Informao, Necessidades ISO/IEC, 2005.
ISO/IEC 27002. Information technology, Security techniques, Code of practice for
information security management, Redesignation of ISO/IEC 17799: 2005.
MANUAL de auditoria interna. 2 verso. Companhia Nacional de Abastecimento CONAB;
Coordenadoria de Auditoria Interna (COAUD), 2008. Disponvel em: . Acesso em: 9 dez. 2011.
MELLO, Agostinho de Oliveira. Instituto dos auditores internos do Brasil.Organizao
bsica da auditoria interna. Biblioteca Tcnica de Auditoria Interna, 2005.
NBR ISO 19011. Diretrizes para auditorias de sistema de gesto da qualidade, NBR. 2002.
NETO, Ablio Bueno; SOLONCA, Davi. Auditoria de sistemas informatizados. Palhoa:
UnisulVirtual, 2007.
SMOLA, Marcos. A importncia da gesto da segurana da informao. 2010. Disponvel
em: . Acesso em:
9 dez. 2011.
SHAO-HUA Zhang, NING Gu. Research on Workow of Virtual Organization, The EighthInternational Conference on Computer Supported Cooperative Work in Design, Xiamen,
China, 2003.
UNIDADE de auditoria interna. Denies de auditoria interna. Universidade Federal Rural
do Semi-rido (UFERSA), 05 mar. 2009. Disponvel em: . Acesso em: 9 dez. 2011.
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
31/118
Auditoria e sua importncia em uma organizao
29
Planejameto da auditoriaLuiz Otvio Botelho Lento
Mrcio Ghisi Guimares
O planejamento a pea fundamental para o sucesso da auditoria, sendo o tempo
alocado para a etapa de planejamento compatvel com a sua realizao. Desta
forma, no se deve reduzir o tempo de realizao dessa etapa, pois isso poder
incorrer em erros durante a execuo da auditoria, provenientes de um mau
planejamento.
Durante a fase de planejamento, o programa de auditoria estabelecido, e, ento,
o gerente se preocupa, basicamente, com trs aspectos:
os objetivos e o escopo de abrangncia do programa de auditoria;
os recursos (oramentos) necessrios para a realizao da auditoria;
as responsabilidades e a importncia relativa ou papel desempenhado
para cada situao ou segmento de negcio em um determinado
momento/contexto;
os procedimentos, como por exemplo: as possveis situaes crticas que
devem ser controladas, identicadas em um determinado segmento de
negcio da organizao, por exemplo. Referem-se s vulnerabilidades,
aos riscos operacionais latentes, entre outros (NBR, 2002; CONAB;
COAUD, 2008).
Objetivos/escopo de abrangncia
Os objetivos do programa de auditoria so estabelecidos para direcionar tanto o
planejamento quanto a realizao das auditorias. Esses objetivos esto
principalmente relacionados com:
a prioridade da alta direo e suas perspectivas de negcio;
os requisitos e necessidades do sistema de gesto da organizao;
os estatutos, regulamentos e contratos;
a necessidade do cliente, dos parceiros
(fornecedores), ou seja, dos stakeholders;
os riscos referentes ao negcio da organizao.
Stakeholders
So as partes interessadas, qualquer
grupo ou indivduo que pode afetar ou
ser afetado pela realizao dos objetivos
da empresa. (FREEMANN, 1984).
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
32/118
30
Ps-graduao
Quanto abrangncia do programa de auditoria, ela estabelecida em
conformidade com o tipo de negcio, tamanho da empresa, entre outros
aspectos. Ressalta-se que os objetivos determinados na fase de planejamento
esto diretamente relacionados abrangncia, bem como a sua durao.
Questes como a diversidade dos segmentos de negcio, liais e/ou
departamentos inuenciam na abrangncia, pois se pode determinar que ela
esteja sicamente relacionada a um departamento e/ou lial, ou logicamente
relacionada a um ou a mais segmentos de negcio dentro da organizao.
Recursos
Um programa de auditoria necessita de vrios elementos para a sua realizao,
sendo que a alocao de recursos para a execuo est diretamente relacionadaao seu sucesso. Recursos nanceiros so primordiais, pois eles possibilitam
que as atividades da auditoria sejam desenvolvidas, implantadas, gerenciadas
e melhoradas. Questes como viagens, hospedagens, aquisio de dispositivos
necessrios execuo do programa de auditoria devem ser alocadas nessa fase
do planejamento.
A equipe de auditores outro elemento fundamental. Ter uma equipe qualicada
e competente para realizar as tarefas de auditoria essencial na obteno do
resultado nal com qualidade, convel e compatvel com as expectativas docliente.
Responsabilidades
Alm da gura do gerente do programa de auditoria designado pela alta direo
em uma auditoria interna, ou o auditor chefe, devem existir outros componentes,
capazes tecnicamente (auditores), que tambm iro assumir responsabilidades.
