[7072 - 19225]Auditoria de Seg Da Informacao

7/28/2019 [7072 - 19225]Auditoria de Seg Da Informacao

1/118

Auditoria de Seguranada Informao

Luiz Otvio Botelho Lento

Mrcio Ghisi Guimares


2/118

CrditosUniversidade do Sul de Santa Catarina | Campus UnisulVirtual | Educao Superior a Distncia

ReitorAilton Nazareno Soares

Vice-ReitorSebastio Salsio Heerdt

Chefe de Gabinete da ReitoriaWillian Corra Mximo

Pr-Reitor de Ensino ePr-Reitor de Pesquisa,Ps-Graduao e InovaoMauri Luiz Heerdt

Pr-Reitora de AdministraoAcadmicaMiriam de Ftima Bora Rosa

Pr-Reitor de Desenvolvimentoe Inovao InstitucionalValter Alves Schmitz Neto

Diretora do CampusUniversitrio de TubaroMilene Pacheco Kindermann

Diretor do Campus Universitrioda Grande FlorianpolisHrcules Nunes de Arajo

Secretria-Geral de EnsinoSolange Antunes de Souza

Diretora do CampusUniversitrio UnisulVirtualJucimara Roesler

Equipe UnisulVirtual

Diretor AdjuntoMoacir Heerdt

Secretaria Exe cutiva e CerimonialJackson Schuelter Wiggers (Coord.)Marcelo Fraiberg Machado

Tenille CatarinaAssessoria de AssuntosInternacionaisMurilo Matos Mendona

Assessoria de Rela o com PoderPblico e Foras ArmadasAdenir Siqueira VianaWalter Flix Cardoso Junior

Assessoria DAD - Disciplinas aDistnciaPatrcia da Silva Meneghel (Coord.)Carlos Alberto AreiasCludia Berh V. da SilvaConceio Aparecida KindermannLuiz Fernando MeneghelRenata Souza de A. Subtil

Assessoria de Inovao e

Qualidade de EADDenia Falco de Bittencourt (Coord.)Andrea Ouriques BalbinotCarmen Maria Cipriani Pandini

Assessoria de TecnologiaOsmar de Oliveira Braz Jnior (Coord.)Felipe FernandesFelipe Jacson de FreitasJeferson Amorin OliveiraPhelipe Luiz Winter da SilvaPriscila da SilvaRodrigo Battistotti PimpoTamara Bruna Ferreira da Silva

Coordenao Cursos

Coordenadores de UNADiva Marlia FlemmingMarciel Evangelista Catneo

Roberto IunskovskiAuxiliare s de CoordenaoAna Denise Goularte de SouzaCamile Martinelli SilveiraFabiana Lange PatricioTnia Regina Goularte Waltemann

Coordenadores GraduaoAlosio Jos RodriguesAna Lusa MlbertAna Paula R.PachecoArtur Beck NetoBernardino Jos da Silva

Charles Odair Cesconetto da SilvaDilsa MondardoDiva Marlia FlemmingHorcio Dutra MelloItamar Pedro BevilaquaJairo Aonso HenkesJanana Baeta NevesJorge Alexandre Nogared CardosoJos Carlos da Silva JuniorJos Gabriel da SilvaJos Humberto Dias de ToledoJoseane Borges de MirandaLuiz G. Buchmann FigueiredoMarciel Evangelista CatneoMaria Cristina Schweitzer VeitMaria da Graa PoyerMauro Faccioni FilhoMoacir FogaaNlio HerzmannOnei Tadeu DutraPatrcia FontanellaRoberto IunskovskiRose Clr Estivalete Beche

Vice-Coordenadores GraduaoAdriana Santos RammBernardino Jos da SilvaCatia Melissa Silveira RodriguesHorcio Dutra MelloJardel Mendes VieiraJoel Irineu LohnJos Carlos Noronha de OliveiraJos Gabriel da SilvaJos Humberto Dias de ToledoLuciana ManroiRogrio Santos da CostaRosa Beatriz Madruga PinheiroSergio SellTatiana Lee Marques

Valnei Carlos DenardinSmia Mnica Fortunato (Adjunta)

Coordenadores Ps-GraduaoAlosio Jos RodriguesAnelise Leal Vieira CubasBernardino Jos da SilvaCarmen Maria Cipriani PandiniDaniela Ernani Monteiro WillGiovani de PaulaKarla Leonora Dayse NunesLetcia Cristina Bizarro BarbosaLuiz Otvio Botelho LentoRoberto IunskovskiRodrigo Nunes LunardelliRogrio Santos da CostaThiago Coelho SoaresVera Rejane Niedersberg Schuhmacher

Gerncia Administrao

AcadmicaAngelita Maral Flores (Gerente)Fernanda Farias

Secretaria de Ensi no a DistnciaSamara Josten Flores (Secretria de Ensino)Giane dos Passos (Secretria Acadmica)Adenir Soares JniorAlessandro Alves da SilvaAndra Luci MandiraCristina Mara SchaufertDjeime Sammer BortolottiDouglas SilveiraEvilym Melo LivramentoFabiano Silva MichelsFabricio Botelho EspndolaFelipe Wronski HenriqueGisele Terezinha Cardoso FerreiraIndyanara RamosJanaina Conceio

Jorge Luiz Vilhar MalaquiasJuliana Broering MartinsLuana Borges da SilvaLuana Tarsila HellmannLuza Koing ZumblickMaria Jos Rossetti

Marilene de Ftima CapeletoPatricia A. Pereira de CarvalhoPaulo Lisboa CordeiroPaulo Mauricio Silveira BubaloRosngela Mara SiegelSimone Torres de Oliveira

Vanessa Pereira Santos MetzkerVanilda Liordina Heerdt

Gesto DocumentalLamuni Souza (Coord.)Clair Maria CardosoDaniel Lucas de MedeirosJaliza Thizon de BonaGuilherme Henrique KoerichJosiane LealMarlia Locks Fernandes

Gerncia Administrativa eFinanceiraRenato Andr Luz (Gerente)Ana Luise WehrleAnderson Zandr PrudncioDaniel Contessa LisboaNaiara Jeremias da RochaRaael Bourdot Back

Thais Helena BonettiValmir Vencio Incio

Gerncia de Ensino, Pesquisa eExtensoJanana Baeta Neves (Gerente)Aracelli Araldi

Elaborao de ProjetoCarolina Hoeller da Silva BoingVanderlei BrasilFrancielle Arruda Rampelotte

Reconhecimento de CursoMaria de Ftima Martins

ExtensoMaria Cristina Veit (Coord.)

PesquisaDaniela E. M. Will (Coord. PUIP, PUIC, PIBIC)Mauro Faccioni Filho (Coord. Nuvem)

Ps-GraduaoAnelise Leal Vieira Cubas (Coord.)

BibliotecaSalete Ceclia e Souza (Coord.)Paula Sanhudo da SilvaMarlia Ignacio de EspndolaRenan Felipe Cascaes

Gesto Docente e DiscenteEnzo de Oliveira Moreira (Coord.)

Capacitao e Assessoria aoDocenteAlessandra de Oliveira (Assessoria)Adriana SilveiraAlexandre Wagner da RochaElaine Cristiane Surian (Capacitao)

Elizete De MarcoFabiana PereiraIris de Souza BarrosJuliana Cardoso EsmeraldinoMaria Lina Moratelli PradoSimone Zigunovas

Tutoria e SuporteAnderson da Silveira (Ncleo Comunicao)Claudia N. Nascimento (Ncleo Norte-Nordeste)Maria Eugnia F. Celeghin (Ncleo Plo s)Andreza Talles CascaisDaniela Cassol PeresDbora Cristina SilveiraEdnia Araujo Alberto (Ncleo Sudeste)Francine Cardoso da SilvaJanaina Conceio (Ncleo Sul)Joice de Castro PeresKarla F. Wisniewski Desengrini

Kelin BussLiana FerreiraLuiz Antnio PiresMaria Aparecida TeixeiraMayara de Oliveira BastosMichael Mattar

Patrcia de Souza AmorimPoliana SimaoSchenon Souza Preto

Gerncia de Desenho eDesenvolvimento de Materiais

DidticosMrcia Loch (Gerente)

Desenho EducacionalCristina Klipp de Oliveira(Coord. Grad./DAD)Roseli A. Rocha Moterle (Coord. Ps/Ext.)Aline Cassol DagaAline PimentelCarmelita SchulzeDaniela Siqueira de MenezesDelma Cristiane MorariEliete de Oliveira CostaElosa Machado SeemannFlavia Lumi MatuzawaGeovania Japiassu MartinsIsabel Zoldan da Veiga RamboJoo Marcos de Souza AlvesLeandro Roman BambergLygia PereiraLis Air Fogolari

Luiz Henrique Milani QueriquelliMarcelo Tavares de Souza CamposMariana Aparecida dos SantosMarina Melhado Gomes da SilvaMarina Cabeda Egger MoellwaldMirian Elizabet Hahmeyer Collares ElpoPmella Rocha Flores da SilvaRaael da Cunha LaraRoberta de Ftima MartinsRoseli Aparecida Rocha MoterleSabrina BleicherVernica Ribas Crcio

Acessibilida deVanessa de Andrade Manoel (Coord.)Letcia Regiane Da Silva TobalMariella Gloria RodriguesVanesa Montagna

Avaliao da ap rendizagem

Claudia Gabriela DreherJaqueline Cardozo PollaNgila Cristina HinckelSabrina Paula Soares ScarantoThayanny Aparecida B. da Conceio

Gerncia de LogsticaJeerson Cassiano A. da Costa (Gerente)

Logsitca de MateriaisCarlos Eduardo D. da Silva (Coord.)Abraao do Nascimento GermanoBruna MacielFernando Sardo da SilvaFylippy Margino dos SantosGuilherme LentzMarlon Eliseu PereiraPablo Varela da SilveiraRubens AmorimYslann David Melo Cordeiro

Avaliaes Prese nciaisGraciele M. Lindenmayr (Coord.)Ana Paula de AndradeAngelica Cristina GolloCristilaine MedeirosDaiana Cristina BortolottiDelano Pinheiro GomesEdson Martins Rosa JuniorFernando SteimbachFernando Oliveira SantosLisdeise Nunes FelipeMarcelo RamosMarcio VenturaOsni Jose Seidler JuniorThais Bortolotti

Gerncia de MarketingEliza B. Dallanhol Locks (Gerente)

Relacionamento com o MercadoAlvaro Jos Souto

Relacionamento com PolosPresenciaisAlex Fabiano Wehrle (Coord.)Jeerson Pandolo

Karine Augusta ZanoniMarcia Luz de OliveiraMayara Pereira RosaLuciana Tomado Borguetti

Assuntos JurdicosBruno Lucion RosoSheila Cristina Martins

Marketing Estratg icoRaael Bavaresco Bongiolo

Portal e ComunicaoCatia Melissa Silveira RodriguesAndreia DrewesLuiz Felipe Buchmann FigueiredoRaael Pessi

Gerncia de ProduoArthur Emmanuel F. Silveira (Gerente)Francini Ferreira Dias

Design VisualPedro Paulo Alves Teixeira (Coord.)Alberto Regis EliasAlex Sandro XavierAnne Cristyne Pereira

Cristiano Neri Gonalves RibeiroDaiana Ferreira CassanegoDavi PieperDiogo Raael da SilvaEdison Rodrigo ValimFernanda FernandesFrederico TrilhaJordana Paula SchulkaMarcelo Neri da SilvaNelson RosaNoemia Souza MesquitaOberdan Porto Leal Piantino

MultimdiaSrgio Giron (Coord.)Dandara Lemos ReynaldoCleber MagriFernando Gustav Soares LimaJosu Lange

Conferncia (e-OLA)Carla Fabiana Feltrin Raimundo (Coord.)Bruno Augusto ZuninoGabriel Barbosa

Produo IndustrialMarcelo Bittencourt (Coord.)

