>> Gesto da Segurana da Informao e Comunicaes >> 2009-2011
Roberto Wagner da Silva Rodrigues
Jorge Henrique Cabral Fernandes AUDITORIA E CONFORMIDADE DE SEGURANA DA INFORMAO G S I C 3 4 5 VERSO 1 Este material distribudo sob a licena creative commons http://creativecommons.org/licenses/by-nc-nd/3.0/br/ Secretaria Pedaggica Andria Lac Eduardo Loureiro Jr. Lvia Souza Odacyr Luiz Timm Ricardo Sampaio Assessoria Tcnica Gabriel Velasco Secretaria Administrativa Indiara Luna Ferreira Furtado Jucilene Gomes Martha Arajo Equipe de Produo Multimdia Alex Harlen Lizane Leite Rodrigo Moraes Equipe de Tecnologia da Informao Douglas Ferlini Osvaldo Corra CEGSIC Coordenao Jorge Henrique Cabral Fernandes Texto e ilustraes: Roberto W. S. Rodrigues; Jorge H. C. F.ernandes | Capa, projeto grfco e diagramao: Alex Harlen Desenvolvido em atendimento ao plano de trabalho do Programa de Formao de Especialistas para a Elaborao da Metodologia Brasileira de Gesto de Segurana da Informao e Comunicaes CEGSIC 2009-2011. Jos Elito Carvalho Siqueira Ministro do Gabinete de Segurana Institucional Antonio Sergio Geromel Secretrio Executivo Raphael Mandarino Junior Diretor do Departamento de Segurana da Informao e Comunicaes Reinaldo Silva Simio Coordenador Geral de Gesto da Segurana da Informao e Comunicaes Fernando Haddad Ministro da Educao UNIVERSIDADE DE BRASLIA Jos Geraldo de Sousa Junior Reitor Joo Batista de Sousa Vice-Reitor Pedro Murrieta Santos Neto Decanato de Administrao Rachel Nunes da Cunha Decanato de Assuntos Comunitrios Mrcia Abraho Moura Decanato de Ensino de Graduao Oviromar Flores Decanato de Extenso Denise Bomtempo Birche de Carvalho Decanato de Pesquisa e Ps-graduao Nora Romeu Rocco Instituto de Cincias Exatas Priscila Barreto Departamento de Cincia da Computao Dilma Roussef Presidente da Repblica >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 3 Sumrio [6] Currculo Resumido do Autor (Roberto Wagner da Silva Rodrigues) [6] Currculo Resumido do Autor (Jorge Henrique Cabral Fernandes) [7] 1. Introduo 1.1 Princpios Gerais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 1.2 Controle Interno . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 1.3 Auditoria e Controle, Interno e Externo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 1.4 Porque Necessria a Segurana da Informao? . . . . . . . . . . . . . . . . . . . 10 1.5 Porque Auditar a Segurana da Informao? . . . . . . . . . . . . . . . . . . . . . . . . 11 [13] 2. Processo de Auditoria de Segurana da Informao 2.1 Gesto do Projeto ou do Programa de Auditoria . . . . . . . . . . . . . . . . . . . . 13 2.2 Deciso sobre o Propsito da Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 2.3 Identifcao de Objetos e Pontos de Controle . . . . . . . . . . . . . . . . . . . . . . 14 2.4 Defnio de Tcnicas para Obter Evidncias e Procedimentos de Controle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 2.4.1 Defnio de Tcnicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 2.5 Montagem da Roteirizao Detalhada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 2.6 Coleta e Registro de Evidncias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 2.6.1 Coleta de evidncias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 2.6.2 Papis de trabalho . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 2.6.3 Organizao da informao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 2.7 Verifcar, Validar e Avaliar Evidncias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 2.8 Produo de Pareceres e outros Entregveis . . . . . . . . . . . . . . . . . . . . . . . . 16 2.9 Acompanhamento Ps-Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 [18] 3. Propsitos e Organizao da Auditoria 3.1 Auditoria de Gesto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 3.2 Auditoria de Desempenho Operacional ou Auditoria Operacional . . . 19 3.3 Auditoria de Conformidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 3.4 Qual Tipo de Auditoria Empregar? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 [20] 4. Arcabouo de Roteirizao de uma Auditoria >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 4 [23] 5. Auditoria de Gesto em Segurana da Informao 5.1 Estrutura Organizacional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 5.2 Poltica de segurana para a organizao . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 5.3 Documentao atualizada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 5.4 Cultura de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 5.5 Pesquisa sobre Incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 5.6 Sistema de Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 5.7 Registros de auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 5.8 Plano Diretor de Tecnologia da Informao (PDTI) . . . . . . . . . . . . . . . . . . 25 [27] 6. Auditoria de Desempenho Operacional de Segurana da Informao 6.1 Segurana Fsica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 6.2 Segurana Lgica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 6.2.1 Sistemas de informao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 6.3 Acessos dos Usurios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 6.4 Segurana de dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 6.5 Efcincia da Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 6.6 Efccia da Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 6.7 Segurana de redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 [33] 7. Auditoria de Conformidade 7.1 Normas da Administrao Pblica Federal . . . . . . . . . . . . . . . . . . . . . . . . . . 33 7.1.1 Normas do DSIC Departamento de Segurana da Informao e Comunicaes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 7.1.2 Normas do Ministrio do Planejamento . . . . . . . . . . . . . . . . . . . . . . . . . . 34 7.1.3 Tribunal de Contas da Unio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 7.1.4 CGU Controladoria Geral da Unio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 7.1.5 Arquivos Pblicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 7.2 Propsitos e Limitaes da Auditoria de Conformidade . . . . . . . . . . . . . 35 7.3 Documentos de referncia e objetos de controle . . . . . . . . . . . . . . . . . . . 36 7.4 Classifcao de Documentos e da Informao . . . . . . . . . . . . . . . . . . . . . . 38 7.5 Concluses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 [39] 8. Plano de Segurana da Informao 8.1 Gesto de riscos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 8.2 Critrios de auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 5 [42] 9. Instrumentos e Ferramentas 9.1 Instrumentos de coleta e registro de evidncias . . . . . . . . . . . . . . . . . . . . . 42 9.2 Automao de Auditoria Servios Tcnicos Especializados . . . . . . . . . . 44 9.2.1 Batimento de dados e CAATS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 9.2.2 Auditoria de ambientes computacionais e bancos de dados . . . . . . . 45 9.2.3 Redes de computadores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 9.2.4 Hacker tico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 [47] 10. Entregas da Auditoria [48] 11. Programas de Auditoria 11.1 Um Modelo de Programa de Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 11.2 Gesto de Programa de Auditorias baseada na ISO 19011 . . . . . . . . . . 49 11.2.1 Obteno de autoridade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 11.2.2 Estabelecimento do programa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 11.2.3 Implementando o programa de auditorias . . . . . . . . . . . . . . . . . . . . . . . 50 11.2.4 Monitoramento e anlise crtica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 11.2.5 Melhoria do Programa de Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 [52] 12. Consideraes Finais [53] Referncias >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 6 CURRCULO RESUMIDO DO AUTOR Roberto Wagner da Silva Rodrigues PhD em Computao pelo Imperial College of Science Technology and Medicine (2001)- Inglaterra; Mestre em Cincia da Computao pela Universidade Federal de Pernambuco (1996); Especialista em Informtica pela Universidade de Fortaleza (1992); e obteve as seguintes gradu- aes: Licenciatura Plena - Eletrnica & Desenho Industrial pelo Centro Federao de Educao Tecnolgica de Minas Gerais (1991) e Bacharelado em Cincia da Computao pela Universidade Estadual do Cear (1988); Cursou Bacharelado em Matemtica (incompleto) pela Universidade Federal do Cear (1988-89); e Bacharelado em Administrao de Empresas (incompleto) pela UECE (1988-1990); Tcnico em Telecomunicaes pela ETFCE (1984). EXPERINCIA PROFISSIO- NAL: atualmente professor do Instituto Federal de Braslia. Foi professor adjunto da Universida- de de Braslia at 2009 - Departamento de Cincia da Computao. Foi Professor do Centro Fede- ral de Educao Tecnolgica do Cear; foi Secretrio Interino e Diretor de Gesto da Informao da Secretaria de Avaliao e Gesto da Informao, no Ministrio do Desenvolvimento Social e Combate Fome - MDS. Foi Diretor de Tecnologia da Informao do CEFET-CE, professor do Mestrado da Universidade Estadual do Cear e professor substituto da Universidade Federal do Cear no Departamento de Engenharia Eltrica. Tem experincia profssional em organizaes pblicas nas seguintes reas: gesto pblica, monitoramento e avaliao de politicas e progra- mas sociais, sistemas de informao e bases de dados sociais. Na iniciativa privada trabalhou em Teleprocessamento, Computao (analista de sistemas programador) e Telecomunicaes. Foi Pesquisador associado da British Telecomm. So temas de interesse: avaliao, meta-avaliao e monitoramento de polticas pblicas (tecnologia e informao), gesto da informao e do conhecimento, auditoria de segurana da informao, arquitetura de sistemas, sistemas distribu- dos, workfow e gesto de processos de negcio (BPM). CURRCULO RESUMIDO DO AUTOR Jorge Henrique Cabral Fernandes doutor (2000) e mestre (1992) em Cincia da Computao pela Universidade Federal de Pernambuco. Especialista em Engenharia de Sistemas (1988) e graduado em Cincias Bio- lgicas (1986) pela Universidade Federal do Rio Grande do Norte. Professor Adjunto do De- partamento de Cincia da Computao (CIC), professor e representante da coordenao na Ps-Graduao em Cincia da Informao da Faculdade de Cincia da Informao e Documen- tao (PPGCINF/FCI), na Universidade de Braslia. scio da Sociedade Brasileira de Computa- o (SBC) e da Associao Nacional de Pesquisa e Ps-Graduao em Cincia da Informao (ANCIB). Tem experincia nas reas de Cincia da Computao e Cincia da Informao, com nfase em engenharia de software, segurana ciberntica, segurana da informao, lingua- gens de programao, bancos de dados e tecnologias educacionais. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 7 1. Introduo A sempre crescente demanda por prestao de mais e melhores servios pblicos tornou necessrio disponibilizar meios de processamento de dados e de comunicao para troca de informaes, bem como para permitir interao entre as organizaes pblicas e os cidados. Essa interao tem sido mediada cada vez mais pela Internet e por meio de servios de e-gov apoiados em sistemas de informao computadorizados. Consequentemente, a segurana (es- pecialmente a disponibilidade, a integridade, a confdencialidade ou sigilo e a autenticidade) dessas informaes passou a ser uma preocupao do poder pblico e um tema crtico da gesto moderna, seja ela pblica ou privada. Uma forma de gerenciar essa criticidade criar normas, formular polticas, padronizar procedimentos e prticas, estabelecer medies e m- tricas, alm de automatizar controles, de modo a no s aumentar previsibilidade dos resulta- dos dessa prestao de servio, mas principalmente melhorar a capacidade de lidar com riscos decorrentes das vulnerabilidades dos sistemas sejam eles manuais ou automatizados - e das ameaas existentes (sobretudo as originadas da Internet). Essas normas, polticas, procedimentos, prticas, mtricas e mecanismos automatizados so controles, e podem ser analisadas atravs de sua vinculao com os objeto de controle que so decompostos em pontos de controle. A auditoria de segurana de informao uma atividade devidamente estruturada para examinar criteriosamente a situao desses controles que se aplicam segurana da informao, especialmente por meio da anlise de objetos e seus pontos de controle, vis-a-vis a probabilidade de ameaas s informaes crticas sobre as quais atuam esses controles. Isto necessrio porque os controles ou a ausncia deles podem se constituir em vulnerabilidades explorveis ou portas de entrada para produzir incidentes de segurana da informao. A auditoria cria condies tcnicas para investigar e emitir um juzo sobre as evidncias encontradas, de modo a se antecipar ante a possveis riscos de viola- o de um patrimnio precioso: os ativos de informao. Esses ativos correspondem quelas informaes e todos os recursos associados que tm alto valor para o negcio pblico ou pri- vado. Consideram-se como ativos de informao os processos organizacionais e processuais (procedimentos, roteiros, atividades), itens fsicos (instalaes, equipamentos, cabeamento) e lgicos (programas, sistemas, estruturas de dados), que devem ser auditados continuamente. De outra forma, auditoria a expresso de opinio feita por um profssional devidamente qualifcado, acerca de uma determinada situao, e documentada na forma de um relatrio ou parecer. Para tal, o auditor emprega prticas geralmente aceitas, baseadas em um mtodo racional, em evidncias, em respeito aos princpios ticos, com responsabilidade perante o cliente, com devido cuidado e habilidade profssional, sujeito reviso por pares, mas com independncia no que se refere roteirizao, investigao e anlise e produo do relato. Em linhas gerais, a auditoria de segurana da informao pretende assegurar que os ati- vos de informao, considerados os objetos de auditoria em segurana da informao, este- jam absolutamente sob controle da organizao. Para tal, preciso verifcar que os controles estejam de acordo com as normas e polticas de segurana estabelecidas para esses ativos, bem como se o que est em operao alcana os objetivos de segurana defnidos. A auditoria de segurana de informao envolve tambm o provimento de uma avaliao independente dos controles da organizao (normas, polticas, padres, procedimentos, prticas, mtricas e mecanismos) empregados para salvaguardar a informao, em formato eletrnico ou no, contra perdas, danos, divulgao no intencional e indisponibilidades. Por fm, a auditoria uma atividade realizada na forma de aes projetizadas, que tem um incio, meio e fm, e que visam produzir resultados dentro de custos, prazos e qualidades esperadas. Para alcanar tais objetos, as auditorias, projetos individuais, agrupam-se em programas, que compreendem a realizao de vrias auditorias ao longo de um perodo de tempo de meses ou anos, e que visam melhorar sistematicamente o desempenho, a efcincia e a segurana organizacionais. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 8 1.1 Princpios Gerais Figura 1. O Papel do Auditor numa Auditoria. Fonte: Adaptado de Fernandes (2009). Embora a ateno e o motivo de se realizar auditorias de segurana da informao seja a existncia de ativos de informao, preciso que o auditor domine no s o conhecimento especializado necessrio, mas tambm todo o processo e os princpios de auditoria geral, pois os mesmos se aplicam auditoria de segurana da informao. A ttulo de ilustrao dos prin- cpios gerais de auditoria, a Figura 1 mostra as principais relaes entre um gestor, um auditor, os intervenientes ou interessados numa organizao (tambm chamados de stakeholders) e os agentes que executam os processos organizacionais sob direo do gestor. Primariamente, interesses dos intervenientes e da gesto devem estar alinhados, ou seja, as aes devem ca- minhar no mesmo sentido, conforme os objetivos de negcio da organizao. Como o gestor o principal responsvel pela organizao, este alinhamento de interesses deve ocorrer entre os intervenientes e o gestor. No Curso de Especializao em Gesto da Segurana da Informao, edio 2007/2008, foram desenvolvidas algumas monografas que abordaram o tema auditoria, que esto suma- rizadas em Fernandes (2010d). 