GSIC345 Auditoria Conformidade Seguranca Informacao

>> Gesto da Segurana da Informao e Comunicaes >> 2009-2011
Roberto Wagner da Silva Rodrigues

Jorge Henrique Cabral Fernandes
AUDITORIA E CONFORMIDADE DE
SEGURANA DA INFORMAO
G
S
I
C
3
4
5
VERSO 1
Este material distribudo sob a licena creative commons
http://creativecommons.org/licenses/by-nc-nd/3.0/br/
Secretaria Pedaggica
Andria Lac
Eduardo Loureiro Jr.
Lvia Souza
Odacyr Luiz Timm
Ricardo Sampaio
Assessoria Tcnica
Gabriel Velasco
Secretaria Administrativa
Indiara Luna Ferreira Furtado
Jucilene Gomes
Martha Arajo
Equipe de Produo Multimdia
Alex Harlen
Lizane Leite
Rodrigo Moraes
Equipe de Tecnologia da Informao
Douglas Ferlini
Osvaldo Corra
CEGSIC
Coordenao
Texto e ilustraes: Roberto W. S. Rodrigues; Jorge H. C. F.ernandes | Capa, projeto grfco e diagramao: Alex Harlen
Desenvolvido em atendimento ao plano de trabalho do Programa de Formao de Especialistas para a Elaborao da
Metodologia Brasileira de Gesto de Segurana da Informao e Comunicaes CEGSIC 2009-2011.
Jos Elito Carvalho Siqueira
Ministro do Gabinete de Segurana Institucional
Antonio Sergio Geromel
Secretrio Executivo
Raphael Mandarino Junior
Diretor do Departamento de Segurana da Informao e
Comunicaes
Reinaldo Silva Simio
Coordenador Geral de Gesto da Segurana da
Informao e Comunicaes
Fernando Haddad
Ministro da Educao
UNIVERSIDADE DE BRASLIA
Jos Geraldo de Sousa Junior
Reitor
Joo Batista de Sousa
Vice-Reitor
Pedro Murrieta Santos Neto
Decanato de Administrao
Rachel Nunes da Cunha
Decanato de Assuntos Comunitrios
Mrcia Abraho Moura
Decanato de Ensino de Graduao
Oviromar Flores
Decanato de Extenso
Denise Bomtempo Birche de Carvalho
Decanato de Pesquisa e Ps-graduao
Nora Romeu Rocco
Instituto de Cincias Exatas
Priscila Barreto
Departamento de Cincia da Computao
Dilma Roussef
Presidente da Repblica
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
3
Sumrio
[6] Currculo Resumido do Autor (Roberto Wagner da Silva Rodrigues)
[6] Currculo Resumido do Autor (Jorge Henrique Cabral Fernandes)
[7] 1. Introduo
1.1 Princpios Gerais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
1.2 Controle Interno . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
1.3 Auditoria e Controle, Interno e Externo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.4 Porque Necessria a Segurana da Informao? . . . . . . . . . . . . . . . . . . . 10
1.5 Porque Auditar a Segurana da Informao? . . . . . . . . . . . . . . . . . . . . . . . . 11
[13] 2. Processo de Auditoria de Segurana da Informao
2.1 Gesto do Projeto ou do Programa de Auditoria . . . . . . . . . . . . . . . . . . . . 13
2.2 Deciso sobre o Propsito da Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.3 Identifcao de Objetos e Pontos de Controle . . . . . . . . . . . . . . . . . . . . . . 14
2.4 Defnio de Tcnicas para Obter Evidncias e Procedimentos de
Controle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.4.1 Defnio de Tcnicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
2.5 Montagem da Roteirizao Detalhada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
2.6 Coleta e Registro de Evidncias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2.6.1 Coleta de evidncias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2.6.2 Papis de trabalho . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2.6.3 Organizao da informao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2.7 Verifcar, Validar e Avaliar Evidncias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2.8 Produo de Pareceres e outros Entregveis . . . . . . . . . . . . . . . . . . . . . . . . 16
2.9 Acompanhamento Ps-Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
[18] 3. Propsitos e Organizao da Auditoria
3.1 Auditoria de Gesto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
3.2 Auditoria de Desempenho Operacional ou Auditoria Operacional . . . 19
3.3 Auditoria de Conformidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
3.4 Qual Tipo de Auditoria Empregar? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
[20] 4. Arcabouo de Roteirizao de uma Auditoria
4
[23] 5. Auditoria de Gesto em Segurana da Informao
5.1 Estrutura Organizacional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
5.2 Poltica de segurana para a organizao . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
5.3 Documentao atualizada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
5.4 Cultura de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
5.5 Pesquisa sobre Incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
5.6 Sistema de Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
5.7 Registros de auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
5.8 Plano Diretor de Tecnologia da Informao (PDTI) . . . . . . . . . . . . . . . . . . 25
[27] 6. Auditoria de Desempenho Operacional de
Segurana da Informao
6.1 Segurana Fsica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
6.2 Segurana Lgica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
6.2.1 Sistemas de informao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
6.3 Acessos dos Usurios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
6.4 Segurana de dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
6.5 Efcincia da Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
6.6 Efccia da Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
6.7 Segurana de redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
[33] 7. Auditoria de Conformidade
7.1 Normas da Administrao Pblica Federal . . . . . . . . . . . . . . . . . . . . . . . . . . 33
7.1.1 Normas do DSIC Departamento de Segurana da Informao e
Comunicaes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
7.1.2 Normas do Ministrio do Planejamento . . . . . . . . . . . . . . . . . . . . . . . . . . 34
7.1.3 Tribunal de Contas da Unio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
7.1.4 CGU Controladoria Geral da Unio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
7.1.5 Arquivos Pblicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
7.2 Propsitos e Limitaes da Auditoria de Conformidade . . . . . . . . . . . . . 35
7.3 Documentos de referncia e objetos de controle . . . . . . . . . . . . . . . . . . . 36
7.4 Classifcao de Documentos e da Informao . . . . . . . . . . . . . . . . . . . . . . 38
7.5 Concluses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
[39] 8. Plano de Segurana da Informao
8.1 Gesto de riscos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
8.2 Critrios de auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
5
[42] 9. Instrumentos e Ferramentas
9.1 Instrumentos de coleta e registro de evidncias . . . . . . . . . . . . . . . . . . . . . 42
9.2 Automao de Auditoria Servios Tcnicos Especializados . . . . . . . . . . 44
9.2.1 Batimento de dados e CAATS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
9.2.2 Auditoria de ambientes computacionais e bancos de dados . . . . . . . 45
9.2.3 Redes de computadores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
9.2.4 Hacker tico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
[47] 10. Entregas da Auditoria
[48] 11. Programas de Auditoria
11.1 Um Modelo de Programa de Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
11.2 Gesto de Programa de Auditorias baseada na ISO 19011 . . . . . . . . . . 49
11.2.1 Obteno de autoridade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
11.2.2 Estabelecimento do programa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
11.2.3 Implementando o programa de auditorias . . . . . . . . . . . . . . . . . . . . . . . 50
11.2.4 Monitoramento e anlise crtica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
11.2.5 Melhoria do Programa de Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
[52] 12. Consideraes Finais
[53] Referncias
6
CURRCULO RESUMIDO DO AUTOR
Roberto Wagner da Silva Rodrigues
PhD em Computao pelo Imperial College of Science Technology and Medicine (2001)-
Inglaterra; Mestre em Cincia da Computao pela Universidade Federal de Pernambuco (1996);
Especialista em Informtica pela Universidade de Fortaleza (1992); e obteve as seguintes gradu-
aes: Licenciatura Plena - Eletrnica & Desenho Industrial pelo Centro Federao de Educao
Tecnolgica de Minas Gerais (1991) e Bacharelado em Cincia da Computao pela Universidade
Estadual do Cear (1988); Cursou Bacharelado em Matemtica (incompleto) pela Universidade
Federal do Cear (1988-89); e Bacharelado em Administrao de Empresas (incompleto) pela
UECE (1988-1990); Tcnico em Telecomunicaes pela ETFCE (1984). EXPERINCIA PROFISSIO-
NAL: atualmente professor do Instituto Federal de Braslia. Foi professor adjunto da Universida-
de de Braslia at 2009 - Departamento de Cincia da Computao. Foi Professor do Centro Fede-
ral de Educao Tecnolgica do Cear; foi Secretrio Interino e Diretor de Gesto da Informao
da Secretaria de Avaliao e Gesto da Informao, no Ministrio do Desenvolvimento Social
e Combate Fome - MDS. Foi Diretor de Tecnologia da Informao do CEFET-CE, professor do
Mestrado da Universidade Estadual do Cear e professor substituto da Universidade Federal do
Cear no Departamento de Engenharia Eltrica. Tem experincia profssional em organizaes
pblicas nas seguintes reas: gesto pblica, monitoramento e avaliao de politicas e progra-
mas sociais, sistemas de informao e bases de dados sociais. Na iniciativa privada trabalhou em
Teleprocessamento, Computao (analista de sistemas programador) e Telecomunicaes. Foi
Pesquisador associado da British Telecomm. So temas de interesse: avaliao, meta-avaliao
e monitoramento de polticas pblicas (tecnologia e informao), gesto da informao e do
conhecimento, auditoria de segurana da informao, arquitetura de sistemas, sistemas distribu-
dos, workfow e gesto de processos de negcio (BPM).
CURRCULO RESUMIDO DO AUTOR
doutor (2000) e mestre (1992) em Cincia da Computao pela Universidade Federal
de Pernambuco. Especialista em Engenharia de Sistemas (1988) e graduado em Cincias Bio-
lgicas (1986) pela Universidade Federal do Rio Grande do Norte. Professor Adjunto do De-
partamento de Cincia da Computao (CIC), professor e representante da coordenao na
Ps-Graduao em Cincia da Informao da Faculdade de Cincia da Informao e Documen-
tao (PPGCINF/FCI), na Universidade de Braslia. scio da Sociedade Brasileira de Computa-
o (SBC) e da Associao Nacional de Pesquisa e Ps-Graduao em Cincia da Informao
(ANCIB). Tem experincia nas reas de Cincia da Computao e Cincia da Informao, com
nfase em engenharia de software, segurana ciberntica, segurana da informao, lingua-
gens de programao, bancos de dados e tecnologias educacionais.
7
1. Introduo
A sempre crescente demanda por prestao de mais e melhores servios pblicos tornou
necessrio disponibilizar meios de processamento de dados e de comunicao para troca de
informaes, bem como para permitir interao entre as organizaes pblicas e os cidados.
Essa interao tem sido mediada cada vez mais pela Internet e por meio de servios de e-gov
apoiados em sistemas de informao computadorizados. Consequentemente, a segurana (es-
pecialmente a disponibilidade, a integridade, a confdencialidade ou sigilo e a autenticidade)
dessas informaes passou a ser uma preocupao do poder pblico e um tema crtico da
gesto moderna, seja ela pblica ou privada. Uma forma de gerenciar essa criticidade criar
normas, formular polticas, padronizar procedimentos e prticas, estabelecer medies e m-
tricas, alm de automatizar controles, de modo a no s aumentar previsibilidade dos resulta-
dos dessa prestao de servio, mas principalmente melhorar a capacidade de lidar com riscos
decorrentes das vulnerabilidades dos sistemas sejam eles manuais ou automatizados - e das
ameaas existentes (sobretudo as originadas da Internet).
Essas normas, polticas, procedimentos, prticas, mtricas e mecanismos automatizados
so controles, e podem ser analisadas atravs de sua vinculao com os objeto de controle
que so decompostos em pontos de controle. A auditoria de segurana de informao uma
atividade devidamente estruturada para examinar criteriosamente a situao desses controles
que se aplicam segurana da informao, especialmente por meio da anlise de objetos e
seus pontos de controle, vis-a-vis a probabilidade de ameaas s informaes crticas sobre as
quais atuam esses controles. Isto necessrio porque os controles ou a ausncia deles podem
se constituir em vulnerabilidades explorveis ou portas de entrada para produzir incidentes
de segurana da informao. A auditoria cria condies tcnicas para investigar e emitir um
juzo sobre as evidncias encontradas, de modo a se antecipar ante a possveis riscos de viola-
o de um patrimnio precioso: os ativos de informao. Esses ativos correspondem quelas
informaes e todos os recursos associados que tm alto valor para o negcio pblico ou pri-
vado. Consideram-se como ativos de informao os processos organizacionais e processuais
(procedimentos, roteiros, atividades), itens fsicos (instalaes, equipamentos, cabeamento) e
lgicos (programas, sistemas, estruturas de dados), que devem ser auditados continuamente.
De outra forma, auditoria a expresso de opinio feita por um profssional devidamente
qualifcado, acerca de uma determinada situao, e documentada na forma de um relatrio
ou parecer. Para tal, o auditor emprega prticas geralmente aceitas, baseadas em um mtodo
racional, em evidncias, em respeito aos princpios ticos, com responsabilidade perante o
cliente, com devido cuidado e habilidade profssional, sujeito reviso por pares, mas com
independncia no que se refere roteirizao, investigao e anlise e produo do relato.
Em linhas gerais, a auditoria de segurana da informao pretende assegurar que os ati-
vos de informao, considerados os objetos de auditoria em segurana da informao, este-
jam absolutamente sob controle da organizao. Para tal, preciso verifcar que os controles
estejam de acordo com as normas e polticas de segurana estabelecidas para esses ativos,
bem como se o que est em operao alcana os objetivos de segurana defnidos. A auditoria
de segurana de informao envolve tambm o provimento de uma avaliao independente
dos controles da organizao (normas, polticas, padres, procedimentos, prticas, mtricas
e mecanismos) empregados para salvaguardar a informao, em formato eletrnico ou no,
contra perdas, danos, divulgao no intencional e indisponibilidades. Por fm, a auditoria
uma atividade realizada na forma de aes projetizadas, que tem um incio, meio e fm, e que
visam produzir resultados dentro de custos, prazos e qualidades esperadas. Para alcanar tais
objetos, as auditorias, projetos individuais, agrupam-se em programas, que compreendem a
realizao de vrias auditorias ao longo de um perodo de tempo de meses ou anos, e que
visam melhorar sistematicamente o desempenho, a efcincia e a segurana organizacionais.
8
1.1 Princpios Gerais
Figura 1. O Papel do Auditor numa Auditoria.
Fonte: Adaptado de Fernandes (2009).
Embora a ateno e o motivo de se realizar auditorias de segurana da informao seja
a existncia de ativos de informao, preciso que o auditor domine no s o conhecimento
especializado necessrio, mas tambm todo o processo e os princpios de auditoria geral, pois
os mesmos se aplicam auditoria de segurana da informao. A ttulo de ilustrao dos prin-
cpios gerais de auditoria, a Figura 1 mostra as principais relaes entre um gestor, um auditor,
os intervenientes ou interessados numa organizao (tambm chamados de stakeholders) e
os agentes que executam os processos organizacionais sob direo do gestor. Primariamente,
interesses dos intervenientes e da gesto devem estar alinhados, ou seja, as aes devem ca-
minhar no mesmo sentido, conforme os objetivos de negcio da organizao. Como o gestor
o principal responsvel pela organizao, este alinhamento de interesses deve ocorrer entre
os intervenientes e o gestor.
No Curso de Especializao em Gesto da Segurana da Informao, edio 2007/2008,
foram desenvolvidas algumas monografas que abordaram o tema auditoria, que esto suma-
rizadas em Fernandes (2010d).
1.2 Controle Interno
A Figura 1 ilustra que, na organizao, existe um elemento responsvel pelo controle dos
processos da organizao, chamado de controle interno. O controle interno compreende todo
o conjunto de controles, implementado sob responsabilidade da gesto da organizao. Tem
por objetivo assegurar que as mirades de processos executados pelos agentes humanos e
computacionais da organizao - em ltima instncia sob sua responsabilidade - no sofrero
desvio de fnalidade. Dado que o gestor declara fatos sobre o desempenho das atividades da
organizao, periodicamente e para o interesse dos intervenientes, faz-se necessrio recorrer
9
a um profssional especializado, o auditor, para opinar sobre a veracidade de tais declaraes.
Uma vez que invivel ao auditor examinar minuciosamente a ocorrncia de todos os proces-
sos e atividades realizados pela organizao, mesmo ao longo de um curto perodo de tempo,
o trabalho do auditor basicamente consiste em verifcar que as declaraes do gestor esto
satisfatoriamente coerentes com as condies observadas no controle interno, emitindo uma
opinio fundamentada acerca de tais declaraes. O auditor tem como clientes os intervenien-
tes, inclusive o prprio gestor, no caso de uma auditoria interna.
Note que o controle interno, representado grafcamente por um hexgono de tubos que
conduzem fuxos de processos, consiste num complexo sistema de informaes, acoplado
aos processos organizacionais. Os princpios do controle interno esto descritos em modelos
como o COSO (), adotado em modelos como o COBIT. Os componentes de um sistema de con-
trole interno, segundo o COSO (2007), so:
Ambiente de Controle
O ambiente de controle um ambiente organizacional favorvel ao controle. Consiste
num conjunto de aes que prov disciplina e estrutura organizao. baseado nos princ-
pios da integridade, em valores ticos e em competncia, defnindo um padro de conduta,
especialmente por parte da gesto.