Gerncia Servio de AtenoIntegral ao AcadmicoMaria Isabel Aragon (Gerente)Ana Paula Batista DetniAndr Luiz PortesCarolina Dias DamascenoCleide Incio Goulart SeemanDenise FernandesFrancielle FernandesHoldrin Milet BrandoJennifer CamargoJessica da Silva BruchadoJonatas Collao de SouzaJuliana Cardoso da SilvaJuliana Elen TizianKamilla RosaMariana SouzaMarilene Ftima CapeletoMaurcio dos Santos AugustoMaycon de Sousa CandidoMonique Napoli RibeiroPriscilla Geovana PaganiSabrina Mari Kawano GonalvesScheila Cristina MartinsTaize MullerTatiane Crestani Trentin

Avenida dos Lagos, 41 Cidade Universitria Pedra Branca | Palhoa SC | 88137-900 | Fone/fax: (48) 3279-1242 e 3279-1271 | E-mail: [email protected] |Site: www.unisul.br/unisulvirtual


3/118

Universidade do Sul de Santa Catarina

Auditoria de Segurana

da InformaoLivro Digital

PalhoaUnisulVirtual

2012


4/118

Ficha catalogrca elaborada pela Biblioteca Universitria da Unisul

Copyright UnisulVirtual 2012

Nenhuma parte desta publicao pode ser reproduzida porqualquer meio sem a prvia autorizao desta instituio.

Edio Livro Digital

Professor ConteudistaMrcio Ghisi GuimaresLuiz Otvio Botelho Lento

Coordenao de CursoLuiz Otvio Botelho Lento

Design InstrucionalDelma Cristiane Morari

Projeto Grco e CapaEquipe Design Visual

DiagramaoJordana Paula Schulka

RevisoAmaline Mussi

.L Lento, Luiz Otvio Botelho

Auditoria de segurana da informao : livro digital / Luiz OtvioBotelho Lento, Mrcio Ghisi Guimares ; design instrucional Delma

Cristiane Morari. Palhoa : UnisulVirtual, . p. : il. ; cm.

Inclui bibliograa.

. Proteo de dados - Auditoria. . Sistemas de recuperao dainformao Medidas de segurana. I. Guimares, Mrcio Ghisi. II.Morari, Delma Cristiane. III. Ttulo.


5/118

Auditoria de Seguranada Informao

Livro Digital

Luiz Otvio Botelho LentoMrcio Ghisi Guimares

Designer InstrucionalDelma Cristiane Morari

PalhoaUnisulVirtual

2012


6/118


7/118

7 Apresentao

9 Palavras dos professores

11 Plano de estudo

15 Unidade 1Auditoria e sua importncia em uma organizao

43 Unidade 2Auditoria da tecnologia da informao

69 Unidade 3Auditoria de segurana da informao

89 Unidade 4Auditoria de sistemas de gesto de segurana da informao

105 Para concluir os estudos

107 Minicurrculos

109 Respostas e comentrios das atividades de autoaprendizageme colaborativas

113 Referncias

Sumrio


8/118


9/118


10/118


11/118

Caro/a estudante,

Seja bem-vindo/a disciplina Auditoria de Segurana da Informao.

Como voc j deve saber, o Sistema de Gesto de Segurana da Informao (SGSI) estratgico para o sucesso do negcio de uma organizao.

Neste mundo globalizado, a necessidade de manter o SGSI adequado s

necessidades da organizao passou a constituir prioridade entre a alta direo e

os gestores de segurana das organizaes. Por sua vez, o processo de auditoria

tornou-se uma ferramenta ecaz a, pois suas constataes e concluses podem

ajudar a manter o sistema de gesto dentro das expectativas da organizao.

Esta disciplina tem como objetivo apresentar a voc, na perspectiva dos autores,

uma primeira viso do que vem a ser Auditoria de Segurana da Informao.Buscando ressaltar, igualmente, a sua importncia para o negcio de uma

organizao.

Na atualidade, as empresas dependem dos recursos da Tecnologia da Informao

para terem competitividade nos negcios. No existe mais espao para

processamento de dados manualmente. Todas as informaes esto gravadas

em banco de dados e as regras de negcios esto implementadas em sistemas

de informao. Sem os recursos de TI, a grande maioria das empresas deixa de

operar. Nesse contexto, a segurana das informaes vital para a continuidadedos negcios das empresas.

Mas ser que as informaes esto seguras nas empresas?

A resposta a essa pergunta pode ser encontrada pela auditoria de segurana das

informaes. Somente realizando constantes auditorias nos recursos de TI que

se pode armar estarem as informaes realmente seguras, ou no.

Palavras dos professores


12/118

Ps-graduao

A abrangncia da auditoria pode variar conforme a complexidade dos recursos de

TI utilizados pela empresa, ou seja, a auditoria dinmica e deve ser realizada por

um auditor independente.

Este livro abordar alguns tpicos relevantes de TI que devem ser auditados e as

razes para a realizao da auditoria.

Bom estudo a todos!

Professores Mrcio Ghisi Guimares e Luiz Otvio Botelho Lento


13/118

O plano de estudo visa a orient-lo/a no desenvolvimento da disciplina. Possui

elementos que o/a ajudaro a conhecer o contexto da disciplina e a organizar o

seu tempo de estudos.

O processo de ensino e aprendizagem na UnisulVirtual leva em conta instrumentos quese articulam e se complementam, portanto a construo de competncias se d sobre a

articulao de metodologias e por meio das diversas formas de ao/mediao.

So elementos desse processo:

o livro digital;

o Espao UnisulVirtual de Aprendizagem (EVA);

as atividades de avaliao (a distncia, presenciais e de autoaprendizagem);

o Sistema Tutorial.

Objetivo geral

Compreender as principais estratgias que norteiam a realizao de uma auditoria

computacional e desenvolver habilidades para a sua execuo em ambientes

corporativos.

Ementa

Conceito e organizao de auditoria. Controles organizacionais. Controle de

mudanas. Controle de operao de sistemas. Controle sobre o ambiente de rede.

Plano de estudo


14/118

Ps-graduao

Contedo programtico/objetivos

A seguir, as unidades que compem o livro digital desta disciplina e os seus

respectivos objetivos. Estes se referem aos resultados que voc dever alcanar

ao nal de uma etapa de estudo. Os objetivos de cada unidade denem o

conjunto de conhecimentos que voc dever possuir para o desenvolvimento de

habilidades e competncias necessrias a este nvel de estudo.

Unidades de estudo: 4

Unidade 1 Auditoria e sua importncia em uma organizao

Pode-se armar que a auditoria a atribuio responsvel por scalizar os

processos de uma organizao. Sua principal funo revelar se os processos

esto sendo executados corretamente, constantemente, de forma preventiva ou

corretiva, e, principalmente, independente. A auditoria pode ser classicada por

tipos, como: interna, externa, administrativa, contbil, nanceira, operacional e de

tecnologia da informao.

Unidade 2 Auditoria de tecnologia da informao

Esta unidade estuda a importncia da auditoria na rea de TI, pois ela compreende

todas as reas relacionadas TI. Todos os processos podem e devem ser

auditados, desde a deciso sobre tecnologias a ser adotadas, desenvolvimento

de sistemas, integrao entre sistemas, comunicao entre mquinas, mudanas

de sistemas e tecnologias, equipes de desenvolvimentos, prioridades, controles

organizacionais, legalidade jurdica, bem como os resultados. A auditoria no setor

TI imprescindvel, haja vista que, hoje, muitas organizaes param de operar pelo

fato de a respectiva tecnologia de TI adotada deixar de funcionar.


15/118

Auditoria de Segurana da Informao

Unidade 3 Auditoria de segurana da informao

Atualmente, uma organizao no consegue mais operar sem sistemas de

informao que operam de forma integrada entre si, pois isto vital para

assegurar a continuidade de funcionamento das organizaes. A operao de

sistemas revela o resultado de todo um trabalho de anlise e implantao de

sistemas. Auditando a operao de sistemas, pode-se concluir que as regras de

negcio foram implantadas e executadas corretamente. Os nveis de auditoria

devem aprofundar, de acordo com a segurana crtica das informaes, por meio

dos controles de acesso lgico e fsico.

Unidade 4 Auditoria de sistemas de gesto de segurana da

informao

Esta unidade trata da importncia de se ter um sistema de gesto de segurana

da informao (SGSI) implementado em uma organizao, o que permite ao

responsvel pela segurana das informaes visualizar, com muito mais ecincia

e em tempo real, a situao dos sistemas integrados.

Carga horria: 30 horas


16/118


17/118

Auditoria e sua importncia

em uma organizao

Unidade 1

Objetivos de aprendizagemCompreender a necessidade de realizao de auditoria nas organizaes.

Distinguir os tipos de auditoria e sua aplicabilidade.

Perceber a contribuio da constante aplicao de auditoria para asegurana das informaes de uma organizao.

Conhecer o planejamento da auditoria e a importncia do planejamento

na aplicao da auditoria.