1.2 Controle Interno A Figura 1 ilustra que, na organizao, existe um elemento responsvel pelo controle dos processos da organizao, chamado de controle interno. O controle interno compreende todo o conjunto de controles, implementado sob responsabilidade da gesto da organizao. Tem por objetivo assegurar que as mirades de processos executados pelos agentes humanos e computacionais da organizao - em ltima instncia sob sua responsabilidade - no sofrero desvio de fnalidade. Dado que o gestor declara fatos sobre o desempenho das atividades da organizao, periodicamente e para o interesse dos intervenientes, faz-se necessrio recorrer >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 9 a um profssional especializado, o auditor, para opinar sobre a veracidade de tais declaraes. Uma vez que invivel ao auditor examinar minuciosamente a ocorrncia de todos os proces- sos e atividades realizados pela organizao, mesmo ao longo de um curto perodo de tempo, o trabalho do auditor basicamente consiste em verifcar que as declaraes do gestor esto satisfatoriamente coerentes com as condies observadas no controle interno, emitindo uma opinio fundamentada acerca de tais declaraes. O auditor tem como clientes os intervenien- tes, inclusive o prprio gestor, no caso de uma auditoria interna. Note que o controle interno, representado grafcamente por um hexgono de tubos que conduzem fuxos de processos, consiste num complexo sistema de informaes, acoplado aos processos organizacionais. Os princpios do controle interno esto descritos em modelos como o COSO (), adotado em modelos como o COBIT. Os componentes de um sistema de con- trole interno, segundo o COSO (2007), so: Ambiente de Controle O ambiente de controle um ambiente organizacional favorvel ao controle. Consiste num conjunto de aes que prov disciplina e estrutura organizao. baseado nos princ- pios da integridade, em valores ticos e em competncia, defnindo um padro de conduta, especialmente por parte da gesto. Avaliao do risco A avaliao de risco consiste na identifcao, anlise e priorizao de riscos relevantes, relacionados ao alcance dos objetivos da organizao. Os riscos devem ser analisados apenas quando forem relevantes para o alcance dos objetivos da organizao. Estes objetivos devem ser claramente defnidos. Atividades de Controle Segundo o COSO (2007), atividades de controle so polticas e procedimentos que ga- rantem a realizao das diretivas da gesto, as quais devem ser estabelecidas e comunicadas atravs de toda a organizao, em todos os nveis e atravs de todas as funes. Tais atividades devem ser diretamente ligadas ao tratamento dos riscos para alcance dos objetivos. Informao e Comunicao Segundo o COSO (2007) o componente informao e comunicao de um sistema de con- trole interno compreende criar um ambiente onde as necessidades de informao organizacio- nais so satisfeitas. A informao gerida em todos os nveis da organizao, visando o alcance dos objetivos de negcio. A gesto comunica-se efetivamente com os agentes da organizao. H canais efetivos e mtodos no retributivos para comunicar informaes signifcantes para os nveis superiores da organizao. H tambm efetiva comunicao entre a gesto e o conselho, de modo que cada qual tenha conhecimento de seus papis relativos governana. Monitoramento Segundo o COSO (2007), monitoramento uma avaliao, por pessoal apropriado, acerca do desenho e operao de controles de uma forma adequadamente regular e a tomada de aes necessrias. O monitoramento pode ser efetuado por meio de atividades contnuas e avaliaes separadas. Os sistemas de controle interno devem ser estruturados para monitora- rem a si mesmos de forma contnua, at um certo de grau, de modo que quanto maior for o grau e a efetividade do monitoramento contnuo, menor a necessidade de avaliaes separa- das. Por fm, tambm conforme o COSO, usualmente, alguma combinao de monitoramento contnuo e avaliaes em separado garantir que o sistema de controle interno manter sua efetividade ao longo do tempo. A auditoria uma abordagem de avaliao em separado. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 10 Texto complementar No caso do Brasil, a Lei n10.180, de 2001, organiza e disciplina os Sistemas de Planejamento e de Or- amento Federal, de Administrao Financeira Federal, de Contabilidade Federal e de Controle Interno do Poder Executivo Federal, e d outras providncias. O Ttulo V desta Lei descreve as fnalidades, a organi- zao e as competncias deste controle interno, coordenado pela Secretaria Federal de Controle Interno da Controladoria Geral da Unio, e que, dentre outras atribuies deve realizar auditorias nos sistemas cont- bil, fnanceiro, oramentrio, de pessoal e demais sistemas administrativos e operacionais. 1.3 Auditoria e Controle, Interno e Externo Quem avalia o controle interno de forma regular e freqente a auditoria interna. Outra forma de controlar a organizao por meio de uma controladoria externa (no mostrada), que tambm compreende um sistema de controle da organizao, mas que no est sob a responsabilidade do gestor da organizao. A controladoria externa ou controle externo tem a vantagem de ser muito mais independente de infuncias do gestor que no caso do contro- le interno, mas apresenta como desvantagem a difculdade no acesso s informaes, visto que no se encontra embutida nos processos organizacionais. Parte da controladoria externa envolve a realizao de auditorias externas. No Brasil, o exerccio da controladoria externa da Administrao Pblica Federal realizado pelo Congresso Nacional, com auxlio preponde- rante do Tribunal de Contas da Unio. No ser aprofundada neste texto a distino entre controle interno e externo, nem entre auditoria interna e externa, mas importante destacar que a auditoria interna tambm est sujeita ao controle feito por auditores externos. De outra forma, considervel parte das informaes providas para auditorias externas fornecida pela auditoria interna. Independentemente disso, o Auditor deve, acima de tudo, atuando de for- ma interna ou externa, ser capaz de emitir uma declarao em que analisa e avalia, com toda lisura, aquilo que se defniu como sensvel segurana da organizao, lisura essa tpica da atividade de auditoria. Tudo isto feito em benefcio dos intervenientes ou stakeholders, que no caso das organizaes pblicas se constituem a prpria sociedade qual devem atender. Texto Complementar Auditoria Contbil O tema Auditoria herda um arcabouo conceitual slido da rea contbil, onde mais se desenvolveu. A auditoria contbil tem como objeto as contas pblicas ou privadas, seja para verifcar o desempenho da organizao frente ao seus objetivos de lucros nas organizaes privadas, seja na verifcao da prestao de contas nas organizaes pblicas. Tem ainda a funo de verifcar que os registros contbeis esto em conformidade com as normas e procedimentos exarados nos marcos regulatrios da atividade contbil. A funo da contabilidade no s ser um instrumento de deciso, mas tambm de informao. Na medida em que a informao passa a ser o bem mais precioso das organizaes na era da Sociedade da Informao, h tendncia de convergncia entre as atividades de auditoria contbil e de segurana da informao. No de somenos importncia mencionar que o resultado de auditorias contbeis tem srias implicaes sociais e econmicas nas esferas pblicas e privadas pelos impactos que podem provocar na vida das pessoas em funo de sua natureza alocativa. 1.4 Porque Necessria a Segurana da Informao? A auditoria de segurana da informao s tem sentido por permitir melhoria do trata- mento da informao na organizao. Ela cumpre basicamente as mesmas funes de uma au- ditoria de sistemas de informao, tais como descritos por Imoniana (2004) e por Schmidt, dos Santos e Arima (2005). A informao produzida, identifcada, armazenada, distribuda, usada e processada em todos os nveis da organizao, visando o alcance dos objetivos de negcio, >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 11 sejam eles pblicos ou privados. Essas atividades constituem a gesto da informao, que tem suas prticas defnidas pelos sistemas de informao que apiam os processos de trabalho na organizao, sejam eles manuais ou automticos. A gesto da informao tem fundamentos na administrao, na contabilidade, na arquivologia, nas tecnologias da informao e da co- municao, nas cincias da informao e da computao, entre outras. Como ferramenta de segurana, a gesto da informao lana mo de elementos organizacionais, humanos, fsicos e tecnolgicos, integrados por meio de arquitetura e engenharia de sistemas, ou de forma mais geral atravs de uma abordagem ciberntica. O objetivo da auditoria da segurana da informao, aderente ao componente de monito- ramento do COSO (2007) ento o controle de informaes relevantes para o relato da gesto, conforme tais informaes so produzidas, identifcadas, armazenadas, distribudas, usadas e processadas, dentro dos parmetros estabelecidos pelos processos de controle da organiza- o, a fm de suportar o alcance dos objetivos de negcio. Note que o controle, mesmo sendo necessrio para o alcance de garantias para o desem- penho organizacional, cria limitaes s aes dos agentes que executam processos na orga- nizao. Ou seja, por sua prpria natureza e necessidade, produz cerceamento de liberdade de aes dos agentes, que se no fossem feitas levariam ao caos. Desta forma importante que todos estes agentes recebam uma clara mensagem da alta administrao quanto forma de tratar a informao com segurana, pois central para o controle dos negcios e alcance da misso institucional. As responsabilidades individuais dos agentes devem ser alinhadas com essa mensagem (viso de segurana) e a questo da segurana da informao deve ser embu- tida na cultura organizacional. A mensagem da necessidade de segurana da informao usualmente estabelecida por uma poltica. A poltica de segurana da informao, tratada em detalhes no texto de Souza Neto (2010), deve tornar claro que cada participante ou colaborador na organizao (agentes em geral) um ator relevante quando se trata de proteger ativos de informao, principalmen- te aqueles considerados estratgicos ou crticos. Os agentes devem estar cientes dos riscos de segurana existentes e das medidas preventivas que devem ser tomadas (OECD, 2002). Alm disso, responsabilidades claras devem ser atribudas aos agentes, de modo que se possam dis- tribuir tarefas especfcas ou gerais para que se esteja sempre aperfeioando os mecanismos de segurana da informao implantados. De forma mais prtica, a poltica de segurana da informao o principal controle de segurana numa organizao, e a ele se articulam (e na maioria dos casos se subordinam) todos os demais controles 1.5 Porque Auditar a Segurana da Informao? Porque importante auditar a segurana da informao? O objetivo , basicamente, ates- tar que os controles de segurana em prtica so efcientes e efcazes. Tal evita exposies da organizao a riscos que podem provocar danos, se concretizados. Mair (1998) indica que a introduo de controles evita: 1. manter registros de informao que esto errados; 2. contabilizar informaes que no so aceitveis; 3. interromper o negcio; 4. decidir erroneamente sobre gerenciamento; e dentre outras razes 5. evitar fraudes. No ambiente desregulado dos sistemas de informao expostos Internet, tambm im- portante destacar que os controles evitam que a organizao esteja sujeita a ataque de hackers. Esse texto apresenta uma introduo aos mtodos, processos e tcnicas de auditoria de segurana da informao, muitos dos quais tem sua origem na auditoria contbil. Comple- menta o texto informaes bsicas sobre normativos e organizaes do servio pblico vincu- ladas questo. Para explorar esses e outros assuntos, o restante desse texto est organizado em mais 11 sees, que so: >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 12 Seo 2: Descreve em linhas gerais um processo de auditoria de segurana da informao. Seo 3: Descreve os propsitos e a organizao de uma uma auditoria de segurana da informao. Seo 4: Descreve o que a Roteirizao da Auditoria Seo 5: Descreve os principais objetos e pontos de controle gerais para a auditoria de gesto de segurana da informao. Seo 6: Descreve objetos e pontos de controle mais adequados auditoria de de- sempenho operacional de segurana da informao. Seo 7: Descreve objetos e pontos de controle mais adequados estratgia de audi- toria de conformidade de segurana da informao. Seo 8: Apresenta um modelo de plano de segurana, orientador essencial audito- ria, bem como discute o papel da gesto de riscos de segurana. Seo 9: Apresenta instrumentos, ferramentas e servios auxiliares que devem ser usados para organizar, automatizar e agilizar a atividade de auditoria. Seo 10: Descreve alguns produtos ou artefatos que so as entregas que um auditor de segurana da informao deve produzir aps executar uma roteirizao de audi- toria. Seo 11: Descreve como se organiza um programa de auditoria, ou um conjunto de auditorias associadas Seo 12: Apresenta consideraes Finais. Descreve as limitaes do texto e da pos- sibilidade de trabalhar com auditoria em segurana da informao de forma vivel e organizada. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 13 2. Processo de Auditoria de Segurana da Informao Esta seo apresenta um processo simplificado de auditoria de segurana da informa- o. Vrios modelos de processo e metodologias de auditoria de sistemas e de tecnologia da informao podem ser encontrados na literatura, alguns deles criados pelas organizaes pblicas que atuam como rgos de controle interno e externo. O modelo descrito a seguir composto por 9 passos: Gesto do projeto ou do programa de auditoria Deciso sobre o propsito da auditoria Identifcao de objetos e pontos de controle Defnio de tcnicas para obter evidncias e procedimentos de controle Montagem da roteirizao de auditoria Coleta e registro de evidncias em papis de trabalho Verifcao, validao e avaliao de evidncias Produo de pareceres e outros entregveis Acompanhamento ps-auditoria Estes passos so detalhados a seguir. 2.1 Gesto do Projeto ou do Programa de Auditoria Auditorias isoladas e espordicas so pouco efcazes, alm de dispendiosas. O primeiro passo numa auditoria estabelecer a gesto do projeto ou dos projetos que constituem um programa de auditoria. Auditoria , em geral, um trabalho de equipe, realizado na forma de um projeto, no qual esto envolvidas pessoas, que executaro uma srie de atividades tcnicas especializadas, produzindo um resultado demandado por um cliente, dentro de prazos, custos e qualidades esperadas. O escopo da auditoria precisa ser bem delimitado, as comunicaes entre os membros do projeto e com os clientes precisam ser bem organizadas. necessrio fazer monitoramento da ao e tomada de aes corretivas. O projeto de uma auditoria, como qualquer outro, sujeito a desvios e riscos, que preci- sam ser monitorados e controlados visando produo de resultados com qualidade. pre- ciso, ento, que haja na equipe de auditoria um grupo responsvel por planejar e gerenciar a atividade de auditoria per se. Recomenda-se usar o modelo do Guia PMBOK (PMI, 2004) como orientador geral de planejamento e gesto de projetos, bem como recorrer norma ISO 19011 (ISO, 2002) acerca do processo de gesto de vrios projetos de auditoria integrados, executa- dos ao longo de vrios anos na forma de um Programa de Auditoria. Em suma, o planejamento consiste em amalgamar competncias que tenham conheci- mento especializado daquilo que se quer auditar e que tenham habilidade e autorizao para acesso amplo s diversas fontes de informao necessrias. O planejamento deve produzir, ao fnal, um plano de gerenciamento de uma auditoria especfca, ou de forma coletiva, um plano de gerenciamento do programa de auditoria, que servir de referncia para se executar vrias auditorias correlacionadas. A Seo 11 deste texto detalha mais os resultados desta atividade. 2.2 Deciso sobre o Propsito da Auditoria O segundo passo numa auditoria de segurana da informao decidir acerca do prop- sito da auditoria, que pode variar entre verifcar situaes suspeitas, eventos ou ocorrncias que merecem ateno acurada e entre analisar os riscos de segurana a que a organizao pode estar exposta (ver seo 7). >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 14 Somente uma anlise contextualizada, produzida por um auditor poder indicar qual o melhor propsito da auditoria. Questes especfcas sobre propsito de uma auditoria de se- gurana da informao so descritas na Seo 3. 2.3 Identifcao de Objetos e Pontos de Controle O terceiro passo numa auditoria de segurana da informao compreende analisar o sis- tema de controle interno do auditado, identifcando onde os elementos do controle interno se encaixam nos objetos (ou objetivos) e pontos de controle, descritos de forma genrica no plano de auditoria que foi estruturado na fase de planejamento. Junto a estes objetos e pontos se espera obter evidncias a respeito da situao atual da organizao, quanto segurana da informao. Para realizar exames aprofundados preciso defnir o que ser auditado, que so os objetos de auditoria (OA). Tais objetos so elencados e selecionados de acordo com o con- texto e os propsitos da auditoria. Em seguida so elencados pontos de controle (PC) para cada objeto de auditoria selecionado. Um PC caracteriza situaes especfcas que podem ser relacionadas a produtos, processos, procedimentos, eventos ou qualquer outro item observ- vel e relevante para uma auditoria de segurana. So os objetos de auditoria e pontos de controle itens que, uma vez categorizados, orien- tam as observaes e testes da auditoria. Destaque Pontos de controle podem remeter a artefatos fsicos, como placas de sinalizao e instalaes fsicas ou artefatos lgicos tais como senhas de acesso a sistemas. Portanto, podem ser fsico ou lgicos, tangveis ou intangveis. Desvios ou percepes de riscos devem ser examinados para se identifcar quais pontos de con- trole tm relao com esses riscos, defnindo seu grau de criticidade para a segurana. A busca de indcios e evidncias de situaes de insegurana que merecem ateno e sua correta interpretao pode levar a uma constatao ou achado importante, desde que executados com mtodos claros e reproduzveis, e, se for o caso, com mtodos cientfcos. Veja, por exemplo Lopez (2010). Modelos como o do COBIT (Control Objectives for Information Technology), descrevem um conjunto de objetivos (objetos) de controle e pontos de controle, tpico de Organizaes de Tecnologia da Informao. Note que nem todos os objetivos declarados no COBIT 4.1 so relacionados segurana da informao. O modelo, em sua verso 4.1 (ITGI, 2007), apresenta 318 objetivos de controle agrupados em 34 arqutipos de processos de organizao de TI. Os 34 processos organizacionais so agrupados em 4 domnios (Planejamento e Organizao, Aquisio e Implementao, Entrega e Suporte de Servios de TI, alm do Monitoramento e Avaliao). Os 318 objetivos de controle so subdivididos (implementados) com pontos de controle (chamados no COBIT de prticas de controle). 