Esses auditores podero assumir responsabilidades como:
estabelecer os objetivos e a abrangncia do programa de auditoria;
garantir que os recursos sejam fornecidos;
garantir que o modelo de gesto do programa de auditoria seja
executado de forma eciente;
garantir que todas as informaes coletadas e analisadas, bem como
as concluses (ex: relatrios), sejam armazenadas e mantidas de forma
segura e pelo tempo necessrio.
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
33/118
Auditoria e sua importncia em uma organizao
31
Procedimentos
O programa de auditoria, como citado, um plano de ao, e esse, por
conseguinte, composto por um conjunto de procedimentos. Esses
procedimentos abrangem um leque de tarefas, especicadas durante a etapa
de planejamento, responsveis pelas diretrizes de todo o processo de auditoria.
Conforme citado na NBR (2002), os procedimentos devem tratar de aspectos
como:
planejar e programar as auditorias;
executar as auditorias;
selecionar auditores em conformidade com as atividades a serem
realizadas, bem como especicar as suas funes e responsabilidades;
realizar monitoramento das atividades da auditoria como tambm
manter os seus registros de controle;
elaborar relatrios a serem apresentados posteriormente ao cliente;
monitorar a ecincia da auditoria.
Exemplos de produtos da fase de planejamento
Pode-se ver que a etapa de planejamento substancial para o sucesso doprocesso de auditoria. Para resumir e prover um melhor entendimento desta
etapa, detalham-se algumas decises que lhe so especcas:
I. determinar e acordar o escopo;
II. rmar os objetivos da auditoria;
III. estabelecer os critrios da auditoria;
IV. planejar a frequncia com que ela ser executada, bem como a sua
importncia;
V. xar o tempo de durao;
VI. denir a equipe de auditoria e o planejamento dos custos envolvidos.
Acompanhe no Quadro 1 o exemplo de um programa de auditoria em que
descrito o departamento que ser auditado entre os meses de janeiro a dezembro.
X auditoria programada somente com base na importncia
S auditoria adicional
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
34/118
32
Ps-graduao
Departamento Jan Fev Mar Abr Mai Jun Jul Ago Set Out Nov Dez
Financeiro X S
Projeto X S
Pesquisa X S
Vendas X S
Jurdico X
Pessoal (RH) S X
Administrativo X
Produo S X S
Marketing X
Quadro 1 Programa de auditoriaFonte: BSI (2008).
Os principais pontos de uma agenda de auditoria a ser desenvolvidos durante a
fase de planejamento so:
reunio de abertura/apresentaes;
anlise do escopo da auditoria e dos processos que estaro envolvidos;
responsabilidades;
conformidade e aspectos legais;
especicao dos pontos que faro parte da auditoria (correo de
processos de venda);
resumo/reunio de encerramento.
Executar
Durante esta etapa, o programa de auditoria implementado e as partes
interessadas so apresentadas a esse programa. Iniciam-se todas as tarefas de
coordenao e planejamento do programa de auditoria; a equipe de auditoria
escolhida; os recursos so disponibilizados para a realizao desse processo, entre
outras tarefas. Sendo assim, pode-se dizer que a implementao da auditoria
consiste basicamente na sua execuo, referida no que foi planejado.
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
35/118
Auditoria e sua importncia em uma organizao
33
Nessa fase do processo de gesto do programa de auditoria, faz-se necessrio
manter registros referentes :
execuo da auditoria planos de auditoria, relatrios de auditoria,
relatrios de no conformidade, relatrios de ao corretiva epreventiva;
anlise do programa de auditoria;
pessoal da auditoria seleo da equipe, competncia de seus membros;
avaliao de desempenho da equipe (NBR, 2002).
Vericar
Nesta etapa, o programa de auditoria sofre um monitoramento em intervalosde tempo adequados, e tambm avaliado se os objetivos da auditoria foram
alcanados.
A anlise crtica do programa de auditoria deve considerar algumas questes,
como resultados e tendncias do monitoramento; conformidade com os
procedimentos; evoluo e expectativas dos stakeholders; registros do
programa de auditoria e consistncia no desempenho entre as equipes de
auditoria em situaes semelhantes (NBR, 2002).
Agir
Esta etapa busca melhorar o programa de auditoria, com base nas informaes
que foram monitoradas e analisadas na etapa anterior. Tais resultados podem
prover uma oportunidade de melhoria do programa, possibilitam que aes
corretivas possam ser planejadas e conduzidas, provendo melhorias ao processo
de auditoria.
Os resultados obtidos durante e aps a implantao das melhorias no programa
de auditoria podem ser apresentados alta direo.
Atividades de uma auditoria
A auditoria composta por um conjunto de atividades, conforme pode ser
visualizado na Figura 1, e que sero descritas a seguir.
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
36/118
34
Ps-graduao
Iniciar a auditoria
Realizar a anlise e
crtica dos documentos
Preparar as atividades
da auditoria
Executar as atividades
de auditoria
Relatrios daauditoria
Concluso e acompanhamento
da auditoria
Figura 1 - Atividades de consultoriaFonte: NBR (2002).