Introduo

A globalizao e a dinmica na composio e realizao de negcios entre

as organizaes no pas e no mundo uma realidade crescente a cada dia. A

necessidade do uso contnuo de sistemas computacionais em seus negcios

assegurou s organizaes oferecerem produtos com mais qualidade e

competitividade.

Esse novo cenrio passou a prover uma nova demanda de tcnicas e solues de

monitoramento e controle dos processos de negcio. Isso porque a necessidade,

cada vez maior, de minimizar falhas e impactos no negcio da organizao, como

por exemplo, riscos de investimentos, boa imagem junto aos seus stakeholders,

veio a tornar-se uma das prioridades de seus gerentes.

Dentre os diversos mecanimos existentes que podem prover o monitoramento e

controle dos processos do negcio de uma organizao, pode-se citar a auditoria.

que a auditoria consiste em um importante instrumento do processo de gesto

de Tecnologia da Informao (TI) de uma organizao.

Esta unidade ir apresentar os conceitos bsicos de auditoria em uma organizao.


18/118

16

Ps-graduao

Conceito, tipos e caractersticas de auditoriaLuiz Otvio Botelho Lento

No decorrer dos anos, o mundo empresarial cresceu de forma signicativa,

integrando universos diversos, compostos por organizaes de vrios segmentos

de mercado, e oferecendo um leque amplo de produtos, com variedade de

formatos referentes aquisio e utilizao. A competitividade no mercado

globalizado est mais voraz. Fatores como a interao das economias (ex:

MERCOSUL, Europa e NAFTA), as constantes alteraes geopolticas e sociais,

em conjunto com a evoluo tecnolgica, reforam a competitividade. As

organizaes que fazem parte dessa nova realidade esto cada vez mais

vulnerveis perante esse mercado, pois necessitam manter uma constante

atualizao em relao s diversas demandas emergentes. Uma soluo para esse

problema juntar esforos.

Em virtude disto, as organizaes se unem, de forma cooperativa, com o

objetivo de atender uma determinada demanda de negcio. Com isso, novas

estruturas interorganizacionais, criadas e distribudas com base na ajuda mtua,

so, atualmente, uma realidade e uma soluo cabvel ante as obrigatoriedades

estabelecidas por um novo mercado.

A busca constante por novas solues e produtos deve-se a

essa crescente evoluo do mercado, cada vez maiscompetitivo e voltil, que, junto globalizao da tecnologia

e da economia, fator inuente na busca de solues mais

ecientes, com custos mais acessveis. As empresas que

esto vivenciando esta realidade vm buscando unir foras

para minimizar custos e obter solues que atendam de

forma objetiva os seus clientes.

Nesse contexto, vem crescendo a utilizao de organizaes

virtuais como soluo, em conjunto com o conceito de Cloud

Computing, pois asssegura uma sada para esta questo,

possibilitando:

coordenar recursos compartilhados de forma

descentralizada (sem controle centralizado);

fazer uso de protocolos e interfaces padres, de propsito

geral e aberta; e

proporcionar qualidades de servios no triviais.

Cloud Computing

a designao aceita para redes

independentes, formadas dinamicamente

por meio de empresas e organizaes

convencionais de um modo geral,

distribudas geogracamente, com

objetivos comuns, compartilhando

tecnologia de informao e comunicao,

trabalhando de forma cooperativa, de

modo a possibilitar uma melhor qualidade

de servio e competncias na soluo de

problemas comuns. (ZHANG; GU, 2003).

Organizaes visuaisUm estilo de computao escalvel

de recursos de TI identicado como

um fornecimento de servio para

clientes externos, por meio da tecnologia

da internet. Os consumidores desses

servios visualizam-nos apenas para

utilizao, sem se preocupar com a

arquitetura de implementao ou

programao desses. Saiba mais em:

.


19/118

Auditoria e sua importncia em uma organizao

17

Em paralelo, novas vulnerabilidades e ameaas foram criadas, tornando os

negcios das organizaes mais suscetveis a ataques. Tal possibilidade forou os

administradores, em conjunto com a sua equipe de Tecnologia da Informao, a

buscar alternativas de proteo com a nalidade de mitigar essas vulnerabilidades

e, assim, reduzir a chance de ocorrer ataques ao seu negcio.

Dessa forma, conforme citado em Smola (2010), a importncia da Gesto da

Segurana da Informao hoje um fator fundamental para o sucesso do negcio

de qualquer organizao, independente de seu tamanho ou rea de atuao. A

implantao de um Sistema de Gesto de Segurana da Informao (SGSI), em

conformidade com os requisitos descritos na norma ISO 27001, fator estratgico

e de sucesso para o negcio da organizao. Em paralelo, a aplicao de boas

prticas de segurana da informao, conforme citadas na ISO 27002, tambm

deve ser adotada no projeto de segurana de informao da organizao.

A norma ISO 27001, responsvel em estabelecer os requisitos do SGSI de uma

organizao, baseia-se no modelo de processo PDCA (Plan Do Check Act),

conforme pode ser visualizado na Figura 1.

ParceirosInteressados

ParceirosInteressados

Expectativas enecessidadesde segurana

da informao

Segurana dainformaogerenciada

Plan

Modelo PDCA aplicado ao processo do SGSI

Do

Check

Especifca o SGSI

Implementa eopera o SGSI

Manuteno emonitora o SGSI

Monitora erevisa o SGSI

Act

Figura 1 -- Modelo de Processos PDCAFonte: ISO 27001 (2005).

Como pode ser visto, o ciclo PDCA representado por quatro fases:

Planejamento: nesta, de forma geral, so planejadas e projetadas

as atividades referentes ao SGSI, como por exemplo, polticas e

procedimentos de segurana;

Execuo: aqui, so implantadas e operacionalizadas as polticas,

controles, processos e procedimentos do SGSI;

Vericao: de uma forma geral, nessa etapa audita-se o SGSI, analisando

e avaliando a ecincia, por exemplo, de suas polticas, procedimentos e

controles;


20/118

18

Ps-graduao

Aes corretivas: com base na etapa de vericao, so tomadas aes

que previnam ou que venham a corrigir as atividades referentes ao

SGSI, especicadas na fase de planejamento e implantadas na fase de

execuo.

O sucesso da implantao e manuteno do SGSI est baseado na vericao

constante das suas atividades. A auditoria dos seus componentes possibilita que o

SGSI esteja sempre alinhado s necessidades de segurana da informao do negcio

da organizao. Esse fato torna a auditoria, de forma ampla, uma ferramenta

fundamental manuteno e adequao do SGSI estratgia do negcio.

Conceituar auditoria pode ser considerado um tanto quanto

fcil, pois existem algumas denies em torno desse

assunto. Todavia a NBR ISO 19011 dene auditoria como umprocesso sistemtico, documentado e independente para

obter evidncias de auditoria e avali-las objetivamente

de modo a determinar a extenso na qual os critrios de

auditoria so atendidos.

Outra denio interessante de auditoria est em UFERSA

(2010): so exames, anlises, avaliaes, levantamento

e comprovaes, metodologicamente estruturados

para a avaliao da integridade, adequao, ecincia,

eccia e economicidade dos processos, dos sistemas de

informaes e de controles internos integrados da organizao, visando a atingir o

cumprimento de seus objetivos.

Segundo Mello (2005), a auditoria pode ser denida como uma atividade que

engloba o exame das operaes, processos, sistemas e responsabilidades

gerenciais de uma determinada entidade, com o intuito de vericar a sua

conformidade com certos objetivos e polticas institucionais, oramentos, regras,

normas ou padres. Poderiam ser mencionadas, ainda, algumas denies mais:

acredita-se, entretanto, que essas duas atendam s expectativas deste estudo.

Ressalta-se que uma auditoria caracteriza-se pela conana e princpios, tornando-

se ferramenta eciente e convel. Dessa forma, contribui para as polticas de

gesto e controle, provendo as organizaes de informaes que possibilitem

melhorar os seus processos de negcio.

A NBR ISO 19011 apresenta alguns desses princpios, relacionados aos auditores,

possibilitando que sejam fornecidas concluses de auditoria relevantes e

sucientes e permitindo que auditores trabalhem de forma independente e

cheguem a concluses semelhantes em situaes semelhantes. Veja na sequncia.

Evidncia de auditoria

Evidncias de auditoria: so registros,

apresentao de fatos ou outrasinformaes, pertinentes aos critrios

de auditoria. A auditoria pode ser

quantitativa ou qualitativa.

Critrios de auditoria

Critrios de auditoria: consiste em um

conjunto de polticas, procedimentos

ou requisitos. Os critrios de auditoria

so usados como uma referncia

contra a qual a evidncia da auditoria

comparada.


21/118


19

Conduta tica: consiste na alma do prossional, conana, integridade,

condencialidade e discrio. A tica consiste em uma caracterstica inerente s

aes do ser humano, tornando-se um componente fundamental sociedade.

Obrigao: existe a obrigao de reportar com veracidade e exatido todas as

informaes pertinentes auditoria, relacionadas com as constataes e as

concluses da auditoria e seus respectivos relatrios.

Conscincia prossional: os auditores devem ter a preocupao de realizar as

tarefas da forma mais prossional, de acordo com a importncia e a conana

depositada em uma auditoria.

Independncia: a base para a imparcialidade e objetividade das concluses de uma

auditoria, porque os auditores so independentes em relao ao que ser auditado,

assim como no se ligam aos interesses e s tendncias apresentadas.

Evidncia: a evidncia de auditoria pode ser vericada, pois ela realizada com base

em amostras de informaes que se encontram disponveis.

Sendo assim, pode-se dizer que a auditoria talvez um mal/bem necessrio a

qualquer organizao. Saber at quanto o seu processo de negcio eciente, ou

mesmo, at quanto o seu sistema de informaes seguro, uma necessidade

estratgica para o negcio. Logo, se for perguntado por que auditar, a respostapode ser imediata: uma necessidade estratgica para o negcio da organizao,

o qual pode ser validado pela auditoria.

Tipos de auditoria

As auditorias podem estar em conformidade com diversos critrios, como por

exemplo, o objetivo, a periodicidade e o posicionamento do auditor/rgo

scalizador. O objetivo de uma auditoria pode estar relacionado necessidade dese vericarem falhas em um processo e, assim, poder corrigi-lo. A periodicidade de

uma auditoria pode estar relacionada necessidade ou ao tipo de negcio.

Sendo assim, Neto e Solonca (2007) apresentam um quadro com os tipos de

auditoria, separando-os em 3 classes abrangentes: forma de abordagem; rgo

scalizador e rea envolvida. Com isso, oferecem uma ampla viso dos diversos

tipos de auditoria que podem existir.