2.4 Defnio de Tcnicas para Obter Evidncias e Procedimentos de Controle Uma vez identifcados objetos e pontos de controle possvel elencar as tcnicas que sero usadas para a obteno de evidncias que sejam sufcientes, adequadas, relevantes e teis para a concluso dos trabalhos (CPLP, 2009), bem como os procedimentos de controle (tambm chamados de testes) que sero efetuados junto aos pontos de controle, permitindo a montagem da roteirizao detalhada. Estes conceitos so explicados a seguir. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 15 2.4.1 Defnio de Tcnicas Segundo o Manual de Controle Interno, criado pelos Organismos Estratgicos de Controlo/ Controle Interno da Comunidade de Pases de Lngua Portuguesa (CPLP, 2009), so exemplos de tcnicas gerais para a obteno de evidncias numa auditoria: a entrevista e o questionrio; a anlise documental; a conferncia de clculos; a confrmao externa; o cruzamento ou correla- o de informaes; o exame ou inspeo fsica; a observao direta envolvendo identifcao da atividade a ser observada, observao de sua execuo, comparao entre o comportamento observado e os padres, avaliao e concluso; o corte das operaes e o rastreamento. Cada tcnica tem elo direto com o propsito da auditoria, com a natureza do negcio e com o nvel de maturidade da organizao em matria de segurana da informao. 2.4.2 Preparao ou Seleo de Procedimentos de Controle e Testes Segundo CPLP (2009), os procedimentos de controle so um conjunto de verifcaes e averiguaes previstas num programa de ao [ex: auditoria], que permite obter evidncias ou provas sufcientes e adequadas para analisar as informaes necessrias formulao e fundamentao da opinio por parte dos auditores pblicos. Os procedimentos de controle so especfcos para cada ponto de controle, e descrevem os resultados que devem ser obtidos junto a cada ponto de controle, por meio de testes. Cabe ao auditor escolher que tipo de teste vai realizar, e os testes so estratifcados em dois nveis de profundidade: os testes de controle ou observao; e os testes substantivos ou de sondagem. Os testes de controle so executados por meio de observao do funcionamento dos controles existentes, e visam obter razovel confana de que os controles esto em efetivo funcionamento e cumprimento. Cabe ao auditor avaliar o nvel de risco tolerado (DUNN, 1991, p.111) para emisso de sua prpria opinio com o devido cuidado profssional, a fm de decidir em que momento parar os testes. Os testes substantivos demandam mais criatividade e esforo do auditor e so aplica- dos quando h dvidas acerca da adequao do controle j testado. Vrias tcnicas, analticas, de simulao (CHAIM, 2010) ou de ensaio podem ser aplicadas para a realizao de testes substantivos de segurana da informao, como teste de vulnerabilidade, testes de penetra- o. Todas as tcnicas, na rea de segurana da informao, esto de forma direta ou indireta associadas com a anlise e avaliao de riscos de segurana. Segundo ITGI (2000), os testes substantivos visam documentar a vulnerabilidade e os riscos associados ao ponto de controle. Modelos de auditoria como o antigo manual de auditoria do COBIT 3.0 (ITGI, 2000), o livre- to de padres, guias e procedimentos de auditoria e controle do ISACA (2009) apresentam um extenso conjunto de procedimentos que podem ser empregados em auditoria de segurana da informao, para orientar a execuo de testes. 2.5 Montagem da Roteirizao Detalhada A roteirizao detalhada de auditoria o roteiro dos procedimentos e testes que sero ou podero ser executados pelo auditor. A roteirizao montada para que o auditor use da for- ma mais efcaz o tempo em que estar no ambiente do auditado, bem como para uniformizar os procedimentos de uma equipe da qual participam diversos auditores. Cada empresa ou organizao de auditoria dispe de templates ou esqueletos de roteiri- zao padronizada, visando agilizar a montagem da roteirizao para uma auditoria especfca. A roteirizao descreve a sequencia de passos a seguir, e deve ser sucinta e objetiva, para facilitar a execuo pelo auditor. Para facilitar a compreenso de conceitos complexos, que muitas vezes so articulados ou referenciados numa roteirizao. A roteirizao deve fazer referncia a documentos mais detalhados e descritivos, como normas, guias e padres, por exemplo: ISACA (2009) e ITGI (2000). >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 16 2.6 Coleta e Registro de Evidncias O sexto passo numa auditoria consiste em coletar e registrar evidncias para fns de ava- liao, e pode ser organizado em trs aspectos. 2.6.1 Coleta de evidncias A coleta feita no ambiente do auditado. A roteirizao detalhada orienta as aes dos auditores em campo durante a coleta e anlise de evidncias, em geral elaborada em forma- to de formulrios, em papel ou meio digital, que quando preenchidos auxiliam e sumarizam dados para anlise. 2.6.2 Papis de trabalho Os papis de trabalho (documentos de trabalho ou working papers) constituem os regis- tros das evidncias, aes e decises realizadas pelo auditor. So preparados no ambiente do auditado, mas so de propriedade do auditor e devem ser arquivados com obedincia ao sigi- lo. So papis de trabalho: (i) os formulrios preenchidos com a execuo da roteirizao, (ii) os registros de anlises e testes de controle e testes substantivos realizados pelo auditor e (iii) outras anotaes de interesse. Os papis de trabalho so a memria de clculo da execuo da roteirizao, podendo ser usadas pelo auditor no esclarecimento de dvidas futuras. As evi- dncias, contidas nos papis de trabalho, so entrecruzadas com os objetos de auditoria e seus respectivos pontos de controle pertinentes, e desta forma faro parte de uma lista elaborada pelo Auditor como de possvel interesse para a anlise. Para mais detalhes ver CPLP (2009). 2.6.3 Organizao da informao Para que a informao contida nos papis de trabalho possa ser til, inclusive durante a fase de anlise, essencial a organizao adequada da documentao e das informaes, por meio de instrumentos como ndices, tabelas de contedo, inclusive porque outros auditores que no participaram da coleta de evidncias devero ter capacidade de avaliar ou participar do trabalho em momento posterior. 2.7 Verifcar, Validar e Avaliar Evidncias O stimo passo numa auditoria consiste em, rigorosamente, verifcar, validar e avaliar as evidncias obtidas. Muitas delas, que parecem desconectadas em um momento, devem co- mear a fazer sentido de acordo com os achados ou fatos constatados. Pode-se iterar e voltar a coletar e registrar novas evidncias, conforme se mostrem insufcientemente conclusivos os dados coletados. Isto ocorre, sobretudo, quando no se tem experincia com o tipo de audito- ria e os objetos de controle auditados. A conexo lgica entre evidncias, achados e fatos pode ser estabelecida na roteirizao detalhada, mas no deve ser considerada como nica fonte de achados. A roteirizao serve como instrumento para guiar o julgamento do auditor. Os papis de trabalho organizado permitem a recuperao de informao. 2.8 Produo de Pareceres e outros Entregveis O passo fnal nesse modelo simplifcado de processo de auditoria a produo de pareceres com recomendaes e concluses do Auditor. Cada passo pode liberar entregas, como mostrado na Figura 2, destacando-se como produtos da auditoria: o plano de auditoria, os relatrios situa- >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 17 cionais de auditoria e os pareceres. O Auditor dever produzir pelo menos um plano de auditoria, um relatrio situacional e um parecer para cada engajamento de auditoria (ver Seo 8). 2.9 Acompanhamento Ps-Auditoria Conforme orienta a norma ISO 19011 (ISO, 2002), o acompanhamento ps-auditoria ocor- re sempre no mbito de um programa de auditoria. preciso ter bem defnidas as competn- cias e a forma de avaliao dos auditores, bem como as atividades que sero realizadas. Esse acompanhamento uma atividade de gesto, seja para garantir mudanas, seja para sustentar boas prticas que devem persistir. A constituio de um programa de auditoria descrita na Seo 11 deste texto. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 18 3. Propsitos e Organizao da Auditoria Os conceitos de objetos de auditoria e pontos de controle organizam as situaes, ocor- rncias e evidncias que parecem merecer a ateno de uma auditoria de segurana da infor- mao. Seguindo a tradio contbil, as auditorias de segurana so classifcadas em trs tipos: de gesto, operacional (Cruz, 97) e de conformidade, conforme mostra a Figura 2. Figura 2. Tipos, objetos e pontos de controle de auditoria. Cada um dos tipos de auditoria pode seguir mtodos diferentes e possui um arcabouo conceitual e necessidades de especializao distintas. 3.1 Auditoria de Gesto A auditoria de gesto verifca que as aes para acompanhar ou tomar decises a respeito de itens de segurana estejam em plena execuo. Tomando-se por base a Figura 1, a auditoria de gesto est mais relacionada com a avaliao das declaraes efetuadas pelo gestor. Mais detalhes na Seo 5. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 19 3.2 Auditoria de Desempenho Operacional ou Auditoria Operacional A auditoria de desempenho operacional, por sua vez, se baseia essencialmente em indi- cadores de desempenho e na constatao de que as aes de segurana esto ou no funcio- nando, alm de em descries que informam sobre quo efetivos e efcazes so os controles para proteger os ativos de informao. Para essa auditoria, alm dos pontos de controle, par- metros de desempenho devem ser defnidos para aferio de resultados esperados. Com base na Figura 1, a auditoria operacional se debrucaria sobre o funcionamento dos controles e os efeitos que tais controles produzem sobre a reduo dos riscos de segurana da organizao. A auditoria de desempenho operacional correlaciona, necessariamente, os controles e os pro- cessos que eles controlam (ver Figura 1). Mais detalhes na Seo 6. 3.3 Auditoria de Conformidade A auditoria de conformidade pode ser realizada sem que o auditado seja solicitado a justi- fcar ou opinar sobre o contedo obtido, j que o foco sobre os controles de segurana. Com base na Figura 1, a auditoria de conformidade buscaria verifcar que os controles de segurana que constituem parte do controle interno esto implementados e funcionais. A auditoria de conformidade tambm tem forte lastro no arcabouo normativo da organizao. No caso de questes relacionadas segurana e ao tratamento da informao no Brasil, o leitor remetido compilao produzida por Vieira (2009). Mais detalhes na Seo 7. 3.4 Qual Tipo de Auditoria Empregar? Os trs tipos de auditoria permitem planejar auditorias com enfoque determinado e de- vidamente contextualizado. Os tipos so teis para organizar, de forma anloga auditoria contbil, uma metodologia de trabalho para auditar segurana da informao. Observe, no entanto, que tal diviso apenas uma conveno. Por exemplo, a auditoria de desempenho operacional poderia ser parte da auditoria de gesto, j que se preocupa com desempenho ou resultados. Destaca-se aqui o fato de que auditorias operacionais avaliam o como a segurana implementada, enquanto que a auditoria de gesto destaca as decises gerenciais e as prio- ridade resultantes que conduzem da melhor maneira possvel essas operaes de segurana. Para cada ao de auditoria, objetos de auditoria devem ser demarcados, conforme mos- tra a Figura 2. Os pontos de controle devem ser selecionados segundo a natureza do obje- to de auditoria. Considerando que um objeto de auditoria funciona normalmente dentro do comportamento esperado, por exemplo, uma poltica de segurana que seguida, os pontos de controle correspondentes produziro as informaes esperadas para esse objeto. Todo o resultado culminar em um relatrio de auditoria e um parecer com as devidas consideraes e concluses, conforme j mencionado. Ao se trabalhar com segurana de informao se deve considerar as trs atributos clssi- cos da segurana: integridade, disponibilidade e confdencialidade (ou sigilo). A verifcao de integridade permite descobrir se a informao foi produzida de forma incoerente com a rea- lidade, ou alterada por aes que apontam para possveis fraudes que podem trazer impacto organizao. A verifcao de disponibilidade permite avaliar possveis riscos que emergem da indisponibilidade frequente de ativos de informao sensveis. A verifcao de confden- cialidade, ponto de controvrsia na administrao pblica, merece muita ateno. Permite identifcar o risco de que a informao seja acessada por agentes no autorizados, quando na- quele determinado momento ela no deveria ser de acesso ao pblico. Existem um conjunto razovel de decretos e instrues (ver Anexo I) que demonstram uma crescente preocupao com essa questo. Essas trs verifcaes devem permear os trs tipos de auditoria, quando abordando segurana da informao. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 20 4. Arcabouo de Roteirizao de uma Auditoria Tradicionalmente a auditoria tem o propsito de verifcar categorias de controle gerais ou especfcas de objetos de auditoria (TCU, 98). Os controles gerais so aqueles que de alguma forma aparecem com propriedades ou procedimentos gerais e que sempre so observados, por exemplo: controle de acessos fsicos a instalaes. Os controles especfcos so aqueles que apontam para um determinado elemento de ateno, por exemplo, acesso de usurios a um determinado banco de dados. Uma vez que a quantidade de informao a ser coletada pode facilmente fugir ao controle do auditor e exceder os custos e o tempo estimados, preciso recorrer sempre a uma roteiri- zao de auditoria em mos. Embora sejam possveis outros tipos de auditoria para formatar uma roteirizao, nos de- teremos nos trs tipos j descritos: de gesto, operacional e de conformidade. Para cada tipo a roteirizao ter um conjunto de objetos de auditoria e seus respectivos pontos de controle, ou seja, eventos, acontecimentos, aes, produtos, espaos ou qualquer coisa que merea ateno em termos de segurana da informao e que seja de interesse au- ditar, dada a sua criticidade para os negcios da organizao. O Quadro 1 mostra um exemplo simples de organizao de pontos de controle para um objeto de auditoria chamado poltica de segurana da informao. Quadro 1. Trecho de roteirizao para o objeto de auditoria Poltica de Segurana da Informao. Sequncia de auditoria Objeto(s) de auditoria Pontos de Controle Poltica de Segurana da Informao objetivo recursos riscos custos (anlise econmica) responsabilidades perfs requisitos de acesso classifcao de documentos ferramentas de segurana etc. A sequncia de auditoria do Quadro 1 corresponde aos pontos de controle de auditoria que sero verifcados, segundo uma estratgia expressa em uma roteirizao de auditoria. A Figura 3 mostra uma esquematizao de um programa de auditoria, proposto aqui para ilus- trar como uma auditoria de segurana da informao poderia ser organizada. A roteirizao de auditoria lana mo dos trs tipos de auditoria, conforme os objetos de auditoria melhor se acomodam aos propsitos de cada tipo. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 21 Figura 3. Um arcabouo de roteirizao de auditoria de segurana da informao. Na auditoria de gesto o foco a estrutura organizacional e tpicos como segregao de funes, existncia de poltica de segurana da informao e adequabilidade dos planos de se- gurana. A parte da documentao, como parte da poltica, diz respeito mais forma de arqui- vamento, convenes de ttulos para documentos e existncia de controle de verses e revises. No caso da auditoria operacional, o interesse pode ser na segurana das operaes im- plantadas e nos recursos fsicos que suportam essas operaes, tais como as instalaes, equi- pamentos e dispositivos de redes. Tambm a segurana lgica pode ser avaliada com auditoria operacional e compreende avaliao do funcionamento dos sistemas, programas e processos com foco nos dados gerados e nas informaes produzidas. A questo dos usurios tambm parte dessa auditoria, pois se preocupa com o acesso de pessoas s instalaes, a sistemas, a programas ou qualquer recurso relacionado com os ativos de informao. Ainda na auditoria >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 22 operacional se tem a preocupao com a efcincia e efccia das operaes, cuja inobservn- cia compromete os resultados aumentando os riscos. No caso da auditoria de conformidade, os objetos de auditoria tm como propsito ga- rantir a integridade, a disponibilidade e a confabilidade desses ativos conforme preconizam os padres e especifcaes determinados pela e para a organizao dos controles em prtica. Pontos de controle requerem observncia de regras que esto mais sujeitas a questes de con- sistncia da regras ou de aderncia das aes de segurana em face do que est determinado nas regras. Nas sees seguintes so apresentados detalhes de cada tipo de auditoria. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 23 5. Auditoria de Gesto em Segurana da Informao Como j abordado, a Auditoria de Gesto tem o propsito de verifcar como as atividades de gesto da segurana da informao esto sendo realizadas. Consiste basicamente em verifcar que os processos de segurana e suas atividades foram implantados plenamente e que as metas de segurana traadas esto sendo alcanadas. Visa tambm verifcar as atividades de apoio que lidam com incidentes, ameaas ou vulnerabilidades j identifcadas; subsidiar novas aes ne- cessrias ao atendimento de demandas; e alterar os controles previamente defnidos. Por exem- plo, investigar os servios de atendimento de um help desk tarefa da auditoria de gesto. O que se quer alcanar com esse tipo de auditoria a confrmao de que os procedimentos previstos no plano de segurana (Ver Seo 8) esto presentes ou, se no esto, quais foram os desvios que levaram a essa ausncia. Em caso de desvios, deve-se relacionar o que ou quem est fora das diretrizes defnidas no plano de segurana frente a um padro de desempenho espe- rado pela gesto da segurana. Alguns objetivos de auditoria de gesto listados abaixo foram adaptados de Imoniana (Imoniana, 2005) e do manual de sistemas do TCU (TCU, 98), a saber: Estrutura organizacional Poltica de segurana Documentao Cultura de segurana Pesquisa sobre incidentes Sistema de segurana Registros de auditoria Plano diretor de tecnologia da informao (PDTI) Estes objetivos so detalhados a seguir. 