Iniciar a auditoria
Escolhido o lder da equipe de auditoria, so denidos os objetivos, o escopo e
os critrios dela. Os objetivos da auditoria, normalmente denidos pelo cliente,
podem incluir: o quanto o sistema auditado deve estar em conformidade com os
critrios de auditoria; a avaliao da capacidade do sistema em concordncia com
os requisitos, regulamentos e contratos; a avaliao da eccia do sistema em
alcanar os seus objetivos; e a identicao dos mdulos do sistema que podem
sofrer melhorias (NBR, 2002).
O escopo est relacionado abrangncia e aos limites da auditoria comolocalizaes fsicas (liais, departamentos, etc.), atividades e processos a serem
auditados, bem como o tempo de sua execuo. No caso do critrio de auditoria,
trata-se de uma referncia utilizada para vericar a conformidade do sistema com
as polticas, normas, regulamentos, etc.
Escolhida a equipe de auditoria, estabelecido o contato inicial com o cliente. Esse
contato busca: estabelecer canais de comunicao entre o auditor e o auditado;
apresentar o lder da auditoria; fornecer informaes sobre o tempo de durao
e a equipe da auditoria; solicitar acesso aos documentos que sero utilizados
durante a auditoria e denir regras de segurana.
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
37/118
Auditoria e sua importncia em uma organizao
35
Anlise crtica dos documentos
Antes do incio da auditoria, os documentos do auditado devem ser analisados
de forma criteriosa, com o objetivo de vericar a conformidade do sistema, como
documento, com o critrio da auditoria. A documentao fornecida pode ser
composta por registros referentes ao sistema e/ou documentos de auditorias
anteriores, por exemplo.
Vale a pena ressaltar que a anlise deve levar em considerao o tipo, a
complexidade e a abrangncia do negcio da organizao. No caso da
documentao ser considerada inadequada, o lder da equipe da auditoria informa
ao cliente o problema, e decidido se ela ser interrompida ou suspensa, at que
o problema referente documentao seja resolvido. (NBR, 2002).
Preparar as atividades de auditoria (fonte 13)
Dentre as atividades da auditoria, existe a confeco do seu plano. Esse plano
um acordo entre a auditoria e o auditado para fornecer uma base referente
realizao do processo. O plano dever conter, basicamente: os objetivos da
auditoria; o critrio e qualquer documento de referncia; o escopo da auditoria;
as datas e lugares onde as atividades sero realizadas; a durao da atividade
no local (reunies com o auditado e com a equipe de auditoria); as funes eresponsabilidades dos membros da equipe de auditoria; e, a alocao dos recursos
para a realizao da auditoria. (NBR, 2002).
Executar as atividades de auditoria (fonte 13)
A primeira atividade realizar a reunio de abertura com a direo e os
responsveis pelas funes ou processos do auditado. Essa reunio visa a:
conrmar o plano de auditoria; apresentar as atividades que sero executadas;conrmar os canais de comunicao; e, ouvir questionamentos do auditado e dar
respostas.
Durante a realizao da auditoria, importante manter a comunicao entre os
membros da equipe, como tambm com o cliente auditado. Essa comunicao
d uma viso do andamento da auditoria e das preocupaes ao auditado sobre
as constataes negativas, bem como as evidncias que proporcionem um risco
evidente e signicativo. (NBR, 2002).
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
38/118
36
Ps-graduao
As informaes coletadas durante o processo de auditoria devem ser feitas por
amostragem e vericadas (objetivos, escopo, critrio, atividades e processos).
Somente essas informaes averiguadas que podem ser evidncias de auditoria,
sendo, inclusive, registradas. Vale ressaltar que as evidncias so informaes
vericadas, obtidas por amostragem, geram uma incerteza, que deve ser tratada/
relembrada por aqueles que atuam baseados nas concluses. Essas informaes
podem ser coletadas via entrevistas, com os membros dos segmentos de negcio
a serem auditados; ou, por observao das atividades realizadas na organizao;
ou, tambm, por meio da anlise crtica dos documentos do sistema de gesto,
fornecidos pelo auditado.
As constataes da auditoria so geradas com base na anlise das evidncias,
de acordo com o critrio da auditoria. As constataes, segundo a NBR 2002,
podem indicar tanto conformidade quanto no conformidade com o critrio daauditoria. Por exemplo, quando um controle de segurana no foi implantado,
ele pode estar em no conformidade com a norma ISO 27001. As constataes
tambm podem ser utilizadas como uma oportunidade de melhoria para o sistema
de gesto da organizao, pois uma falha ou problema foi constatado durante o
processo de auditoria.
As concluses da auditoria devem, antes de apresentadas, ser discutidas entre
a equipe de auditoria. As discusses tm de levar em considerao algumas
questes, por exemplo: anlise crtica das constataes, bem como quaisquer
outras informaes coletadas durante o processo de auditoria; acordo fechado em
relao s concluses, sem se esquecer das incertezas do processo de auditoria;
recomendaes especicadas. Dessa forma, na reunio de encerramento, todas
as constataes e concluses so apresentadas ao auditado, para que ele possa,
alm de ter a cincia dos fatos, compreender o relatrio nal da auditoria.