22/118

20

Ps-graduao

Classicao Tipos de auditoria Descrio

Quanto forma

de abordagem:

Auditoria horizontal Auditoria com tema especco, realizada emvrias entidades ou servios, paralelamente.

Auditoria orientada Foca em uma atividade especca qualquer ouatividades com fortes indcios de fraudes ou erros.

Quanto ao rgoscalizador:

Auditoria interna Auditoria realizada por um departamentointerno, responsvel pela vericao e avaliaodos sistemas e procedimentos internos deuma entidade. Um de seus objetivos reduzira probabilidade de fraudes, erros, prticasinecientes ou inecazes. Esse servio deve serindependente e prestar contas diretamente classe executiva da corporao.

Auditoria externa Auditoria realizada por uma empresa externae independente da entidade que estsendo scalizada, com o objetivo de emitirum parecer sobre a gesto de recursos daentidade, sua situao nanceira, a legalidadee regularidade de suas operaes.

Auditoria articulada Trabalho conjunto de auditorias internase externas, devido superposio deresponsabilidades dos rgos scalizadores,caracterizado pelo uso comum de recursose comunicao recproca dos resultados.

Quanto reaenvolvida:

Auditoria deprogramas degoverno

Acompanhamento, exame e avaliao da execuode programas e projetos governamentais.Auditoria do planejamento estratgico verica seos principais objetivos da entidade so atingidose se as polticas e estratgias so respeitadas.

Auditoriaadministrativa

Engloba o plano da organizao, seusprocedimentos, diretrizes e documentosde suporte tomada de deciso.

Auditoria contbil relativa dedignidade das contas da instituio.Essa auditoria, consequentemente, tem como

nalidade fornecer alguma garantia de que asoperaes e o acesso aos ativos se efetuemde acordo com as devidas autorizaes.

continua...


23/118


21

Classicao Tipos de auditoria Descrio

Quanto reaenvolvida:

Auditoria nanceira Conhecida tambm como auditoria das contas.Consiste na anlise das contas, da situaonanceira, da legalidade e regularidade das

operaes e aspectos contbeis, nanceiros,oramentrios e patrimoniais, vericando se todasas operaes foram corretamente autorizadas,liquidadas, ordenadas, pagas e registradas.Auditoria de legalidade conhecida como auditoriade conformidade. Consiste na anlise da legalidadee regularidade das atividades, funes, operaesou gesto de recursos, vericando se esto emconformidade com a legislao em vigor.

Auditoria operacional Incide em todos os nveis de gesto, nas fases deprogramao, execuo e superviso, sob a tica

da economia, ecincia e eccia. Analisa tambma execuo das decises tomadas e aprecia at queponto os resultados pretendidos foram atingidos.

Auditoria daTecnologia daInformao

Tipo de auditoria essencialmente operacional,por meio da qual os auditores analisamos sistemas de informtica, o ambientecomputacional, a segurana de informaese o controle interno da entidade scalizada,identicando seus pontos fortes e decincias.

Quadro 1 Classicao das auditoriasFonte: Neto e Solonca (2007).

Auditoria interna/externa

A classicao quanto ao rgo scalizador/posicionamento do auditor destaca

2 tipos de auditoria aplicados, em sua maioria, nas organizaes, independente

da rea de atuao ou forma de abordagem. Essa terminologia utilizada pela

grande maioria dos auditores para classicar um processo de auditoria. Desta

forma, este item busca um maior detalhamento das caractersticas das auditoriasinternas e externas, dando maior ateno auditoria interna, tendo em vista a sua

aplicabilidade dentro das organizaes.


24/118

22

Ps-graduao

Segundo CONAB e COAUD (2008, p. 5), a auditoria interna

o conjunto de tcnicas que visa avaliar, de forma amostral, a gesto da

companhia, pelos processos e resultados gerenciais, mediante a confrontao

entre uma situao encontrada com um determinado critrio tcnico,operacional ou normativo. Trata-se de um importante componente de

controle das corporaes na busca da melhor alocao dos recursos do

contribuinte, no s atuando para corrigir os desperdcios, as impropriedades/

disfunes, a negligncia e a omisso, mas, principalmente, antecipando-

se a essas ocorrncias, buscando garantir os resultados pretendidos, alm

de destacar os impactos e benefcios sociais advindos, em especial sob a

dimenso da equidade, intimamente ligada ao imperativo de justia social.

A necessidade de realizar auditorias internas vai de encontro com os objetivos

de controle, controle de processos, processos e procedimentosdo sistema degesto. Logo, qualquer organizao dever garantir que as auditorias sejam

realizadas em intervalos de tempo planejados, de acordo com os elementos

citados.

Quanto auditoria externa, so encontradas algumas denies, principalmente

relacionadas questo nanceira/contbil da organizao, como a citada no

portal da auditoria, que a trata como o exame das demonstraes nanceiras

feitas, com o propsito de expressar uma opinio sobre a propriedade com que

estas apresentam a situao patrimonial e nanceira da empresa e o resultadodas operaes no perodo do exame. Entretanto uma denio mais genrica

de auditoria externa ocorreria quando se audita um fornecedor ou quando se

auditado por um cliente, por exemplo. Um exemplo simples quando uma

organizao sofre uma auditoria de segurana da informao com base na norma

ISO 27001. O auditor externo, de forma macro, verica se todos os controles de

segurana da informao necessrios esto implantados.

Iniciao de uma auditoriaPara que uma auditoria seja iniciada, os seus objetivos globais devem estar

alinhados aos objetivos do programa de auditoria, bem como o escopo de

abrangncia e os seus critrios.


25/118


23

Objetivos

determinar a extenso da conformidade dos documentos da organizao

contra os critrios de auditoria;

avaliar a capacidade da documentao da organizao de garantirconformidade com requisitos legais, contratuais e regulamentares;

determinar a eccia da documentao da organizao em atender os

objetivos especicados;

identicar as possveis melhorias da documentao.

Escopo

O escopo de uma auditoria est relacionado descrio da extenso e limites da

auditoria em termos de localizao fsica, unidades organizacionais, atividades,

processos, ativos de informao, avaliaes de risco.

Critrios

Os critrios podem incluir polticas e procedimentos aplicveis organizao,

normas, requisitos legais (leis), regulamentos, requisitos contratuais, sistema de

gesto, e prticas, entre outros.

Atributos e responsabilidades de um auditor

Um auditor deve possuir alguns atributos, como:

possuir capacidade de deciso;

ser rgido e possuir autoconana;

ser tico, educado e instrudo;ser verstil, ter a mente aberta, ser diplomtico, perceptivo e observador

(BSI, 2008);

estar sempre em conformidade com os requisitos da organizao;

participar na confeco da agenda da auditoria, bem como conduzi-la de

forma adequada;

registrar e relatar as constataes;

manter a independncia e condencialidade, bem como manter os

registros de auditoria.


26/118

24

Ps-graduao

Boas prticas de uma auditoria

Conforme citado em BSI 2008, Curso Auditor Interno, algumas boas prticas

durante uma auditoria devem ser observadas:

notique sempre e com antecedncia a realizao de uma auditoria,

seja ela externa ou interna, e tambm informe a importncia dela para a

organizao;

faa as perguntas s pessoas responsveis pela rea que est sendo

auditada. No se esquea de que as perguntas devem ser claras e

objetivas. Evite realizar vrias perguntas ao mesmo tempo;

seja imparcial durante todo o processo de auditoria, buscando sempre

evidncias: com isso, voc evita quaisquer concluses precipitadas;

seja sempre atencioso e educado, procure usar uma linguagem polida,

no argumente com qualquer pessoa ou segmento da organizao; no

discuta, no faa crticas; e

procure sempre apresentar as suas constataes durante o processo da

auditoria.

Terminologia adotada em uma auditoria

Este item visa a apresentar alguns conceitos, considerados como gerais,

utilizados, normalmente, durante um processo de auditoria, independente de sua

classicao. Conceitos como campo, mbito e natureza so bsicos para qualquer

tipo de auditoria.

Campo: est relacionado ao objeto (pode ser uma instituio pblica ou privada ou

um determinado setor da mesma) a ser scalizado, perodo e o tipo da auditoria

(operacional, nanceira, etc.).

mbito: dene o grau de abrangncia e a profundidade das tarefas.

rea de vericao: delimita de modo preciso os temas da auditoria, em funo da

entidade a ser scalizada e da natureza da auditoria.

Controle: consiste na scalizao exercida sobre as atividades das pessoas,

departamentos, produtos, etc., de forma que as atividades executadas ou produtos

mantenham-se dentro das normas preestabelecidas.


27/118


25

Trs tipos de controle so exercidos:

Preventivo - previne erros e invases, por exemplo, identicao e

autenticao de usurios do sistema via a utilizao de senhas;

Detector - detecta erros, tentativas de invases, etc. (arquivos logs,

realizao de controle de acesso de usurios);

Corretivo - minimiza o impacto causado por falhas ou erros, corrigindo-os

(poltica de segurana, plano de contingncia).

Objetivos de controle: so metas de controle a serem alcanadas, ou aspectos

negativos a ser evitados em cada transao, atividade ou funo scalizada.

Procedimentos de auditoria: um conjunto de vericaes e averiguaes que

permite obter e analisar as informaes necessrias ao parecer do auditor. Esses

procedimentos devem ser de conhecimentos dos auditores antes do incio da

auditoria.

Achados de auditoria: so fatos a ser considerados como importantes para o

auditor. Para que esses dados constem no relatrio, eles devem estar baseados em

fatos e evidncias.

Papis de trabalho: so registros que evidenciam atos e fatos observados pelo

auditor (planilhas, documentos, etc.).

Recomendaes de auditoria: realizada na fase de relatrio, isto , so medidascorretivas exequveis, sugeridas para corrigir as falhas detectadas (DIAS, 2000).

Programa de auditoria

Um programa de auditoria, segundo a NBR ISO 19011, consiste em uma ou um

conjunto de auditorias planejado para um determinado perodo de tempo e

com um propsito especco. A quantidade de auditorias que iro compor um

programa de auditoria est diretamente relacionada ao escopo de abrangncia,

natureza (ex.: corretiva ou punitiva) e ao tipo de negcio da organizao, o nvel

de complexidade da organizao que ser auditada.

O programa de auditoria responsvel, tambm, por estabelecer todas

as atividades que possibilitam o planejamento e organizao, execuo e

manuteno de todas as auditorias que fazem parte do programa, independente

do tipo, fornecendo todos os recursos necessrios para que sejam executadas de

forma eciente, em um determinado perodo de tempo (NBR, 2002).