5.1 Estrutura Organizacional No possvel implantar segurana da informao sem que haja uma estrutura organiza- cional apropriada para tal. Um primeira providncia se preocupar com segregao de fun- es. Quem executa uma ao no pode ser aquele que controla os estgios dessa ao. O manual de auditoria de sistemas do TCU (TCU, 1998) enumera uma lista de elementos crticos (pontos de controle) para avaliao dos controle organizacionais, a saber: 5.1.1 As unidades organizacionais responsveis por segurana devem ser bem defni- das, com nveis claros de autoridade, responsabilidades e habilidades tcnicas neces- srias para exercer os cargos. 5.1.2 Atividades dos funcionrios envolvidos com segurana devem ser supervisio- nadas e controladas atravs de procedimentos padres devidamente documentados com polticas claras de seleo, treinamento e avaliao de desempenho desses pro- fssionais. 5.1.3 Poltica de segregao de funes e controles de acesso deve ser constantemen- te perseguida para garantir na prtica a idoneidade dos processos. 5.1.4 Indicadores de gesto para auscultar os recursos computacionais que esto sob procedimentos de segurana devem ser estabelecidos. Mecanismos de segurana no podem provocar mau desempenho dos recursos. Note que a lista apresentada no exaustiva. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 24 5.2 Poltica de segurana para a organizao Sem uma poltica de segurana da informao (PSI) discutida por todos os setores, qual- quer procedimento de segurana ser aleatrio e, provavelmente, ir entrar em confito com outras iniciativas. A PSI pode trazer referncias explcitas aos padres defnidos para os ativos de informao. Note que o DSIC/GSIPR usa o termo PSIC Poltica de Segurana da Informao e Comunicaes (DSIC, 2008) para a constituio de um documento de poltica de segurana da informao na Administrao Pblica Federal. Segundo a ISO/IEC 27002:2005, a poltica de segurana da informao deve contemplar os seguintes pontos de controle: 5.2.1 Objetivos, metas, escopo e a relevncia da poltica de segurana da informao para toda a organizao devem ser estabelecidas e positivadas em documentos; 5.2.2 Declarao da alta direo de que est compromissada com o que est defnido na poltica deve ser de conhecimento de todos; 5.2.3 preciso saber se existe um alinhamento da poltica de segurana da informa- o com os objetivos de negcio, no caso, com a misso institucional e a legislao; 5.2.4 Devem ser defnidas responsabilidades gerais e especfcas a respeito da segu- rana da informao, seja para indivduos, seja para instncias colegiadas: comisses, comits, grupos de trabalho etc. 5.2.5 A poltica deve conter referncia a documentaes necessrias para apoi-la, o que inclui normas e regras estabelecidas na legislao. 5.2.6 A poltica deve explicar os requisitos de segurana da informao, incluindo a conformidade com a legislao, regulamentos e contratos. Note que a lista apresentada no exaustiva. 5.3 Documentao atualizada Documentos devem ser classifcados e versionados para que seu contedo e fnalidade estejam sob controle. Novas normas devem ser catalogadas, discutidas e disseminadas, prin- cipalmente aquelas que tm referncias legais. Na questo do sigilo de documentos, convm acompanhar se os critrios defnidos esto sendo implementados e se so aderentes legis- lao em vigor. 5.4 Cultura de segurana Devem ser produzidos materiais para divulgao e disseminao da cultura de segurana da informao. um trabalho que possibilita internalizar entre todos os atores a necessidade de constante ateno aos ativos de informao, como uma forma de proteger o patrimnio e o prprio negcio pblico ou privado. Deve-se aplicar o princpio do need to know como a regra geral de segurana (Organisation for Economic Co-operation and Development, 2002). Este princpio indica que uma informao deve ser acessvel apenas queles que tem necessi- dade de conhec-la. Cabe ressaltar a controvrsia que segue este preceito quando tratando de informao gerida por rgo pblico, em contraste com o preceito da transparncia. 5.5 Pesquisa sobre Incidentes A organizao deve providenciar constantes pesquisas sobre incidentes e falhas de segu- rana. Faz parte da gesto da segurana promover uma constante investigao nos ativos de informao, formulando novas programaes de auditoria. Essa atividade tambm deve pro- mover novas solues de segurana para as novas ameaas e vulnerabilidades descobertas, bem como avaliar se necessria a continuidade de aplicao de controles antigos. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 25 5.6 Sistema de Segurana O sistema de segurana da informao deve funcionar de acordo com a poltica de segu- rana implantada, e estar em constante atualizao. Ver ISO/IEC 27001 (ABNT, 2006). 5.7 Registros de auditoria Manter registros para fns de auditoria uma atividade crucial para que exista auditoria. A ISO/IEC 27002:2005 (item 10.10.1) lista vrios objetivos de controles para tecnologia da infor- mao, adaptados na sequncia abaixo, a saber: 5.7.1 Todos os usurios devem ser identifcados. Nesse caso, o que mais interessa re- gistrar o acesso de novos usurios e observar mudanas no status de antigos usurios. 5.7.2 Cada detalhe de eventos-chave, como a entrada de pessoas, sejam nas instala- es sejam em sistemas registrado com hora e data. A sada de pessoas de instala- es crticas tambm deve ser registrada igualmente. 5.7.3 Alteraes em confguraes dos sistemas devem ser registradas. Uma ferra- menta de gesto de mudanas e versionamento poder capturar essas alteraes. 5.7.4 O acesso a arquivos nos bancos de dados precisa ser registrado. Uma forma de facilitar a auditoria ter um nico administrador do banco ou muito poucos. Qual- quer problema pode ser rastreado de volta ao seus autores ou responsveis. 5.7.5 Cada pessoa deve ter privilgios de acesso bem defnidos. O uso desses privil- gios deve ser registrado e acompanhado. 5.7.6 Todas as tentativas de acesso a qualquer objeto de auditoria que foram rejeita- das devem ser registradas para verifcao. Note que a lista apresentada no exaustiva. 5.8 Plano Diretor de Tecnologia da Informao (PDTI) Pressupe-se que o PDTI foi previsto na poltica de segurana como fonte privilegiada de objetos de auditoria a serem tratados. A Instruo Normativa 04/2008 da SLTI/MP defne carac- tersticas de um PDTI na APF. Assim o plano deve: 5.8.1 Prever que a segurana dos dados armazenados e em fuxo sejam previstas nos sistemas desde o incio 5.8.2 Apresentar parmetros de segurana para os sistemas de informao a serem desenvolvidos ou mantidos e os respectivos processos dos quais eles faro parte. Para mais detalhes ver Fernandes (2010a) e Veneziano (2010). 5.8.3 Estabelecer os critrios para aquisio de hardware, software e servios. Neste caso o documento deve fazer referncia a normas expedidas pelo governo federal. Para mais detalhes ver Rodrigues (2010). 5.8.4 Defnir quais perfs de recursos humanos so necessrios e a quantidade de pes- soas para os projetos previstos no plano. 5.8.5 Apresentar o oramento do custo da rea de tecnologia de informao apon- tando o que custo de apoio e o que fnalstico e qual o percentual a ser investido em segurana. 5.8.6 Defnir as prioridades de segurana dos sistemas ou processos a serem automa- tizados com um cronograma estimativo. Para mais detalhes ver Fernandes (2010b) 5.8.7 Observar se os objetivos dos sistemas de informao esto alinhados com os objetivos estratgicos e de segurana da organizao. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 26 5.8.8 Padronizar relatrios gerenciais e sumrios de informaes para subsidiar a c- pula da organizao em seus processos decisrios. Note que a lista apresentada no exaustiva. Os pontos de controle apresentados no esgotam todas as possibilidades. O importante fcar claro que uma auditoria de gesto permite verifcar que a segurana est sendo ad- ministrada a contento. A ideia manter uma gesto qualifcada sem a qual no tem sentido montar um sistema de segurana da informao, pois so muitos e diversos os instrumentos e os controles que so utilizados. O TCU (1998) chama os controles dessa auditoria de con- troles organizacionais. Aquele Tribunal incorpora como pontos de controle a poltica de se- gurana, procedimentos e estruturas organizacionais, s para citar alguns. Tambm se inclui nessa auditoria as pessoas que fazem parte dos processos de gesto da segurana. Controles para admisso de pessoas podem ser encontradas tambm na ISO/IEC 27002:2005 e podem se adotados como parte da auditoria de gesto. Observar que a 27002, na realidade, procura, de forma coordenada com a ISO/IEC 27001:2006, montar um Sistema de Gesto de Segurana da Informao (SGSI), conceito que tambm compartilhado pelos autores, mas que s possvel em organizaes com nvel elevado de maturidade em segurana. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 27 6. Auditoria de Desempenho Operacional de Segurana da Informao A Auditoria de Desempenho Operacional visa verifcar principalmente parmetros de ef- cincia, efccia e efetividade, mas no est restrita a isso. Conforme defnido no Manual de Auditoria de Natureza Operacional do TCU (2000), o objetivo desta auditoria : examinar a ao governamental quanto aos aspectos da economicidade, efcincia e efccia, enquanto a avaliao de programa busca examinar a efetividade dos programas e projetos governamentais.. Na medida que os pontos de controles so implantados, a auditoria de desempenho opera- cional deve se certifcar de que os mesmos so efetivos (resolvem o problema) diante do que se espera em termos de nvel de segurana. Observe que a auditoria operacional tambm se preocupa se os controles que se defniu so robustos frente s vulnerabilidades e ameaas diagnosticadas numa anlise/avaliao de riscos. O sentido que este texto d auditoria de desempenho operacional que esta faz um exame detalhado das operaes de segurana implantadas na organizao. Para apresentar al- guns controles, sem exaurir as possibilidades, se usa uma categorizao clssica que os autores consideram ainda til, dada a quantidade de documentao de melhores prticas e propostas diversas, e baseada nas reas de: (i) segurana fsica, (ii) segurana lgica, (iii) segurana de dados, (iv) segurana de usurios, (v) segurana de redes, (vi) efcincia da segurana e (vii) efccia da segurana. Usamos como base a estrutura da Figura 2. 6.1 Segurana Fsica Corresponde s seguintes diretrizes para controle de acesso a objetos que direta ou indi- retamente se relacionam com os ativos de informao. Fonte: ISO/IEC 27002 (ABNT, 2005), com adaptaes. Ver tambm Vidal (2010) e Arajo (2010). 6.1.1 preciso defnir claramente os permetros de segurana. Esse permetro precisa ser revisto para sempre cobrir o espao fsico onde se encontram ativos de informa- o que podem ser alvo de ameaas. 6.1.2 preciso construir uma rea de recepo para que se tenha um acesso contro- lado s instalaes da organizao, considerando uma ameaa qualquer acesso no autorizado por outras entradas ou sadas devidamente restritas. 6.1.3 preciso implantar barreiras fsicas para impedir acesso no autorizado a per- metros de segurana ou a reas especfcas demarcadas como tal. 6.1.4 Todas as portas corta-fogo devem ter alarmes e o material devem estar de acor- do com normas internacionais de resistncia a incndios. 6.1.5 Todas as salas devem ter sistema de deteco de intrusos e todas as entradas e sadas das instalaes devem estar o tempo todo protegidas. 6.1.6 As instalaes de processamento de informao gerenciadas pela organizao devem fcar fsicamente separadas daquelas que so gerenciadas por terceiros. 6.1.7 Devem existir procedimentos especiais para segurana fsica do parque de ser- vidores: 6.1.7.1 Controle de acesso a instalaes dos computadores principais e seus peri- fricos, somente para pessoas autorizadas. 6.1.7.2 Controle de acesso a dispositivos de redes, tais como roteadores, switches, Hubs, com sistema de deteco de intrusos. 6.1.7.3 Controle de acesso a servidores, somente por administradores. 6.1.8 Devem existir procedimentos especiais para controle de acesso a backups, em dis- positivos magnticos ou no, devem ser implantados e rigorosamente controlados. 6.1.9 Deve existir controle sobre armazenamento em pendrives ou qualquer dispositi- vo mvel por meio de alerta de segurana contra cpias no autorizadas. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 28 6.1.10 Todas as comunicaes com os dispositivos que acessam a rede interna da or- ganizao devem ser criptografadas utilizando os protocolos adequados. Note que a lista apresentada no exaustiva. 6.2 Segurana Lgica A segurana lgica compreende diretrizes de controle para os ativos intangveis que in- cluem sistemas e informao. Para mais detalhes para desenvolvimento de sistemas seguros, ver Holanda e Fernandes (2011), OWASP (2011), Imoniana (2005), Mair, Wood e Davis (1978), alm de Schmidt, Alencar e Villar (2007). So listados alguns pontos de controle, a saber: 6.2.1 Sistemas de informao A auditoria de sistemas visa verifcar problemas de processamento de dados e se as infor- maes produzidas por esses sistemas so corretas e oportunas. Deve-se ento: 6.2.1.1 Implementar sistemas corporativos utilizando a linguagem LL (deve ser escolhi- da como padro) e o banco de dados BD (deve ser escolhido como banco corporativo). 6.2.1.2 Implementar pginas WEB utilizando a ltima verso atualizada de javascript ou linguagem WEB orientada a objetos (apenas exemplos). 6.2.1.3 Absoluta ateno a cdigos que podem conter vulnerabilidades que permi- tem invaso, por exemplo, por meio de SQL injection, pois devem ser controlados. 6.2.1.4 Todos os sistemas, programas, scripts, folhas de estilo etc devem ser versiona- dos e com autoria devidamente registrada. 6.2.1.5 Processamento (condicional): verifcar a criao de novos dados (registros, ob- jetos etc). 6.2.1.6 Processamento (clculo): verifcar o desempenho dos clculos matemticos nos sistemas, pois podem gerar informaes erradas. 6.2.1.7 Processamento (clculo): verifcar mudanas de valores em tabelas de banco de dados ou arquivos. 6.2.1.8 Processamento (atualizao): verifcar mudanas de dados em arquivos ou banco de dados por meio de incluso, atualizao ou eliminao. 6.2.1.9 Processamento (condio): examinar dados usando lgica ou testes de condi- es, para identifcar similaridades ou diferenas. 6.2.1.10 Transcrio: verifcar cpia de dados de uma mdia para outra colocando o devido rtulo com classifcao de segurana. 6.2.1.11 Ordenamento: colocar itens de dados em ordem ou sequncia. 6.2.1.12 Transmisso: movimentao de dados de um lugar para outro via meios de comunicao disponveis. 6.2.2 Verifcar que os programas de computador so concebidos de acordo com me- todologias de roteirizao que favorecem a construo de sistemas seguros, com es- pecial ateno a software para a WEB (OWASP, 2011). 6.2.3 Assegurar que programas ou sistemas novos no sejam colocados em produo sem teste e homologao. e 6.2.4 Verifcar que as rotinas de funcionamento de procedimentos de teste de siste- mas e programas esto em pleno uso. Note que a lista apresentada no exaustiva. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 29 6.3 Acessos dos Usurios Sistemas de informao podem ser acessados por um grande nmero de usurios que precisam ser controlados para responsabilizao em caso de danos s pessoas e ao patrimnio pblico. So candidatos a pontos de controle: 6.3.1 Credenciais nicas que devem ser atribudas a usurios individuais. Credenciais devem conter uma combinao de alguns requisitos a serem atendidos pelo usurio, como segue: 6.3.1.1 Identifcar quem o usurio (nome, ID etc). 6.3.1.2 Verifcar alguma coisa que o usurio sabe (cdigo secreto, senha). 6.3.1.3 Verifcar onde o usurio est (reconhece local do usurio). e 6.3.1.4 Verifcar alguma coisa que o usurio tem. 6.3.1.5 Verifcar alguma coisa que o usurio (biometria). 6.3.2 Implantao de dispositivos biomtricos para verifcao automtica de identi- dade baseados em caractersticas fsicas do usurio como digitais, iris etc. 6.3.3 Deve existir uma nica forma de acesso lgico aos sistemas de uma organizao, mesmo que sejam sistemas diferentes, integrados ou no. 6.3.4 Cada usurio deve ser responsabilizado por aquilo que realiza com suas creden- ciais. Isso inclui inclusive tcnicos que alterem confguraes de hardware e software (ver texto complementar a seguir). 6.3.5 A rea de segurana da informao deve ser informada a respeito dos desliga- mentos dos funcionrios para que suas credenciais sejam desativadas. 6.3.6 A rea de gesto de pessoas deve saber sobre os usurios que acessam os seus dados e o nveis de acesso atribudos a esses usurios. 6.3.7 Acesso a programas utilitrios que possam modifcar dados corporativos deve estar absolutamente estrito a pessoas da rea de Tecnologia e ao usurio responsvel. 