Avaliao do risco
A avaliao de risco consiste na identifcao, anlise e priorizao de riscos relevantes,
relacionados ao alcance dos objetivos da organizao. Os riscos devem ser analisados apenas
quando forem relevantes para o alcance dos objetivos da organizao. Estes objetivos devem
ser claramente defnidos.
Atividades de Controle
Segundo o COSO (2007), atividades de controle so polticas e procedimentos que ga-
rantem a realizao das diretivas da gesto, as quais devem ser estabelecidas e comunicadas
atravs de toda a organizao, em todos os nveis e atravs de todas as funes. Tais atividades
devem ser diretamente ligadas ao tratamento dos riscos para alcance dos objetivos.
Informao e Comunicao
Segundo o COSO (2007) o componente informao e comunicao de um sistema de con-
trole interno compreende criar um ambiente onde as necessidades de informao organizacio-
nais so satisfeitas. A informao gerida em todos os nveis da organizao, visando o alcance
dos objetivos de negcio. A gesto comunica-se efetivamente com os agentes da organizao.
H canais efetivos e mtodos no retributivos para comunicar informaes signifcantes para os
nveis superiores da organizao. H tambm efetiva comunicao entre a gesto e o conselho,
de modo que cada qual tenha conhecimento de seus papis relativos governana.
Monitoramento
Segundo o COSO (2007), monitoramento uma avaliao, por pessoal apropriado, acerca
do desenho e operao de controles de uma forma adequadamente regular e a tomada de
aes necessrias. O monitoramento pode ser efetuado por meio de atividades contnuas e
avaliaes separadas. Os sistemas de controle interno devem ser estruturados para monitora-
rem a si mesmos de forma contnua, at um certo de grau, de modo que quanto maior for o
grau e a efetividade do monitoramento contnuo, menor a necessidade de avaliaes separa-
das. Por fm, tambm conforme o COSO, usualmente, alguma combinao de monitoramento
contnuo e avaliaes em separado garantir que o sistema de controle interno manter sua
efetividade ao longo do tempo. A auditoria uma abordagem de avaliao em separado.
10
Texto complementar
No caso do Brasil, a Lei n10.180, de 2001, organiza e disciplina os Sistemas de Planejamento e de Or-
amento Federal, de Administrao Financeira Federal, de Contabilidade Federal e de Controle Interno do
Poder Executivo Federal, e d outras providncias. O Ttulo V desta Lei descreve as fnalidades, a organi-
zao e as competncias deste controle interno, coordenado pela Secretaria Federal de Controle Interno da
Controladoria Geral da Unio, e que, dentre outras atribuies deve realizar auditorias nos sistemas cont-
bil, fnanceiro, oramentrio, de pessoal e demais sistemas administrativos e operacionais.
1.3 Auditoria e Controle, Interno e Externo
Quem avalia o controle interno de forma regular e freqente a auditoria interna. Outra
forma de controlar a organizao por meio de uma controladoria externa (no mostrada),
que tambm compreende um sistema de controle da organizao, mas que no est sob a
responsabilidade do gestor da organizao. A controladoria externa ou controle externo tem
a vantagem de ser muito mais independente de infuncias do gestor que no caso do contro-
le interno, mas apresenta como desvantagem a difculdade no acesso s informaes, visto
que no se encontra embutida nos processos organizacionais. Parte da controladoria externa
envolve a realizao de auditorias externas. No Brasil, o exerccio da controladoria externa da
Administrao Pblica Federal realizado pelo Congresso Nacional, com auxlio preponde-
rante do Tribunal de Contas da Unio. No ser aprofundada neste texto a distino entre
controle interno e externo, nem entre auditoria interna e externa, mas importante destacar
que a auditoria interna tambm est sujeita ao controle feito por auditores externos. De outra
forma, considervel parte das informaes providas para auditorias externas fornecida pela
auditoria interna. Independentemente disso, o Auditor deve, acima de tudo, atuando de for-
ma interna ou externa, ser capaz de emitir uma declarao em que analisa e avalia, com toda
lisura, aquilo que se defniu como sensvel segurana da organizao, lisura essa tpica da
atividade de auditoria. Tudo isto feito em benefcio dos intervenientes ou stakeholders, que
no caso das organizaes pblicas se constituem a prpria sociedade qual devem atender.
Texto Complementar
Auditoria Contbil
O tema Auditoria herda um arcabouo conceitual slido da rea contbil, onde mais se desenvolveu. A
auditoria contbil tem como objeto as contas pblicas ou privadas, seja para verifcar o desempenho da
organizao frente ao seus objetivos de lucros nas organizaes privadas, seja na verifcao da prestao
de contas nas organizaes pblicas. Tem ainda a funo de verifcar que os registros contbeis esto em
conformidade com as normas e procedimentos exarados nos marcos regulatrios da atividade contbil. A
funo da contabilidade no s ser um instrumento de deciso, mas tambm de informao. Na medida
em que a informao passa a ser o bem mais precioso das organizaes na era da Sociedade da Informao,
h tendncia de convergncia entre as atividades de auditoria contbil e de segurana da informao. No
de somenos importncia mencionar que o resultado de auditorias contbeis tem srias implicaes sociais
e econmicas nas esferas pblicas e privadas pelos impactos que podem provocar na vida das pessoas em
funo de sua natureza alocativa.
1.4 Porque Necessria a Segurana da Informao?
A auditoria de segurana da informao s tem sentido por permitir melhoria do trata-
mento da informao na organizao. Ela cumpre basicamente as mesmas funes de uma au-
ditoria de sistemas de informao, tais como descritos por Imoniana (2004) e por Schmidt, dos
Santos e Arima (2005). A informao produzida, identifcada, armazenada, distribuda, usada
e processada em todos os nveis da organizao, visando o alcance dos objetivos de negcio,
11
sejam eles pblicos ou privados. Essas atividades constituem a gesto da informao, que tem
suas prticas defnidas pelos sistemas de informao que apiam os processos de trabalho na
organizao, sejam eles manuais ou automticos. A gesto da informao tem fundamentos
na administrao, na contabilidade, na arquivologia, nas tecnologias da informao e da co-
municao, nas cincias da informao e da computao, entre outras. Como ferramenta de
segurana, a gesto da informao lana mo de elementos organizacionais, humanos, fsicos
e tecnolgicos, integrados por meio de arquitetura e engenharia de sistemas, ou de forma
mais geral atravs de uma abordagem ciberntica.
O objetivo da auditoria da segurana da informao, aderente ao componente de monito-
ramento do COSO (2007) ento o controle de informaes relevantes para o relato da gesto,
conforme tais informaes so produzidas, identifcadas, armazenadas, distribudas, usadas e
processadas, dentro dos parmetros estabelecidos pelos processos de controle da organiza-
o, a fm de suportar o alcance dos objetivos de negcio.
Note que o controle, mesmo sendo necessrio para o alcance de garantias para o desem-
penho organizacional, cria limitaes s aes dos agentes que executam processos na orga-
nizao. Ou seja, por sua prpria natureza e necessidade, produz cerceamento de liberdade de
aes dos agentes, que se no fossem feitas levariam ao caos. Desta forma importante que
todos estes agentes recebam uma clara mensagem da alta administrao quanto forma de
tratar a informao com segurana, pois central para o controle dos negcios e alcance da
misso institucional. As responsabilidades individuais dos agentes devem ser alinhadas com
essa mensagem (viso de segurana) e a questo da segurana da informao deve ser embu-
tida na cultura organizacional.
A mensagem da necessidade de segurana da informao usualmente estabelecida por
uma poltica. A poltica de segurana da informao, tratada em detalhes no texto de Souza
Neto (2010), deve tornar claro que cada participante ou colaborador na organizao (agentes
em geral) um ator relevante quando se trata de proteger ativos de informao, principalmen-
te aqueles considerados estratgicos ou crticos. Os agentes devem estar cientes dos riscos de
segurana existentes e das medidas preventivas que devem ser tomadas (OECD, 2002). Alm
disso, responsabilidades claras devem ser atribudas aos agentes, de modo que se possam dis-
tribuir tarefas especfcas ou gerais para que se esteja sempre aperfeioando os mecanismos
de segurana da informao implantados. De forma mais prtica, a poltica de segurana da
informao o principal controle de segurana numa organizao, e a ele se articulam (e na
maioria dos casos se subordinam) todos os demais controles
1.5 Porque Auditar a Segurana da Informao?
Porque importante auditar a segurana da informao? O objetivo , basicamente, ates-
tar que os controles de segurana em prtica so efcientes e efcazes. Tal evita exposies da
organizao a riscos que podem provocar danos, se concretizados. Mair (1998) indica que a
introduo de controles evita:
1. manter registros de informao que esto errados;
2. contabilizar informaes que no so aceitveis;
3. interromper o negcio;
4. decidir erroneamente sobre gerenciamento; e dentre outras razes
5. evitar fraudes.
No ambiente desregulado dos sistemas de informao expostos Internet, tambm im-
portante destacar que os controles evitam que a organizao esteja sujeita a ataque de hackers.
Esse texto apresenta uma introduo aos mtodos, processos e tcnicas de auditoria de
segurana da informao, muitos dos quais tem sua origem na auditoria contbil. Comple-
menta o texto informaes bsicas sobre normativos e organizaes do servio pblico vincu-
ladas questo. Para explorar esses e outros assuntos, o restante desse texto est organizado
em mais 11 sees, que so:
12
Seo 2: Descreve em linhas gerais um processo de auditoria de segurana da informao.
Seo 3: Descreve os propsitos e a organizao de uma uma auditoria de segurana
da informao.
Seo 4: Descreve o que a Roteirizao da Auditoria
Seo 5: Descreve os principais objetos e pontos de controle gerais para a auditoria
de gesto de segurana da informao.
Seo 6: Descreve objetos e pontos de controle mais adequados auditoria de de-
sempenho operacional de segurana da informao.
Seo 7: Descreve objetos e pontos de controle mais adequados estratgia de audi-
toria de conformidade de segurana da informao.
Seo 8: Apresenta um modelo de plano de segurana, orientador essencial audito-
ria, bem como discute o papel da gesto de riscos de segurana.
Seo 9: Apresenta instrumentos, ferramentas e servios auxiliares que devem ser
usados para organizar, automatizar e agilizar a atividade de auditoria.
Seo 10: Descreve alguns produtos ou artefatos que so as entregas que um auditor
de segurana da informao deve produzir aps executar uma roteirizao de audi-
toria.
Seo 11: Descreve como se organiza um programa de auditoria, ou um conjunto de
auditorias associadas
Seo 12: Apresenta consideraes Finais. Descreve as limitaes do texto e da pos-
sibilidade de trabalhar com auditoria em segurana da informao de forma vivel e
organizada.
13
2. Processo de Auditoria de Segurana da
Informao
Esta seo apresenta um processo simplificado de auditoria de segurana da informa-
o. Vrios modelos de processo e metodologias de auditoria de sistemas e de tecnologia da
informao podem ser encontrados na literatura, alguns deles criados pelas organizaes
pblicas que atuam como rgos de controle interno e externo. O modelo descrito a seguir
composto por 9 passos:
Gesto do projeto ou do programa de auditoria
Deciso sobre o propsito da auditoria
Identifcao de objetos e pontos de controle
Defnio de tcnicas para obter evidncias e procedimentos de controle
Montagem da roteirizao de auditoria
Coleta e registro de evidncias em papis de trabalho
Verifcao, validao e avaliao de evidncias
Produo de pareceres e outros entregveis
Acompanhamento ps-auditoria
Estes passos so detalhados a seguir.
2.1 Gesto do Projeto ou do Programa de Auditoria
Auditorias isoladas e espordicas so pouco efcazes, alm de dispendiosas. O primeiro
passo numa auditoria estabelecer a gesto do projeto ou dos projetos que constituem um
programa de auditoria. Auditoria , em geral, um trabalho de equipe, realizado na forma de
um projeto, no qual esto envolvidas pessoas, que executaro uma srie de atividades tcnicas
especializadas, produzindo um resultado demandado por um cliente, dentro de prazos, custos
e qualidades esperadas. O escopo da auditoria precisa ser bem delimitado, as comunicaes
entre os membros do projeto e com os clientes precisam ser bem organizadas. necessrio
fazer monitoramento da ao e tomada de aes corretivas.
O projeto de uma auditoria, como qualquer outro, sujeito a desvios e riscos, que preci-
sam ser monitorados e controlados visando produo de resultados com qualidade. pre-
ciso, ento, que haja na equipe de auditoria um grupo responsvel por planejar e gerenciar a
atividade de auditoria per se. Recomenda-se usar o modelo do Guia PMBOK (PMI, 2004) como
orientador geral de planejamento e gesto de projetos, bem como recorrer norma ISO 19011
(ISO, 2002) acerca do processo de gesto de vrios projetos de auditoria integrados, executa-
dos ao longo de vrios anos na forma de um Programa de Auditoria.
Em suma, o planejamento consiste em amalgamar competncias que tenham conheci-
mento especializado daquilo que se quer auditar e que tenham habilidade e autorizao para
acesso amplo s diversas fontes de informao necessrias. O planejamento deve produzir, ao
fnal, um plano de gerenciamento de uma auditoria especfca, ou de forma coletiva, um plano
de gerenciamento do programa de auditoria, que servir de referncia para se executar vrias
auditorias correlacionadas. A Seo 11 deste texto detalha mais os resultados desta atividade.
2.2 Deciso sobre o Propsito da Auditoria
O segundo passo numa auditoria de segurana da informao decidir acerca do prop-
sito da auditoria, que pode variar entre verifcar situaes suspeitas, eventos ou ocorrncias
que merecem ateno acurada e entre analisar os riscos de segurana a que a organizao
pode estar exposta (ver seo 7).
14
Somente uma anlise contextualizada, produzida por um auditor poder indicar qual o
melhor propsito da auditoria. Questes especfcas sobre propsito de uma auditoria de se-
gurana da informao so descritas na Seo 3.
2.3 Identifcao de Objetos e Pontos de Controle
O terceiro passo numa auditoria de segurana da informao compreende analisar o sis-
tema de controle interno do auditado, identifcando onde os elementos do controle interno
se encaixam nos objetos (ou objetivos) e pontos de controle, descritos de forma genrica no
plano de auditoria que foi estruturado na fase de planejamento. Junto a estes objetos e pontos
se espera obter evidncias a respeito da situao atual da organizao, quanto segurana da
informao. Para realizar exames aprofundados preciso defnir o que ser auditado, que so
os objetos de auditoria (OA). Tais objetos so elencados e selecionados de acordo com o con-
texto e os propsitos da auditoria. Em seguida so elencados pontos de controle (PC) para
cada objeto de auditoria selecionado. Um PC caracteriza situaes especfcas que podem ser
relacionadas a produtos, processos, procedimentos, eventos ou qualquer outro item observ-
vel e relevante para uma auditoria de segurana.
So os objetos de auditoria e pontos de controle itens que, uma vez categorizados, orien-
tam as observaes e testes da auditoria.
Destaque
Pontos de controle podem remeter a artefatos fsicos, como placas de sinalizao e instalaes fsicas ou
artefatos lgicos tais como senhas de acesso a sistemas. Portanto, podem ser fsico ou lgicos, tangveis ou
intangveis. Desvios ou percepes de riscos devem ser examinados para se identifcar quais pontos de con-
trole tm relao com esses riscos, defnindo seu grau de criticidade para a segurana. A busca de indcios
e evidncias de situaes de insegurana que merecem ateno e sua correta interpretao pode levar a
uma constatao ou achado importante, desde que executados com mtodos claros e reproduzveis, e, se for
o caso, com mtodos cientfcos. Veja, por exemplo Lopez (2010).
Modelos como o do COBIT (Control Objectives for Information Technology), descrevem
um conjunto de objetivos (objetos) de controle e pontos de controle, tpico de Organizaes
de Tecnologia da Informao. Note que nem todos os objetivos declarados no COBIT 4.1 so
relacionados segurana da informao. O modelo, em sua verso 4.1 (ITGI, 2007), apresenta
318 objetivos de controle agrupados em 34 arqutipos de processos de organizao de TI.
Os 34 processos organizacionais so agrupados em 4 domnios (Planejamento e Organizao,
Aquisio e Implementao, Entrega e Suporte de Servios de TI, alm do Monitoramento e
Avaliao). Os 318 objetivos de controle so subdivididos (implementados) com pontos de
controle (chamados no COBIT de prticas de controle).
2.4 Defnio de Tcnicas para Obter Evidncias e
Procedimentos de Controle
Uma vez identifcados objetos e pontos de controle possvel elencar as tcnicas que
sero usadas para a obteno de evidncias que sejam sufcientes, adequadas, relevantes e
teis para a concluso dos trabalhos (CPLP, 2009), bem como os procedimentos de controle
(tambm chamados de testes) que sero efetuados junto aos pontos de controle, permitindo a
montagem da roteirizao detalhada. Estes conceitos so explicados a seguir.