28/118

26

Ps-graduao

Desta forma, pode-se dizer que o programa de auditoria um plano de ao,

detalhado, com o objetivo de dar ao auditor as diretivas necessrias realizao

de seu trabalho. Possui objetivos, escopo de abrangncia, um conjunto de

procedimentos necessrios equipe de auditoria na realizao de seu trabalho.

O programa de auditoria dever ser estruturado, com base em um padro, e

poder conter elementos como:

caractersticas do sistema organizacional a ser auditado;

reas/segmentos de negcio envolvidos;

perodo de realizao da auditoria;

objetivos da auditoria;

cronograma dos trabalhos;equipe de auditores;

custos envolvidos para a realizao da auditoria;

procedimentos para a realizao da auditoria;

questionrios de coleta de informaes;

campo para observaes dos auditores;

orientaes gerais (CONAB; COAUD, 2008).

Vale a pena ressaltar que o programa de auditoria deve ser exvel o suciente

para sofrer alteraes, no caso de situaes no previstas ou intempestivas

durante o processo de auditoria. Ele tambm deve apoiar-se no processo de

deciso da equipe de auditoria, caso exista a necessidade de ampliar a coleta de

informaes, anlises e/ou realizaes de teste de auditoria.

A gerncia de um programa de auditoria

O modelo de gerncia do programa de auditoria segue as prerrogativas descritaspelo modelo de processos do ciclo PDCA, conforme pode ser visualizado na Figura

2. Normalmente, em uma auditoria interna, a autoridade da gerncia do programa

de auditoria delegada pela alta direo da organizao ao seu respectivo

responsvel, o gerente do programa. Esse gerente responsvel em estabelecer,

implantar, monitorar, analisar e melhorar o programa de auditoria, alm de

identicar e garantir que todos os recursos necessrios a sua execuo sejam

providos (NBR, 2002). No caso de uma auditoria externa, o auditor chefe ser o

responsvel em conduzir todo o processo que est relacionado a ela, do incio ao

nal das atividades.


29/118


27

Implementar o

programa de auditoria

Monitorar e analisar o

programa de auditoria

Gerente

Alta direo

Responsabilidade

Gest

odop

rograma

deau

ditori

a

VerificarProcesso de Gesto

Agir

Planejar

Executar

Melhorar o programa

de auditoria

Estabelecer o programa

de auditoria

Figura 2 Processo de gesto do programa de auditoriaFonte: Elaborao do autor (2011).

Referncias

AUDITORIA externa ou auditoria independente.Portal da auditoria. nov. 2011. Disponvel

em: .

Acesso em: 14 dez. 2011.

VILA, Rafael. Imagem de lupa sobre grcos nanceiros: auditoria. Blog luz loja de

consultoria. 2 nov. 2011. Disponvel em: . Acesso em: 7 dez.

2011.

BRITISH STANDARDS INSTITUTE (BSI). Auditor Interno ISO/IEC 27001:2005 Sistema de

Gesto de Segurana da Informao BSI Learning, 2008.

BRITISH STANDARDS INSTITUTE (BSI). Curso Auditor Interno ISO/IEC 27001: 2005 SGSI, BSI

Learning, 2008.


30/118

28

Ps-graduao

DIAS, Cludia. Segurana e auditoria da tecnologia da informao. Rio de Janeiro: Excel

Books, 2000.

ISO/IEC 27001. Tecnologia da Informao, Tcnicas de Segurana, Sistemas de

Gerenciamento de Segurana da Informao, Necessidades ISO/IEC, 2005.

ISO/IEC 27002. Information technology, Security techniques, Code of practice for

information security management, Redesignation of ISO/IEC 17799: 2005.

MANUAL de auditoria interna. 2 verso. Companhia Nacional de Abastecimento CONAB;

Coordenadoria de Auditoria Interna (COAUD), 2008. Disponvel em: . Acesso em: 9 dez. 2011.

MELLO, Agostinho de Oliveira. Instituto dos auditores internos do Brasil.Organizao

bsica da auditoria interna. Biblioteca Tcnica de Auditoria Interna, 2005.

NBR ISO 19011. Diretrizes para auditorias de sistema de gesto da qualidade, NBR. 2002.

NETO, Ablio Bueno; SOLONCA, Davi. Auditoria de sistemas informatizados. Palhoa:

UnisulVirtual, 2007.

SMOLA, Marcos. A importncia da gesto da segurana da informao. 2010. Disponvel

em: . Acesso em:

9 dez. 2011.

SHAO-HUA Zhang, NING Gu. Research on Workow of Virtual Organization, The EighthInternational Conference on Computer Supported Cooperative Work in Design, Xiamen,

China, 2003.

UNIDADE de auditoria interna. Denies de auditoria interna. Universidade Federal Rural

do Semi-rido (UFERSA), 05 mar. 2009. Disponvel em: . Acesso em: 9 dez. 2011.


31/118


29

Planejameto da auditoriaLuiz Otvio Botelho Lento


O planejamento a pea fundamental para o sucesso da auditoria, sendo o tempo

alocado para a etapa de planejamento compatvel com a sua realizao. Desta

forma, no se deve reduzir o tempo de realizao dessa etapa, pois isso poder

incorrer em erros durante a execuo da auditoria, provenientes de um mau

planejamento.

Durante a fase de planejamento, o programa de auditoria estabelecido, e, ento,

o gerente se preocupa, basicamente, com trs aspectos:

os objetivos e o escopo de abrangncia do programa de auditoria;

os recursos (oramentos) necessrios para a realizao da auditoria;

as responsabilidades e a importncia relativa ou papel desempenhado

para cada situao ou segmento de negcio em um determinado

momento/contexto;

os procedimentos, como por exemplo: as possveis situaes crticas que

devem ser controladas, identicadas em um determinado segmento de

negcio da organizao, por exemplo. Referem-se s vulnerabilidades,

aos riscos operacionais latentes, entre outros (NBR, 2002; CONAB;

COAUD, 2008).

Objetivos/escopo de abrangncia

Os objetivos do programa de auditoria so estabelecidos para direcionar tanto o

planejamento quanto a realizao das auditorias. Esses objetivos esto

principalmente relacionados com:

a prioridade da alta direo e suas perspectivas de negcio;

os requisitos e necessidades do sistema de gesto da organizao;

os estatutos, regulamentos e contratos;

a necessidade do cliente, dos parceiros

(fornecedores), ou seja, dos stakeholders;

os riscos referentes ao negcio da organizao.

Stakeholders

So as partes interessadas, qualquer

grupo ou indivduo que pode afetar ou

ser afetado pela realizao dos objetivos

da empresa. (FREEMANN, 1984).


32/118

30

Ps-graduao

Quanto abrangncia do programa de auditoria, ela estabelecida em

conformidade com o tipo de negcio, tamanho da empresa, entre outros

aspectos. Ressalta-se que os objetivos determinados na fase de planejamento

esto diretamente relacionados abrangncia, bem como a sua durao.

Questes como a diversidade dos segmentos de negcio, liais e/ou

departamentos inuenciam na abrangncia, pois se pode determinar que ela

esteja sicamente relacionada a um departamento e/ou lial, ou logicamente

relacionada a um ou a mais segmentos de negcio dentro da organizao.

Recursos

Um programa de auditoria necessita de vrios elementos para a sua realizao,

sendo que a alocao de recursos para a execuo est diretamente relacionadaao seu sucesso. Recursos nanceiros so primordiais, pois eles possibilitam

que as atividades da auditoria sejam desenvolvidas, implantadas, gerenciadas

e melhoradas. Questes como viagens, hospedagens, aquisio de dispositivos

necessrios execuo do programa de auditoria devem ser alocadas nessa fase

do planejamento.

A equipe de auditores outro elemento fundamental. Ter uma equipe qualicada

e competente para realizar as tarefas de auditoria essencial na obteno do

resultado nal com qualidade, convel e compatvel com as expectativas docliente.

Responsabilidades

Alm da gura do gerente do programa de auditoria designado pela alta direo

em uma auditoria interna, ou o auditor chefe, devem existir outros componentes,

capazes tecnicamente (auditores), que tambm iro assumir responsabilidades.

Esses auditores podero assumir responsabilidades como:

estabelecer os objetivos e a abrangncia do programa de auditoria;

garantir que os recursos sejam fornecidos;

garantir que o modelo de gesto do programa de auditoria seja

executado de forma eciente;

garantir que todas as informaes coletadas e analisadas, bem como

as concluses (ex: relatrios), sejam armazenadas e mantidas de forma

segura e pelo tempo necessrio.


33/118


31

Procedimentos

O programa de auditoria, como citado, um plano de ao, e esse, por

conseguinte, composto por um conjunto de procedimentos. Esses

procedimentos abrangem um leque de tarefas, especicadas durante a etapa

de planejamento, responsveis pelas diretrizes de todo o processo de auditoria.

Conforme citado na NBR (2002), os procedimentos devem tratar de aspectos

como:

planejar e programar as auditorias;

executar as auditorias;

selecionar auditores em conformidade com as atividades a serem

realizadas, bem como especicar as suas funes e responsabilidades;

realizar monitoramento das atividades da auditoria como tambm

manter os seus registros de controle;

elaborar relatrios a serem apresentados posteriormente ao cliente;

monitorar a ecincia da auditoria.

Exemplos de produtos da fase de planejamento

Pode-se ver que a etapa de planejamento substancial para o sucesso doprocesso de auditoria. Para resumir e prover um melhor entendimento desta

etapa, detalham-se algumas decises que lhe so especcas:

I. determinar e acordar o escopo;

II. rmar os objetivos da auditoria;

III. estabelecer os critrios da auditoria;

IV. planejar a frequncia com que ela ser executada, bem como a sua

importncia;

V. xar o tempo de durao;

VI. denir a equipe de auditoria e o planejamento dos custos envolvidos.

Acompanhe no Quadro 1 o exemplo de um programa de auditoria em que

descrito o departamento que ser auditado entre os meses de janeiro a dezembro.

X auditoria programada somente com base na importncia

S auditoria adicional


34/118

32

Ps-graduao

Departamento Jan Fev Mar Abr Mai Jun Jul Ago Set Out Nov Dez

Financeiro X S

Projeto X S

Pesquisa X S

Vendas X S

Jurdico X

Pessoal (RH) S X

Administrativo X

Produo S X S

Marketing X

Quadro 1 Programa de auditoriaFonte: BSI (2008).