6.3.8 Devem ser realizadas varreduras peridicas de atributos de acesso, principalmente sobre aqueles usurios que esto com acesso ilimitado a um ou mais ativos de informao. Note que a lista apresentada no exaustiva. Texto Complementar | Ministrio da Educao, e-MEC, Termo de Compromisso de Usurio Cdigo de Conduta do Usurio Efetuo, por meio deste compromisso, a solicitao de acesso ao sistema E-MEC, assumindo os encargos legais decorrentes do compromisso frmado e declaro estar de acordo com as seguintes condies que integram o presente termo: de minha exclusiva responsabilidade a observncia dos prazos para insero de dados ou demais providncias de sua competncia; so de minha exclusiva responsabilidade as informaes inseridas no sistema, assumo-as como verdadeiras, nos termos do art. 219 do Cdigo Civil, assim como o uso do acesso ao sistema, incluindo qualquer transao efetuada, no cabendo ao provedor do sistema responsabilidade por eventuais danos decorrentes do uso indevido do acesso, ainda que por terceiros; o acesso ao sistema dado, mediante atribuio de identifcao e senha, pessoal e intransfervel, salvo os casos de delegao admitidos, conforme disposto nos Arts. 12 a 14 da Lei no 9.784, de 1999; estou obrigado a informar imediatamente ao provedor do sistema a perda da chave de acesso ou da senha ou a quebra de seu sigilo para bloqueio do acesso; deverei dar o tratamento adequado s informaes acessadas, com ateno s restries sobre sigilo, mantendo-o quanto s informaes obtidas sobre a instituio e seus cursos, evitando conceder entrevistas ou outras formas de exposio na mdia e utilizarei as informaes coletadas somente para os objetivos da fase de tramitao do processo para a qual foi designado; assumo a responsabilidade pelos atos praticados mediante o acesso ao sistema, ainda que por terceiros at que o acesso seja bloqueado, tendo em vista as penalidades em caso de prtica de atos ilcitos previstos na legislao penal e cvel; tenho conhecimento de que os dados inseridos no sistema sero de conhecimento pblico, com exceo dos dados discriminados nos incisos III e IV do art. 16 do Decreto no. 5.773, de 2006, com o que concordo expressamente (...) >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 30 6.4 Segurana de dados Devem ser examinadas diversas possibilidades de violao de dados quanto sua integri- dade, disponibilidade e confdencialidade. 6.4.1 Deve existir um grupo muito restrito de administradores de banco de dados, cujas aes devem ser monitoradas. 6.4.2 Deve existir uma estratgia defnida para utilizao dos bancos de dados por sistemas de informao, pessoas ou programas. 6.4.3 Se deve manter rigoroso sigilo sobre informaes sensveis da organizao, utili- zando recursos de proteo automtica ou manuais para dados operacionais sensveis. 6.4.4 Ocorrncia de perda de dados deve ser investigada, pois pode ser sintoma de ameaas aos ativos de informao: sabotagens, invases, engenharia social etc. 6.4.5 Ocorrncia de destruio de arquivos deve ser investigada, pois pode signifcar imprudncia do responsvel ou at sabotagem e fraudes. 6.4.6 Verifcar ocorrncia de falhas de hardware que provoquem erros de processa- mento, de informaes erradas ou de distoro de integridade de dados. 6.4.7 Erro de entrada de dados. Esse um dos eventos relacionados tambm a usu- rios. Os programas de entrada de dados permitem erros que sujam os bancos de dados tendo refexo na qualidade das informaes produzidas. A elevada superfcie de exposio de aplicaes de governo eletrnico Internet demanda que este pon- to de controle seja profundamente investigado. 6.4.8 Backups peridicos dos dados que devem ser realizados de acordo com um pla- nejamento prvio e critrios diferenciados para diferentes graus de sensibilidade das informaes. 6.4.9 Contas de usurios que acessam diretamente os bancos de dados ou por meio de utilitrios em situao privilegiada devem ser observadas. 6.4.10 Atualizar os bancos de dados com as novas verses mais seguras. Ficar atento lista de vulnerabilidades de cada verso, por meio de consulta peridica a bases de dados de vulnerabilidades. Note que a lista apresentada no exaustiva. 6.5 Efcincia da Segurana Parmetros de medida de efcincia podem indicar problemas de segurana ou sua imi- nncia. Na lista abaixo so apresentados fortes candidatos a ponto de controle. 6.5.1 Tempo mdio para reparo (MTTR - Mean Time to Repair). O MTTR identifca o lapso temporal mdio entre o momento em que surgem a indisponibilidade de um servio e o tempo que o servio foi restaurado. O MTTR um indicador de desempe- nho em horas e valores altos podem ser responsveis por insatisfaes gerais durante a prestao de servio. 6.5.2 Tempo mdio entre falhas (MTBF Mean Time Between Failures). Indicador cls- sico, que consiste em identifcar o tempo mdio de disponibilidade dos servios, sem a ocorrncia de falhas. possvel assim medir o grau de disponibilidade dos ativos. 6.5.3 Tempo mdio entre o aparecimento de um problema ou incidente e sua comu- nicao ao Service Desk. preciso auditar os procedimentos que levam os problemas e incidentes a serem conhecidos pela organizao. Esse tempo pode ser reduzido a zero se existirem sistemas automatizados que os detectam, usualmente chamados de monitores. 6.5.4 Razo entre a quantidade de vezes que um procedimento operacional de segu- rana foi realizado e quantidade de vezes que o mesmo deveria ter sido executado. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 31 Permite verifcar que os procedimentos operacionais esto sendo executados na pe- riodicidade defnida. 6.5.5 Percentual de sistemas cujos requisitos de segurana no esto sendo atendi- dos. Permite avaliar o sucesso da implantao de normas e polticas de segurana da informao e remete, para cada caso, no aprofundamento do porqu das regras no estarem sendo atendidas. 6.5.6 Percentual de incidentes causados por violaes ou falhas de segurana. Anali- sar o volume de incidentes provenientes de problemas na implantao de polticas de segurana. Como ser abordado na Seo 11, a prpria auditoria pode ser objeto de auditoria. 6.5.7 Percentual de indicadores incorretos por servio de segurana. Visa verifcar que o nvel de erro dos indicadores de cada servio de segurana implantados na organizao. 6.5.8 Dados os indicadores de segurana estabelecidos, um indicador de efcincia calcular o tempo mdio para anlise dos indicadores dos servios, a fm de verifcar o desempenho da atividade. 6.5.9 Quantidade de indicadores avaliados no perodo. Verifcar o cumprimento da anlise de indicadores pela equipe de segurana da informao. 6.5.10 Quantidade de propostas de melhoria de servios produzidos no perodo. Veri- fcar a execuo da atividade de anlise de servios e propostas de melhoria. 6.5.11 Quantidade de duplicidades de procedimentos e de resultados etc. Note que a lista apresentada no exaustiva. 6.6 Efccia da Segurana A efccia da segurana diz respeito aos resultados esperados defnidos no plano seguran- a em curso. O objetivo saber se os ativos de informao esto mais ou menos seguros aps implantados os controles de segurana da informao. So candidatos a ponto de controle: 6.6.1 Quantidade de informaes geradas por usurio em relao a um nvel esperado de volume de informaes para um perfl especfco. 6.6.2 Tempo mdio de atendimento aps um alarme de segurana ser disparado, en- volvendo efetivao dos procedimentos de contingncia ou de providncias prede- fnidas. 6.6.3 Tempo mdio para a soluo de um problema de segurana, provida pela equi- pe de segurana da informao. 6.6.4 Percepo do usurio a respeito dos mecanismo de segurana implantados, en- quanto garantia de segurana de que seus dados no esto sendo violados. Note que a lista apresentada no exaustiva. 6.7 Segurana de redes A segurana de redes se preocupa com os riscos a segurana das redes de comunicao. Foram adaptados de Nakamura (Nakamura, 2009) os seguintes pontos de controle ou reco- mendaes: 6.7.1 Acesso a computadores e a sistemas de informao utilizando celular deve ser protegido com a ltima verso de algoritmo de encriptao. 6.7.2 Redes sem fo devem ser protegidas usando o protocolo mais seguro e j relati- vamente bem testado no mercado. 6.7.3 Acesso remoto a computadores protegido com protocolo de segurana Secure Socket Layer (SSL) ou seu equivalente mais atualizado. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 32 6.7.4 Acesso remoto a servios no pblicos absolutamente controlado e somente para sistemas especfcos. 6.7.5 Redes virtuais privadas (VPN) devem usar IPSEC. 6.7.6 Acesso a servios crticos devem ser baseado no uso de certifcado digital. 6.7.7 Confgurao do frewall deve ser controlada. 6.7.8 Controle de acesso lgico ao ambiente. 6.7.9 Proteo dos dados armazenados na rede por meio de criptografa. 6.7.10 Proteo de cabos da rede. Necessidade de cuidados com o acesso de pessoas a quadros de rede ou caixas de proteo (Schmidt et alli, 2006). 6.7.11 Rotinas adequadas de proteo e controle do fuxo de dados com devida ob- servncia da sazonalidade dos eventos. 6.7.12 Uso de protocolos adequados criticidade dos sistemas de informao. 6.7.13 Existncia de analisadores de protocolos adequados para verifcao de uso de portas. 6.7.14 Equipamentos de rede catalogados e protegidos fsicamente. Novamente cabe destacar que a lista no exaustiva, e que a todos os itens deve ser dada ateno conforme as necessidades de proteo da organizao. Cada objeto de auditoria pode ser desmembrado em pontos de controle ainda mais detalhados. A Seo 9 apresenta um modelo de investigao desses objetos com seus respectivos pontos de controle, detalhando ainda mais o modelo da Figura 2. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 33 7. Auditoria de Conformidade A Auditoria de Conformidade em segurana da informao tem o propsito de verifcar que as informaes produzidas pela organizao, seja por sistemas computacionais ou por registros manuais, esto em conformidade com os padres de segurana defnidos em documentos nor- mativos reconhecidos. Dado que se est tratando de organizaes que se apoiam fortemente em sistemas computacionais, esse tipo de auditoria centra em procedimentos para verifcar que recursos tecnolgicos, ou que as informaes produzidas por sistemas computacionais ou arma- zenadas em banco de dados esto em conformidade com os normativos. Observe que se inclui, no caso do servio pblico, o arcabouo legal referente rea de segurana (ver anexo I). Segundo Juran e outros (1990), quando tratando de auditorias na rea da qualidade, uma auditoria de conformidade uma auditoria que examina se aquilo que est sendo auditado est de acordo com as especifcaes de produtos e servios. Esse texto segue analogamente a mes- ma ideia, no sentido de que a auditoria de conformidade examina se os objetos de auditoria de segurana da informao esto de acordo com as especifcaes dos servios ou bens relaciona- dos segurana da informao, desde que essas especifcaes, materializadas em normas, es- tejam homologadas pela gesto. Tais especifcaes podem estar em qualquer documento que tenha como propsito a padronizao, o que inclui documentos externos organizao pblica. 7.1 Normas da Administrao Pblica Federal A poltica de segurana de informao o documento mais importante de referncia para a auditoria de conformidade, mas est subordinada aos decretos e portarias expedidas por r- gos pblicos que tem funo normativa, como: Departamento de Segurana da Informao e Comunicaes do Gabinete de Segurana Institucional da Presidncia da Repblica; Secretaria de Logstica e Tecnologia da Informao do Ministrio do Planejamento Oramento e Gesto; Controladoria Geral da Unio; Tribunal de Contas da Unio, alm do arcabouo de Leis e Decre- tos, compilados por Vieira (2009) e ABIN (2011), a ttulo de exemplo. 7.1.1 Normas do DSIC Departamento de Segurana da Informao e Comunicaes O DSIC/GSIPR, em especial, produziu diversas normas relacionadas com a gesto da segu- rana da informao nos ltimos trs anos e que so: Instruo Normativa GSI/PR n 1, de 13 de junho de 2008, que Disciplina a Gesto de Segurana da Informao e Comunicaes na Administrao Pblica Federal, direta e indireta, e d outras providncias. 01/IN01/DSIC/GSIPR, de 13 de outubro de 2008, que estabelece critrios e procedi- mentos para elaborao, atualizao, alterao, aprovao e publicao de normas complementares sobre Gesto de Segurana da Informao e Comunicaes, no m- bito da Administrao Pblica Federal, direta e indireta. 02/IN01/DSIC/GSIPR, de 13 de outubro de 2008, que defne a metodologia de gesto de segurana da informao e comunicaes utilizada pelos rgos e entidades da Administrao Pblica Federal, direta e indireta. 03/IN01/DSIC/GSIPR, de 30 de junho de 2009, que estabelece diretrizes, critrios e procedimentos para elaborao, institucionalizao, divulgao e atualizao da Pol- tica de Segurana da Informao e Comunicaes (POSIC) nos rgos e entidades da Administrao Pblica Federal, direta e indireta APF. 04/IN01/DSIC/GSIPR, de 14 de agosto de 2009, que estabelece diretrizes para o pro- cesso de Gesto de Riscos de Segurana da Informao e Comunicaes GRSIC nos rgos ou entidades da Administrao Pblica Federal, direta e indireta APF. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 34 05/IN01/DSIC/GSIPR, de 14 de agosto de 2009, que disciplina a criao de Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais ETIR nos rgos e entidades da Administrao Pblica Federal, direta e indireta APF. 06/IN01/DSIC/GSIPR, de 11 de novembro de 2009, que estabelece diretrizes para Ges- to de Continuidade de Negcios, nos aspectos relacionados Segurana da Infor- mao e Comunicaes, nos rgos e entidades da Administrao Pblica Federal, direta e indireta APF. 07/IN01/DSIC/GSIPR, de 6 de maio de 2010, que estabelece diretrizes para implemen- tao de controles de acesso relativos Segurana da Informao e Comunicaes nos rgos e entidades da Administrao Pblica Federal, direta e indireta APF. 08/IN01/DSIC/GSIPR, de 19 de agosto de 2010, que disciplina o gerenciamento de Incidentes de Segurana em Redes de Computadores realizado pelas Equipes de Tra- tamento e Resposta a Incidentes de Segurana em Redes Computacionais - ETIR dos rgos e entidades da Administrao Pblica Federal, direta e indireta - APF. A obedincia ao conjunto de normas do DSIC tende a ser a principal direcionadora das auditorias de segurana da informao nos prximos anos. 7.1.2 Normas do Ministrio do Planejamento Tambm importante destacar a IN 04 da SLTI/MP, de 19 de maio de 2008, que Dispe sobre o processo de contratao de servios de Tecnologia da Informao pela Administrao Pblica Federal direta, autrquica e fundacional, incluindo a necessidade de aprovao de um Plano Diretor de Tecnologia da Informao para que seja feita a contratao de servios. O planejamento de TI uma importante fonte de informaes sobre estratgias de sistemas de informao, e, portanto, critrios para auditoria e gesto de riscos. 7.1.3 Tribunal de Contas da Unio No caso do TCU - Tribunal de Contas da Unio, digno de nota a jurisprudncia do rgo acerca do tema segurana da informao, subordinado ao tema Tecnologia da Informao, conforme ilustra a rvore de conhecimento mostrada na Figura 4. Figura 4. rvore de conhecimento da Jurisprudncia Sistematizada do TCU. Fonte: www.tcu.gov.br. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 35 7.1.4 CGU Controladoria Geral da Unio Os manuais e normas de funcionamento do controle interno, produzidos pela CGU def- nem um arcabouo geral de auditoria na APF, e devem ser observados na criao de qualquer programa de auditorias. Para introduo o leitor remetido aos trabalhos de Rocha (2008a) e Rocha (2008b). 7.1.5 Arquivos Pblicos H que se destacar arcabouo normativo j desenvolvido no Brasil acerca do tratamen- to dos arquivos nacionais, na forma de Leis e Decretos, como a Lei 8159 de 08/01/1991, que dispe sobre a Poltica Nacional de Arquivos Pblicos e Privados e d outras providncias. No que se refere gesto dos arquivos correntes das organizaes pblicas, existem implicaes diretamente relacionadas com a segurana da informao, que precisariam ser mais profun- damente avaliadas. 7.2 Propsitos e Limitaes da Auditoria de Conformidade Uma limitao de auditorias de conformidade que elas apenas constatam nveis de ade- rncia a normas ou especifcaes. No funo de uma auditoria de conformidade ter certeza de que aquilo que est em conformidade efcaz ou mesmo efetivo. Para isso seria necessrio desenhar uma auditoria de desempenho operacional, para saber se os padres de segurana das informaes esto de fato protegendo os ativos de informao. Assim, esse texto delimita auditoria de conformidade como tendo os seguintes propsitos: a. examinar se os procedimentos de segurana da informao atendem aos requi- sitos que esto especifcados na poltica de segurana da informao e outros documentos derivados dela, bem como ao arcabouo normativo vigente em n- veis superiores organizao auditada. Aqui convm acessar, alm do arcabouo normativo, as diretrizes da ISO/IEC 27002:2005, no item 15.2.1, mostrado na caixa abaixo como texto complementar. TEXTO COMPLEMENTAR 15.2.1 conformidade com as polticas e normas de segurana de informao (ISO/IEC 27002:2005) Controle Convm que gestores garantam que todos os procedimentos de segurana da informao dentro de sua rea de responsabilidade esto sendo executados corretamente para atender s normas e polticas de segurana da informao. Diretrizes de implementao Convm que os gestores analisem criticamente, a intervalos regulares, a conformidade do processamento da informao dentro de sua rea de responsabilidades com as polticas de segurana da informao, normas ou qualquer outros requisitos de segurana. Se qualquer no-conformidade for encontrada como um resultado da anlise crtica, convm que os gesto- res: a) determinem as causas da no-conformidade; b) avaliem a necessidade de aes para assegurar que a no-conformidade se repita c) determinem e implementem ao corretiva apropriada; d) analisem criticamente a ao corretiva tomada. () >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 36 b. verifcar que as documentaes expedidas que tratam de ativos crticos ou sens- veis obedecem ao decreto 4553/02 quanto classifcao de nveis de sigilo ou a outros regulamentos como uma portaria do prprio rgo que trate do assunto de forma mais especfca; e c. Verifcar que todos os procedimentos de segurana, sejam de gesto, sejam ope- racionais, obedecem a padres de segurana especifcados. 