15
2.4.1 Defnio de Tcnicas
Segundo o Manual de Controle Interno, criado pelos Organismos Estratgicos de Controlo/
Controle Interno da Comunidade de Pases de Lngua Portuguesa (CPLP, 2009), so exemplos de
tcnicas gerais para a obteno de evidncias numa auditoria: a entrevista e o questionrio; a
anlise documental; a conferncia de clculos; a confrmao externa; o cruzamento ou correla-
o de informaes; o exame ou inspeo fsica; a observao direta envolvendo identifcao
da atividade a ser observada, observao de sua execuo, comparao entre o comportamento
observado e os padres, avaliao e concluso; o corte das operaes e o rastreamento.
Cada tcnica tem elo direto com o propsito da auditoria, com a natureza do negcio e
com o nvel de maturidade da organizao em matria de segurana da informao.
2.4.2 Preparao ou Seleo de Procedimentos de Controle e Testes
Segundo CPLP (2009), os procedimentos de controle so um conjunto de verifcaes e
averiguaes previstas num programa de ao [ex: auditoria], que permite obter evidncias
ou provas sufcientes e adequadas para analisar as informaes necessrias formulao e
fundamentao da opinio por parte dos auditores pblicos. Os procedimentos de controle
so especfcos para cada ponto de controle, e descrevem os resultados que devem ser obtidos
junto a cada ponto de controle, por meio de testes. Cabe ao auditor escolher que tipo de teste
vai realizar, e os testes so estratifcados em dois nveis de profundidade: os testes de controle
ou observao; e os testes substantivos ou de sondagem.
Os testes de controle so executados por meio de observao do funcionamento dos
controles existentes, e visam obter razovel confana de que os controles esto em efetivo
funcionamento e cumprimento.
Cabe ao auditor avaliar o nvel de risco tolerado (DUNN, 1991, p.111) para emisso de sua
prpria opinio com o devido cuidado profssional, a fm de decidir em que momento parar
os testes.
Os testes substantivos demandam mais criatividade e esforo do auditor e so aplica-
dos quando h dvidas acerca da adequao do controle j testado. Vrias tcnicas, analticas,
de simulao (CHAIM, 2010) ou de ensaio podem ser aplicadas para a realizao de testes
substantivos de segurana da informao, como teste de vulnerabilidade, testes de penetra-
o. Todas as tcnicas, na rea de segurana da informao, esto de forma direta ou indireta
associadas com a anlise e avaliao de riscos de segurana. Segundo ITGI (2000), os testes
substantivos visam documentar a vulnerabilidade e os riscos associados ao ponto de controle.
Modelos de auditoria como o antigo manual de auditoria do COBIT 3.0 (ITGI, 2000), o livre-
to de padres, guias e procedimentos de auditoria e controle do ISACA (2009) apresentam um
extenso conjunto de procedimentos que podem ser empregados em auditoria de segurana
da informao, para orientar a execuo de testes.
2.5 Montagem da Roteirizao Detalhada
A roteirizao detalhada de auditoria o roteiro dos procedimentos e testes que sero ou
podero ser executados pelo auditor. A roteirizao montada para que o auditor use da for-
ma mais efcaz o tempo em que estar no ambiente do auditado, bem como para uniformizar
os procedimentos de uma equipe da qual participam diversos auditores.
Cada empresa ou organizao de auditoria dispe de templates ou esqueletos de roteiri-
zao padronizada, visando agilizar a montagem da roteirizao para uma auditoria especfca.
A roteirizao descreve a sequencia de passos a seguir, e deve ser sucinta e objetiva, para
facilitar a execuo pelo auditor. Para facilitar a compreenso de conceitos complexos, que
muitas vezes so articulados ou referenciados numa roteirizao. A roteirizao deve fazer
referncia a documentos mais detalhados e descritivos, como normas, guias e padres, por
exemplo: ISACA (2009) e ITGI (2000).
16
2.6 Coleta e Registro de Evidncias
O sexto passo numa auditoria consiste em coletar e registrar evidncias para fns de ava-
liao, e pode ser organizado em trs aspectos.
2.6.1 Coleta de evidncias
A coleta feita no ambiente do auditado. A roteirizao detalhada orienta as aes dos
auditores em campo durante a coleta e anlise de evidncias, em geral elaborada em forma-
to de formulrios, em papel ou meio digital, que quando preenchidos auxiliam e sumarizam
dados para anlise.
2.6.2 Papis de trabalho
Os papis de trabalho (documentos de trabalho ou working papers) constituem os regis-
tros das evidncias, aes e decises realizadas pelo auditor. So preparados no ambiente do
auditado, mas so de propriedade do auditor e devem ser arquivados com obedincia ao sigi-
lo. So papis de trabalho: (i) os formulrios preenchidos com a execuo da roteirizao, (ii)
os registros de anlises e testes de controle e testes substantivos realizados pelo auditor e (iii)
outras anotaes de interesse. Os papis de trabalho so a memria de clculo da execuo
da roteirizao, podendo ser usadas pelo auditor no esclarecimento de dvidas futuras. As evi-
dncias, contidas nos papis de trabalho, so entrecruzadas com os objetos de auditoria e seus
respectivos pontos de controle pertinentes, e desta forma faro parte de uma lista elaborada
pelo Auditor como de possvel interesse para a anlise. Para mais detalhes ver CPLP (2009).
2.6.3 Organizao da informao
Para que a informao contida nos papis de trabalho possa ser til, inclusive durante a
fase de anlise, essencial a organizao adequada da documentao e das informaes, por
meio de instrumentos como ndices, tabelas de contedo, inclusive porque outros auditores
que no participaram da coleta de evidncias devero ter capacidade de avaliar ou participar
do trabalho em momento posterior.
2.7 Verifcar, Validar e Avaliar Evidncias
O stimo passo numa auditoria consiste em, rigorosamente, verifcar, validar e avaliar as
evidncias obtidas. Muitas delas, que parecem desconectadas em um momento, devem co-
mear a fazer sentido de acordo com os achados ou fatos constatados. Pode-se iterar e voltar
a coletar e registrar novas evidncias, conforme se mostrem insufcientemente conclusivos os
dados coletados. Isto ocorre, sobretudo, quando no se tem experincia com o tipo de audito-
ria e os objetos de controle auditados. A conexo lgica entre evidncias, achados e fatos pode
ser estabelecida na roteirizao detalhada, mas no deve ser considerada como nica fonte de
achados. A roteirizao serve como instrumento para guiar o julgamento do auditor. Os papis
de trabalho organizado permitem a recuperao de informao.
2.8 Produo de Pareceres e outros Entregveis
O passo fnal nesse modelo simplifcado de processo de auditoria a produo de pareceres
com recomendaes e concluses do Auditor. Cada passo pode liberar entregas, como mostrado
na Figura 2, destacando-se como produtos da auditoria: o plano de auditoria, os relatrios situa-
17
cionais de auditoria e os pareceres. O Auditor dever produzir pelo menos um plano de auditoria,
um relatrio situacional e um parecer para cada engajamento de auditoria (ver Seo 8).
2.9 Acompanhamento Ps-Auditoria
Conforme orienta a norma ISO 19011 (ISO, 2002), o acompanhamento ps-auditoria ocor-
re sempre no mbito de um programa de auditoria. preciso ter bem defnidas as competn-
cias e a forma de avaliao dos auditores, bem como as atividades que sero realizadas. Esse
acompanhamento uma atividade de gesto, seja para garantir mudanas, seja para sustentar
boas prticas que devem persistir. A constituio de um programa de auditoria descrita na
Seo 11 deste texto.
18
3. Propsitos e Organizao da Auditoria
Os conceitos de objetos de auditoria e pontos de controle organizam as situaes, ocor-
rncias e evidncias que parecem merecer a ateno de uma auditoria de segurana da infor-
mao. Seguindo a tradio contbil, as auditorias de segurana so classifcadas em trs tipos:
de gesto, operacional (Cruz, 97) e de conformidade, conforme mostra a Figura 2.
Figura 2. Tipos, objetos e pontos de controle de auditoria.
Cada um dos tipos de auditoria pode seguir mtodos diferentes e possui um arcabouo
conceitual e necessidades de especializao distintas.
3.1 Auditoria de Gesto
A auditoria de gesto verifca que as aes para acompanhar ou tomar decises a respeito
de itens de segurana estejam em plena execuo. Tomando-se por base a Figura 1, a auditoria
de gesto est mais relacionada com a avaliao das declaraes efetuadas pelo gestor. Mais
detalhes na Seo 5.
19
3.2 Auditoria de Desempenho Operacional ou Auditoria
Operacional
A auditoria de desempenho operacional, por sua vez, se baseia essencialmente em indi-
cadores de desempenho e na constatao de que as aes de segurana esto ou no funcio-
nando, alm de em descries que informam sobre quo efetivos e efcazes so os controles
para proteger os ativos de informao. Para essa auditoria, alm dos pontos de controle, par-
metros de desempenho devem ser defnidos para aferio de resultados esperados. Com base
na Figura 1, a auditoria operacional se debrucaria sobre o funcionamento dos controles e os
efeitos que tais controles produzem sobre a reduo dos riscos de segurana da organizao.
A auditoria de desempenho operacional correlaciona, necessariamente, os controles e os pro-
cessos que eles controlam (ver Figura 1). Mais detalhes na Seo 6.
3.3 Auditoria de Conformidade
A auditoria de conformidade pode ser realizada sem que o auditado seja solicitado a justi-
fcar ou opinar sobre o contedo obtido, j que o foco sobre os controles de segurana. Com
base na Figura 1, a auditoria de conformidade buscaria verifcar que os controles de segurana
que constituem parte do controle interno esto implementados e funcionais. A auditoria de
conformidade tambm tem forte lastro no arcabouo normativo da organizao. No caso de
questes relacionadas segurana e ao tratamento da informao no Brasil, o leitor remetido
compilao produzida por Vieira (2009). Mais detalhes na Seo 7.
3.4 Qual Tipo de Auditoria Empregar?
Os trs tipos de auditoria permitem planejar auditorias com enfoque determinado e de-
vidamente contextualizado. Os tipos so teis para organizar, de forma anloga auditoria
contbil, uma metodologia de trabalho para auditar segurana da informao. Observe, no
entanto, que tal diviso apenas uma conveno. Por exemplo, a auditoria de desempenho
operacional poderia ser parte da auditoria de gesto, j que se preocupa com desempenho ou
resultados. Destaca-se aqui o fato de que auditorias operacionais avaliam o como a segurana
implementada, enquanto que a auditoria de gesto destaca as decises gerenciais e as prio-
ridade resultantes que conduzem da melhor maneira possvel essas operaes de segurana.
Para cada ao de auditoria, objetos de auditoria devem ser demarcados, conforme mos-
tra a Figura 2. Os pontos de controle devem ser selecionados segundo a natureza do obje-
to de auditoria. Considerando que um objeto de auditoria funciona normalmente dentro do
comportamento esperado, por exemplo, uma poltica de segurana que seguida, os pontos
de controle correspondentes produziro as informaes esperadas para esse objeto. Todo o
resultado culminar em um relatrio de auditoria e um parecer com as devidas consideraes
e concluses, conforme j mencionado.
Ao se trabalhar com segurana de informao se deve considerar as trs atributos clssi-
cos da segurana: integridade, disponibilidade e confdencialidade (ou sigilo). A verifcao de
integridade permite descobrir se a informao foi produzida de forma incoerente com a rea-
lidade, ou alterada por aes que apontam para possveis fraudes que podem trazer impacto
organizao. A verifcao de disponibilidade permite avaliar possveis riscos que emergem
da indisponibilidade frequente de ativos de informao sensveis. A verifcao de confden-
cialidade, ponto de controvrsia na administrao pblica, merece muita ateno. Permite
identifcar o risco de que a informao seja acessada por agentes no autorizados, quando na-
quele determinado momento ela no deveria ser de acesso ao pblico. Existem um conjunto
razovel de decretos e instrues (ver Anexo I) que demonstram uma crescente preocupao
com essa questo. Essas trs verifcaes devem permear os trs tipos de auditoria, quando
abordando segurana da informao.
20
4. Arcabouo de Roteirizao de uma
Auditoria
Tradicionalmente a auditoria tem o propsito de verifcar categorias de controle gerais ou
especfcas de objetos de auditoria (TCU, 98). Os controles gerais so aqueles que de alguma
forma aparecem com propriedades ou procedimentos gerais e que sempre so observados,
por exemplo: controle de acessos fsicos a instalaes. Os controles especfcos so aqueles
que apontam para um determinado elemento de ateno, por exemplo, acesso de usurios a
um determinado banco de dados.
Uma vez que a quantidade de informao a ser coletada pode facilmente fugir ao controle
do auditor e exceder os custos e o tempo estimados, preciso recorrer sempre a uma roteiri-
zao de auditoria em mos.
Embora sejam possveis outros tipos de auditoria para formatar uma roteirizao, nos de-
teremos nos trs tipos j descritos: de gesto, operacional e de conformidade.
Para cada tipo a roteirizao ter um conjunto de objetos de auditoria e seus respectivos
pontos de controle, ou seja, eventos, acontecimentos, aes, produtos, espaos ou qualquer
coisa que merea ateno em termos de segurana da informao e que seja de interesse au-
ditar, dada a sua criticidade para os negcios da organizao. O Quadro 1 mostra um exemplo
simples de organizao de pontos de controle para um objeto de auditoria chamado poltica
de segurana da informao.
Quadro 1. Trecho de roteirizao para o objeto de auditoria Poltica de Segurana da Informao.
Sequncia
de auditoria
Objeto(s) de auditoria Pontos de Controle
Poltica de Segurana da Informao
objetivo
recursos
riscos
custos (anlise econmica)
responsabilidades
perfs
requisitos de acesso
classifcao de documentos
ferramentas de segurana etc.
A sequncia de auditoria do Quadro 1 corresponde aos pontos de controle de auditoria
que sero verifcados, segundo uma estratgia expressa em uma roteirizao de auditoria. A
Figura 3 mostra uma esquematizao de um programa de auditoria, proposto aqui para ilus-
trar como uma auditoria de segurana da informao poderia ser organizada. A roteirizao
de auditoria lana mo dos trs tipos de auditoria, conforme os objetos de auditoria melhor se
acomodam aos propsitos de cada tipo.
21
Figura 3. Um arcabouo de roteirizao de auditoria de segurana da informao.
Na auditoria de gesto o foco a estrutura organizacional e tpicos como segregao de
funes, existncia de poltica de segurana da informao e adequabilidade dos planos de se-
gurana. A parte da documentao, como parte da poltica, diz respeito mais forma de arqui-
vamento, convenes de ttulos para documentos e existncia de controle de verses e revises.
No caso da auditoria operacional, o interesse pode ser na segurana das operaes im-
plantadas e nos recursos fsicos que suportam essas operaes, tais como as instalaes, equi-
pamentos e dispositivos de redes. Tambm a segurana lgica pode ser avaliada com auditoria
operacional e compreende avaliao do funcionamento dos sistemas, programas e processos
com foco nos dados gerados e nas informaes produzidas. A questo dos usurios tambm
parte dessa auditoria, pois se preocupa com o acesso de pessoas s instalaes, a sistemas, a
programas ou qualquer recurso relacionado com os ativos de informao. Ainda na auditoria
22
operacional se tem a preocupao com a efcincia e efccia das operaes, cuja inobservn-
cia compromete os resultados aumentando os riscos.
No caso da auditoria de conformidade, os objetos de auditoria tm como propsito ga-
rantir a integridade, a disponibilidade e a confabilidade desses ativos conforme preconizam
os padres e especifcaes determinados pela e para a organizao dos controles em prtica.
Pontos de controle requerem observncia de regras que esto mais sujeitas a questes de con-
sistncia da regras ou de aderncia das aes de segurana em face do que est determinado
nas regras. Nas sees seguintes so apresentados detalhes de cada tipo de auditoria.
23
5. Auditoria de Gesto em Segurana da
Informao
Como j abordado, a Auditoria de Gesto tem o propsito de verifcar como as atividades de
gesto da segurana da informao esto sendo realizadas. Consiste basicamente em verifcar
que os processos de segurana e suas atividades foram implantados plenamente e que as metas
de segurana traadas esto sendo alcanadas. Visa tambm verifcar as atividades de apoio que
lidam com incidentes, ameaas ou vulnerabilidades j identifcadas; subsidiar novas aes ne-
cessrias ao atendimento de demandas; e alterar os controles previamente defnidos. Por exem-
plo, investigar os servios de atendimento de um help desk tarefa da auditoria de gesto.