Os principais pontos de uma agenda de auditoria a ser desenvolvidos durante a

fase de planejamento so:

reunio de abertura/apresentaes;

anlise do escopo da auditoria e dos processos que estaro envolvidos;

responsabilidades;

conformidade e aspectos legais;

especicao dos pontos que faro parte da auditoria (correo de

processos de venda);

resumo/reunio de encerramento.

Executar

Durante esta etapa, o programa de auditoria implementado e as partes

interessadas so apresentadas a esse programa. Iniciam-se todas as tarefas de

coordenao e planejamento do programa de auditoria; a equipe de auditoria

escolhida; os recursos so disponibilizados para a realizao desse processo, entre

outras tarefas. Sendo assim, pode-se dizer que a implementao da auditoria

consiste basicamente na sua execuo, referida no que foi planejado.


35/118


33

Nessa fase do processo de gesto do programa de auditoria, faz-se necessrio

manter registros referentes :

execuo da auditoria planos de auditoria, relatrios de auditoria,

relatrios de no conformidade, relatrios de ao corretiva epreventiva;

anlise do programa de auditoria;

pessoal da auditoria seleo da equipe, competncia de seus membros;

avaliao de desempenho da equipe (NBR, 2002).

Vericar

Nesta etapa, o programa de auditoria sofre um monitoramento em intervalosde tempo adequados, e tambm avaliado se os objetivos da auditoria foram

alcanados.

A anlise crtica do programa de auditoria deve considerar algumas questes,

como resultados e tendncias do monitoramento; conformidade com os

procedimentos; evoluo e expectativas dos stakeholders; registros do

programa de auditoria e consistncia no desempenho entre as equipes de

auditoria em situaes semelhantes (NBR, 2002).

Agir

Esta etapa busca melhorar o programa de auditoria, com base nas informaes

que foram monitoradas e analisadas na etapa anterior. Tais resultados podem

prover uma oportunidade de melhoria do programa, possibilitam que aes

corretivas possam ser planejadas e conduzidas, provendo melhorias ao processo

de auditoria.

Os resultados obtidos durante e aps a implantao das melhorias no programa

de auditoria podem ser apresentados alta direo.

Atividades de uma auditoria

A auditoria composta por um conjunto de atividades, conforme pode ser

visualizado na Figura 1, e que sero descritas a seguir.


36/118

34

Ps-graduao

Iniciar a auditoria

Realizar a anlise e

crtica dos documentos

Preparar as atividades

da auditoria

Executar as atividades

de auditoria

Relatrios daauditoria

Concluso e acompanhamento

da auditoria

Figura 1 - Atividades de consultoriaFonte: NBR (2002).

Iniciar a auditoria

Escolhido o lder da equipe de auditoria, so denidos os objetivos, o escopo e

os critrios dela. Os objetivos da auditoria, normalmente denidos pelo cliente,

podem incluir: o quanto o sistema auditado deve estar em conformidade com os

critrios de auditoria; a avaliao da capacidade do sistema em concordncia com

os requisitos, regulamentos e contratos; a avaliao da eccia do sistema em

alcanar os seus objetivos; e a identicao dos mdulos do sistema que podem

sofrer melhorias (NBR, 2002).

O escopo est relacionado abrangncia e aos limites da auditoria comolocalizaes fsicas (liais, departamentos, etc.), atividades e processos a serem

auditados, bem como o tempo de sua execuo. No caso do critrio de auditoria,

trata-se de uma referncia utilizada para vericar a conformidade do sistema com

as polticas, normas, regulamentos, etc.

Escolhida a equipe de auditoria, estabelecido o contato inicial com o cliente. Esse

contato busca: estabelecer canais de comunicao entre o auditor e o auditado;

apresentar o lder da auditoria; fornecer informaes sobre o tempo de durao

e a equipe da auditoria; solicitar acesso aos documentos que sero utilizados

durante a auditoria e denir regras de segurana.


37/118


35

Anlise crtica dos documentos

Antes do incio da auditoria, os documentos do auditado devem ser analisados

de forma criteriosa, com o objetivo de vericar a conformidade do sistema, como

documento, com o critrio da auditoria. A documentao fornecida pode ser

composta por registros referentes ao sistema e/ou documentos de auditorias

anteriores, por exemplo.

Vale a pena ressaltar que a anlise deve levar em considerao o tipo, a

complexidade e a abrangncia do negcio da organizao. No caso da

documentao ser considerada inadequada, o lder da equipe da auditoria informa

ao cliente o problema, e decidido se ela ser interrompida ou suspensa, at que

o problema referente documentao seja resolvido. (NBR, 2002).

Preparar as atividades de auditoria (fonte 13)

Dentre as atividades da auditoria, existe a confeco do seu plano. Esse plano

um acordo entre a auditoria e o auditado para fornecer uma base referente

realizao do processo. O plano dever conter, basicamente: os objetivos da

auditoria; o critrio e qualquer documento de referncia; o escopo da auditoria;

as datas e lugares onde as atividades sero realizadas; a durao da atividade

no local (reunies com o auditado e com a equipe de auditoria); as funes eresponsabilidades dos membros da equipe de auditoria; e, a alocao dos recursos

para a realizao da auditoria. (NBR, 2002).

Executar as atividades de auditoria (fonte 13)

A primeira atividade realizar a reunio de abertura com a direo e os

responsveis pelas funes ou processos do auditado. Essa reunio visa a:

conrmar o plano de auditoria; apresentar as atividades que sero executadas;conrmar os canais de comunicao; e, ouvir questionamentos do auditado e dar

respostas.

Durante a realizao da auditoria, importante manter a comunicao entre os

membros da equipe, como tambm com o cliente auditado. Essa comunicao

d uma viso do andamento da auditoria e das preocupaes ao auditado sobre

as constataes negativas, bem como as evidncias que proporcionem um risco

evidente e signicativo. (NBR, 2002).


38/118

36

Ps-graduao

As informaes coletadas durante o processo de auditoria devem ser feitas por

amostragem e vericadas (objetivos, escopo, critrio, atividades e processos).

Somente essas informaes averiguadas que podem ser evidncias de auditoria,

sendo, inclusive, registradas. Vale ressaltar que as evidncias so informaes

vericadas, obtidas por amostragem, geram uma incerteza, que deve ser tratada/

relembrada por aqueles que atuam baseados nas concluses. Essas informaes

podem ser coletadas via entrevistas, com os membros dos segmentos de negcio

a serem auditados; ou, por observao das atividades realizadas na organizao;

ou, tambm, por meio da anlise crtica dos documentos do sistema de gesto,

fornecidos pelo auditado.

As constataes da auditoria so geradas com base na anlise das evidncias,

de acordo com o critrio da auditoria. As constataes, segundo a NBR 2002,

podem indicar tanto conformidade quanto no conformidade com o critrio daauditoria. Por exemplo, quando um controle de segurana no foi implantado,

ele pode estar em no conformidade com a norma ISO 27001. As constataes

tambm podem ser utilizadas como uma oportunidade de melhoria para o sistema

de gesto da organizao, pois uma falha ou problema foi constatado durante o

processo de auditoria.

As concluses da auditoria devem, antes de apresentadas, ser discutidas entre

a equipe de auditoria. As discusses tm de levar em considerao algumas

questes, por exemplo: anlise crtica das constataes, bem como quaisquer

outras informaes coletadas durante o processo de auditoria; acordo fechado em

relao s concluses, sem se esquecer das incertezas do processo de auditoria;

recomendaes especicadas. Dessa forma, na reunio de encerramento, todas

as constataes e concluses so apresentadas ao auditado, para que ele possa,

alm de ter a cincia dos fatos, compreender o relatrio nal da auditoria.

Lembra-se que o relatrio nal deve ser entregue, exclusivamente, para quem

encomendou a auditoria, e no ao auditado (NBR, 2002).

A NBR 2002 apresenta um uxo geral do processo de auditoria desde a coleta das

informaes at a sua concluso da auditoria, como pode ser visto na Figura 2.


39/118


37

Fontes de Informao

Coleta de informaes poramostragem e verificao

Avaliao com base nocritrio da auditoria

Analisando Criticamente

Concluses da Auditoria

Evidncia da Auditoria

Constataes da Auditoria

Figura 2 - Processo de auditoriaFonte: NBR (2002).

Relatrios de auditoria

Os relatrios de auditoria so de responsabilidade do lder da equipe, o qualdeve fornecer todas as informaes do processo de auditoria, de modo preciso,

resumido e claro, alm de todos os elementos que zeram parte do processo de

auditoria (critrio, constataes, concluses, etc.).

O relatrio da auditoria de propriedade de quem a solicitou, devendo ser

mantido o grau de condencialidade necessria, emitido dentro de um prazo

acordado entre auditor e cliente, bem como datado e assinado.


40/118

38

Ps-graduao

Concluso e acompanhamento da auditoria

Pode-se dizer que uma auditoria foi concluda quando todas as atividades descritas

no programa dela foram concludas e o relatrio aprovado e distribudo. Todos os

documentos referentes ao processo devem ser guardados de forma adequada,

ou, ento, destrudos de acordo com o que foi combinado entre o auditor e o

cliente, bem como o descrito no programa de auditoria.

As concluses da auditoria podem levar a aes corretivas, preventivas ou de

melhorias pela organizao. Essas aes so realizadas pelo auditado dentro de

um determinado prazo, acordado entre ambas as partes, para que posteriormente

seja vericado se foram todas realizadas e de forma eciente. Pode-se acrescentar

que essa vericao chamada de auditoria subseqente (NBR, 2002).

Referncias

AUDITORIA externa ou auditoria independente.Portal da auditoria. nov. 2011. Disponvel

em: .

Acesso em: 14 dez. 2011.

VILA, Rafael. Imagem de Lupa sobre Grcos Financeiros: auditoria.Blog luz loja de

consultoria. 2 nov. 2011. Disponvel em: . Acesso em: 7 dez. 2011.

BRITISH STANDARDS INSTITUTE (BSI). Auditor Interno ISO/IEC 27001: 2005 Sistema de

Gesto de Segurana da Informao BSI Learning, 2008.

BRITISH STANDARDS INSTITUTE (BSI). Curso Auditor Interno ISO/IEC 27001:2005 SGSI, BSI

Learning, 2008.

DIAS, Cludia. Segurana e auditoria da tecnologia da informao. So Paulo: Excel Books,

2000.