Lembra-se que o relatrio nal deve ser entregue, exclusivamente, para quem
encomendou a auditoria, e no ao auditado (NBR, 2002).
A NBR 2002 apresenta um uxo geral do processo de auditoria desde a coleta das
informaes at a sua concluso da auditoria, como pode ser visto na Figura 2.
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
39/118
Auditoria e sua importncia em uma organizao
37
Fontes de Informao
Coleta de informaes poramostragem e verificao
Avaliao com base nocritrio da auditoria
Analisando Criticamente
Concluses da Auditoria
Evidncia da Auditoria
Constataes da Auditoria
Figura 2 - Processo de auditoriaFonte: NBR (2002).
Relatrios de auditoria
Os relatrios de auditoria so de responsabilidade do lder da equipe, o qualdeve fornecer todas as informaes do processo de auditoria, de modo preciso,
resumido e claro, alm de todos os elementos que zeram parte do processo de
auditoria (critrio, constataes, concluses, etc.).
O relatrio da auditoria de propriedade de quem a solicitou, devendo ser
mantido o grau de condencialidade necessria, emitido dentro de um prazo
acordado entre auditor e cliente, bem como datado e assinado.
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
40/118
38
Ps-graduao
Concluso e acompanhamento da auditoria
Pode-se dizer que uma auditoria foi concluda quando todas as atividades descritas
no programa dela foram concludas e o relatrio aprovado e distribudo. Todos os
documentos referentes ao processo devem ser guardados de forma adequada,
ou, ento, destrudos de acordo com o que foi combinado entre o auditor e o
cliente, bem como o descrito no programa de auditoria.
As concluses da auditoria podem levar a aes corretivas, preventivas ou de
melhorias pela organizao. Essas aes so realizadas pelo auditado dentro de
um determinado prazo, acordado entre ambas as partes, para que posteriormente
seja vericado se foram todas realizadas e de forma eciente. Pode-se acrescentar
que essa vericao chamada de auditoria subseqente (NBR, 2002).
Referncias
AUDITORIA externa ou auditoria independente.Portal da auditoria. nov. 2011. Disponvel
em: .
Acesso em: 14 dez. 2011.
VILA, Rafael. Imagem de Lupa sobre Grcos Financeiros: auditoria.Blog luz loja de
consultoria. 2 nov. 2011. Disponvel em: . Acesso em: 7 dez. 2011.
BRITISH STANDARDS INSTITUTE (BSI). Auditor Interno ISO/IEC 27001: 2005 Sistema de
Gesto de Segurana da Informao BSI Learning, 2008.
BRITISH STANDARDS INSTITUTE (BSI). Curso Auditor Interno ISO/IEC 27001:2005 SGSI, BSI
Learning, 2008.
DIAS, Cludia. Segurana e auditoria da tecnologia da informao. So Paulo: Excel Books,
2000.
FREEMAN, R. E. Strategic management: a stakeholder approach. Massachusetts: Pitman,
1984.
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
41/118
Auditoria e sua importncia em uma organizao
39
ISO/IEC 27001. Tecnologia da Informao, Tcnicas de Segurana, Sistemas de
Gerenciamento de Segurana da Informao, Necessidades, ISO/IEC, 2005.
ISO/IEC 27002. Information technology, Security techniques, Code of practice for
information security management, Redesignation of ISO/IEC 17799: 2005.
MANUAL de auditoria interna. 2 verso. Companhia Nacional de Abastecimento CONAB;
Coordenadoria de Auditoria Interna (COAUD), 2008. Disponvel em: . Acesso em: 9 dez. 2011.
MCAFEE compra de empresa de gesto da segurana da informao. Notcias do setor.
Multidata: tecnologia, gesto, resultados. 5 out. 2011. Disponvel em: Acesso em: 8 dez. 2011.
MELLO, Agostinho de Oliveira. Instituto dos auditores internos do Brasil.Organizaobsica da auditoria interna. Biblioteca Tcnica de Auditoria Interna. 2005.
NBR ISO 19011. Diretrizes para auditorias de sistema de gesto da qualidade, 2002.
NETO, Ablio Bueno; SOLONCA, Davi. Auditoria de sistemas informatizados. Palhoa:
UnisulVirtual, 2007.
SMOLA, Marcos. A importncia da gesto da segurana da informao. 2010. Disponvel
em: . Acesso em:
9 dez. 2011.
SHAO-HUA Zhang, NING Gu. Research on Workow of Virtual Organization,The Eighth
International Conference on Computer Supported Cooperative Work in Design, Xiamen,
China, 2003.