7.3 Documentos de referncia e objetos de controle A auditoria de conformidade de segurana da informao deve examinar todos os tipos de documentos relacionados aos ativos de informao (MAIR ET AL, 1974). No entanto, documentos tcnicos s podem servir como referncia se forem considerados como normas tcnicas. Se uma auditoria de sistemas de informao tiver como propsito a conformidade, alguns dos seguintes documentos merecem ateno: Documentos de metodologias de desenvolvimento de sistemas adotadas pela orga- nizao. Pode-se verifcar o seguimento de metodologias tanto como auditoria de conformidade, como enquanto parte de um auditoria de desempenho operacional. Note que o arcabouo metodolgico da segurana da informao na APF normati- zado pelo DSIC/GSIPR. Documentos de projetos considerados crticos ao negcio e que precisam ser prote- gidos de acordo com critrios aprovados pela alta direo. O prprio documento objeto de auditoria. Oramentos detalhados de projetos sigilosos. Um caso tpico o oramento da rea militar e de rgos de inteligncia. Manual de versionamento e arquivamento de documentos. Servem para averiguar se a documentao est de acordo com as instrues para sua elaborao. Um auditor de conformidade tambm no se envolve na gesto da segurana (auditoria de gesto), nem na implementao da segurana ou no seu funcionamento (auditoria ope- racional). Deve ser mantido o princpio da segregao de funes, que j mencionamos aqui. Baseado nesses princpios, os seguintes objetos de controle, no exaustivos, podem ser usados como referncia de auditoria de conformidade de segurana da informao. Normativos expedidos por rgos de controle e normatizao da esfera federal. GSI- PR, MPOG, CGU e TCU. Melhores prticas como a ISO/IEC 27002, CMMI, COBIT e ITIL. Se no mbito da organizao no esto em usos esses padres ou melhores prticas en- to a organizao pode criar suas prprias normas de segurana da informao, que sob o ponto de vista metodolgico, estaro subordinadas s normas do DSIC/GSIPR. Essas normas devem estar referidas em uma poltica de segurana da informao vlida para toda organiza- o, como j discutido. A poltica de segurana da informao, para verifcar que as atualizaes das estrat- gias de segurana da informao ali previstas esto sendo seguidas; Os contratos com empresas de segurana, de onde deve se examinar procedimentos realizados com aqueles previstos em contrato ou na poltica de segurana que a em- presa concordou em seguir, Os procedimentos de segurana j padronizados, de onde se deve procurar diver- gncias entre o que foi auditado e o que est prescrito nas normas em que os proce- dimentos esto inscritos. Tais divergncias so tradicionalmente chamadas de no- -conformidades. Requisitos. Tanto os requisitos de segurana de informao quanto de sistemas de informao devem ser homologados ou formalizados em contratos. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 37 Normas de propriedade intelectual, so tambm referncias importantes, pois a que- bra de propriedade intelectual pode gerar uma insegurana jurdica, o que pode levar a indisponibilidade de servios. Normas de atualizao e reteno de backups. As unidades de armazenamento po- dem ser inspecionadas para verifcao. Chaves Pblicas. Verifcar que os mecanismos de chave pblica esto sendo utilizados de acordo com a ICP-Brasil para os casos assim exigidos. Texto Complementar Um modelo de poltica de segurana da informao Politica de Segurana da Informao Art. 1. Entende-se por Poltica de Segurana da Informao o conjunto de princpios, orientaes e regras formalmente declaradas a respeito do que deve ser seguido em termos de segurana dos ativos de informao. Art. 2. Considera-se ativos de informao todos os recursos tecnolgicos que incluem documentos, dados e sistemas, procedimentos e processos, necessrios ao atendimento das necessidades de negcio da organizao. Art. 3. Esta poltica de segurana da informao tem o propsito de: i) subsidiar o processo decisrio quanto a riscos envolvidos com os ativos de informao e seu impacto nos negcios; ii) traduzir em normas consensuadas as solues de segurana defnidas no comit de segurana da informao; iii) consolidar, a partir das diretrizes estabelecidas, uma estratgia de atuao que implemente as solues de segurana selecionadas; iv) orientar quanto s tratativas adequadas para abordar questes emergenciais relativas a segurana da informao materializadas em planos de contingncia; v) ser instrumento norteador das aes de segurana da informao com abrangncia por toda organiza- o aos parceiros. Art. 4. Os pressupostos dessa poltica so i) conformidade com o regimento interno da organizao; ii) regras e normas alinhadas com a misso e objetivos organizacionais; iii) existncia de trabalho cooperao com forte vis de integrao dos diversos atores envolvidos com segurana de ativos de informao; iv) registro de permanente de ameaas e vulnerabilidades superadas a aquelas a que a organizao perma- nece sujeita; Pargrafo nico. Mudanas neste documento s podero ser realizadas pelo comit de segurana da infor- mao a e aprovadas pela alta direo. Art 5. Dever se disponibilizado e divulgado para toda a organizao um conjunto de orientaes quanto ao ativos de informao. Pargrafo nico. Em atendimento ao caput deste artigo devero ser criadas regras que regulem ativos de informao quanto a: i) coleta de informaes; ii) armazenamento de dados; iii) publicao de informao; iv) classifcao de documentos; v) sistemas de informao; vi) processamento de dados; vii) acesso fsico; viii) acesso lgico; ix) fuxo de dados e documentos; x) distribuio; xi) formatao. () >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 38 7.4 Classifcao de Documentos e da Informao Um item essencial da auditoria de conformidade o que concerne classifcao de documentos. Quando se est trabalhando com segurana de informao de governo, a refe- rncia para verifcao de conformidade se confunde com auditoria de legalidade. O Decreto N 4.553, de DE 27 DE DEZEMBRO DE 2002 dispe sobre a salvaguarda de dados, informaes, documentos e materiais sigilosos de interesse da segurana da sociedade e do Estado, no mbito da Administrao Pblica Federal. Esse decreto pode auxiliar o gestor na defnio de critrios de classifcao de dados nas organizaes pblicas. O grau de sigilo dado conforme (...) gradao atribuda a dados, informaes, rea ou instalao considerados sigilosos em decorrncia de sua natureza ou contedo; . O decreto cria as seguintes classifcaes de documentos: i) OSTENSIVOS: sem classifcao, cujo acesso pode ser franqueado a qualquer interessado; ii) RESERVADOS: dados ou informaes cuja revelao no autorizada possa compro- meter planos, operaes ou objetivos neles previstos ou referidos. iii) CONFIDENCIAIS: dados ou informaes que, no interesse do Poder Executivo e das partes, devam ser de conhecimento restrito e cuja revelao no autorizada possa frustrar seus objetivos ou acarretar dano segurana da sociedade e do Estado. iv) SECRETOS: dentre outros, dados ou informaes referentes a sistemas, instalaes, programas, projetos, planos ou operaes de interesse da defesa nacional, a assuntos diplomticos e de inteligncia e a planos ou detalhes, programas ou instalaes estra- tgicos, cujo conhecimento no autorizado possa acarretar dano grave segurana da sociedade e do Estado. v) ULTRA-SECRETOS: dentre outros, dados ou informaes referentes soberania e integridade territorial nacionais, a planos e operaes militares, s relaes interna- cionais do Pas, a projetos de pesquisa e desenvolvimento cientfco e tecnolgico de interesse da defesa nacional e a programas econmicos, cujo conhecimento no autorizado possa acarretar dano excepcionalmente grave segurana da sociedade e do Estado. 7.5 Concluses A auditoria de conformidade consiste ento em examinar se objetos ou aes realizados ou em realizao esto de acordo com normas pr-estabelecidas. Essas normas geralmente de- fnem padres de desempenho, de procedimentos, de processos, de execuo, de produtos de sistemas e demais objetos ou aes que tm especifcaes normativas que servem de refern- cia para exame da auditoria. As normas criam expectativas de que, uma vez seguida as regras, haver maior previsibilidade de resultados proporcional ao grau de aderncia a esses padres. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 39 8. Plano de Segurana da Informao J foi mencionado anteriormente o plano de segurana da informao, que resultado de um planejamento organizacional de segurana e tem como principal referncia a poltica de segurana da informao. Esse plano identifca tarefas de segurana especfcas que devero ser verifcadas por meio de planos ou programas de auditoria. Adicionalmente, essas tarefas devem estar vinculadas a riscos associados, que devem ser eliminados ou controlados a um nvel aceitvel. As atividades de segurana da informao devem ser especifcadas de forma consistente e de acordo com os requisitos de gesto, das operaes e de conformidade. Durante a fase de formulao do plano de segurana, devem ser conduzidos estudos so- bre conceitos de segurana em geral e sobre as peculiaridades da segurana da informao em particular, tpicos da organizao. Deve-se realizar uma anlise e avaliao dos riscos de segurana da informao para, em seguida, se selecionar medidas que garantam a segurana dos ativos de informao considerados sensveis. Dessa forma, as tarefas de segurana devem guardar relao com esses ativos segundo critrios de nveis de riscos obtidos. A maior parte destas tarefas est descrita e consequencia do desenvolvimento do um plano de tratamento dos riscos, efetuado por um processo de gesto de riscos de segurana da informao. 8.1 Gesto de riscos A gesto de riscos de segurana da informao, abordada por Fernandes (2010), consiste em um processo contnuo e operacional, que busca antever a ocorrncia de eventos danosos para os ativos de informao de uma organizao, a fm de controlar suas consequencias e impactos, por meio da aplicao equilibrada de controles de segurana nessa organizao, diante do seu perfl de riscos de segurana analisado. A Figura 5 apresenta o modelo de gesto de riscos proposto pela norma ISO/IEC 27005:2008. Figura 5. O processo de gesto do risco da ISO 27005:2008. Fonte: Fernandes (2010). >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 40 Segundo Fernandes (2010b), a gesto de riscos tem o efeito de tornar uma organizao mais segura, isto , que possui um grau satisfatrio de garantia de que continuar a funcionar adequadamente conforme suas caractersticas estabelecidas, mesmo na presena de eventos negativos decor rentes da interao com agentes maliciosos ou na ocorrncia de eventos de- correntes de aci dentes ou desastres de origem natural ou ambiental. Segurana signif ca con- tinuar a cumprir seus objetivos de negcio, mesmo em face do sinistro. (Fernandes, 2010b). A garantia de funcionamento da organizao decorre da implementao de um plano de segurana da informao, cujo principal insumo o Plano de Tratamento do Risco (PTR), produzido na fase de Tratamento do Risco (Ver Figura 4). O Tratamento do Risco ocorre aps a Anlise e Avaliao do Risco, tambm chamada de Apreciao. Do Plano de Tratamento do Risco deriva diretamente o Plano de Segurana da Informao, pois o primeiro precisa ser acei- to pelo gestor da organizao na fase de Aceitao do Risco (Ver Figura 4). Uma vez aceito, o Plano de Segurana passa a ser executado e continuamente monitorado e comunicado entre os agentes que constituem a organizao. O Quadro 2 apresenta um modelo de plano de tratamento do risco, usualmente desenvol- vido na Fase de Tratamento do Risco na gesto do Risco. Quadro 2. Esboo de um Plano de Tratamento do Risco. Adaptado do NIST 800-30 (NIST, importante destacar que a gesto do risco se inicia (ver topo da Figura) com uma Defnio do Contexto para a gesto do risco, na qual so defnidos os critrios para a gesto do risco. Para detalhes sobre o processo geral descrito na fgura o leitor remetido a Fernandes (2010). Conforme a ISO/IEC 27005:2008, os benefcios decorrentes da adoo de uma abordagem de gesto de riscos aderente norma compreendem: Riscos so identifcados. Riscos so apreciados em termos de consequncias e chances de ocorrncia. As chances e consequncias de riscos so comunicadas e compreendidas. Uma ordem de prioridade para tratamento de riscos estabelecida. Uma ordem de prioridade para reduo dos riscos estabelecida. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 41 Os intervenientes so envolvidos em decises sobre riscos e mantidos informa dos sobre o status da gesto de riscos. O monitoramento dos riscos efetivo. Os riscos e o processo de gerncia de riscos so monitorados e revistos regular mente. Captura-se informao que permite a melhoria da abordagem de gesto de ris cos. Os gerentes e o staf so educados sobre riscos e aes tomadas para mitig-los. 8.2 Critrios de auditoria Outra caracterstica dos planos de segurana que eles devem ter critrios de auditoria bem defnidos. E isso depende em parte das anlises e avaliaes de riscos realizadas na ges- to do risco. Esses critrios, na realidade, so um conjunto de controles considerados adequa- dos com os quais um auditor precisa trabalhar para busca de evidncias. Quando listados os objetos de auditoria, especialmente numa auditoria de conformidade, no h considerao para com os critrios e decises anteriormente envolvidas na escolha desses objetos, uma vez que esses podem ser bastante complexos, tendo sido defnidos na gesto do risco. Mas o fato que esses objetos de auditoria e os pontos de controle correspondentes so elencados conforme a percepo do grau de risco que sua violao tem para os negcios da organizao. A escolha de padres tambm determina esses critrios. No h como defnir critrios gerais para todos os casos, pois para cada plano de auditoria esses critrios podem ser delineados conforme a natureza e a fnalidade da organizao. A fase de Defnio do Contexto da ISO/IEC 27005:2008 estabelece o referencial para obteno da maioria desses critrios. Se a auditoria feita organizaes pblicas, que fazem uso intensivo sistemas de infor- mao automatizados por computadores e software melhores prticas defnidos nos modelos CMMI, ITIL e COBIT so tambm fontes relevantes, alm , claro, do atendimento s normas compulsrias do Servio Pblico. Esses arcabouos conceituais e de melhores prticas podem guiar a formulao dos critrios de auditoria, porm, no tm uma relao direta com segu- rana, a no ser em alguma de suas partes. Mesmo assim, como o objetivo garantir que a informao esteja preservada e protegida, questes como confdencialidade, disponibilidade e integridade, no podem prescindir de fontes valiosas como essas, pois requerem uma pre- ocupao com vrios aspectos da produo da informao, difceis de encontrar em apenas uma proposta de melhores prticas. recomendado, tanto em organizaes pblicas quanto privadas, que se comece com a srie ISO/IEC 27000, especialmente as normas 27001:2006 (ABNT, 2006), 27002:2005 (ABNT, 2005) e 27005:2008 (ABNT, 2008), todas adotadas pela ABNT, como fonte de critrio de audito- ria de segurana de informao. Dessas normas se podem retirar vrios objetos de auditoria e pontos de controle. Com base nos normativos da ISO/IEC, a auditoria poder ser realizada em dois momentos. O primeiro inicia-se com uma reviso da existncia e completude de docu- mentos-chave, tais como a poltica de segurana da organizao, declarao de aplicabilidade, plano de tratamento de riscos (PTR) e, caso j esteja em prtica a ISO/IEC 27005:2008, o conjun- to de critrios previamente defnidos no incio da gesto do risco. O segundo momento deve se preocupar com um detalhamento dos riscos, e uma auditoria em profundidade envolvendo a existncia e efetividade do controle ISMS (Information Security Management System), descrito na ISO/IEC 27001:2006, que estrutura a segurana da informao como um sistema. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 42 9. Instrumentos e Ferramentas A realizao de uma auditoria efcaz no pode prescindir de instrumentos, ferramentas e eventualmente, trabalhos de tcnicos especializados, descritos no restante desta seo. 9.1 Instrumentos de coleta e registro de evidncias Um auditor experiente provavelmente lana mo de vrios modelos de instrumentos de coleta de dados, conforme o tipo de auditoria e os objetos verifcados. Vrios deles so formu- lrios ou questionrios impressos, alguns com suporte de software especializado ou planilhas eletrnicas customizadas. Esses instrumentos daro origem aos papis de trabalho do auditor. O Quadro 2 sugere um modelo simplifcado de instrumento de coleta de dados, devidamente preenchido com um exemplo fctcio. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 43 Quadro 3. Modelo de instrumento de coleta de dados para auditoria de segurana da informao. AUDITORIA ( ) Gesto (X ) Operacional ( ) Conformidade Data: ___/___/ ___ Local: Auditor: Joo da Silva Objeto de Auditoria (OA) Ponto de controle (PC) Lista de Verifcao: SIM (S) NO (N) NO E APLICA (N/A) ? Em Andamento Verifcado ? Validado ? OA1 Computadores PC1 Acessos a computadores e a sistemas de informao utilizando celular esto protegidos com a ltima verso de algoritmo de encriptao S - S N PC2 Equipamentos de rede catalogados e protegidos fsicamente N S S N PC3 Acesso a computadores protegidos com protocolo de segurana Secure Socket Layer (SSL) N N N N PC4 Checar efetividade do programa anti-virus S - S S OA2 Rede sem Fio PC1 Instalao do protocolo de criptografa atualizado S S S S OA3 Criptografa PC1 Acesso a servios crticos atravs de certifcados digitais S N N N PC2 Existncia de medidas de proteo dos dados armazenados, por criptografa N N N N OA4 Rede LAN PC1 Confgurao do frewall controlada e periodicamente revisada S S S S PC2 controle de acesso ao ambiente de rede S N/A S S PC3 Acesso remoto absolutamente controlado e somente para sistemas especfcos N S N N PC4 Redes virtuais privadas (VPN) usam IPSEC S N S S PC5 Proteo de cabeamento da rede N S N N OA5 Protocolos PC1 Existncia de rotinas adequadas de proteo e controle do fuxo de dados N N N/A N/A PC2 Observncia de protocolos adequados de acordo com a criticidade dos sistemas de informao N S N/A N/A PC3 Existncia de scanners de redes para verifcao de uso de portas S N/A S S Observe que o Quadro 1 lista os objetos e os pontos de controle e faz trs perguntas. A pri- meira indica se o controle existe para cada objeto e ponto de controle. A resposta vem de uma lista de verifcao respondida com SIM, NO e No se Aplica (N/A). A coluna em Andamento indica que providncias j esto sendo tomadas para a anlise. A coluna Verifcado indica se o ponto de controle foi testado. A coluna Validado indica se o controle referente ao PC foi >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 44 validado, ou seja, se foi testado e est em pleno funcionamento. O formulrio per se permi- te abordagens diferenciadas, envolvendo testes de controle e testes substantivos, onde for o caso. Na coluna Lista de Verifcao, por exemplo, o objetivo perguntar sobre a existncia ou no do controle. Uma entrevista poder ser sufciente, se o propsito fazer um levantamento da situao para saber se certos controles j foram elencados. Responder SIM ou NO apenas confere se a organizao j iniciou o processo de segurana de seus ativos de informao. Algumas combinaes obtidas no Quadro levam a providncias e procedimentos diferentes. Se um ponto de controle, j catalogado como sensvel segurana dos ativos de informao ainda no foi implantado, uma auditoria de gesto recomendada. Razes diversas como falta de profssionais qualifcados, custos elevados, ou mesmo a ine- xistncia de ferramentas cuja aquisio no foi priorizada, podem determinar essa ausncia. Outros controles precisam ser testados. Por exemplo, a sequncia OA1/PC3 => N,N,N,N indica que no existe o controle em prtica, e, portanto, nada pde ser verifcado ou validado. Neste caso, preciso consultar as decises relacionadas a este ponto de controle quanto a prazos, custos, pessoal, dentre outras auditorias. Ou seja, a auditoria deve ser aprofundada e conside- rada prioritria para o OA1/PC3. Agora, caso seja constatada a existncia do controle e sua operao j tenha sido implan- tada, a auditoria recomendada a de desempenho operacional, desde que se queira checar indicadores de efccia do controle. O exemplo OA4/PC4 => S,S,S,S signifca que o PC foi vali- dado. Para que tal validao acontea, o funcionamento do IPSEC deve ser demonstrado, seja por um analisador de protocolos, seja por verifcao da confgurao da VPN (Virtual Private Network), mesmo que seja bvio que o IPSEC esteja sendo utilizado. Em segurana mesmo o que bvio no pode ser negligenciado. bvio que agentes de uma organizao no a sabo- tariam. A Engenharia Social est a para mostrar que isso pode ser feito at mesmo sem haver inteno de faz-lo. Para fnalizar, no se pode deixar de mencionar a gesto e os planos de continuidade. Esse plano no ser tratado aqui por questo de espao, mas verifcar a sua existncia e seus parmetros j por si s objeto de uma auditoria que merece muita ateno. Planos de conti- nuidade devem ser testados, pois descrevem em detalhes os procedimentos de manuteno dos negcios crticos e a restaurao de plena capacidade operacional da organizao em caso de crises e catstrofes. , portanto, um elemento indispensvel para a segurana. 9.2 Automao de Auditoria Servios Tcnicos Especializados medida que seja preciso verifcar muitos pontos de controle, automao precisa ser utilizada para agilizar o processo. De outra forma, devido complexidade e dinamicidade de certos ambientes tecnolgicos, podem ser necessrios servios de assistentes especializados em determinadas tecnologias e ambientes. A quantidade de dados e informaes coletadas e os papis de trabalho demandam esfor- o de organizao de informao e documentao. As atividades de testes de controle e testes substantivos tambm podem demandar gran- de esforo intelectual e conhecimento especializado e atualizado. Para efeito de implementao de uma poltica de segurana de fato, provvel que se tenha que utilizar muitas ferramentas e assistentes para cada caso, pois as aes de verifcao e vali- dao requerem demonstrao de que, comprovadamente, os controles esto funcionando e os resultados so vlidos para os propsitos traados no plano de segurana. Para aprofundamento nesta questo pode-se consultar o guia do ISACA (2009), o stio do Instituto de Auditores Inter- nos (http://www.theiia.org), o stio Audit Net (http://auditnet.org/), entre outros. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 45 9.2.1 Batimento de dados e CAATS No caso de verifcao ou batimentos de dados (testes substantivos), por exemplo, fer- ramentas como ACL (Auditing Command Language) e outras utilizadas na rea de auditoria fnanceira e de anlise estatstica podem ser usadas para apoiar o processo de anlise. Tais fer- ramentas se enquadram na classe de Computer Aided Audit Tools (CAATS). Uma lista das mais usadas pode ser encontrada em http://en.wikipedia.org/wiki/CAATS. 9.2.2 Auditoria de ambientes computacionais e bancos de dados No caso de verifcao de mquinas com sistemas operacionais especfcos, sejam Win- dows ou Linux, bem como de sistemas de bancos de dados devem ser usados procedimentos padronizados por plataforma, juntamente com ferramentas especfcas para as verses de sis- temas operacionais ou bancos de dados, que se sucedem rapidamente. Para maior detalha- mento podem ser consultadas as fontes 9.2.3 Redes de computadores Para a verifcao de redes de computadores as ferramentas mais comumente usadas so: Nessus, um scanner de vulnerabilidades usado para, por exemplo, verifcar quais ser- vios esto abertos em quais portas nos servidores de uma rede. Wireshark, um front end para snifng de rede, que realiza anlise de comunicaes entre computadores em vrios protocolos. Snort, um sistema para preveno e (ou) deteco de intrusos. Algumas verifcaes so mais elementares, como o anlise do frewall e suas confgura- es. Essas anlises, automatizadas ou no, do visibilidade a evidncias escondidas. 9.2.4 Hacker tico Caso os riscos de segurana e a confabilidade demandada em um ambiente de rede ou mesmo no ambiente organizacional sejam elevados, o auditor pode recorrer a testes especia- lizados e detalhados como a anlise de vulnerabilidades, tambm conhecida como teste de penetrao. Um servio de Ethical Hacking pode ser usado, com o consentimento expresso do cliente. O Certifcado CEH Certifed Ethical Hacker, expedido pela organizao Norte-Ameri- cana EC-Council (E-Commerce Consultants International Council, https://www.eccouncil.org/ about_us/about_ec-council.aspx) atesta habilidades de profssionais nesta rea, bem como descreve o conjunto de habilidades e ferramentas que devem ser conhecidas e podem ser empregadas por um hacker tico, conforme demanda: Conhecimento da legislao Reconhecimento do terreno Hacking usando o Google Escaneamento e Enumerao Engenharia Social Hacking de computadores Cavalos de Tria e Backdoors Vrus e Vermes Phishing >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 46 Hacking de contas de email Negao de servio Roubo de sesses Hacking de servidores web Vulnerabilidades de aplicaes web Quebra de senhas na web Injeo de SQL Hacking de redes sem fo Segurana fsica Evaso em Sistemas de Deteco de Intruso e Firewalls Estouro de Bufers Criptografa Metodologias de teste de penetrao A atividade de um hacker tico deve seguir os seguintes passos, conforme indica Graves (2007): Discusso de necessidades com o cliente Preparao e assinatura de acordo de confdencialidade Organizao do time de ethical hacking Conduo de testes, comumente chamados de testes de penetrao ou anlise de vulnerabilidades Anlise de resultados Preparao e apresentao do relatrio Note, no entanto, que o servio de um Hacker tico no considerado uma auditoria propriamente dita. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 47 10. Entregas da Auditoria O fm bsico da auditoria investigar problemas e ter propostas e recomendaes de melhoria dos servios e public-los em relatrios e pareceres chamados de entregas. Por isso a seguir o modelo da Figura 1 mais detalhado, agora que h mais informaes sobre o trabalho de um auditor. Cada entrega deve apresentar a situao encontrada: as defcincias de cada servio, as melhores prticas implantadas para superar as defcincias encontradas, as fragili- dades (vulnerabilidades) e as ameaas. Quando se decide realizar uma auditoria com auditores internos ou externos toda a ao deve ter alguma roteirizao de auditoria que pode ser feita de vrias maneiras. Antes que isto ocorra, vrias providncias j devem ter sido tomadas: 1. Todos os objetos de auditorias e seus respectivos pontos de controle j devem ter sido defnidos e codifcados. 2. A poltica de segurana da informao deve est aprovada e em curso. 3. O plano de segurana da informao baseado na Poltica de Segurana da Informa- o j est elaborado, conforme esboado no Quadro 1. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 48 11. Programas de Auditoria Como j dito, vrias auditorias devem ser realizadas durante a vigncia do plano de segu- rana ou da poltica e se desenvolvero conforme as estratgias defnidas nesses documentos. Estas vrias auditorias so agrupadas sob a denominao de um programa de auditoria, onde cada auditoria projeto. 11.1 Um Modelo de Programa de Auditoria O Quadro 3 mostra um possvel modelo para se registrar as intenes de um programa de auditoria. Observe que cada quadro com OC.PC (Objeto de controle. Ponto de controle) tem como atributos a justifcativa, parmetros de medida, prioridade e a abordagem a ser usada, ou seja, o tipo de auditoria. Quadro 3. Modelo de registro de um programa de auditoria. PROGRAMA DE AUDITORIA N Programa ____________ Auditor(res) _______________________________________ Datas Incio __/__/___ Fim __/__/___ Cdigo Pontos de Controle Descrio Prioridade (severidade) Tipo de Auditoria OC.PC XXXXXXXXXXXX (1,2,3 ou 4) Gesto (G) Operacional (O) Conformidade (C) Justifcativa Parmetros Objetivo Obs. xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx Se o modelo do Quadro 3 for usado, considere as seguintes instrues de preenchimento: 1. Numere o plano, pois ser preciso acompanhar o andamento de cada um deles. Pla- nos podem ser iniciados paralelamente. 2. Para cada plano deve haver um auditor responsvel. sempre recomendvel ter mais de um auditor, pois pode ser preciso cotejar opinies diferentes na hora de emitir o parecer. 3. preciso saber em que data se iniciou e terminou a auditoria. Difculdades na segu- rana da informao podem ser detectadas acompanhando-se o tempo que se leva para realiz-las. 4. Um plano pode conter um ou mais objetos de auditoria com um ou mais pontos de controle. A sigla OC.PC signifca objeto de controle com seu ponto de controle a ser auditado. Se houver necessidade de mais detalhes, pode-se assinalar datas de incio e trminos para cada ponto de controle. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 49 5. Cada ponto de controle deve ser descrito tal qual ele foi elencado. Importante que todos os objetos de controle e pontos de controle faam parte de um catlogo onde estejam defnidos o que fazer (procedimentos e testes) para cada um deles. 6. O nvel de risco e severidade da situao determinante do nvel de prioridade que se deve dar auditoria para cada ponto de controle. Se um stio eletrnico est sob constante ataque, provvel que o nvel de severidade seja mximo, portanto, com prioridade mxima de atendimento. 7. Deve-se justifcar porque determinado ponto de controle est merecendo ateno ou se apenas parte de uma rotina de auditoria. 8. O objetivo da auditoria deve ser claramente defnido. Observar que existe um custo associado a cada projeto e sua utilidade deve ser avaliada. O nvel de risco um par- metro importante na deciso de prosseguir com a auditoria. 9. Observar que para um mesmo ponto de controle podem ser realizados vrios tipos de auditoria. Um relatrio tcnico de auditoria de segurana da informao deve sugerir as penalida- des a ser aplicadas em caso de descumprimento dos acordos de nvel de servios pactuados e contratados ou das normas legais a que se referem de cada um dos servios de segurana da organizao, quando assim for caso. Esses relatrios devem levar em considerao os resulta- dos da auditoria dos indicadores ou dos pontos de controle selecionados. Os relatrios tcnicos de auditoria devem ser elaborados em prazos determinados a con- tar do recebimento do incio da execuo do plano de auditoria, pois tais relatrios so usados como insumos para anlise do resultado da gesto, das operaes e dos testes de conformida- de realizados pela equipes de segurana da informao. Devem ser elaborados periodicamen- te, contendo o resultado dos indicadores dos servios de auditoria realizados. Tal informao servir de insumo para a avaliao dos servios realizados e dos indicadores alcanados no perodo. Finalmente, outro relatrio importante o que defne uma escala de quais auditores iro fazer ou fzeram quais auditorias. Poder ser necessrio recuperar a experincia de cada audi- toria como uma forma de aprendizagem para organizao. As providncias adotadas e aquelas mais efcazes devem ser compartilhadas e registradas, pois podem ser um insumo importante para se realizar uma gesto do conhecimento gerado pelos auditores. Com base no plano de segurana, renovado regularmente, ser preciso formular uma ro- teirizao de auditoria para cada ao de auditoria prevista dentro de uma rotina de trabalho. 11.2 Gesto de Programa de Auditorias baseada na ISO 19011 Esta subseo descreve os principais elementos contidos nas recomendaes da norma ISO 19011, produzida para organizar programas de auditorias para exame de conformidade de programas de gesto de qualidade. A norma pode ser adaptada para usada para fns de auditoria junto famlia de normas ISO/IEC 27000. A Figura 5 apresenta um fuxograma geral de gesto de um programa de auditoria baseado na ISO 19011:2002, que adota o modelo PDCA, de melhoria contnua. Este modelo pode ser usado por um gestor de segurana que deseja fortalecer o seu sistema de controles por meio de implementao de um programa de auditorias regulares. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 50 Figura 5. Modelo de Organizao de um Programa de Auditorias. Fonte: Fernandes (2009). 11.2.1 Obteno de autoridade Um programa de auditoria inicia-se com a obteno de autoridade, por parte do ges- tor, para a realizao do programa de auditorias. No caso da Administrao Pblica Federal, isto deve envolver articulao com o Sistema de Controle Interno coordenado pela CGU, bem como pode envolver articulao com o DSIC/GSIPR. 11.2.2 Estabelecimento do programa O estabelecimento do programa envolve: (i) defnir objetivos e abrangncia da auditoria, j discutido nas sees 2 e 3; (ii) a defnio de responsabilidades, que pode estar num plano de tratamento de riscos, discutido na Seo 8.1; (iii) a alocao de recursos, que tambm pode estar num plano de tratamento de riscos; e (iv) a defnio de procedimentos e tipos de audi- toria, discutidos nas sees 2.3 e 2.4. 11.2.3 Implementando o programa de auditorias A implementao envolve: (i) a roteirizao de auditorias, discutida nas sees 4, 5, 6 e 7; (ii) a avaliao de auditores que no passo (iii) constituiro o time de auditoria. Para tal, deve-se estudar os atributos profssionais de um auditor, como discutidos em Imoniana (2005) e Duhn (1991); a direo de atividades de auditoria (foco maior de todo este texto); e a manuteno dos registros, que foi discutida na Seo 2.6.3. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 51 11.2.4 Monitoramento e anlise crtica O monitoramento e a anlise crtica do programa de auditoria busca avaliar a efcincia e efccia das auditorias, e pode ser baseada no uso de indicadores de auditoria operacional discutidos na Seo 6; A identifcao de oportunidades de melhoria depende da realizao de revises peridicas da atividade, de sua efccia e do uso da criatividade para tornar a auditoria mais gil e efcaz aos propsitos da organizao. 11.2.5 Melhoria do Programa de Auditoria Depende da alocao de recursos, necessariamente apoiados por um processo de plane- jamento e oramento. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 52 12. Consideraes Finais Deve-se destacar que no h pretenso de frmar a organizao de auditoria aqui mostra- da como sendo um modelo ideal a ser seguido na Administrao Pblica Federal para Audito- rias de Segurana da Informao. Apenas foi organizada uma forma conveniente de apresen- tar o tema para propsitos didticos. Vrios autores usam formas diferentes de organizao, convencionando inclusive os conceitos e metodologias que lhes parecem mais adequados. Inclusive os termos usados divergem bastante. Por exemplo, o que foi chamado de objeto de auditoria tambm chamado de diretriz, parmetro, controle ou objetivo de controle por alguns autores da rea. A principal mensagem a sugesto de organizao de auditorias de segurana da infor- mao em trs tipos: de gesto, de operaes e de conformidade. Trata-se de uma conveno que ilustra que segurana da informao demanda gesto profssional, controle e acompanha- mento das operaes e aderncia s regras para garantir conformidade e previsibilidade das operaes. Mas deve-se ter certos cuidados. Vrios objetos de auditoria e pontos de controle podem permear os trs tipos de auditoria, mudando apenas o enfoque e a nfase de cada um. Temas como Poltica de Segurana, Segurana Fsica e Lgica, Segurana em Sistemas, Usu- rios, entre outros podem ser auditados do ponto de vista da gesto, das operaes ou de sua conformidade com padres, dentre outras convenes possveis. O que se deve ter em mente que as organizaes precisam desenvolver uma cultura de segurana para que qualquer projeto de auditoria tenha xito. Finalmente se deve observar que atividades de auditorias s so possveis se a organi- zao estiver preparada. Para ser auditada, organizaes pblicas devem criar, por exemplo, mecanismos que registrem eventos relevantes e diversos que acontecem no dia-a-dia da orga- nizao. fundamental registrar os fuxos de informao para dentro e para fora da organiza- o, seja qual for o meio de comunicao utilizado. S assim se podem estabelecer controles e construir instrumentos que possam identifcar esses eventos como sendo ou no gerador de vulnerabilidades ou ameaas para os ativos da organizao. Se criam as condies que tornam possvel um acurado exame dos pontos de controle desses ativos, essencial para que qualquer auditoria de segurana da informao seja efcaz. Fica aqui a ressalva de que controle excessivo pode prejudicar o dia-a-dia das organiza- es tornando as atividades refm desse mesmo controle que pretende qualifcar o resultado dessas tarefas. Existe a percepo, no servio pblico federal brasileiro, que uma boa parte do tempo til dos agentes organizacionais dedicada a preparar registros que se adequem ao Controle. Mas isso tem um custo, no s fnanceiro, mas tambm moral. Surge o risco de estar em risco por qualquer coisa. O controle ex post seria um caminho, desde que o Estado consiga criar um sistema punitivo justo e efcaz. Uma maneira de saber os limites disso envolvendo todos os atores no processo. Instrumentos - tais como polticas e planos - so produtos desse envolvimento e da necessidade de todas as organizaes implantarem formas seguras de pro- teger seu ativo mais importante e crtico: a informao. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 53 Referncias ABIN Agncia Brasileira de Inteligncia. Compilao de legislao relaciona- da com informao. Disponvel: http://www.abin.gov.br/modules/mastop_ publish/?tac=Legisla%E7%E3o. ltimo acesso em fevereiro de 2011. ABNT - Associao Brasileira de Normas Tcnicas. NBR ISO 19011: Diretrizes para audi- torias de sistema de gesto da qualidade e/ou ambiental. Rio de Janeiro: ABNT. Novembro de 2002. 25 p. ABNT - Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27001 - Tecnologia da informao Tcnicas de segurana Sistemas de gesto de segurana da in- formao Requisitos. Rio de Janeiro: ABNT. 2006. ABNT - Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27002 - Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a gesto da se- gurana da informao. Rio de Janeiro: ABNT. 2005. ABNT - Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27005 - Tecnologia da informao Tcnicas de segurana Gesto de riscos de segurana da infor- mao. Rio de Janeiro: ABNT. 2008. ARAJO, A. P. F. Infraestrutura de Tecnologia da Informao (Notas de Aula). Braslia: Departamento de Cincia da Computao do Instituto de Cincias Exatas da Uni- versidade de Braslia. 2010. 40 p. BRASIL. Constituio da Repblica Federativa do Brasil de 05/10/1988 - Constituio da Repblica Federativa do Brasil. (Excertos). BRASIL. Decreto 1171 de 22/06/1994 - Aprova o Cdigo de tica Profssional do Servidor Pblico Civil do Poder Executivo Federal. BRASIL. Decreto 3505 de 13/06/2000 - Institui a Poltica de Segurana da Informao nos rgos e entidades da Administrao Pblica Federal. BRASIL. Decreto 4553 de 27/12/2002 - Dispe sobre a salvaguarda de dados, informa- es, documentos e materiais sigilosos de interesse da segurana da sociedade e do Estado, no mbito da Administrao Pblica Federal, e d outras providncias. BRASIL. Decreto 4915 de 12/12/2003 - Dispe sobre o Sistema de Gesto de Documen- tos de Arquivo - SIGA, da Administrao Pblica Federal, e d outras providncias. BRASIL. Lei 7170 de 14/12/1983 - Defne os Crimes contra a Segurana Nacional, a Ordem Poltica e Social, Estabelece seu Processo e Julgamento e d outras Providncias. BRASIL. Lei 8027 de 12/04/1990 - Dispe sobre normas de Conduta dos servidores p- blicos civis da Unio, das Autarquias e das Fundaes Pblicas, e d outras pro- vidncias. BRASIL. Lei 8159 de 08/01/1991 - Dispe sobre a Poltica Nacional de Arquivos Pblicos e Privados e d outras providncias. BRASIL. Lei 9279 de 14/05/1996 - Regula direitos e obrigaes relativos propriedade industrial. CHAIM, R. M. Modelagem, Simulao e Dinmica de Sistemas (Notas de Aula). Braslia: Departamento de Cincia da Computao do Instituto de Cincias Exatas da Uni- versidade de Braslia. 2010. 48 p. COSO - Committee of Sponsoring Organizations of the Treadway Commission. Internal Control Integrated Framework: Guidance for Smaller Public Companies: Repor- ting on Internal Control over Financial Reporting: Executive Summary: Guidance. EUA: COSO. October 2005. 207 p. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 54 COSO - Committee of Sponsoring Organizations of the Treadway Commission. Internal Control Integrated Framework: Guidance on Monitoring Internal Control Sys- tems: Discussion Document. EUA: COSO. September 2007. 52 p. CPLP - Organismos Estratgicos de Controlo/Controle Interno da Comunidade de Pases de Lngua Portuguesa. Manual De Controlo/Controle Interno. Braslia: Controla- doria Geral da Unio. Dezembro 2009. Disponvel: http://www.cgu.gov.br/even- tos/SFC2009_CPLP/Arquivos/ManualControle.pdf. ltimo acesso em fevereiro de 2011. CRUZ, Flvio. Auditoria Governamental. Editora Atlas, 1997. Descreve como realizar uma auditoria contbil na esfera governamental. DSIC Departamento de Segurana da Informao e Comunicaes. 01/IN01/DSIC/GSI- PR, de 13 de outubro de 2008 - Estabelece critrios e procedimentos para ela- borao, atualizao, alterao, aprovao e publicao de normas complemen- tares sobre Gesto de Segurana da Informao e Comunicaes, no mbito da Administrao Pblica Federal, direta e indireta. Disponvel http://dsic.planalto. gov.br/. ltimo acesso em Fevereiro de 2011. DSIC Departamento de Segurana da Informao e Comunicaes. 02/IN01/DSIC/GSI- PR, de 13 de outubro de 2008. Defne a metodologia de gesto de segurana da informao e comunicaes utilizada pelos rgos e entidades da Administrao Pblica Federal, direta e indireta. Disponvel http://dsic.planalto.gov.br/. ltimo acesso em Fevereiro de 2011. DSIC Departamento de Segurana da Informao e Comunicaes. 03/IN01/DSIC/GSI- PR, de 30 de junho de 2009- Estabelece diretrizes, critrios e procedimentos para elaborao, institucionalizao, divulgao e atualizao da Poltica de Seguran- a da Informao e Comunicaes (POSIC) nos rgos e entidades da Adminis- trao Pblica Federal, direta e indireta APF. Disponvel http://dsic.planalto.gov. br/. ltimo acesso em Fevereiro de 2011. DSIC Departamento de Segurana da Informao e Comunicaes. 04/IN01/DSIC/GSI- PR, de 14 de agosto de 2009 - Estabelece diretrizes para o processo de Gesto de Riscos de Segurana da Informao e Comunicaes GRSIC nos rgos ou entidades da Administrao Pblica Federal, direta e indireta APF. Disponvel http://dsic.planalto.gov.br/. ltimo acesso em Fevereiro de 2011. DSIC Departamento de Segurana da Informao e Comunicaes. 05/IN01/DSIC/GSI- PR, de 14 de agosto de 2009 - Disciplina a criao de Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais ETIR nos rgos e entidades da Administrao Pblica Federal, direta e indireta APF. Disponvel http://dsic. planalto.gov.br/. ltimo acesso em Fevereiro de 2011. DSIC Departamento de Segurana da Informao e Comunicaes. 06/IN01/DSIC/ GSIPR, de 11 de novembro de 2009 - Estabelece diretrizes para Gesto de Con- tinuidade de Negcios, nos aspectos relacionados Segurana da Informao e Comunicaes, nos rgos e entidades da Administrao Pblica Federal, direta e indireta APF. Disponvel http://dsic.planalto.gov.br/. ltimo acesso em Feve- reiro de 2011. DSIC Departamento de Segurana da Informao e Comunicaes. 07/IN01/DSIC/GSI- PR, de 6 de maio de 2010 - Estabelece diretrizes para implementao de contro- les de acesso relativos Segurana da Informao e Comunicaes nos rgos e entidades da Administrao Pblica Federal, direta e indireta APF. Disponvel http://dsic.planalto.gov.br/. ltimo acesso em Fevereiro de 2011. DSIC Departamento de Segurana da Informao e Comunicaes. 08/IN01/DSIC/ GSIPR, de 19 de agosto de 2010 - Disciplina o gerenciamento de Incidentes de Segurana em Redes de Computadores realizado pelas Equipes de Tratamento e Resposta a Incidentes de Segurana em Redes Computacionais - ETIR dos rgos e entidades da Administrao Pblica Federal, direta e indireta - APF. Disponvel http://dsic.planalto.gov.br/. ltimo acesso em Fevereiro de 2011. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 55 DUNN, John. Auditing: Theory and Practice. UK: Prentice-Hall. 1991. FERNANDES, J. H. C. GSIC050: Sistemas, Informao e Comunicao (Notas de Aula). Bra- slia: Departamento de Cincia da Computao do Instituto de Cincias Exatas da Universidade de Braslia. 2010. 51 p. FERNANDES, J. H. C. Gesto de Riscos de Segurana da Informao (Notas de Aula). Bra- slia: Departamento de Cincia da Computao do Instituto de Cincias Exatas da Universidade de Braslia. 2010. 33 p. FERNANDES, J. H. C. Controle de Acessos (Notas de Aula). Braslia: Departamento de Ci- ncia da Computao do Instituto de Cincias Exatas da Universidade de Braslia. 2010. 32 p. FERNANDES, J. H. C (Organizador). Gesto da Segurana da Informao e Comunicaes Volume I (Srie Segurana da Informao). Braslia: Faculdade de Cincia da Computao da Universidade de Braslia. 2010. ISBN: 978-85-88130-07-4. 123 p. GAO - General Accounting Ofce. Management Planning Guide for Information Systems Security Auditing. EUA: National State Auditors Association and the U. S. General Accounting Ofce. December 2001. GIL, Antnio L. Auditoria de Computadores. So Paulo: Editoras Atlas. 1989. um dos livros pioneiros em segurana de computadores. Muitas das preocupaes so ainda autuais. GONDIM, J. J. C., GSIC602: Gerenciamento das Operaes e Comunicaes (Notas de Aula). Braslia: Departamento de Cincia da Computao do Instituto de Cincias Exatas da Universidade de Braslia. 2010. 23 p. GONDIM, J. J. C., GSIC651: Tratamento de Incidentes de Segurana (Notas de Aula). Bra- slia: Departamento de Cincia da Computao do Instituto de Cincias Exatas da Universidade de Braslia. 2011. 23 p. GRAVES, Kimberly. CEH: Ofcial Certifed Ethical Hacker Review Guide: Exam 312-50. EUA: Sybex. 2007. GSIPR Gabinete de Segurana Institucional da Presidncia da Repblica. Instruo Normativa GSI/PR n 1, de 13 de junho de 2008 - Disciplina a Gesto de Segu- rana da Informao e Comunicaes na Administrao Pblica Federal, direta e indireta, e d outras providncias. Disponvel http://dsic.planalto.gov.br/. ltimo acesso em Fevereiro de 2011. HOLANDA, M. T; FERNANDES, J. H. C., GSIC701: Segurana no Desenvolvimento de Aplicaes(Notas de Aula). Braslia: Departamento de Cincia da Computao do Instituto de Cincias Exatas da Universidade de Braslia. 2011. 43 p. IMONIANA, Joshua O. Auditoria de Sistemas de Informao. So Paulo: Editora Atlas, 2005. Livro de um autor que tem grande experincia com auditoria contbil. Exis- tem vrias pontos de controle que podem ser de grande utilidade na elaborao de planos de auditoria. INTOSAI - International Organization of Supreme Audit Institutions. Guidelines for Inter- nal Control Standards for the Public Sector. Austria: INTOSAI. 2004. 81 p. Dispon- vel URL: http://www.intosai.org. INTOSAI - International Organization of Supreme Audit Institutions. Internal Control: Providing a Foundation for Accountability in Government. Austria: INTOSAI. 2001. 8 p. Disponvel URL: http://www.intosai.org. ISACA - Information Systems Audit and Control Association. IS Standards, Guidelines and Procedures For Auditing and Control Professionals: Code of Professional Ethics, IS Auditing Standards, Guidelines and Procedures, IS Control Professionals Standards. EUA: ISACA. January 2009. ITGI - IT Governance Institute. COBIT 3rd Edition Audit Guidelines. EUA: ITGI. 2000. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 56 ITGI - IT Governance Institute. COBIT 4.0. Control Objectives, Management Guidelines and Maturity Models. EUA: ITGI. 209 p. 2005. ITGI - IT Governance Institute. COBIT MAPPING: Overview of International IT Guidance. EUA: ITGI. 2004. JURAN, J. M.; GRYNA, M. Frank. Controle da Qualidade - volume III. So Paulo: Makron Books, 1990. Esse um excelente livro que descreve vrias tcnicas de auditoria de qualidade. Embora se refra mais a ideia de produtos e servios, Juran mostra vrias tcnicas que so gerais o sufciente para serem usadas na rea de seguran- a da informao. LOPEZ, Andr A. P. GSIC905: Diretrizes para o Desenvolvimento de Projetos de Cunho Cientfco (Notas de Aula). Braslia: Departamento de Cincia da Computao do Instituto de Cincias Exatas da Universidade de Braslia. 2010. 24p. MAIR, W. C.; WOOD, Donald ; DAVIS, Keagle W. Computer Control Audit. Minnesota:Touche Ross & Co. 1978. Um livro avanado para seu tempo. Descreve tcnicas de audito- ria com uso de computadores com bastante detalhe. MS - Ministrio da Sade. Portaria MS 3207, de 20 de outubro de 2010, que Institui a Polti- ca de Segurana da Informao e Comunicaes do Ministrio da Sade. Dispon- vel: http://bvsms.saude.gov.br/bvs/saudelegis/gm/2010/prt3207_20_10_2010. html. Acessado em 10 de janeiro de 2011. Pode ser usado como referncia de poltica de segurana de informao. NASCIMENTO, A. C., GSIC250: Criptografa e Infraestrutura de Chaves Pblicas (Notas de Aula). Braslia: Departamento de Cincia da Computao do Instituto de Cincias Exatas da Universidade de Braslia. 2011. 44 p. NIST - National Institute of Standards and Technology. Risk Management Guide for In- formation Technology Systems: Special Publication 800-30. EUA: NIST. 2002. Dis- ponivel: http://www.nist.org. OECD - Organisation for Economic Co-operation and Development. OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security. Europa: OECD. 30 p. 2002. Disponvel http://www.oecd.org/dataoe- cd/16/22/15582260.pdf. Acessado em janeiro de 2011. OWASP Open Web Application Security Project. The Open Web Application Secutity Project. EUA: OWASP. http://www.owasp.org/index.php/Main_Page. Acessado em fevereiro de 2011. PETER, Maria G. A.; MACHADO, M. V. V., Manual de Auditoria Governamental. So Paulo: Editora Atlas, 2003. Disponibiliza vrias tcnicas de auditoria que podem ser mui- to teis como modelo. PMI - Project Management Institute. PMBOK: Guide to the Project Managament Body of Knowledge. EUA: PMI. 2004. ROCHA, R. X., Proposta de procedimento simplifcado de auditoria de gesto em se- gurana da informao em rgos do Poder Executivo Federal (Monografa de Especializa Lato Sensu). Braslia: Departamento de Cincia da Computao do Instituto de Cincias Exatas da Universidade de Braslia. 2008. ROCHA, H. A. da, Proposta de Cenrio para Aplicao da Norma NBR ISO/IEC 27002 em Auditorias Governamentais do Sistema de Controle Interno (Monografa de Es- pecializa Lato Sensu). Braslia: Departamento de Cincia da Computao do Instituto de Cincias Exatas da Universidade de Braslia. 2008. RODRIGUES, R. W. da S. Aquisio e Implementao, Entrega e Suporte de Servios de TI (Notas de Aula). Braslia: Departamento de Cincia da Computao do Instituto de Cincias Exatas da Universidade de Braslia. 2010. 46 p. SOUZA NETO, Joo. GSIC331: Poltica e Cultura de Segurana (Notas de aula). Braslia: Departamento de Cincia da Computao do Instituto de Cincias Exatas da Uni- versidade de Braslia. 2010. 33p. >> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao 57 SCHMIDT, A. ; ALENCAR, A J. ; VILLAR, C. B. Modelos qualitativos de Anlise de Risco para Projetos de Tecnologia da Informao. sl:Brasport, 2007. Descreve vrias tcnicas de anlise de riscos pra projetos de tecnologia de informao. TCU Tribunal de Contas da Unio. Manual de Auditoria de Natureza Operacional. Bras- lia: Tribunal de Contas da Unio - Secretaria-Geral de Controle Externo - Coorde- nadoria de Fiscalizao e Controle, 2000. TCU Tribunal de Contas da Unio. Manual de Auditoria de Sistemas. Braslia: TCU, 1991. Descreve formas de organizar auditorias de sistemas e se aplica bem a ideia da auditoria como uma atividade de controle. VENEZIANO, W. GSIC051: Organizaes e Sistemas de Informao(Notas de Aula). Bras- lia: Departamento de Cincia da Computao do Instituto de Cincias Exatas da Universidade de Braslia. 2010. 13 p. VIDAL, F. B. GSIC202: Controles de Segurana Fsica e Ambiental (Notas de Aula). Braslia: Departamento de Cincia da Computao do Instituto de Cincias Exatas da Uni- versidade de Braslia. 2010. 29 p. VIEIRA, Tatiana Malta. Direito da Sociedade da Informao. (Notas de Aula). Braslia: De- partamento de Cincia da Computao do Instituto de Cincias Exatas da Univer- sidade de Braslia. 2009. 59 p.