FREEMAN, R. E. Strategic management: a stakeholder approach. Massachusetts: Pitman,

1984.


41/118


39

ISO/IEC 27001. Tecnologia da Informao, Tcnicas de Segurana, Sistemas de

Gerenciamento de Segurana da Informao, Necessidades, ISO/IEC, 2005.

ISO/IEC 27002. Information technology, Security techniques, Code of practice for

information security management, Redesignation of ISO/IEC 17799: 2005.

MANUAL de auditoria interna. 2 verso. Companhia Nacional de Abastecimento CONAB;

Coordenadoria de Auditoria Interna (COAUD), 2008. Disponvel em: . Acesso em: 9 dez. 2011.

MCAFEE compra de empresa de gesto da segurana da informao. Notcias do setor.

Multidata: tecnologia, gesto, resultados. 5 out. 2011. Disponvel em: Acesso em: 8 dez. 2011.

MELLO, Agostinho de Oliveira. Instituto dos auditores internos do Brasil.Organizaobsica da auditoria interna. Biblioteca Tcnica de Auditoria Interna. 2005.

NBR ISO 19011. Diretrizes para auditorias de sistema de gesto da qualidade, 2002.

NETO, Ablio Bueno; SOLONCA, Davi. Auditoria de sistemas informatizados. Palhoa:

UnisulVirtual, 2007.

SMOLA, Marcos. A importncia da gesto da segurana da informao. 2010. Disponvel

em: . Acesso em:

9 dez. 2011.

SHAO-HUA Zhang, NING Gu. Research on Workow of Virtual Organization,The Eighth

International Conference on Computer Supported Cooperative Work in Design, Xiamen,

China, 2003.

UNIDADE de auditoria interna. Denies de auditoria interna. Universidade Federal Rural

do Semi-rido (UFERSA). 05 mar. 2009. Disponvel em: . Acesso em: 9 dez. 2011.


42/118

40

Ps-graduao

Atividades de autoaprendizagem

1. Considerando o contedo estudado nesta unidade, assinale as alternativas

corretas.

a. ( ) Uma auditoria caracteriza-se pela conana e pelos princpios de

conduta tica, obrigao, conscincia prossional, independncia e

evidncia.

b. ( ) As auditorias so nicas e integrais, no podendo ser classicadas

por tipos.

c. ( ) A auditoria interna realizada por uma empresa externa e

independente da entidade que est sendo scalizada.

d. ( ) A auditoria da tecnologia da informao audita o ambientecomputacional sempre em conjunto com o departamento contbil.

e. ( ) O auditor deve ser independente de quem encomendou a auditoria,

para no haver inuncia no relatrio.

f. ( ) O planejamento da auditoria a fase mais importante do processo.

g. ( ) O escopo de uma auditoria representa os seus limites e deve ser

alterado durante a execuo da auditoria.

h. ( ) recomendvel que o relatrio da auditoria seja entregue

primeiramente a quem a encomendou.

2. A partir dos estudos sobre auditoria da tecnologia da informao, analise as

proposies a seguir, marcando V para as sentenas verdadeiras e F para as falsas,

com relao auditoria da tecnologia da informao:

a. ( ) Restringe-se ao ambiente computacional do departamento de TI.

b. ( ) Relaciona-se com o departamento nanceiro e o departamento

contbil.

c. ( ) Pode tambm auditar a equipe de desenvolvimento de sistemas.

d. ( ) Pode ter no mbito da auditoria apenas um sistema especco.


43/118


41

Atividades colaborativas

Com base no que voc estudou nesta unidade, responda s perguntas abaixo na

ferramenta Frume comente as respostas dos seus colegas.

1. Qual a diferena entre auditoria interna e externa?

2. Por que importante estabelecer os objetivos da auditoria na fase de

planejamento do programa de auditoria?

3. Por que razo o auditor deve ser independente?

SnteseA necessidade de realizao de auditoria na rea da tecnologia da informao

faz-se presente pela importncia que os sistemas integrados de informao tm

para com uma organizao. Como os sistemas na atualidade so vitais para a

continuidade e competitividade de uma organizao, no aconselhvel e seguro

deix-los sem constantes auditorias.

Em muitos casos, os erros e decincias nos sistemas computacionais s so

percebidos quando ocorrem, gerando, certamente, prejuzos que poderiam ser

evitados por auditorias.

As auditorias podem ser classicadas em diversos tipos, como interna, externa,

operacional, contbil, nanceira ou relacionada tecnologia da informao.

A auditoria est relacionada diretamente segurana da informao, ou seja,

quanto mais crtica for a informao, mais intensa e constante devem ser

realizadas as auditorias.

fundamental que cada auditoria tenha inicialmente o seu planejamento, poisa sua execuo deve seguir o que foi planejado, no se afastando do que fora

estabelecido.


44/118

42

Ps-graduao

Caso ocorra, durante uma auditoria, um achado importante, esse pode

desencadear outra, para que a auditoria inicial no saia do mbito estabelecido no

planejamento.

Por m, fundamental que o auditor seja completamente independente, paraque os resultados no sejam encomendados ou distorcidos. E, ainda: o relatrio

nal da auditoria deve ser entregue primeiramente a quem a encomendou, pois

os resultados desse processo, na maioria dos casos, so sigilosos e no devem ser

conhecidos por terceiros.

Saiba mais

MONTEIRO, Emiliano Soares. Segurana em ambientes corporativos.Florianpolis: VisualBooks, 2003.

FERREIRA, Fernando Nicolau Freitas. Segurana da informao. Rio de Janeiro:

Cincia Moderna, 2003.


45/118

Auditoria da tecnologia da informao

Unidade 2

Objetivos de aprendizagemCompreender a abrangncia e importncia da auditoria da tecnologia da

informao em cada rea da TI e no todo.

Conhecer as principais reas da TI que devem ser auditadas.Compreender a importncia de se realizarem auditorias contnuas para a

segurana da organizao.

Introduo

Quanto custa a perda da informao? No se trata de uma pequena informao,

mas de toda a base de dados de uma empresa Atualmente, pela competitividade

das empresas e tempo de resposta da informao, no h mais controle deinformaes de forma manual, como havia at o incio da dcada de 80. Hoje,

as empresas manipulam seus dados, gerando informaes, via tecnologia da

informao, atravs dos quatro pilares mais relevantes, interligados entre si:

banco de dados, redes, sistemas e hardware. Se apenas um desses pilares deixar

de funcionar, todo o gerenciamento das informaes para e, consequentemente,

a empresa para. No h mais espao para correr riscos.

As empresas esto totalmente dependentes da rea de TI para terem

continuidade no negcio. Para se ter uma ideia de como, atualmente, estamosdependentes da rea de Tecnologia da Informao, imagine um produto que, ao

ser passado no caixa de um supermercado, faz surgir a mensagem produto no

cadastrado. A venda simplesmente no se realiza. Se uma lotrica est com

o sistema fora do ar, a operao simplesmente no realizada, pois no existe

espao para ser realizada manualmente. Passagens no so vendidas, quando

seus sistemas esto fora do ar. Bancos no realizam transaes com sistemas fora

do ar. Ligaes telefnicas no so realizadas com sistemas fora do ar. Sem que


46/118

44

Ps-graduao

percebamos, nossas vidas e as das empresas j esto muito comprometidas com

a TI e dependentes dela. Ento, nada mais importante que realizar auditoria na

rea de TI, para se ter certeza de que a mesma est segura e se evitarem panes e

paradas indesejveis.

Esta unidade aborda as principais reas da TI que devem ser auditadas com

frequncia. De acordo com o porte das empresas, as reas destacadas podem

sofrer expanses ou alteraes. Sendo assim, todo recurso novo de TI tem de ser

relacionado no planejamento da auditoria.


47/118


45

Abrangncia da auditoria daTI e sua importncia


Denir com exatido a abrangncia da TI e as reas que podem ser auditadas seria

uma atitude no muito correta, pois a complexidade pode variar, de uma empresa

para outra, bem como o volume de recursos que uma empresa utiliza e que, do

mesmo modo, pode variar de empresa para empresa. Outro ponto relevante com

relao auditoria a dinmica. A abrangncia da segurana de uma auditoria no

pode ser a mesma. A auditoria tem de ser dinmica, de acordo com a variao dos

recursos de informtica que a empresa utiliza. At mesmo uma rea de abrangncia

como banco de dados pode ser dividida em subreas, conforme a complexidade

dos dados, como criptograas, procedures, armazenamentos, usurios, senhas

de acesso, permisses, indo at os logs de transaes. Quanto mais crtica a

informao, mais importncia deve ser atribuda segurana da mesma.

Desta forma, qual a correta abrangncia da auditoria na rea da Tecnologia da

Informao? A resposta correta est na amplitude de cada empresa. Se a empresa

grande, maior o nmero de reas que devem ser auditadas; j, se a empresa

pequena, o nmero de reas a serem auditadas menor. Mas, sendo a empresa

grande ou pequena, todas as reas em que a empresa utiliza Tecnologia da

Informao devem ser abrangidas pela auditoria. Logo, no devendo nenhuma

rea car sem proteo, a auditoria deve ser completa e proporcional aos recursosda TI que a empresa utiliza.

O responsvel pela solicitao da auditoria da TI pretende obter a maior segurana

possvel; em decorrncia, a auditoria ter abrangncia em todas as reas

relacionadas a TI, no cando neste caso nenhuma rea importante ou relevante

descoberta. Tambm desta forma, a responsabilidade sobre a auditoria atribuda a

quem realiza a mesma, devendo responder por erros no apontados ou omisses.

A auditoria da TI pode ser especca a uma determinada rea ou abranger todoo ambiente da TI. Pode ser uma auditoria do tipo operacional, buscando vericar

a gesto dos recursos de informtica, ou o nvel de segurana do recurso de

informtica em questo. Lembra-se que, antes de realizar a auditoria em si, o

planejamento da mesma deve ser realizado previamente e aprovado.

A seguir, sero apresentadas as quatro reas mais relevantes da rea da

Tecnologia da Informao que devem ser auditadas, relativamente segurana

da informao, como banco de dados, sistemas de desenvolvimento, redes e

hardware. As outras reas no so menos importantes e tambm devem ser

vistas pela auditoria, a saber, criptograa, contratos, manutenes, atualizaes,resultados, tempos de resposta, etc.