UNIDADE de auditoria interna. Denies de auditoria interna. Universidade Federal Rural
do Semi-rido (UFERSA). 05 mar. 2009. Disponvel em: . Acesso em: 9 dez. 2011.
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
42/118
40
Ps-graduao
Atividades de autoaprendizagem
1. Considerando o contedo estudado nesta unidade, assinale as alternativas
corretas.
a. ( ) Uma auditoria caracteriza-se pela conana e pelos princpios de
conduta tica, obrigao, conscincia prossional, independncia e
evidncia.
b. ( ) As auditorias so nicas e integrais, no podendo ser classicadas
por tipos.
c. ( ) A auditoria interna realizada por uma empresa externa e
independente da entidade que est sendo scalizada.
d. ( ) A auditoria da tecnologia da informao audita o ambientecomputacional sempre em conjunto com o departamento contbil.
e. ( ) O auditor deve ser independente de quem encomendou a auditoria,
para no haver inuncia no relatrio.
f. ( ) O planejamento da auditoria a fase mais importante do processo.
g. ( ) O escopo de uma auditoria representa os seus limites e deve ser
alterado durante a execuo da auditoria.
h. ( ) recomendvel que o relatrio da auditoria seja entregue
primeiramente a quem a encomendou.
2. A partir dos estudos sobre auditoria da tecnologia da informao, analise as
proposies a seguir, marcando V para as sentenas verdadeiras e F para as falsas,
com relao auditoria da tecnologia da informao:
a. ( ) Restringe-se ao ambiente computacional do departamento de TI.
b. ( ) Relaciona-se com o departamento nanceiro e o departamento
contbil.
c. ( ) Pode tambm auditar a equipe de desenvolvimento de sistemas.
d. ( ) Pode ter no mbito da auditoria apenas um sistema especco.
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
43/118
Auditoria e sua importncia em uma organizao
41
Atividades colaborativas
Com base no que voc estudou nesta unidade, responda s perguntas abaixo na
ferramenta Frume comente as respostas dos seus colegas.
1. Qual a diferena entre auditoria interna e externa?
2. Por que importante estabelecer os objetivos da auditoria na fase de
planejamento do programa de auditoria?
3. Por que razo o auditor deve ser independente?
SnteseA necessidade de realizao de auditoria na rea da tecnologia da informao
faz-se presente pela importncia que os sistemas integrados de informao tm
para com uma organizao. Como os sistemas na atualidade so vitais para a
continuidade e competitividade de uma organizao, no aconselhvel e seguro
deix-los sem constantes auditorias.
Em muitos casos, os erros e decincias nos sistemas computacionais s so
percebidos quando ocorrem, gerando, certamente, prejuzos que poderiam ser
evitados por auditorias.
As auditorias podem ser classicadas em diversos tipos, como interna, externa,
operacional, contbil, nanceira ou relacionada tecnologia da informao.
A auditoria est relacionada diretamente segurana da informao, ou seja,
quanto mais crtica for a informao, mais intensa e constante devem ser
realizadas as auditorias.
fundamental que cada auditoria tenha inicialmente o seu planejamento, poisa sua execuo deve seguir o que foi planejado, no se afastando do que fora
estabelecido.
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
44/118
42
Ps-graduao
Caso ocorra, durante uma auditoria, um achado importante, esse pode
desencadear outra, para que a auditoria inicial no saia do mbito estabelecido no
planejamento.
Por m, fundamental que o auditor seja completamente independente, paraque os resultados no sejam encomendados ou distorcidos. E, ainda: o relatrio
nal da auditoria deve ser entregue primeiramente a quem a encomendou, pois
os resultados desse processo, na maioria dos casos, so sigilosos e no devem ser
conhecidos por terceiros.
Saiba mais
MONTEIRO, Emiliano Soares. Segurana em ambientes corporativos.Florianpolis: VisualBooks, 2003.
FERREIRA, Fernando Nicolau Freitas. Segurana da informao. Rio de Janeiro:
Cincia Moderna, 2003.
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
45/118
Auditoria da tecnologia da informao
Unidade 2
Objetivos de aprendizagemCompreender a abrangncia e importncia da auditoria da tecnologia da
informao em cada rea da TI e no todo.
Conhecer as principais reas da TI que devem ser auditadas.Compreender a importncia de se realizarem auditorias contnuas para a
segurana da organizao.
Introduo
Quanto custa a perda da informao? No se trata de uma pequena informao,
mas de toda a base de dados de uma empresa Atualmente, pela competitividade
das empresas e tempo de resposta da informao, no h mais controle deinformaes de forma manual, como havia at o incio da dcada de 80. Hoje,
as empresas manipulam seus dados, gerando informaes, via tecnologia da
informao, atravs dos quatro pilares mais relevantes, interligados entre si:
banco de dados, redes, sistemas e hardware. Se apenas um desses pilares deixar
de funcionar, todo o gerenciamento das informaes para e, consequentemente,
a empresa para. No h mais espao para correr riscos.