O que se quer alcanar com esse tipo de auditoria a confrmao de que os procedimentos
previstos no plano de segurana (Ver Seo 8) esto presentes ou, se no esto, quais foram os
desvios que levaram a essa ausncia. Em caso de desvios, deve-se relacionar o que ou quem est
fora das diretrizes defnidas no plano de segurana frente a um padro de desempenho espe-
rado pela gesto da segurana. Alguns objetivos de auditoria de gesto listados abaixo foram
adaptados de Imoniana (Imoniana, 2005) e do manual de sistemas do TCU (TCU, 98), a saber:
Estrutura organizacional
Poltica de segurana
Documentao
Cultura de segurana
Pesquisa sobre incidentes
Sistema de segurana
Registros de auditoria
Plano diretor de tecnologia da informao (PDTI)
Estes objetivos so detalhados a seguir.
5.1 Estrutura Organizacional
No possvel implantar segurana da informao sem que haja uma estrutura organiza-
cional apropriada para tal. Um primeira providncia se preocupar com segregao de fun-
es. Quem executa uma ao no pode ser aquele que controla os estgios dessa ao. O
manual de auditoria de sistemas do TCU (TCU, 1998) enumera uma lista de elementos crticos
(pontos de controle) para avaliao dos controle organizacionais, a saber:
5.1.1 As unidades organizacionais responsveis por segurana devem ser bem defni-
das, com nveis claros de autoridade, responsabilidades e habilidades tcnicas neces-
srias para exercer os cargos.
5.1.2 Atividades dos funcionrios envolvidos com segurana devem ser supervisio-
nadas e controladas atravs de procedimentos padres devidamente documentados
com polticas claras de seleo, treinamento e avaliao de desempenho desses pro-
fssionais.
5.1.3 Poltica de segregao de funes e controles de acesso deve ser constantemen-
te perseguida para garantir na prtica a idoneidade dos processos.
5.1.4 Indicadores de gesto para auscultar os recursos computacionais que esto sob
procedimentos de segurana devem ser estabelecidos. Mecanismos de segurana
no podem provocar mau desempenho dos recursos.
Note que a lista apresentada no exaustiva.
24
5.2 Poltica de segurana para a organizao
Sem uma poltica de segurana da informao (PSI) discutida por todos os setores, qual-
quer procedimento de segurana ser aleatrio e, provavelmente, ir entrar em confito com
outras iniciativas. A PSI pode trazer referncias explcitas aos padres defnidos para os ativos
de informao. Note que o DSIC/GSIPR usa o termo PSIC Poltica de Segurana da Informao
e Comunicaes (DSIC, 2008) para a constituio de um documento de poltica de segurana
da informao na Administrao Pblica Federal. Segundo a ISO/IEC 27002:2005, a poltica de
segurana da informao deve contemplar os seguintes pontos de controle:
5.2.1 Objetivos, metas, escopo e a relevncia da poltica de segurana da informao
para toda a organizao devem ser estabelecidas e positivadas em documentos;
5.2.2 Declarao da alta direo de que est compromissada com o que est defnido
na poltica deve ser de conhecimento de todos;
5.2.3 preciso saber se existe um alinhamento da poltica de segurana da informa-
o com os objetivos de negcio, no caso, com a misso institucional e a legislao;
5.2.4 Devem ser defnidas responsabilidades gerais e especfcas a respeito da segu-
rana da informao, seja para indivduos, seja para instncias colegiadas: comisses,
comits, grupos de trabalho etc.
5.2.5 A poltica deve conter referncia a documentaes necessrias para apoi-la, o
que inclui normas e regras estabelecidas na legislao.
5.2.6 A poltica deve explicar os requisitos de segurana da informao, incluindo a
conformidade com a legislao, regulamentos e contratos.
5.3 Documentao atualizada
Documentos devem ser classifcados e versionados para que seu contedo e fnalidade
estejam sob controle. Novas normas devem ser catalogadas, discutidas e disseminadas, prin-
cipalmente aquelas que tm referncias legais. Na questo do sigilo de documentos, convm
acompanhar se os critrios defnidos esto sendo implementados e se so aderentes legis-
lao em vigor.
5.4 Cultura de segurana
Devem ser produzidos materiais para divulgao e disseminao da cultura de segurana
da informao. um trabalho que possibilita internalizar entre todos os atores a necessidade
de constante ateno aos ativos de informao, como uma forma de proteger o patrimnio e
o prprio negcio pblico ou privado. Deve-se aplicar o princpio do need to know como a
regra geral de segurana (Organisation for Economic Co-operation and Development, 2002).
Este princpio indica que uma informao deve ser acessvel apenas queles que tem necessi-
dade de conhec-la. Cabe ressaltar a controvrsia que segue este preceito quando tratando de
informao gerida por rgo pblico, em contraste com o preceito da transparncia.
5.5 Pesquisa sobre Incidentes
A organizao deve providenciar constantes pesquisas sobre incidentes e falhas de segu-
rana. Faz parte da gesto da segurana promover uma constante investigao nos ativos de
informao, formulando novas programaes de auditoria. Essa atividade tambm deve pro-
mover novas solues de segurana para as novas ameaas e vulnerabilidades descobertas,
bem como avaliar se necessria a continuidade de aplicao de controles antigos.
25
5.6 Sistema de Segurana
O sistema de segurana da informao deve funcionar de acordo com a poltica de segu-
rana implantada, e estar em constante atualizao. Ver ISO/IEC 27001 (ABNT, 2006).
5.7 Registros de auditoria
Manter registros para fns de auditoria uma atividade crucial para que exista auditoria. A
ISO/IEC 27002:2005 (item 10.10.1) lista vrios objetivos de controles para tecnologia da infor-
mao, adaptados na sequncia abaixo, a saber:
5.7.1 Todos os usurios devem ser identifcados. Nesse caso, o que mais interessa re-
gistrar o acesso de novos usurios e observar mudanas no status de antigos usurios.
5.7.2 Cada detalhe de eventos-chave, como a entrada de pessoas, sejam nas instala-
es sejam em sistemas registrado com hora e data. A sada de pessoas de instala-
es crticas tambm deve ser registrada igualmente.
5.7.3 Alteraes em confguraes dos sistemas devem ser registradas. Uma ferra-
menta de gesto de mudanas e versionamento poder capturar essas alteraes.
5.7.4 O acesso a arquivos nos bancos de dados precisa ser registrado. Uma forma de
facilitar a auditoria ter um nico administrador do banco ou muito poucos. Qual-
quer problema pode ser rastreado de volta ao seus autores ou responsveis.
5.7.5 Cada pessoa deve ter privilgios de acesso bem defnidos. O uso desses privil-
gios deve ser registrado e acompanhado.
5.7.6 Todas as tentativas de acesso a qualquer objeto de auditoria que foram rejeita-
das devem ser registradas para verifcao.
5.8 Plano Diretor de Tecnologia da Informao (PDTI)
Pressupe-se que o PDTI foi previsto na poltica de segurana como fonte privilegiada de
objetos de auditoria a serem tratados. A Instruo Normativa 04/2008 da SLTI/MP defne carac-
tersticas de um PDTI na APF. Assim o plano deve:
5.8.1 Prever que a segurana dos dados armazenados e em fuxo sejam previstas nos
sistemas desde o incio
5.8.2 Apresentar parmetros de segurana para os sistemas de informao a serem
desenvolvidos ou mantidos e os respectivos processos dos quais eles faro parte. Para
mais detalhes ver Fernandes (2010a) e Veneziano (2010).
5.8.3 Estabelecer os critrios para aquisio de hardware, software e servios. Neste
caso o documento deve fazer referncia a normas expedidas pelo governo federal.
Para mais detalhes ver Rodrigues (2010).
5.8.4 Defnir quais perfs de recursos humanos so necessrios e a quantidade de pes-
soas para os projetos previstos no plano.
5.8.5 Apresentar o oramento do custo da rea de tecnologia de informao apon-
tando o que custo de apoio e o que fnalstico e qual o percentual a ser investido
em segurana.
5.8.6 Defnir as prioridades de segurana dos sistemas ou processos a serem automa-
tizados com um cronograma estimativo. Para mais detalhes ver Fernandes (2010b)
5.8.7 Observar se os objetivos dos sistemas de informao esto alinhados com os
objetivos estratgicos e de segurana da organizao.
26
5.8.8 Padronizar relatrios gerenciais e sumrios de informaes para subsidiar a c-
pula da organizao em seus processos decisrios.
Os pontos de controle apresentados no esgotam todas as possibilidades. O importante
fcar claro que uma auditoria de gesto permite verifcar que a segurana est sendo ad-
ministrada a contento. A ideia manter uma gesto qualifcada sem a qual no tem sentido
montar um sistema de segurana da informao, pois so muitos e diversos os instrumentos
e os controles que so utilizados. O TCU (1998) chama os controles dessa auditoria de con-
troles organizacionais. Aquele Tribunal incorpora como pontos de controle a poltica de se-
gurana, procedimentos e estruturas organizacionais, s para citar alguns. Tambm se inclui
nessa auditoria as pessoas que fazem parte dos processos de gesto da segurana. Controles
para admisso de pessoas podem ser encontradas tambm na ISO/IEC 27002:2005 e podem se
adotados como parte da auditoria de gesto. Observar que a 27002, na realidade, procura, de
forma coordenada com a ISO/IEC 27001:2006, montar um Sistema de Gesto de Segurana da
Informao (SGSI), conceito que tambm compartilhado pelos autores, mas que s possvel
em organizaes com nvel elevado de maturidade em segurana.
27
6. Auditoria de Desempenho Operacional
de Segurana da Informao
A Auditoria de Desempenho Operacional visa verifcar principalmente parmetros de ef-
cincia, efccia e efetividade, mas no est restrita a isso. Conforme defnido no Manual de
Auditoria de Natureza Operacional do TCU (2000), o objetivo desta auditoria : examinar a
ao governamental quanto aos aspectos da economicidade, efcincia e efccia, enquanto a
avaliao de programa busca examinar a efetividade dos programas e projetos governamentais..
Na medida que os pontos de controles so implantados, a auditoria de desempenho opera-
cional deve se certifcar de que os mesmos so efetivos (resolvem o problema) diante do que
se espera em termos de nvel de segurana. Observe que a auditoria operacional tambm se
preocupa se os controles que se defniu so robustos frente s vulnerabilidades e ameaas
diagnosticadas numa anlise/avaliao de riscos.
O sentido que este texto d auditoria de desempenho operacional que esta faz um
exame detalhado das operaes de segurana implantadas na organizao. Para apresentar al-
guns controles, sem exaurir as possibilidades, se usa uma categorizao clssica que os autores
consideram ainda til, dada a quantidade de documentao de melhores prticas e propostas
diversas, e baseada nas reas de: (i) segurana fsica, (ii) segurana lgica, (iii) segurana de
dados, (iv) segurana de usurios, (v) segurana de redes, (vi) efcincia da segurana e (vii)
efccia da segurana. Usamos como base a estrutura da Figura 2.
6.1 Segurana Fsica
Corresponde s seguintes diretrizes para controle de acesso a objetos que direta ou indi-
retamente se relacionam com os ativos de informao. Fonte: ISO/IEC 27002 (ABNT, 2005), com
adaptaes. Ver tambm Vidal (2010) e Arajo (2010).
6.1.1 preciso defnir claramente os permetros de segurana. Esse permetro precisa
ser revisto para sempre cobrir o espao fsico onde se encontram ativos de informa-
o que podem ser alvo de ameaas.
6.1.2 preciso construir uma rea de recepo para que se tenha um acesso contro-
lado s instalaes da organizao, considerando uma ameaa qualquer acesso no
autorizado por outras entradas ou sadas devidamente restritas.
6.1.3 preciso implantar barreiras fsicas para impedir acesso no autorizado a per-
metros de segurana ou a reas especfcas demarcadas como tal.
6.1.4 Todas as portas corta-fogo devem ter alarmes e o material devem estar de acor-
do com normas internacionais de resistncia a incndios.
6.1.5 Todas as salas devem ter sistema de deteco de intrusos e todas as entradas e
sadas das instalaes devem estar o tempo todo protegidas.
6.1.6 As instalaes de processamento de informao gerenciadas pela organizao
devem fcar fsicamente separadas daquelas que so gerenciadas por terceiros.
6.1.7 Devem existir procedimentos especiais para segurana fsica do parque de ser-
vidores:
6.1.7.1 Controle de acesso a instalaes dos computadores principais e seus peri-
fricos, somente para pessoas autorizadas.
6.1.7.2 Controle de acesso a dispositivos de redes, tais como roteadores, switches,
Hubs, com sistema de deteco de intrusos.
6.1.7.3 Controle de acesso a servidores, somente por administradores.
6.1.8 Devem existir procedimentos especiais para controle de acesso a backups, em dis-
positivos magnticos ou no, devem ser implantados e rigorosamente controlados.
6.1.9 Deve existir controle sobre armazenamento em pendrives ou qualquer dispositi-
vo mvel por meio de alerta de segurana contra cpias no autorizadas.
28
6.1.10 Todas as comunicaes com os dispositivos que acessam a rede interna da or-
ganizao devem ser criptografadas utilizando os protocolos adequados.
6.2 Segurana Lgica
A segurana lgica compreende diretrizes de controle para os ativos intangveis que in-
cluem sistemas e informao. Para mais detalhes para desenvolvimento de sistemas seguros,
ver Holanda e Fernandes (2011), OWASP (2011), Imoniana (2005), Mair, Wood e Davis (1978),
alm de Schmidt, Alencar e Villar (2007). So listados alguns pontos de controle, a saber:
6.2.1 Sistemas de informao
A auditoria de sistemas visa verifcar problemas de processamento de dados e se as infor-
maes produzidas por esses sistemas so corretas e oportunas. Deve-se ento:
6.2.1.1 Implementar sistemas corporativos utilizando a linguagem LL (deve ser escolhi-
da como padro) e o banco de dados BD (deve ser escolhido como banco corporativo).
6.2.1.2 Implementar pginas WEB utilizando a ltima verso atualizada de javascript
ou linguagem WEB orientada a objetos (apenas exemplos).
6.2.1.3 Absoluta ateno a cdigos que podem conter vulnerabilidades que permi-
tem invaso, por exemplo, por meio de SQL injection, pois devem ser controlados.
6.2.1.4 Todos os sistemas, programas, scripts, folhas de estilo etc devem ser versiona-
dos e com autoria devidamente registrada.
6.2.1.5 Processamento (condicional): verifcar a criao de novos dados (registros, ob-
jetos etc).
6.2.1.6 Processamento (clculo): verifcar o desempenho dos clculos matemticos
nos sistemas, pois podem gerar informaes erradas.
6.2.1.7 Processamento (clculo): verifcar mudanas de valores em tabelas de banco
de dados ou arquivos.
6.2.1.8 Processamento (atualizao): verifcar mudanas de dados em arquivos ou
banco de dados por meio de incluso, atualizao ou eliminao.
6.2.1.9 Processamento (condio): examinar dados usando lgica ou testes de condi-
es, para identifcar similaridades ou diferenas.
6.2.1.10 Transcrio: verifcar cpia de dados de uma mdia para outra colocando o
devido rtulo com classifcao de segurana.
6.2.1.11 Ordenamento: colocar itens de dados em ordem ou sequncia.
6.2.1.12 Transmisso: movimentao de dados de um lugar para outro via meios de
comunicao disponveis.
6.2.2 Verifcar que os programas de computador so concebidos de acordo com me-
todologias de roteirizao que favorecem a construo de sistemas seguros, com es-
pecial ateno a software para a WEB (OWASP, 2011).
6.2.3 Assegurar que programas ou sistemas novos no sejam colocados em produo
sem teste e homologao. e
6.2.4 Verifcar que as rotinas de funcionamento de procedimentos de teste de siste-
mas e programas esto em pleno uso.
29
6.3 Acessos dos Usurios
Sistemas de informao podem ser acessados por um grande nmero de usurios que
precisam ser controlados para responsabilizao em caso de danos s pessoas e ao patrimnio
pblico. So candidatos a pontos de controle:
6.3.1 Credenciais nicas que devem ser atribudas a usurios individuais. Credenciais
devem conter uma combinao de alguns requisitos a serem atendidos pelo usurio,
como segue:
6.3.1.1 Identifcar quem o usurio (nome, ID etc).
6.3.1.2 Verifcar alguma coisa que o usurio sabe (cdigo secreto, senha).
6.3.1.3 Verifcar onde o usurio est (reconhece local do usurio). e
6.3.1.4 Verifcar alguma coisa que o usurio tem.
6.3.1.5 Verifcar alguma coisa que o usurio (biometria).
6.3.2 Implantao de dispositivos biomtricos para verifcao automtica de identi-
dade baseados em caractersticas fsicas do usurio como digitais, iris etc.
6.3.3 Deve existir uma nica forma de acesso lgico aos sistemas de uma organizao,
mesmo que sejam sistemas diferentes, integrados ou no.
6.3.4 Cada usurio deve ser responsabilizado por aquilo que realiza com suas creden-
ciais. Isso inclui inclusive tcnicos que alterem confguraes de hardware e software
(ver texto complementar a seguir).
6.3.5 A rea de segurana da informao deve ser informada a respeito dos desliga-
mentos dos funcionrios para que suas credenciais sejam desativadas.
6.3.6 A rea de gesto de pessoas deve saber sobre os usurios que acessam os seus
dados e o nveis de acesso atribudos a esses usurios.