48/118

46

Ps-graduao

rea de banco de dados

A rea de banco de dados considerada de suma importncia e vital para a

continuidade de operao de uma empresa. Praticamente, com raras excees,

no existe uma empresa que sobreviva com suas operaes sem um banco de

dados, seja de qual tipo for. Inclusive a rea de banco de dados muito visada

por ataques, para deix-lo fora de operao e, consequentemente, interromper

a operao da empresa. Para se ter uma ideia mais precisa da importncia do

banco de dados, imagine todas as outras reas mais importantes operando

corretamente, como rede e aplicaes. Mas, se o banco de dados ca fora de

operao, a operao da empresa tambm para.

As abordagens a seguir no sero do ponto de vista tcnico e especco de um

determinado banco de dados, como Oracle ou SQL-Server, mas de um ponto devista genrico, possibilitando que sejam aplicadas a qualquer banco de dados.

Instalao: Do ponto de vista da segurana da informao, a auditoria deve checar

se a instalao foi seguida corretamente como determina o fornecedor, bem como

se o banco de dados foi instalado por pessoa com competncia suciente para tal.

Tambm deve vericar se os respectivos programas de atualizaes fornecidos

foram aplicados. que, uma instalao incorreta pode deixar portas vulnerveis

a ataques, assim como, por questes de tempo de acesso, o dimensionamento

das datas bases, as senhas ou as permisses podem ter de ser desinstalados e

instalados novamente no banco de dados, e este processo pode deixar a empresa

fora de operao. Tambm deve checar se a instalao foi coerente com a licena

de uso adquirida pela empresa. Instalaes sem as respectivas licenas constituem

um risco muito alto segurana do banco de dados e, por isso, durante a

auditoria, deve ser apontado o risco que a empresa est correndo.

Congurao: Pode-se atribuir congurao de um banco de dados todos os

requisitos pertinentes, como data bases, tabelas, usurios, senhas, permisses,

chaves de acesso das tabelas e tempo de acesso. As tabelas de um banco de dados

e seus relacionamentos devem receber uma ateno maior da auditoria. Tabelamuito grande ou tempo de acesso muito lento pode comprometer o desempenho

da aplicao e, consequentemente, a satisfao do usurio. A solicitao do

detalhamento dos acessos s tabelas de um banco de dados pode apontar uma

sobrecarga em uma determinada tabela, assim como o nmero total de registros.

Caso essas duas caractersticas sejam constatadas, devem ser apontadas na

auditoria, para a devida correo.


49/118


47

Alm da vericao das tabelas e relacionamentos entre as mesmas, tambm deve

ser conrmada a correta congurao dos usurios nas respectivas aplicaes.

O correto cada usurio estar congurado somente para o respectivo banco de

dados ao qual tem acesso. Caso a congurao no esteja correta, a segurana

dos dados pode estar seriamente comprometida, pois usurio sem permisso

a um determinado banco de dados pode acess-lo e obter informaes para as

quais no tenha permisso. Esta constatao muito relevante e tambm deve

ser noticada no relatrio de auditoria, especicando o usurio que no est

devidamente congurado.

Ainda h a possibilidade de algum usurio que j tenha se desligado da empresa

fazer parte da congurao de usurios do banco de dados. Alm de destacar

a importncia de, imediatamente, ser removida a referida congurao,

importante apurar se existe uma metodologia de acompanhamento dedesligamento de usurio, quando o funcionrio demitido da empresa.

Permisses de usurios: Alm da correta congurao de cada usurio da

empresa, tambm pertinente vericar as permisses que cada um tem e se esto

corretamente conguradas no banco de dados. Um determinado usurio pode

ter acesso a um determinado banco, mas pode no ter total permisso de acesso

a todas as tabelas do mesmo, ou ainda, a parte de determinada tabela do banco.

Este tipo de controle e implantao mais trabalhoso, mas lembrar que se trata de

uma excelente porta de entrada de invasores. Conforme a importncia, seguranae sigilo das informaes, as permisses devem estar corretamente conguradas.

To importante quanto atribuir permisses, destacar quem o responsvel por

congurar as respectivas permisses, pois estas so dinmicas como a empresa, ou

seja, a permisso atribuda hoje pode j no ser a mesma em um perodo seguinte.

Backup: A rigor, todo banco de dados deve ter um backup digno da sua

importncia. No concebvel um banco de dados sem um procedimento de

backup. A periodicidade, nmero de cpias, local de armazenamento, mdia, etc.,

variam de empresa para empresa. O que se observa nos dias atuais que os discos

esto com uma enorme rea de armazenamento, e isto permite armazenar todas

as transaes, inviabilizando a realizao de uma cpia de segurana. Nestes casos, realizado um espelhamento da informao, ou seja, a informao atualizada,

simultaneamente, em dois ou mais discos. Mas vale lembrar que um disco uma

mquina como outra qualquer e tambm est sujeita a falhas. De uma forma ou de

outra, um procedimento de backup imprescindvel e deve existir, mas, caso no

exista, a auditoria deve recomendar que o mesmo seja implantado imediatamente.

To importante quanto ter um backup realizar uma simulao de restore (retorno

dos dados do backup )para a certicao da consistncia do prprio backup,

pois o procedimento de restore no pode deixar a empresa com suas operaes

interrompidas, enquanto realizado.


50/118

48

Ps-graduao

Documentao: As pessoas no so eternas em uma empresa, tanto podem ser

desligadas, como mudar de rea de atuao. Na falta dessas, a documentao

o melhor canal de entendimento do diagrama de tabelas e seus respectivos

relacionamentos. Tambm, ter a documentao no suciente, pois precisovericar se a mesma est sendo constantemente atualizada. E somente pessoas

autorizadas documentao que podem ter acesso a ela, pois a documentao

nas mos de pessoas no autorizadas pode revelar informaes sigilosas.

Disponibilidade: Teoricamente, por se tratar de uma rea vital de funcionamento e,

muitas vezes, durante os 365 dias por ano e 24 horas por dia, a disponibilidade do

banco de dados deve ser real o tempo todo. A disponibilidade passa pelo tempo de

acesso aceitvel das informaes e pela equipe responsvel pela manuteno do

mesmo. H quem diga que ter um no ter nenhum e ter dois talvez ter um. Desta

forma, ter disponvel apenas uma pessoa para a manuteno do banco de dados

no seguro, pois, na falta dessa pessoa, o banco ca sem manuteno.

Integridade: Uma informao no pode ter redundncia, pois este um fator

que contribui para erros na informao. Muitas vezes, a integridade de

difcil constatao, por exigir um conhecimento mais detalhado das tabelas e

relacionamentos do banco. Uma forma mais rpida de averiguar a integridade

contat-lo junto aos usurios, indagando deles se as informaes esto sendo

disponibilizadas de forma correta (SCHNEIER, 2001).

Conabilidade: Da mesma forma que a integridade, ao perderem a conabilidade os

dados colocam todo um sistema em descrdito diante do usurio, o qual passa a ter

certo tipo de restrio ao uso do mesmo. A conabilidade de suma importncia

para a segurana dos dados. A perda de contabilidade deve ser ressaltada na

auditoria, caso seja detectada (SCHNEIER, 2001).

Senhas de acesso: Muitas das senhas de acesso das aplicaes e permisses de

usurios cam armazenadas no banco de dados. importantssimo que estas

estejam criptografadas. A vulnerabilidade das senhas pode acarretar vazamento de

informaes, em caso de acesso indevido s aplicaes, assim como alteraes no

permitidas. Tambm interessante vericar se h controle sobre uma periodicidade

de alteraes das senhas e checar os tamanhos e caracteres das senhas. Existem

senhas fortes e senhas fracas. As fracas so combinaes que podem facilmente serdescobertas por algum ou por algum software.


51/118


49

rea de sistemas de informao

A importncia da rea de sistemas de informao proporcional ao

gerenciamento das informaes da empresa. por meio dos sistemas

desenvolvidos ou adquiridos por terceiros que a empresa gera suas informaes.

Sistemas mal concebidos geram inecincia, ineccia, atraso, conito, falta de

agilidade e perda da competitividade no gerenciamento das informaes.

Os sistemas no so e no podem ser estticos. A manuteno deve ser constante,

diante de alteraes em legislaes, erros de desenvolvimento ou mudanas

nas regras de negcio. Sempre deve haver uma garantia de disponibilidade de

manuteno, pois a falta de manuteno certamente colocar a segurana das

informaes em risco. Portanto, inevitavelmente a rea de sistemas deve ser

auditada constantemente. De regra, os principais pontos da rea de sistemas,segundo Dias (2000), so equipe de desenvolvimento, sistemas terceirizados e

tecnologias de desenvolvimento.

Equipe de desenvolvimento: Quando se faz a opo de desenvolvimento

interno, h a necessidade da constituio de uma equipe competente para

tal. O desenvolvimento interno traz como grande vantagem, justamente, o

desenvolvimento de um sistema especco para o negcio da empresa. Isto

pode resultar em grande vantagem, mas a condio que a equipe interna

de desenvolvimento tenha condies de promov-lo e de fazer as respectivas

manutenes. Trata-se de um ponto muito importante para ser auditado, pois, se

a equipe no estiver capacitada tecnicamente e em nmero compatvel com os

sistemas existentes, fatalmente a segurana da informao estar comprometida.

Normalmente, pessoas j comprometidas com um nmero determinado

de sistemas no tm mais disponibilidade para novos desenvolvimentos ou

manutenes.

A equipe tambm deve estar apta com relao tecnologia adotada pela empresa,

especicamente com referncia linguagem de programao, plataformas

de desenvolvimento, linguagem SQL de banco de dados, etc. No nadasignicante uma equipe grande, onde poucos de seus membros aos detentores de

conhecimento tcnico apto, rpido e ecaz. A auditoria deve vericar tais aspectos

e apont-los, se for o caso.

Rotatividade na equipe de desenvolvimento no bem vista, devido

complexidade dos sistemas: o repasse de informaes nesse contexto no ocorre

facilmente, tampouco em curto espao de tempo. Tambm a satisfao pessoal,

salarial e o ambiente de trabalho devem ser vistos. Em conversa com alguns

membros da equipe, isto se pode observar facilmente.


52/118

50

Ps-graduao

O aperfeioamento tambm de suma importncia. Uma equipe no pode car

sem continuidade de treinamento tecnolgico. Por parte da empresa ou dos

prprios membros da equipe ou ainda de uma forma mista, o treinamento deve

acontecer. Equipe sem treinamento comprometer, em algum momento, a

continuidade de operao dos sistemas, por incompatibilidade tecnolgica.

Sistemas terceirizados: Em alguns casos, a empresa op

[7072 - 19225]Auditoria de Seg Da Informacao

Documents