As empresas esto totalmente dependentes da rea de TI para terem
continuidade no negcio. Para se ter uma ideia de como, atualmente, estamosdependentes da rea de Tecnologia da Informao, imagine um produto que, ao
ser passado no caixa de um supermercado, faz surgir a mensagem produto no
cadastrado. A venda simplesmente no se realiza. Se uma lotrica est com
o sistema fora do ar, a operao simplesmente no realizada, pois no existe
espao para ser realizada manualmente. Passagens no so vendidas, quando
seus sistemas esto fora do ar. Bancos no realizam transaes com sistemas fora
do ar. Ligaes telefnicas no so realizadas com sistemas fora do ar. Sem que
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
46/118
44
Ps-graduao
percebamos, nossas vidas e as das empresas j esto muito comprometidas com
a TI e dependentes dela. Ento, nada mais importante que realizar auditoria na
rea de TI, para se ter certeza de que a mesma est segura e se evitarem panes e
paradas indesejveis.
Esta unidade aborda as principais reas da TI que devem ser auditadas com
frequncia. De acordo com o porte das empresas, as reas destacadas podem
sofrer expanses ou alteraes. Sendo assim, todo recurso novo de TI tem de ser
relacionado no planejamento da auditoria.
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
47/118
Auditoria da tecnologia da informao
45
Abrangncia da auditoria daTI e sua importncia
Mrcio Ghisi Guimares
Denir com exatido a abrangncia da TI e as reas que podem ser auditadas seria
uma atitude no muito correta, pois a complexidade pode variar, de uma empresa
para outra, bem como o volume de recursos que uma empresa utiliza e que, do
mesmo modo, pode variar de empresa para empresa. Outro ponto relevante com
relao auditoria a dinmica. A abrangncia da segurana de uma auditoria no
pode ser a mesma. A auditoria tem de ser dinmica, de acordo com a variao dos
recursos de informtica que a empresa utiliza. At mesmo uma rea de abrangncia
como banco de dados pode ser dividida em subreas, conforme a complexidade
dos dados, como criptograas, procedures, armazenamentos, usurios, senhas
de acesso, permisses, indo at os logs de transaes. Quanto mais crtica a
informao, mais importncia deve ser atribuda segurana da mesma.
Desta forma, qual a correta abrangncia da auditoria na rea da Tecnologia da
Informao? A resposta correta est na amplitude de cada empresa. Se a empresa
grande, maior o nmero de reas que devem ser auditadas; j, se a empresa
pequena, o nmero de reas a serem auditadas menor. Mas, sendo a empresa
grande ou pequena, todas as reas em que a empresa utiliza Tecnologia da
Informao devem ser abrangidas pela auditoria. Logo, no devendo nenhuma
rea car sem proteo, a auditoria deve ser completa e proporcional aos recursosda TI que a empresa utiliza.
O responsvel pela solicitao da auditoria da TI pretende obter a maior segurana
possvel; em decorrncia, a auditoria ter abrangncia em todas as reas
relacionadas a TI, no cando neste caso nenhuma rea importante ou relevante
descoberta. Tambm desta forma, a responsabilidade sobre a auditoria atribuda a
quem realiza a mesma, devendo responder por erros no apontados ou omisses.
A auditoria da TI pode ser especca a uma determinada rea ou abranger todoo ambiente da TI. Pode ser uma auditoria do tipo operacional, buscando vericar
a gesto dos recursos de informtica, ou o nvel de segurana do recurso de
informtica em questo. Lembra-se que, antes de realizar a auditoria em si, o
planejamento da mesma deve ser realizado previamente e aprovado.
A seguir, sero apresentadas as quatro reas mais relevantes da rea da
Tecnologia da Informao que devem ser auditadas, relativamente segurana
da informao, como banco de dados, sistemas de desenvolvimento, redes e
hardware. As outras reas no so menos importantes e tambm devem ser
vistas pela auditoria, a saber, criptograa, contratos, manutenes, atualizaes,resultados, tempos de resposta, etc.
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
48/118
46
Ps-graduao
rea de banco de dados
A rea de banco de dados considerada de suma importncia e vital para a
continuidade de operao de uma empresa. Praticamente, com raras excees,
no existe uma empresa que sobreviva com suas operaes sem um banco de
dados, seja de qual tipo for. Inclusive a rea de banco de dados muito visada
por ataques, para deix-lo fora de operao e, consequentemente, interromper
a operao da empresa. Para se ter uma ideia mais precisa da importncia do
banco de dados, imagine todas as outras reas mais importantes operando
corretamente, como rede e aplicaes. Mas, se o banco de dados ca fora de
operao, a operao da empresa tambm para.
As abordagens a seguir no sero do ponto de vista tcnico e especco de um
determinado banco de dados, como Oracle ou SQL-Server, mas de um ponto devista genrico, possibilitando que sejam aplicadas a qualquer banco de dados.
Instalao: Do ponto de vista da segurana da informao, a auditoria deve checar
se a instalao foi seguida corretamente como determina o fornecedor, bem como
se o banco de dados foi instalado por pessoa com competncia suciente para tal.