6.3.7 Acesso a programas utilitrios que possam modifcar dados corporativos deve
estar absolutamente estrito a pessoas da rea de Tecnologia e ao usurio responsvel.
6.3.8 Devem ser realizadas varreduras peridicas de atributos de acesso, principalmente
sobre aqueles usurios que esto com acesso ilimitado a um ou mais ativos de informao.
Texto Complementar | Ministrio da Educao, e-MEC, Termo de Compromisso de Usurio
Cdigo de Conduta do Usurio
Efetuo, por meio deste compromisso, a solicitao de acesso ao sistema E-MEC, assumindo os encargos legais
decorrentes do compromisso frmado e declaro estar de acordo com as seguintes condies que integram o
presente termo: de minha exclusiva responsabilidade a observncia dos prazos para insero de dados ou
demais providncias de sua competncia; so de minha exclusiva responsabilidade as informaes inseridas
no sistema, assumo-as como verdadeiras, nos termos do art. 219 do Cdigo Civil, assim como o uso do acesso
ao sistema, incluindo qualquer transao efetuada, no cabendo ao provedor do sistema responsabilidade por
eventuais danos decorrentes do uso indevido do acesso, ainda que por terceiros; o acesso ao sistema dado,
mediante atribuio de identifcao e senha, pessoal e intransfervel, salvo os casos de delegao admitidos,
conforme disposto nos Arts. 12 a 14 da Lei no 9.784, de 1999; estou obrigado a informar imediatamente
ao provedor do sistema a perda da chave de acesso ou da senha ou a quebra de seu sigilo para bloqueio do
acesso; deverei dar o tratamento adequado s informaes acessadas, com ateno s restries sobre sigilo,
mantendo-o quanto s informaes obtidas sobre a instituio e seus cursos, evitando conceder entrevistas ou
outras formas de exposio na mdia e utilizarei as informaes coletadas somente para os objetivos da fase de
tramitao do processo para a qual foi designado; assumo a responsabilidade pelos atos praticados mediante
o acesso ao sistema, ainda que por terceiros at que o acesso seja bloqueado, tendo em vista as penalidades
em caso de prtica de atos ilcitos previstos na legislao penal e cvel; tenho conhecimento de que os dados
inseridos no sistema sero de conhecimento pblico, com exceo dos dados discriminados nos incisos III e IV
do art. 16 do Decreto no. 5.773, de 2006, com o que concordo expressamente (...)
30
6.4 Segurana de dados
Devem ser examinadas diversas possibilidades de violao de dados quanto sua integri-
dade, disponibilidade e confdencialidade.
6.4.1 Deve existir um grupo muito restrito de administradores de banco de dados,
cujas aes devem ser monitoradas.
6.4.2 Deve existir uma estratgia defnida para utilizao dos bancos de dados por
sistemas de informao, pessoas ou programas.
6.4.3 Se deve manter rigoroso sigilo sobre informaes sensveis da organizao, utili-
zando recursos de proteo automtica ou manuais para dados operacionais sensveis.
6.4.4 Ocorrncia de perda de dados deve ser investigada, pois pode ser sintoma de
ameaas aos ativos de informao: sabotagens, invases, engenharia social etc.
6.4.5 Ocorrncia de destruio de arquivos deve ser investigada, pois pode signifcar
imprudncia do responsvel ou at sabotagem e fraudes.
6.4.6 Verifcar ocorrncia de falhas de hardware que provoquem erros de processa-
mento, de informaes erradas ou de distoro de integridade de dados.
6.4.7 Erro de entrada de dados. Esse um dos eventos relacionados tambm a usu-
rios. Os programas de entrada de dados permitem erros que sujam os bancos de
dados tendo refexo na qualidade das informaes produzidas. A elevada superfcie
de exposio de aplicaes de governo eletrnico Internet demanda que este pon-
to de controle seja profundamente investigado.
6.4.8 Backups peridicos dos dados que devem ser realizados de acordo com um pla-
nejamento prvio e critrios diferenciados para diferentes graus de sensibilidade das
informaes.
6.4.9 Contas de usurios que acessam diretamente os bancos de dados ou por meio
de utilitrios em situao privilegiada devem ser observadas.
6.4.10 Atualizar os bancos de dados com as novas verses mais seguras. Ficar atento
lista de vulnerabilidades de cada verso, por meio de consulta peridica a bases de
dados de vulnerabilidades.
6.5 Efcincia da Segurana
Parmetros de medida de efcincia podem indicar problemas de segurana ou sua imi-
nncia. Na lista abaixo so apresentados fortes candidatos a ponto de controle.
6.5.1 Tempo mdio para reparo (MTTR - Mean Time to Repair). O MTTR identifca o
lapso temporal mdio entre o momento em que surgem a indisponibilidade de um
servio e o tempo que o servio foi restaurado. O MTTR um indicador de desempe-
nho em horas e valores altos podem ser responsveis por insatisfaes gerais durante
a prestao de servio.
6.5.2 Tempo mdio entre falhas (MTBF Mean Time Between Failures). Indicador cls-
sico, que consiste em identifcar o tempo mdio de disponibilidade dos servios, sem
a ocorrncia de falhas. possvel assim medir o grau de disponibilidade dos ativos.
6.5.3 Tempo mdio entre o aparecimento de um problema ou incidente e sua comu-
nicao ao Service Desk. preciso auditar os procedimentos que levam os problemas
e incidentes a serem conhecidos pela organizao. Esse tempo pode ser reduzido a
zero se existirem sistemas automatizados que os detectam, usualmente chamados
de monitores.
6.5.4 Razo entre a quantidade de vezes que um procedimento operacional de segu-
rana foi realizado e quantidade de vezes que o mesmo deveria ter sido executado.
31
Permite verifcar que os procedimentos operacionais esto sendo executados na pe-
riodicidade defnida.
6.5.5 Percentual de sistemas cujos requisitos de segurana no esto sendo atendi-
dos. Permite avaliar o sucesso da implantao de normas e polticas de segurana da
informao e remete, para cada caso, no aprofundamento do porqu das regras no
estarem sendo atendidas.
6.5.6 Percentual de incidentes causados por violaes ou falhas de segurana. Anali-
sar o volume de incidentes provenientes de problemas na implantao de polticas
de segurana. Como ser abordado na Seo 11, a prpria auditoria pode ser objeto
de auditoria.
6.5.7 Percentual de indicadores incorretos por servio de segurana. Visa verifcar que o
nvel de erro dos indicadores de cada servio de segurana implantados na organizao.
6.5.8 Dados os indicadores de segurana estabelecidos, um indicador de efcincia
calcular o tempo mdio para anlise dos indicadores dos servios, a fm de verifcar o
desempenho da atividade.
6.5.9 Quantidade de indicadores avaliados no perodo. Verifcar o cumprimento da
anlise de indicadores pela equipe de segurana da informao.
6.5.10 Quantidade de propostas de melhoria de servios produzidos no perodo. Veri-
fcar a execuo da atividade de anlise de servios e propostas de melhoria.
6.5.11 Quantidade de duplicidades de procedimentos e de resultados etc.
6.6 Efccia da Segurana
A efccia da segurana diz respeito aos resultados esperados defnidos no plano seguran-
a em curso. O objetivo saber se os ativos de informao esto mais ou menos seguros aps
implantados os controles de segurana da informao. So candidatos a ponto de controle:
6.6.1 Quantidade de informaes geradas por usurio em relao a um nvel esperado
de volume de informaes para um perfl especfco.
6.6.2 Tempo mdio de atendimento aps um alarme de segurana ser disparado, en-
volvendo efetivao dos procedimentos de contingncia ou de providncias prede-
fnidas.
6.6.3 Tempo mdio para a soluo de um problema de segurana, provida pela equi-
pe de segurana da informao.
6.6.4 Percepo do usurio a respeito dos mecanismo de segurana implantados, en-
quanto garantia de segurana de que seus dados no esto sendo violados.
6.7 Segurana de redes
A segurana de redes se preocupa com os riscos a segurana das redes de comunicao.
Foram adaptados de Nakamura (Nakamura, 2009) os seguintes pontos de controle ou reco-
mendaes:
6.7.1 Acesso a computadores e a sistemas de informao utilizando celular deve ser
protegido com a ltima verso de algoritmo de encriptao.
6.7.2 Redes sem fo devem ser protegidas usando o protocolo mais seguro e j relati-
vamente bem testado no mercado.
6.7.3 Acesso remoto a computadores protegido com protocolo de segurana Secure
Socket Layer (SSL) ou seu equivalente mais atualizado.
32
6.7.4 Acesso remoto a servios no pblicos absolutamente controlado e somente
para sistemas especfcos.
6.7.5 Redes virtuais privadas (VPN) devem usar IPSEC.
6.7.6 Acesso a servios crticos devem ser baseado no uso de certifcado digital.
6.7.7 Confgurao do frewall deve ser controlada.
6.7.8 Controle de acesso lgico ao ambiente.
6.7.9 Proteo dos dados armazenados na rede por meio de criptografa.
6.7.10 Proteo de cabos da rede. Necessidade de cuidados com o acesso de pessoas
a quadros de rede ou caixas de proteo (Schmidt et alli, 2006).
6.7.11 Rotinas adequadas de proteo e controle do fuxo de dados com devida ob-
servncia da sazonalidade dos eventos.
6.7.12 Uso de protocolos adequados criticidade dos sistemas de informao.
6.7.13 Existncia de analisadores de protocolos adequados para verifcao de uso
de portas.
6.7.14 Equipamentos de rede catalogados e protegidos fsicamente.
Novamente cabe destacar que a lista no exaustiva, e que a todos os itens deve ser dada
ateno conforme as necessidades de proteo da organizao. Cada objeto de auditoria pode
ser desmembrado em pontos de controle ainda mais detalhados. A Seo 9 apresenta um
modelo de investigao desses objetos com seus respectivos pontos de controle, detalhando
ainda mais o modelo da Figura 2.
33
7. Auditoria de Conformidade
A Auditoria de Conformidade em segurana da informao tem o propsito de verifcar que
as informaes produzidas pela organizao, seja por sistemas computacionais ou por registros
manuais, esto em conformidade com os padres de segurana defnidos em documentos nor-
mativos reconhecidos. Dado que se est tratando de organizaes que se apoiam fortemente
em sistemas computacionais, esse tipo de auditoria centra em procedimentos para verifcar que
recursos tecnolgicos, ou que as informaes produzidas por sistemas computacionais ou arma-
zenadas em banco de dados esto em conformidade com os normativos. Observe que se inclui,
no caso do servio pblico, o arcabouo legal referente rea de segurana (ver anexo I).
Segundo Juran e outros (1990), quando tratando de auditorias na rea da qualidade, uma
auditoria de conformidade uma auditoria que examina se aquilo que est sendo auditado est
de acordo com as especifcaes de produtos e servios. Esse texto segue analogamente a mes-
ma ideia, no sentido de que a auditoria de conformidade examina se os objetos de auditoria de
segurana da informao esto de acordo com as especifcaes dos servios ou bens relaciona-
dos segurana da informao, desde que essas especifcaes, materializadas em normas, es-
tejam homologadas pela gesto. Tais especifcaes podem estar em qualquer documento que
tenha como propsito a padronizao, o que inclui documentos externos organizao pblica.
7.1 Normas da Administrao Pblica Federal
A poltica de segurana de informao o documento mais importante de referncia para
a auditoria de conformidade, mas est subordinada aos decretos e portarias expedidas por r-
gos pblicos que tem funo normativa, como: Departamento de Segurana da Informao e
Comunicaes do Gabinete de Segurana Institucional da Presidncia da Repblica; Secretaria
de Logstica e Tecnologia da Informao do Ministrio do Planejamento Oramento e Gesto;
Controladoria Geral da Unio; Tribunal de Contas da Unio, alm do arcabouo de Leis e Decre-
tos, compilados por Vieira (2009) e ABIN (2011), a ttulo de exemplo.
7.1.1 Normas do DSIC Departamento de Segurana da
Informao e Comunicaes
O DSIC/GSIPR, em especial, produziu diversas normas relacionadas com a gesto da segu-
rana da informao nos ltimos trs anos e que so:
Instruo Normativa GSI/PR n 1, de 13 de junho de 2008, que Disciplina a Gesto de
Segurana da Informao e Comunicaes na Administrao Pblica Federal, direta e indireta,
e d outras providncias.
01/IN01/DSIC/GSIPR, de 13 de outubro de 2008, que estabelece critrios e procedi-
mentos para elaborao, atualizao, alterao, aprovao e publicao de normas
complementares sobre Gesto de Segurana da Informao e Comunicaes, no m-
bito da Administrao Pblica Federal, direta e indireta.
02/IN01/DSIC/GSIPR, de 13 de outubro de 2008, que defne a metodologia de gesto
de segurana da informao e comunicaes utilizada pelos rgos e entidades da
Administrao Pblica Federal, direta e indireta.
03/IN01/DSIC/GSIPR, de 30 de junho de 2009, que estabelece diretrizes, critrios e
procedimentos para elaborao, institucionalizao, divulgao e atualizao da Pol-
tica de Segurana da Informao e Comunicaes (POSIC) nos rgos e entidades da
Administrao Pblica Federal, direta e indireta APF.
04/IN01/DSIC/GSIPR, de 14 de agosto de 2009, que estabelece diretrizes para o pro-
cesso de Gesto de Riscos de Segurana da Informao e Comunicaes GRSIC nos
rgos ou entidades da Administrao Pblica Federal, direta e indireta APF.
34
05/IN01/DSIC/GSIPR, de 14 de agosto de 2009, que disciplina a criao de Equipe de
Tratamento e Resposta a Incidentes em Redes Computacionais ETIR nos rgos e
entidades da Administrao Pblica Federal, direta e indireta APF.
06/IN01/DSIC/GSIPR, de 11 de novembro de 2009, que estabelece diretrizes para Ges-
to de Continuidade de Negcios, nos aspectos relacionados Segurana da Infor-
mao e Comunicaes, nos rgos e entidades da Administrao Pblica Federal,
direta e indireta APF.
07/IN01/DSIC/GSIPR, de 6 de maio de 2010, que estabelece diretrizes para implemen-
tao de controles de acesso relativos Segurana da Informao e Comunicaes
nos rgos e entidades da Administrao Pblica Federal, direta e indireta APF.
08/IN01/DSIC/GSIPR, de 19 de agosto de 2010, que disciplina o gerenciamento de
Incidentes de Segurana em Redes de Computadores realizado pelas Equipes de Tra-
tamento e Resposta a Incidentes de Segurana em Redes Computacionais - ETIR dos
rgos e entidades da Administrao Pblica Federal, direta e indireta - APF.
A obedincia ao conjunto de normas do DSIC tende a ser a principal direcionadora das
auditorias de segurana da informao nos prximos anos.
7.1.2 Normas do Ministrio do Planejamento
Tambm importante destacar a IN 04 da SLTI/MP, de 19 de maio de 2008, que Dispe
sobre o processo de contratao de servios de Tecnologia da Informao pela Administrao
Pblica Federal direta, autrquica e fundacional, incluindo a necessidade de aprovao de
um Plano Diretor de Tecnologia da Informao para que seja feita a contratao de servios. O
planejamento de TI uma importante fonte de informaes sobre estratgias de sistemas de
informao, e, portanto, critrios para auditoria e gesto de riscos.
7.1.3 Tribunal de Contas da Unio
No caso do TCU - Tribunal de Contas da Unio, digno de nota a jurisprudncia do rgo
acerca do tema segurana da informao, subordinado ao tema Tecnologia da Informao,
conforme ilustra a rvore de conhecimento mostrada na Figura 4.
Figura 4. rvore de conhecimento da Jurisprudncia Sistematizada do TCU. Fonte: www.tcu.gov.br.
35
7.1.4 CGU Controladoria Geral da Unio
Os manuais e normas de funcionamento do controle interno, produzidos pela CGU def-
nem um arcabouo geral de auditoria na APF, e devem ser observados na criao de qualquer
programa de auditorias. Para introduo o leitor remetido aos trabalhos de Rocha (2008a) e
Rocha (2008b).
7.1.5 Arquivos Pblicos
H que se destacar arcabouo normativo j desenvolvido no Brasil acerca do tratamen-
to dos arquivos nacionais, na forma de Leis e Decretos, como a Lei 8159 de 08/01/1991, que
dispe sobre a Poltica Nacional de Arquivos Pblicos e Privados e d outras providncias. No
que se refere gesto dos arquivos correntes das organizaes pblicas, existem implicaes
diretamente relacionadas com a segurana da informao, que precisariam ser mais profun-
damente avaliadas.
7.2 Propsitos e Limitaes da Auditoria de
Conformidade
Uma limitao de auditorias de conformidade que elas apenas constatam nveis de ade-
rncia a normas ou especifcaes. No funo de uma auditoria de conformidade ter certeza
de que aquilo que est em conformidade efcaz ou mesmo efetivo. Para isso seria necessrio
desenhar uma auditoria de desempenho operacional, para saber se os padres de segurana
das informaes esto de fato protegendo os ativos de informao.
Assim, esse texto delimita auditoria de conformidade como tendo os seguintes propsitos:
a. examinar se os procedimentos de segurana da informao atendem aos requi-
sitos que esto especifcados na poltica de segurana da informao e outros
documentos derivados dela, bem como ao arcabouo normativo vigente em n-
veis superiores organizao auditada. Aqui convm acessar, alm do arcabouo
normativo, as diretrizes da ISO/IEC 27002:2005, no item 15.2.1, mostrado na caixa
abaixo como texto complementar.
TEXTO COMPLEMENTAR
15.2.1 conformidade com as polticas e normas de segurana de informao (ISO/IEC 27002:2005)
Controle
Convm que gestores garantam que todos os procedimentos de segurana da informao dentro de sua rea
de responsabilidade esto sendo executados corretamente para atender s normas e polticas de segurana da
informao.
Diretrizes de implementao
Convm que os gestores analisem criticamente, a intervalos regulares, a conformidade do processamento da
informao dentro de sua rea de responsabilidades com as polticas de segurana da informao, normas ou
qualquer outros requisitos de segurana.
Se qualquer no-conformidade for encontrada como um resultado da anlise crtica, convm que os gesto-
res:
a) determinem as causas da no-conformidade;
b) avaliem a necessidade de aes para assegurar que a no-conformidade se repita
c) determinem e implementem ao corretiva apropriada;
d) analisem criticamente a ao corretiva tomada.
()
36
b. verifcar que as documentaes expedidas que tratam de ativos crticos ou sens-
veis obedecem ao decreto 4553/02 quanto classifcao de nveis de sigilo ou a
outros regulamentos como uma portaria do prprio rgo que trate do assunto
de forma mais especfca; e
c. Verifcar que todos os procedimentos de segurana, sejam de gesto, sejam ope-
racionais, obedecem a padres de segurana especifcados.
7.3 Documentos de referncia e objetos de controle
A auditoria de conformidade de segurana da informao deve examinar todos os tipos de
documentos relacionados aos ativos de informao (MAIR ET AL, 1974). No entanto, documentos
tcnicos s podem servir como referncia se forem considerados como normas tcnicas.
Se uma auditoria de sistemas de informao tiver como propsito a conformidade, alguns
dos seguintes documentos merecem ateno:
Documentos de metodologias de desenvolvimento de sistemas adotadas pela orga-
nizao. Pode-se verifcar o seguimento de metodologias tanto como auditoria de
conformidade, como enquanto parte de um auditoria de desempenho operacional.
Note que o arcabouo metodolgico da segurana da informao na APF normati-
zado pelo DSIC/GSIPR.
Documentos de projetos considerados crticos ao negcio e que precisam ser prote-
gidos de acordo com critrios aprovados pela alta direo. O prprio documento
objeto de auditoria.
Oramentos detalhados de projetos sigilosos. Um caso tpico o oramento da rea
militar e de rgos de inteligncia.
Manual de versionamento e arquivamento de documentos. Servem para averiguar se
a documentao est de acordo com as instrues para sua elaborao.
Um auditor de conformidade tambm no se envolve na gesto da segurana (auditoria
de gesto), nem na implementao da segurana ou no seu funcionamento (auditoria ope-
racional). Deve ser mantido o princpio da segregao de funes, que j mencionamos aqui.
Baseado nesses princpios, os seguintes objetos de controle, no exaustivos, podem ser
usados como referncia de auditoria de conformidade de segurana da informao.
Normativos expedidos por rgos de controle e normatizao da esfera federal. GSI-
PR, MPOG, CGU e TCU.
Melhores prticas como a ISO/IEC 27002, CMMI, COBIT e ITIL.
Se no mbito da organizao no esto em usos esses padres ou melhores prticas en-
to a organizao pode criar suas prprias normas de segurana da informao, que sob o
ponto de vista metodolgico, estaro subordinadas s normas do DSIC/GSIPR. Essas normas
devem estar referidas em uma poltica de segurana da informao vlida para toda organiza-
o, como j discutido.
A poltica de segurana da informao, para verifcar que as atualizaes das estrat-
gias de segurana da informao ali previstas esto sendo seguidas;
Os contratos com empresas de segurana, de onde deve se examinar procedimentos
realizados com aqueles previstos em contrato ou na poltica de segurana que a em-
presa concordou em seguir,
Os procedimentos de segurana j padronizados, de onde se deve procurar diver-
gncias entre o que foi auditado e o que est prescrito nas normas em que os proce-
dimentos esto inscritos. Tais divergncias so tradicionalmente chamadas de no-
-conformidades.
Requisitos. Tanto os requisitos de segurana de informao quanto de sistemas de
informao devem ser homologados ou formalizados em contratos.
37
Normas de propriedade intelectual, so tambm referncias importantes, pois a que-
bra de propriedade intelectual pode gerar uma insegurana jurdica, o que pode levar
a indisponibilidade de servios.
Normas de atualizao e reteno de backups. As unidades de armazenamento po-
dem ser inspecionadas para verifcao.
Chaves Pblicas. Verifcar que os mecanismos de chave pblica esto sendo utilizados
de acordo com a ICP-Brasil para os casos assim exigidos.
Texto Complementar
Um modelo de poltica de segurana da informao
Politica de Segurana da Informao
Art. 1. Entende-se por Poltica de Segurana da Informao o conjunto de princpios, orientaes e regras
formalmente declaradas a respeito do que deve ser seguido em termos de segurana dos ativos de informao.
Art. 2. Considera-se ativos de informao todos os recursos tecnolgicos que incluem documentos, dados e
sistemas, procedimentos e processos, necessrios ao atendimento das necessidades de negcio da organizao.
Art. 3. Esta poltica de segurana da informao tem o propsito de:
i) subsidiar o processo decisrio quanto a riscos envolvidos com os ativos de informao e seu impacto
nos negcios;
ii) traduzir em normas consensuadas as solues de segurana defnidas no comit de segurana da informao;
iii) consolidar, a partir das diretrizes estabelecidas, uma estratgia de atuao que implemente as solues
de segurana selecionadas;
iv) orientar quanto s tratativas adequadas para abordar questes emergenciais relativas a segurana da
informao materializadas em planos de contingncia;
v) ser instrumento norteador das aes de segurana da informao com abrangncia por toda organiza-
o aos parceiros.
Art. 4. Os pressupostos dessa poltica so
i) conformidade com o regimento interno da organizao;
ii) regras e normas alinhadas com a misso e objetivos organizacionais;
iii) existncia de trabalho cooperao com forte vis de integrao dos diversos atores envolvidos com
segurana de ativos de informao;
iv) registro de permanente de ameaas e vulnerabilidades superadas a aquelas a que a organizao perma-
nece sujeita;
Pargrafo nico. Mudanas neste documento s podero ser realizadas pelo comit de segurana da infor-
mao a e aprovadas pela alta direo.
Art 5. Dever se disponibilizado e divulgado para toda a organizao um conjunto de orientaes quanto ao
ativos de informao.
Pargrafo nico. Em atendimento ao caput deste artigo devero ser criadas regras que regulem ativos de
informao quanto a:
i) coleta de informaes;
ii) armazenamento de dados;
iii) publicao de informao;
iv) classifcao de documentos;
v) sistemas de informao;
vi) processamento de dados;
vii) acesso fsico;
viii) acesso lgico;
ix) fuxo de dados e documentos;
x) distribuio;
xi) formatao.
()
38
7.4 Classifcao de Documentos e da Informao
Um item essencial da auditoria de conformidade o que concerne classifcao de
documentos. Quando se est trabalhando com segurana de informao de governo, a refe-
rncia para verifcao de conformidade se confunde com auditoria de legalidade. O Decreto
N 4.553, de DE 27 DE DEZEMBRO DE 2002 dispe sobre a salvaguarda de dados, informaes,
documentos e materiais sigilosos de interesse da segurana da sociedade e do Estado, no mbito
da Administrao Pblica Federal. Esse decreto pode auxiliar o gestor na defnio de critrios de
classifcao de dados nas organizaes pblicas. O grau de sigilo dado conforme (...) gradao
atribuda a dados, informaes, rea ou instalao considerados sigilosos em decorrncia de sua
natureza ou contedo; . O decreto cria as seguintes classifcaes de documentos:
i) OSTENSIVOS: sem classifcao, cujo acesso pode ser franqueado a qualquer interessado;
ii) RESERVADOS: dados ou informaes cuja revelao no autorizada possa compro-
meter planos, operaes ou objetivos neles previstos ou referidos.
iii) CONFIDENCIAIS: dados ou informaes que, no interesse do Poder Executivo e das
partes, devam ser de conhecimento restrito e cuja revelao no autorizada possa
frustrar seus objetivos ou acarretar dano segurana da sociedade e do Estado.
iv) SECRETOS: dentre outros, dados ou informaes referentes a sistemas, instalaes,
programas, projetos, planos ou operaes de interesse da defesa nacional, a assuntos
diplomticos e de inteligncia e a planos ou detalhes, programas ou instalaes estra-
tgicos, cujo conhecimento no autorizado possa acarretar dano grave segurana
da sociedade e do Estado.
v) ULTRA-SECRETOS: dentre outros, dados ou informaes referentes soberania e
integridade territorial nacionais, a planos e operaes militares, s relaes interna-
cionais do Pas, a projetos de pesquisa e desenvolvimento cientfco e tecnolgico
de interesse da defesa nacional e a programas econmicos, cujo conhecimento no
autorizado possa acarretar dano excepcionalmente grave segurana da sociedade
e do Estado.
7.5 Concluses
A auditoria de conformidade consiste ento em examinar se objetos ou aes realizados
ou em realizao esto de acordo com normas pr-estabelecidas. Essas normas geralmente de-
fnem padres de desempenho, de procedimentos, de processos, de execuo, de produtos de
sistemas e demais objetos ou aes que tm especifcaes normativas que servem de refern-
cia para exame da auditoria. As normas criam expectativas de que, uma vez seguida as regras,
haver maior previsibilidade de resultados proporcional ao grau de aderncia a esses padres.
39
8. Plano de Segurana da Informao
J foi mencionado anteriormente o plano de segurana da informao, que resultado de
um planejamento organizacional de segurana e tem como principal referncia a poltica de
segurana da informao. Esse plano identifca tarefas de segurana especfcas que devero
ser verifcadas por meio de planos ou programas de auditoria. Adicionalmente, essas tarefas
devem estar vinculadas a riscos associados, que devem ser eliminados ou controlados a um
nvel aceitvel. As atividades de segurana da informao devem ser especifcadas de forma
consistente e de acordo com os requisitos de gesto, das operaes e de conformidade.
Durante a fase de formulao do plano de segurana, devem ser conduzidos estudos so-
bre conceitos de segurana em geral e sobre as peculiaridades da segurana da informao
em particular, tpicos da organizao. Deve-se realizar uma anlise e avaliao dos riscos de
segurana da informao para, em seguida, se selecionar medidas que garantam a segurana
dos ativos de informao considerados sensveis. Dessa forma, as tarefas de segurana devem
guardar relao com esses ativos segundo critrios de nveis de riscos obtidos. A maior parte
destas tarefas est descrita e consequencia do desenvolvimento do um plano de tratamento
dos riscos, efetuado por um processo de gesto de riscos de segurana da informao.
8.1 Gesto de riscos
A gesto de riscos de segurana da informao, abordada por Fernandes (2010), consiste
em um processo contnuo e operacional, que busca antever a ocorrncia de eventos danosos
para os ativos de informao de uma organizao, a fm de controlar suas consequencias e
impactos, por meio da aplicao equilibrada de controles de segurana nessa organizao,
diante do seu perfl de riscos de segurana analisado.
A Figura 5 apresenta o modelo de gesto de riscos proposto pela norma ISO/IEC 27005:2008.
Figura 5. O processo de gesto do risco da ISO 27005:2008. Fonte: Fernandes (2010).
40
Segundo Fernandes (2010b), a gesto de riscos tem o efeito de tornar uma organizao
mais segura, isto , que possui um grau satisfatrio de garantia de que continuar a funcionar
adequadamente conforme suas caractersticas estabelecidas, mesmo na presena de eventos
negativos decor rentes da interao com agentes maliciosos ou na ocorrncia de eventos de-
correntes de aci dentes ou desastres de origem natural ou ambiental. Segurana signif ca con-
tinuar a cumprir seus objetivos de negcio, mesmo em face do sinistro. (Fernandes, 2010b).
A garantia de funcionamento da organizao decorre da implementao de um plano
de segurana da informao, cujo principal insumo o Plano de Tratamento do Risco (PTR),
produzido na fase de Tratamento do Risco (Ver Figura 4). O Tratamento do Risco ocorre aps
a Anlise e Avaliao do Risco, tambm chamada de Apreciao. Do Plano de Tratamento do
Risco deriva diretamente o Plano de Segurana da Informao, pois o primeiro precisa ser acei-
to pelo gestor da organizao na fase de Aceitao do Risco (Ver Figura 4). Uma vez aceito, o
Plano de Segurana passa a ser executado e continuamente monitorado e comunicado entre
os agentes que constituem a organizao.
O Quadro 2 apresenta um modelo de plano de tratamento do risco, usualmente desenvol-
vido na Fase de Tratamento do Risco na gesto do Risco.
Quadro 2. Esboo de um Plano de Tratamento do Risco. Adaptado do NIST 800-30 (NIST,
importante destacar que a gesto do risco se inicia (ver topo da Figura) com uma Defnio
do Contexto para a gesto do risco, na qual so defnidos os critrios para a gesto do risco. Para
detalhes sobre o processo geral descrito na fgura o leitor remetido a Fernandes (2010).
Conforme a ISO/IEC 27005:2008, os benefcios decorrentes da adoo de uma abordagem
de gesto de riscos aderente norma compreendem:
Riscos so identifcados.
Riscos so apreciados em termos de consequncias e chances de ocorrncia.
As chances e consequncias de riscos so comunicadas e compreendidas.
Uma ordem de prioridade para tratamento de riscos estabelecida.
Uma ordem de prioridade para reduo dos riscos estabelecida.
41
Os intervenientes so envolvidos em decises sobre riscos e mantidos informa dos
sobre o status da gesto de riscos.
O monitoramento dos riscos efetivo.
Os riscos e o processo de gerncia de riscos so monitorados e revistos regular mente.
Captura-se informao que permite a melhoria da abordagem de gesto de ris cos.
Os gerentes e o staf so educados sobre riscos e aes tomadas para mitig-los.
8.2 Critrios de auditoria
Outra caracterstica dos planos de segurana que eles devem ter critrios de auditoria
bem defnidos. E isso depende em parte das anlises e avaliaes de riscos realizadas na ges-
to do risco. Esses critrios, na realidade, so um conjunto de controles considerados adequa-
dos com os quais um auditor precisa trabalhar para busca de evidncias. Quando listados os
objetos de auditoria, especialmente numa auditoria de conformidade, no h considerao
para com os critrios e decises anteriormente envolvidas na escolha desses objetos, uma
vez que esses podem ser bastante complexos, tendo sido defnidos na gesto do risco. Mas o
fato que esses objetos de auditoria e os pontos de controle correspondentes so elencados
conforme a percepo do grau de risco que sua violao tem para os negcios da organizao.
A escolha de padres tambm determina esses critrios. No h como defnir critrios gerais
para todos os casos, pois para cada plano de auditoria esses critrios podem ser delineados
conforme a natureza e a fnalidade da organizao. A fase de Defnio do Contexto da ISO/IEC
27005:2008 estabelece o referencial para obteno da maioria desses critrios.
Se a auditoria feita organizaes pblicas, que fazem uso intensivo sistemas de infor-
mao automatizados por computadores e software melhores prticas defnidos nos modelos
CMMI, ITIL e COBIT so tambm fontes relevantes, alm , claro, do atendimento s normas
compulsrias do Servio Pblico. Esses arcabouos conceituais e de melhores prticas podem
guiar a formulao dos critrios de auditoria, porm, no tm uma relao direta com segu-
rana, a no ser em alguma de suas partes. Mesmo assim, como o objetivo garantir que a
informao esteja preservada e protegida, questes como confdencialidade, disponibilidade
e integridade, no podem prescindir de fontes valiosas como essas, pois requerem uma pre-
ocupao com vrios aspectos da produo da informao, difceis de encontrar em apenas
uma proposta de melhores prticas.
recomendado, tanto em organizaes pblicas quanto privadas, que se comece com
a srie ISO/IEC 27000, especialmente as normas 27001:2006 (ABNT, 2006), 27002:2005 (ABNT,
2005) e 27005:2008 (ABNT, 2008), todas adotadas pela ABNT, como fonte de critrio de audito-
ria de segurana de informao. Dessas normas se podem retirar vrios objetos de auditoria e
pontos de controle. Com base nos normativos da ISO/IEC, a auditoria poder ser realizada em
dois momentos. O primeiro inicia-se com uma reviso da existncia e completude de docu-
mentos-chave, tais como a poltica de segurana da organizao, declarao de aplicabilidade,
plano de tratamento de riscos (PTR) e, caso j esteja em prtica a ISO/IEC 27005:2008, o conjun-
to de critrios previamente defnidos no incio da gesto do risco. O segundo momento deve
se preocupar com um detalhamento dos riscos, e uma auditoria em profundidade envolvendo
a existncia e efetividade do controle ISMS (Information Security Management System), descrito
na ISO/IEC 27001:2006, que estrutura a segurana da informao como um sistema.