Tambm deve vericar se os respectivos programas de atualizaes fornecidos
foram aplicados. que, uma instalao incorreta pode deixar portas vulnerveis
a ataques, assim como, por questes de tempo de acesso, o dimensionamento
das datas bases, as senhas ou as permisses podem ter de ser desinstalados e
instalados novamente no banco de dados, e este processo pode deixar a empresa
fora de operao. Tambm deve checar se a instalao foi coerente com a licena
de uso adquirida pela empresa. Instalaes sem as respectivas licenas constituem
um risco muito alto segurana do banco de dados e, por isso, durante a
auditoria, deve ser apontado o risco que a empresa est correndo.
Congurao: Pode-se atribuir congurao de um banco de dados todos os
requisitos pertinentes, como data bases, tabelas, usurios, senhas, permisses,
chaves de acesso das tabelas e tempo de acesso. As tabelas de um banco de dados
e seus relacionamentos devem receber uma ateno maior da auditoria. Tabelamuito grande ou tempo de acesso muito lento pode comprometer o desempenho
da aplicao e, consequentemente, a satisfao do usurio. A solicitao do
detalhamento dos acessos s tabelas de um banco de dados pode apontar uma
sobrecarga em uma determinada tabela, assim como o nmero total de registros.
Caso essas duas caractersticas sejam constatadas, devem ser apontadas na
auditoria, para a devida correo.
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
49/118
Auditoria da tecnologia da informao
47
Alm da vericao das tabelas e relacionamentos entre as mesmas, tambm deve
ser conrmada a correta congurao dos usurios nas respectivas aplicaes.
O correto cada usurio estar congurado somente para o respectivo banco de
dados ao qual tem acesso. Caso a congurao no esteja correta, a segurana
dos dados pode estar seriamente comprometida, pois usurio sem permisso
a um determinado banco de dados pode acess-lo e obter informaes para as
quais no tenha permisso. Esta constatao muito relevante e tambm deve
ser noticada no relatrio de auditoria, especicando o usurio que no est
devidamente congurado.
Ainda h a possibilidade de algum usurio que j tenha se desligado da empresa
fazer parte da congurao de usurios do banco de dados. Alm de destacar
a importncia de, imediatamente, ser removida a referida congurao,
importante apurar se existe uma metodologia de acompanhamento dedesligamento de usurio, quando o funcionrio demitido da empresa.
Permisses de usurios: Alm da correta congurao de cada usurio da
empresa, tambm pertinente vericar as permisses que cada um tem e se esto
corretamente conguradas no banco de dados. Um determinado usurio pode
ter acesso a um determinado banco, mas pode no ter total permisso de acesso
a todas as tabelas do mesmo, ou ainda, a parte de determinada tabela do banco.
Este tipo de controle e implantao mais trabalhoso, mas lembrar que se trata de
uma excelente porta de entrada de invasores. Conforme a importncia, seguranae sigilo das informaes, as permisses devem estar corretamente conguradas.
To importante quanto atribuir permisses, destacar quem o responsvel por
congurar as respectivas permisses, pois estas so dinmicas como a empresa, ou
seja, a permisso atribuda hoje pode j no ser a mesma em um perodo seguinte.
Backup: A rigor, todo banco de dados deve ter um backup digno da sua
importncia. No concebvel um banco de dados sem um procedimento de
backup. A periodicidade, nmero de cpias, local de armazenamento, mdia, etc.,
variam de empresa para empresa. O que se observa nos dias atuais que os discos
esto com uma enorme rea de armazenamento, e isto permite armazenar todas
as transaes, inviabilizando a realizao de uma cpia de segurana. Nestes casos, realizado um espelhamento da informao, ou seja, a informao atualizada,
simultaneamente, em dois ou mais discos. Mas vale lembrar que um disco uma
mquina como outra qualquer e tambm est sujeita a falhas. De uma forma ou de
outra, um procedimento de backup imprescindvel e deve existir, mas, caso no
exista, a auditoria deve recomendar que o mesmo seja implantado imediatamente.
To importante quanto ter um backup realizar uma simulao de restore (retorno
dos dados do backup )para a certicao da consistncia do prprio backup,
pois o procedimento de restore no pode deixar a empresa com suas operaes
interrompidas, enquanto realizado.
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
50/118
48
Ps-graduao
Documentao: As pessoas no so eternas em uma empresa, tanto podem ser
desligadas, como mudar de rea de atuao. Na falta dessas, a documentao
o melhor canal de entendimento do diagrama de tabelas e seus respectivos
relacionamentos. Tambm, ter a documentao no suciente, pois precisovericar se a mesma est sendo constantemente atualizada. E somente pessoas
autorizadas documentao que podem ter acesso a ela, pois a documentao
nas mos de pessoas no autorizadas pode revelar informaes sigilosas.