42
9. Instrumentos e Ferramentas
A realizao de uma auditoria efcaz no pode prescindir de instrumentos, ferramentas e
eventualmente, trabalhos de tcnicos especializados, descritos no restante desta seo.
9.1 Instrumentos de coleta e registro de evidncias
Um auditor experiente provavelmente lana mo de vrios modelos de instrumentos de
coleta de dados, conforme o tipo de auditoria e os objetos verifcados. Vrios deles so formu-
lrios ou questionrios impressos, alguns com suporte de software especializado ou planilhas
eletrnicas customizadas. Esses instrumentos daro origem aos papis de trabalho do auditor.
O Quadro 2 sugere um modelo simplifcado de instrumento de coleta de dados, devidamente
preenchido com um exemplo fctcio.
43
Quadro 3. Modelo de instrumento de coleta de dados para auditoria de segurana da informao.
AUDITORIA
( ) Gesto
(X ) Operacional
( ) Conformidade
Data: ___/___/
___
Local:
Auditor: Joo da Silva
Objeto de
Auditoria (OA)
Ponto de controle (PC)
Lista de
Verifcao:
SIM (S) NO (N)
NO E APLICA
(N/A) ?
Em
Andamento
Verifcado
?
Validado
?
OA1
Computadores
PC1 Acessos a computadores e a
sistemas de informao utilizando
celular esto protegidos com a
ltima verso de algoritmo de
encriptao
S - S N
PC2 Equipamentos de rede
catalogados e protegidos
fsicamente
N S S N
PC3 Acesso a computadores
protegidos com protocolo de
segurana Secure Socket Layer (SSL)
N N N N
PC4 Checar efetividade do programa
anti-virus
S - S S
OA2
Rede sem Fio
PC1 Instalao do protocolo de
criptografa atualizado
S S S S
OA3
Criptografa
PC1 Acesso a servios crticos
atravs de certifcados digitais
S N N N
PC2 Existncia de medidas de
proteo dos dados armazenados,
por criptografa
N N N N
OA4
Rede LAN
PC1 Confgurao do frewall
controlada e periodicamente revisada
S S S S
PC2 controle de acesso ao ambiente
de rede
S N/A S S
PC3 Acesso remoto absolutamente
controlado e somente para sistemas
especfcos
N S N N
PC4 Redes virtuais privadas (VPN)
usam IPSEC
S N S S
PC5 Proteo de cabeamento da
rede
N S N N
OA5
Protocolos
PC1 Existncia de rotinas adequadas
de proteo e controle do fuxo de
dados
N N N/A N/A
PC2 Observncia de protocolos
adequados de acordo com a
criticidade dos sistemas de
informao
N S N/A N/A
PC3 Existncia de scanners de redes
para verifcao de uso de portas
S N/A S S
Observe que o Quadro 1 lista os objetos e os pontos de controle e faz trs perguntas. A pri-
meira indica se o controle existe para cada objeto e ponto de controle. A resposta vem de uma
lista de verifcao respondida com SIM, NO e No se Aplica (N/A). A coluna em Andamento
indica que providncias j esto sendo tomadas para a anlise. A coluna Verifcado indica se
o ponto de controle foi testado. A coluna Validado indica se o controle referente ao PC foi
44
validado, ou seja, se foi testado e est em pleno funcionamento. O formulrio per se permi-
te abordagens diferenciadas, envolvendo testes de controle e testes substantivos, onde for o
caso. Na coluna Lista de Verifcao, por exemplo, o objetivo perguntar sobre a existncia ou
no do controle. Uma entrevista poder ser sufciente, se o propsito fazer um levantamento
da situao para saber se certos controles j foram elencados. Responder SIM ou NO apenas
confere se a organizao j iniciou o processo de segurana de seus ativos de informao.
Algumas combinaes obtidas no Quadro levam a providncias e procedimentos diferentes.
Se um ponto de controle, j catalogado como sensvel segurana dos ativos de informao
ainda no foi implantado, uma auditoria de gesto recomendada.
Razes diversas como falta de profssionais qualifcados, custos elevados, ou mesmo a ine-
xistncia de ferramentas cuja aquisio no foi priorizada, podem determinar essa ausncia.
Outros controles precisam ser testados. Por exemplo, a sequncia OA1/PC3 => N,N,N,N indica
que no existe o controle em prtica, e, portanto, nada pde ser verifcado ou validado. Neste
caso, preciso consultar as decises relacionadas a este ponto de controle quanto a prazos,
custos, pessoal, dentre outras auditorias. Ou seja, a auditoria deve ser aprofundada e conside-
rada prioritria para o OA1/PC3.
Agora, caso seja constatada a existncia do controle e sua operao j tenha sido implan-
tada, a auditoria recomendada a de desempenho operacional, desde que se queira checar
indicadores de efccia do controle. O exemplo OA4/PC4 => S,S,S,S signifca que o PC foi vali-
dado. Para que tal validao acontea, o funcionamento do IPSEC deve ser demonstrado, seja
por um analisador de protocolos, seja por verifcao da confgurao da VPN (Virtual Private
Network), mesmo que seja bvio que o IPSEC esteja sendo utilizado. Em segurana mesmo o
que bvio no pode ser negligenciado. bvio que agentes de uma organizao no a sabo-
tariam. A Engenharia Social est a para mostrar que isso pode ser feito at mesmo sem haver
inteno de faz-lo.
Para fnalizar, no se pode deixar de mencionar a gesto e os planos de continuidade.
Esse plano no ser tratado aqui por questo de espao, mas verifcar a sua existncia e seus
parmetros j por si s objeto de uma auditoria que merece muita ateno. Planos de conti-
nuidade devem ser testados, pois descrevem em detalhes os procedimentos de manuteno
dos negcios crticos e a restaurao de plena capacidade operacional da organizao em caso
de crises e catstrofes. , portanto, um elemento indispensvel para a segurana.
9.2 Automao de Auditoria Servios Tcnicos
Especializados
medida que seja preciso verifcar muitos pontos de controle, automao precisa ser
utilizada para agilizar o processo. De outra forma, devido complexidade e dinamicidade de
certos ambientes tecnolgicos, podem ser necessrios servios de assistentes especializados
em determinadas tecnologias e ambientes.
A quantidade de dados e informaes coletadas e os papis de trabalho demandam esfor-
o de organizao de informao e documentao.
As atividades de testes de controle e testes substantivos tambm podem demandar gran-
de esforo intelectual e conhecimento especializado e atualizado.
Para efeito de implementao de uma poltica de segurana de fato, provvel que se tenha
que utilizar muitas ferramentas e assistentes para cada caso, pois as aes de verifcao e vali-
dao requerem demonstrao de que, comprovadamente, os controles esto funcionando e os
resultados so vlidos para os propsitos traados no plano de segurana. Para aprofundamento
nesta questo pode-se consultar o guia do ISACA (2009), o stio do Instituto de Auditores Inter-
nos (http://www.theiia.org), o stio Audit Net (http://auditnet.org/), entre outros.
45
9.2.1 Batimento de dados e CAATS
No caso de verifcao ou batimentos de dados (testes substantivos), por exemplo, fer-
ramentas como ACL (Auditing Command Language) e outras utilizadas na rea de auditoria
fnanceira e de anlise estatstica podem ser usadas para apoiar o processo de anlise. Tais fer-
ramentas se enquadram na classe de Computer Aided Audit Tools (CAATS). Uma lista das mais
usadas pode ser encontrada em http://en.wikipedia.org/wiki/CAATS.
9.2.2 Auditoria de ambientes computacionais e bancos
de dados
No caso de verifcao de mquinas com sistemas operacionais especfcos, sejam Win-
dows ou Linux, bem como de sistemas de bancos de dados devem ser usados procedimentos
padronizados por plataforma, juntamente com ferramentas especfcas para as verses de sis-
temas operacionais ou bancos de dados, que se sucedem rapidamente. Para maior detalha-
mento podem ser consultadas as fontes
9.2.3 Redes de computadores
Para a verifcao de redes de computadores as ferramentas mais comumente usadas so:
Nessus, um scanner de vulnerabilidades usado para, por exemplo, verifcar quais ser-
vios esto abertos em quais portas nos servidores de uma rede.
Wireshark, um front end para snifng de rede, que realiza anlise de comunicaes
entre computadores em vrios protocolos.
Snort, um sistema para preveno e (ou) deteco de intrusos.
Algumas verifcaes so mais elementares, como o anlise do frewall e suas confgura-
es. Essas anlises, automatizadas ou no, do visibilidade a evidncias escondidas.
9.2.4 Hacker tico
Caso os riscos de segurana e a confabilidade demandada em um ambiente de rede ou
mesmo no ambiente organizacional sejam elevados, o auditor pode recorrer a testes especia-
lizados e detalhados como a anlise de vulnerabilidades, tambm conhecida como teste de
penetrao. Um servio de Ethical Hacking pode ser usado, com o consentimento expresso do
cliente. O Certifcado CEH Certifed Ethical Hacker, expedido pela organizao Norte-Ameri-
cana EC-Council (E-Commerce Consultants International Council, https://www.eccouncil.org/
about_us/about_ec-council.aspx) atesta habilidades de profssionais nesta rea, bem como
descreve o conjunto de habilidades e ferramentas que devem ser conhecidas e podem ser
empregadas por um hacker tico, conforme demanda:
Conhecimento da legislao
Reconhecimento do terreno
Hacking usando o Google
Escaneamento e Enumerao
Engenharia Social
Hacking de computadores
Cavalos de Tria e Backdoors
Vrus e Vermes
Phishing
46
Hacking de contas de email
Negao de servio
Roubo de sesses
Hacking de servidores web
Vulnerabilidades de aplicaes web
Quebra de senhas na web
Injeo de SQL
Hacking de redes sem fo
Segurana fsica
Evaso em Sistemas de Deteco de Intruso e Firewalls
Estouro de Bufers
Criptografa
Metodologias de teste de penetrao
A atividade de um hacker tico deve seguir os seguintes passos, conforme indica Graves (2007):
Discusso de necessidades com o cliente
Preparao e assinatura de acordo de confdencialidade
Organizao do time de ethical hacking
Conduo de testes, comumente chamados de testes de penetrao ou anlise de
vulnerabilidades
Anlise de resultados
Preparao e apresentao do relatrio
Note, no entanto, que o servio de um Hacker tico no considerado uma auditoria
propriamente dita.
47
10. Entregas da Auditoria
O fm bsico da auditoria investigar problemas e ter propostas e recomendaes de
melhoria dos servios e public-los em relatrios e pareceres chamados de entregas. Por isso a
seguir o modelo da Figura 1 mais detalhado, agora que h mais informaes sobre o trabalho
de um auditor. Cada entrega deve apresentar a situao encontrada: as defcincias de cada
servio, as melhores prticas implantadas para superar as defcincias encontradas, as fragili-
dades (vulnerabilidades) e as ameaas. Quando se decide realizar uma auditoria com auditores
internos ou externos toda a ao deve ter alguma roteirizao de auditoria que pode ser feita
de vrias maneiras. Antes que isto ocorra, vrias providncias j devem ter sido tomadas:
1. Todos os objetos de auditorias e seus respectivos pontos de controle j devem ter
sido defnidos e codifcados.
2. A poltica de segurana da informao deve est aprovada e em curso.
3. O plano de segurana da informao baseado na Poltica de Segurana da Informa-
o j est elaborado, conforme esboado no Quadro 1.
48
11. Programas de Auditoria
Como j dito, vrias auditorias devem ser realizadas durante a vigncia do plano de segu-
rana ou da poltica e se desenvolvero conforme as estratgias defnidas nesses documentos.
Estas vrias auditorias so agrupadas sob a denominao de um programa de auditoria, onde
cada auditoria projeto.
11.1 Um Modelo de Programa de Auditoria
O Quadro 3 mostra um possvel modelo para se registrar as intenes de um programa de
auditoria. Observe que cada quadro com OC.PC (Objeto de controle. Ponto de controle) tem
como atributos a justifcativa, parmetros de medida, prioridade e a abordagem a ser usada,
ou seja, o tipo de auditoria.
Quadro 3. Modelo de registro de um programa de auditoria.
PROGRAMA DE AUDITORIA
N Programa
____________
Auditor(res)
_______________________________________
Datas
Incio
__/__/___
Fim
__/__/___
Cdigo
Pontos de Controle
Descrio Prioridade (severidade)
Tipo
de Auditoria
OC.PC XXXXXXXXXXXX (1,2,3 ou 4)
Gesto (G)
Operacional (O)
Conformidade (C)
Justifcativa Parmetros Objetivo Obs.
xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx
Se o modelo do Quadro 3 for usado, considere as seguintes instrues de preenchimento:
1. Numere o plano, pois ser preciso acompanhar o andamento de cada um deles. Pla-
nos podem ser iniciados paralelamente.
2. Para cada plano deve haver um auditor responsvel. sempre recomendvel ter mais
de um auditor, pois pode ser preciso cotejar opinies diferentes na hora de emitir o
parecer.
3. preciso saber em que data se iniciou e terminou a auditoria. Difculdades na segu-
rana da informao podem ser detectadas acompanhando-se o tempo que se leva
para realiz-las.
4. Um plano pode conter um ou mais objetos de auditoria com um ou mais pontos de
controle. A sigla OC.PC signifca objeto de controle com seu ponto de controle a ser
auditado. Se houver necessidade de mais detalhes, pode-se assinalar datas de incio e
trminos para cada ponto de controle.
49
5. Cada ponto de controle deve ser descrito tal qual ele foi elencado. Importante que
todos os objetos de controle e pontos de controle faam parte de um catlogo onde
estejam defnidos o que fazer (procedimentos e testes) para cada um deles.
6. O nvel de risco e severidade da situao determinante do nvel de prioridade que
se deve dar auditoria para cada ponto de controle. Se um stio eletrnico est sob
constante ataque, provvel que o nvel de severidade seja mximo, portanto, com
prioridade mxima de atendimento.
7. Deve-se justifcar porque determinado ponto de controle est merecendo ateno ou
se apenas parte de uma rotina de auditoria.
8. O objetivo da auditoria deve ser claramente defnido. Observar que existe um custo
associado a cada projeto e sua utilidade deve ser avaliada. O nvel de risco um par-
metro importante na deciso de prosseguir com a auditoria.
9. Observar que para um mesmo ponto de controle podem ser realizados vrios tipos
de auditoria.
Um relatrio tcnico de auditoria de segurana da informao deve sugerir as penalida-
des a ser aplicadas em caso de descumprimento dos acordos de nvel de servios pactuados e
contratados ou das normas legais a que se referem de cada um dos servios de segurana da
organizao, quando assim for caso. Esses relatrios devem levar em considerao os resulta-
dos da auditoria dos indicadores ou dos pontos de controle selecionados.
Os relatrios tcnicos de auditoria devem ser elaborados em prazos determinados a con-
tar do recebimento do incio da execuo do plano de auditoria, pois tais relatrios so usados
como insumos para anlise do resultado da gesto, das operaes e dos testes de conformida-
de realizados pela equipes de segurana da informao. Devem ser elaborados periodicamen-
te, contendo o resultado dos indicadores dos servios de auditoria realizados. Tal informao
servir de insumo para a avaliao dos servios realizados e dos indicadores alcanados no
perodo.
Finalmente, outro relatrio importante o que defne uma escala de quais auditores iro
fazer ou fzeram quais auditorias. Poder ser necessrio recuperar a experincia de cada audi-
toria como uma forma de aprendizagem para organizao. As providncias adotadas e aquelas
mais efcazes devem ser compartilhadas e registradas, pois podem ser um insumo importante
para se realizar uma gesto do conhecimento gerado pelos auditores.
Com base no plano de segurana, renovado regularmente, ser preciso formular uma ro-
teirizao de auditoria para cada ao de auditoria prevista dentro de uma rotina de trabalho.
11.2 Gesto de Programa de Auditorias baseada na ISO
19011
Esta subseo descreve os principais elementos contidos nas recomendaes da norma
ISO 19011, produzida para organizar programas de auditorias para exame de conformidade
de programas de gesto de qualidade. A norma pode ser adaptada para usada para fns de
auditoria junto famlia de normas ISO/IEC 27000. A Figura 5 apresenta um fuxograma geral
de gesto de um programa de auditoria baseado na ISO 19011:2002, que adota o modelo
PDCA, de melhoria contnua. Este modelo pode ser usado por um gestor de segurana que
deseja fortalecer o seu sistema de controles por meio de implementao de um programa de
auditorias regulares.
50
Figura 5. Modelo de Organizao de um Programa de Auditorias. Fonte: Fernandes (2009).