Disponibilidade: Teoricamente, por se tratar de uma rea vital de funcionamento e,
muitas vezes, durante os 365 dias por ano e 24 horas por dia, a disponibilidade do
banco de dados deve ser real o tempo todo. A disponibilidade passa pelo tempo de
acesso aceitvel das informaes e pela equipe responsvel pela manuteno do
mesmo. H quem diga que ter um no ter nenhum e ter dois talvez ter um. Desta
forma, ter disponvel apenas uma pessoa para a manuteno do banco de dados
no seguro, pois, na falta dessa pessoa, o banco ca sem manuteno.
Integridade: Uma informao no pode ter redundncia, pois este um fator
que contribui para erros na informao. Muitas vezes, a integridade de
difcil constatao, por exigir um conhecimento mais detalhado das tabelas e
relacionamentos do banco. Uma forma mais rpida de averiguar a integridade
contat-lo junto aos usurios, indagando deles se as informaes esto sendo
disponibilizadas de forma correta (SCHNEIER, 2001).
Conabilidade: Da mesma forma que a integridade, ao perderem a conabilidade os
dados colocam todo um sistema em descrdito diante do usurio, o qual passa a ter
certo tipo de restrio ao uso do mesmo. A conabilidade de suma importncia
para a segurana dos dados. A perda de contabilidade deve ser ressaltada na
auditoria, caso seja detectada (SCHNEIER, 2001).
Senhas de acesso: Muitas das senhas de acesso das aplicaes e permisses de
usurios cam armazenadas no banco de dados. importantssimo que estas
estejam criptografadas. A vulnerabilidade das senhas pode acarretar vazamento de
informaes, em caso de acesso indevido s aplicaes, assim como alteraes no
permitidas. Tambm interessante vericar se h controle sobre uma periodicidade
de alteraes das senhas e checar os tamanhos e caracteres das senhas. Existem
senhas fortes e senhas fracas. As fracas so combinaes que podem facilmente serdescobertas por algum ou por algum software.
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
51/118
Auditoria da tecnologia da informao
49
rea de sistemas de informao
A importncia da rea de sistemas de informao proporcional ao
gerenciamento das informaes da empresa. por meio dos sistemas
desenvolvidos ou adquiridos por terceiros que a empresa gera suas informaes.
Sistemas mal concebidos geram inecincia, ineccia, atraso, conito, falta de
agilidade e perda da competitividade no gerenciamento das informaes.
Os sistemas no so e no podem ser estticos. A manuteno deve ser constante,
diante de alteraes em legislaes, erros de desenvolvimento ou mudanas
nas regras de negcio. Sempre deve haver uma garantia de disponibilidade de
manuteno, pois a falta de manuteno certamente colocar a segurana das
informaes em risco. Portanto, inevitavelmente a rea de sistemas deve ser
auditada constantemente. De regra, os principais pontos da rea de sistemas,segundo Dias (2000), so equipe de desenvolvimento, sistemas terceirizados e
tecnologias de desenvolvimento.
Equipe de desenvolvimento: Quando se faz a opo de desenvolvimento
interno, h a necessidade da constituio de uma equipe competente para
tal. O desenvolvimento interno traz como grande vantagem, justamente, o
desenvolvimento de um sistema especco para o negcio da empresa. Isto
pode resultar em grande vantagem, mas a condio que a equipe interna
de desenvolvimento tenha condies de promov-lo e de fazer as respectivas
manutenes. Trata-se de um ponto muito importante para ser auditado, pois, se
a equipe no estiver capacitada tecnicamente e em nmero compatvel com os
sistemas existentes, fatalmente a segurana da informao estar comprometida.
Normalmente, pessoas j comprometidas com um nmero determinado
de sistemas no tm mais disponibilidade para novos desenvolvimentos ou
manutenes.
A equipe tambm deve estar apta com relao tecnologia adotada pela empresa,
especicamente com referncia linguagem de programao, plataformas
de desenvolvimento, linguagem SQL de banco de dados, etc. No nadasignicante uma equipe grande, onde poucos de seus membros aos detentores de
conhecimento tcnico apto, rpido e ecaz. A auditoria deve vericar tais aspectos
e apont-los, se for o caso.
Rotatividade na equipe de desenvolvimento no bem vista, devido
complexidade dos sistemas: o repasse de informaes nesse contexto no ocorre
facilmente, tampouco em curto espao de tempo. Tambm a satisfao pessoal,
salarial e o ambiente de trabalho devem ser vistos. Em conversa com alguns
membros da equipe, isto se pode observar facilmente.
7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao
52/118
50
Ps-graduao
O aperfeioamento tambm de suma importncia. Uma equipe no pode car
sem continuidade de treinamento tecnolgico. Por parte da empresa ou dos
prprios membros da equipe ou ainda de uma forma mista, o treinamento deve
acontecer. Equipe sem treinamento comprometer, em algum momento, a
continuidade de operao dos sistemas, por incompatibilidade tecnolgica.
Sistemas terceirizados: Em alguns casos, a empresa op