11.2.1 Obteno de autoridade
Um programa de auditoria inicia-se com a obteno de autoridade, por parte do ges-
tor, para a realizao do programa de auditorias. No caso da Administrao Pblica Federal,
isto deve envolver articulao com o Sistema de Controle Interno coordenado pela CGU, bem
como pode envolver articulao com o DSIC/GSIPR.
11.2.2 Estabelecimento do programa
O estabelecimento do programa envolve: (i) defnir objetivos e abrangncia da auditoria,
j discutido nas sees 2 e 3; (ii) a defnio de responsabilidades, que pode estar num plano
de tratamento de riscos, discutido na Seo 8.1; (iii) a alocao de recursos, que tambm pode
estar num plano de tratamento de riscos; e (iv) a defnio de procedimentos e tipos de audi-
toria, discutidos nas sees 2.3 e 2.4.
11.2.3 Implementando o programa de auditorias
A implementao envolve: (i) a roteirizao de auditorias, discutida nas sees 4, 5, 6 e 7;
(ii) a avaliao de auditores que no passo (iii) constituiro o time de auditoria. Para tal, deve-se
estudar os atributos profssionais de um auditor, como discutidos em Imoniana (2005) e Duhn
(1991); a direo de atividades de auditoria (foco maior de todo este texto); e a manuteno
dos registros, que foi discutida na Seo 2.6.3.
51
11.2.4 Monitoramento e anlise crtica
O monitoramento e a anlise crtica do programa de auditoria busca avaliar a efcincia
e efccia das auditorias, e pode ser baseada no uso de indicadores de auditoria operacional
discutidos na Seo 6; A identifcao de oportunidades de melhoria depende da realizao de
revises peridicas da atividade, de sua efccia e do uso da criatividade para tornar a auditoria
mais gil e efcaz aos propsitos da organizao.
11.2.5 Melhoria do Programa de Auditoria
Depende da alocao de recursos, necessariamente apoiados por um processo de plane-
jamento e oramento.
52
12. Consideraes Finais
Deve-se destacar que no h pretenso de frmar a organizao de auditoria aqui mostra-
da como sendo um modelo ideal a ser seguido na Administrao Pblica Federal para Audito-
rias de Segurana da Informao. Apenas foi organizada uma forma conveniente de apresen-
tar o tema para propsitos didticos. Vrios autores usam formas diferentes de organizao,
convencionando inclusive os conceitos e metodologias que lhes parecem mais adequados.
Inclusive os termos usados divergem bastante. Por exemplo, o que foi chamado de objeto
de auditoria tambm chamado de diretriz, parmetro, controle ou objetivo de controle por
alguns autores da rea.
A principal mensagem a sugesto de organizao de auditorias de segurana da infor-
mao em trs tipos: de gesto, de operaes e de conformidade. Trata-se de uma conveno
que ilustra que segurana da informao demanda gesto profssional, controle e acompanha-
mento das operaes e aderncia s regras para garantir conformidade e previsibilidade das
operaes. Mas deve-se ter certos cuidados. Vrios objetos de auditoria e pontos de controle
podem permear os trs tipos de auditoria, mudando apenas o enfoque e a nfase de cada um.
Temas como Poltica de Segurana, Segurana Fsica e Lgica, Segurana em Sistemas, Usu-
rios, entre outros podem ser auditados do ponto de vista da gesto, das operaes ou de sua
conformidade com padres, dentre outras convenes possveis. O que se deve ter em mente
que as organizaes precisam desenvolver uma cultura de segurana para que qualquer
projeto de auditoria tenha xito.
Finalmente se deve observar que atividades de auditorias s so possveis se a organi-
zao estiver preparada. Para ser auditada, organizaes pblicas devem criar, por exemplo,
mecanismos que registrem eventos relevantes e diversos que acontecem no dia-a-dia da orga-
nizao. fundamental registrar os fuxos de informao para dentro e para fora da organiza-
o, seja qual for o meio de comunicao utilizado. S assim se podem estabelecer controles
e construir instrumentos que possam identifcar esses eventos como sendo ou no gerador de
vulnerabilidades ou ameaas para os ativos da organizao. Se criam as condies que tornam
possvel um acurado exame dos pontos de controle desses ativos, essencial para que qualquer
auditoria de segurana da informao seja efcaz.
Fica aqui a ressalva de que controle excessivo pode prejudicar o dia-a-dia das organiza-
es tornando as atividades refm desse mesmo controle que pretende qualifcar o resultado
dessas tarefas. Existe a percepo, no servio pblico federal brasileiro, que uma boa parte do
tempo til dos agentes organizacionais dedicada a preparar registros que se adequem ao
Controle. Mas isso tem um custo, no s fnanceiro, mas tambm moral. Surge o risco de estar
em risco por qualquer coisa. O controle ex post seria um caminho, desde que o Estado consiga
criar um sistema punitivo justo e efcaz. Uma maneira de saber os limites disso envolvendo
todos os atores no processo. Instrumentos - tais como polticas e planos - so produtos desse
envolvimento e da necessidade de todas as organizaes implantarem formas seguras de pro-
teger seu ativo mais importante e crtico: a informao.
53
Referncias
ABIN Agncia Brasileira de Inteligncia. Compilao de legislao relaciona-
da com informao. Disponvel: http://www.abin.gov.br/modules/mastop_
publish/?tac=Legisla%E7%E3o. ltimo acesso em fevereiro de 2011.
ABNT - Associao Brasileira de Normas Tcnicas. NBR ISO 19011: Diretrizes para audi-
torias de sistema de gesto da qualidade e/ou ambiental. Rio de Janeiro: ABNT.
Novembro de 2002. 25 p.
ABNT - Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27001 - Tecnologia da
informao Tcnicas de segurana Sistemas de gesto de segurana da in-
formao Requisitos. Rio de Janeiro: ABNT. 2006.
informao Tcnicas de segurana Cdigo de prtica para a gesto da se-
gurana da informao. Rio de Janeiro: ABNT. 2005.
informao Tcnicas de segurana Gesto de riscos de segurana da infor-
mao. Rio de Janeiro: ABNT. 2008.
ARAJO, A. P. F. Infraestrutura de Tecnologia da Informao (Notas de Aula). Braslia:
Departamento de Cincia da Computao do Instituto de Cincias Exatas da Uni-
versidade de Braslia. 2010. 40 p.
BRASIL. Constituio da Repblica Federativa do Brasil de 05/10/1988 - Constituio da
Repblica Federativa do Brasil. (Excertos).
BRASIL. Decreto 1171 de 22/06/1994 - Aprova o Cdigo de tica Profssional do Servidor
Pblico Civil do Poder Executivo Federal.
BRASIL. Decreto 3505 de 13/06/2000 - Institui a Poltica de Segurana da Informao nos
rgos e entidades da Administrao Pblica Federal.
BRASIL. Decreto 4553 de 27/12/2002 - Dispe sobre a salvaguarda de dados, informa-
es, documentos e materiais sigilosos de interesse da segurana da sociedade e
do Estado, no mbito da Administrao Pblica Federal, e d outras providncias.
BRASIL. Decreto 4915 de 12/12/2003 - Dispe sobre o Sistema de Gesto de Documen-
tos de Arquivo - SIGA, da Administrao Pblica Federal, e d outras providncias.
BRASIL. Lei 7170 de 14/12/1983 - Defne os Crimes contra a Segurana Nacional, a Ordem
Poltica e Social, Estabelece seu Processo e Julgamento e d outras Providncias.
BRASIL. Lei 8027 de 12/04/1990 - Dispe sobre normas de Conduta dos servidores p-
blicos civis da Unio, das Autarquias e das Fundaes Pblicas, e d outras pro-
vidncias.
BRASIL. Lei 8159 de 08/01/1991 - Dispe sobre a Poltica Nacional de Arquivos Pblicos
e Privados e d outras providncias.
BRASIL. Lei 9279 de 14/05/1996 - Regula direitos e obrigaes relativos propriedade
industrial.
CHAIM, R. M. Modelagem, Simulao e Dinmica de Sistemas (Notas de Aula). Braslia:
COSO - Committee of Sponsoring Organizations of the Treadway Commission. Internal
Control Integrated Framework: Guidance for Smaller Public Companies: Repor-
ting on Internal Control over Financial Reporting: Executive Summary: Guidance.
EUA: COSO. October 2005. 207 p.
54
COSO - Committee of Sponsoring Organizations of the Treadway Commission. Internal
Control Integrated Framework: Guidance on Monitoring Internal Control Sys-
tems: Discussion Document. EUA: COSO. September 2007. 52 p.
CPLP - Organismos Estratgicos de Controlo/Controle Interno da Comunidade de Pases
de Lngua Portuguesa. Manual De Controlo/Controle Interno. Braslia: Controla-
doria Geral da Unio. Dezembro 2009. Disponvel: http://www.cgu.gov.br/even-
tos/SFC2009_CPLP/Arquivos/ManualControle.pdf. ltimo acesso em fevereiro de
2011.
CRUZ, Flvio. Auditoria Governamental. Editora Atlas, 1997. Descreve como realizar uma
auditoria contbil na esfera governamental.
DSIC Departamento de Segurana da Informao e Comunicaes. 01/IN01/DSIC/GSI-
PR, de 13 de outubro de 2008 - Estabelece critrios e procedimentos para ela-
borao, atualizao, alterao, aprovao e publicao de normas complemen-
tares sobre Gesto de Segurana da Informao e Comunicaes, no mbito da
Administrao Pblica Federal, direta e indireta. Disponvel http://dsic.planalto.
gov.br/. ltimo acesso em Fevereiro de 2011.
PR, de 13 de outubro de 2008. Defne a metodologia de gesto de segurana da
informao e comunicaes utilizada pelos rgos e entidades da Administrao
Pblica Federal, direta e indireta. Disponvel http://dsic.planalto.gov.br/. ltimo
acesso em Fevereiro de 2011.
PR, de 30 de junho de 2009- Estabelece diretrizes, critrios e procedimentos para
elaborao, institucionalizao, divulgao e atualizao da Poltica de Seguran-
a da Informao e Comunicaes (POSIC) nos rgos e entidades da Adminis-
trao Pblica Federal, direta e indireta APF. Disponvel http://dsic.planalto.gov.
br/. ltimo acesso em Fevereiro de 2011.
PR, de 14 de agosto de 2009 - Estabelece diretrizes para o processo de Gesto
de Riscos de Segurana da Informao e Comunicaes GRSIC nos rgos ou
entidades da Administrao Pblica Federal, direta e indireta APF. Disponvel
http://dsic.planalto.gov.br/. ltimo acesso em Fevereiro de 2011.
PR, de 14 de agosto de 2009 - Disciplina a criao de Equipe de Tratamento e
Resposta a Incidentes em Redes Computacionais ETIR nos rgos e entidades
da Administrao Pblica Federal, direta e indireta APF. Disponvel http://dsic.
planalto.gov.br/. ltimo acesso em Fevereiro de 2011.
DSIC Departamento de Segurana da Informao e Comunicaes. 06/IN01/DSIC/
GSIPR, de 11 de novembro de 2009 - Estabelece diretrizes para Gesto de Con-
tinuidade de Negcios, nos aspectos relacionados Segurana da Informao e
Comunicaes, nos rgos e entidades da Administrao Pblica Federal, direta
e indireta APF. Disponvel http://dsic.planalto.gov.br/. ltimo acesso em Feve-
reiro de 2011.
PR, de 6 de maio de 2010 - Estabelece diretrizes para implementao de contro-
les de acesso relativos Segurana da Informao e Comunicaes nos rgos e
entidades da Administrao Pblica Federal, direta e indireta APF. Disponvel
DSIC Departamento de Segurana da Informao e Comunicaes. 08/IN01/DSIC/
GSIPR, de 19 de agosto de 2010 - Disciplina o gerenciamento de Incidentes de
Segurana em Redes de Computadores realizado pelas Equipes de Tratamento e
Resposta a Incidentes de Segurana em Redes Computacionais - ETIR dos rgos
e entidades da Administrao Pblica Federal, direta e indireta - APF. Disponvel
55
DUNN, John. Auditing: Theory and Practice. UK: Prentice-Hall. 1991.
FERNANDES, J. H. C. GSIC050: Sistemas, Informao e Comunicao (Notas de Aula). Bra-
slia: Departamento de Cincia da Computao do Instituto de Cincias Exatas da
Universidade de Braslia. 2010. 51 p.
FERNANDES, J. H. C. Gesto de Riscos de Segurana da Informao (Notas de Aula). Bra-
FERNANDES, J. H. C. Controle de Acessos (Notas de Aula). Braslia: Departamento de Ci-
ncia da Computao do Instituto de Cincias Exatas da Universidade de Braslia.
2010. 32 p.
FERNANDES, J. H. C (Organizador). Gesto da Segurana da Informao e Comunicaes
Volume I (Srie Segurana da Informao). Braslia: Faculdade de Cincia da
Computao da Universidade de Braslia. 2010. ISBN: 978-85-88130-07-4. 123 p.
GAO - General Accounting Ofce. Management Planning Guide for Information Systems
Security Auditing. EUA: National State Auditors Association and the U. S. General
Accounting Ofce. December 2001.
GIL, Antnio L. Auditoria de Computadores. So Paulo: Editoras Atlas. 1989. um dos
livros pioneiros em segurana de computadores. Muitas das preocupaes so
ainda autuais.
GONDIM, J. J. C., GSIC602: Gerenciamento das Operaes e Comunicaes (Notas de
Aula). Braslia: Departamento de Cincia da Computao do Instituto de Cincias
Exatas da Universidade de Braslia. 2010. 23 p.
GONDIM, J. J. C., GSIC651: Tratamento de Incidentes de Segurana (Notas de Aula). Bra-
GRAVES, Kimberly. CEH: Ofcial Certifed Ethical Hacker Review Guide: Exam 312-50.
EUA: Sybex. 2007.
GSIPR Gabinete de Segurana Institucional da Presidncia da Repblica. Instruo
Normativa GSI/PR n 1, de 13 de junho de 2008 - Disciplina a Gesto de Segu-
rana da Informao e Comunicaes na Administrao Pblica Federal, direta e
indireta, e d outras providncias. Disponvel http://dsic.planalto.gov.br/. ltimo
acesso em Fevereiro de 2011.
HOLANDA, M. T; FERNANDES, J. H. C., GSIC701: Segurana no Desenvolvimento de
Aplicaes(Notas de Aula). Braslia: Departamento de Cincia da Computao do
Instituto de Cincias Exatas da Universidade de Braslia. 2011. 43 p.
IMONIANA, Joshua O. Auditoria de Sistemas de Informao. So Paulo: Editora Atlas,
2005. Livro de um autor que tem grande experincia com auditoria contbil. Exis-
tem vrias pontos de controle que podem ser de grande utilidade na elaborao
de planos de auditoria.
INTOSAI - International Organization of Supreme Audit Institutions. Guidelines for Inter-
nal Control Standards for the Public Sector. Austria: INTOSAI. 2004. 81 p. Dispon-
vel URL: http://www.intosai.org.
INTOSAI - International Organization of Supreme Audit Institutions. Internal Control:
Providing a Foundation for Accountability in Government. Austria: INTOSAI.
2001. 8 p. Disponvel URL: http://www.intosai.org.
ISACA - Information Systems Audit and Control Association. IS Standards, Guidelines
and Procedures For Auditing and Control Professionals: Code of Professional
Ethics, IS Auditing Standards, Guidelines and Procedures, IS Control Professionals
Standards. EUA: ISACA. January 2009.
ITGI - IT Governance Institute. COBIT 3rd Edition Audit Guidelines. EUA: ITGI. 2000.
56
ITGI - IT Governance Institute. COBIT 4.0. Control Objectives, Management Guidelines
and Maturity Models. EUA: ITGI. 209 p. 2005.
ITGI - IT Governance Institute. COBIT MAPPING: Overview of International IT Guidance.
EUA: ITGI. 2004.
JURAN, J. M.; GRYNA, M. Frank. Controle da Qualidade - volume III. So Paulo: Makron
Books, 1990. Esse um excelente livro que descreve vrias tcnicas de auditoria
de qualidade. Embora se refra mais a ideia de produtos e servios, Juran mostra
vrias tcnicas que so gerais o sufciente para serem usadas na rea de seguran-
a da informao.
LOPEZ, Andr A. P. GSIC905: Diretrizes para o Desenvolvimento de Projetos de Cunho
Cientfco (Notas de Aula). Braslia: Departamento de Cincia da Computao do
Instituto de Cincias Exatas da Universidade de Braslia. 2010. 24p.
MAIR, W. C.; WOOD, Donald ; DAVIS, Keagle W. Computer Control Audit. Minnesota:Touche
Ross & Co. 1978. Um livro avanado para seu tempo. Descreve tcnicas de audito-
ria com uso de computadores com bastante detalhe.
MS - Ministrio da Sade. Portaria MS 3207, de 20 de outubro de 2010, que Institui a Polti-
ca de Segurana da Informao e Comunicaes do Ministrio da Sade. Dispon-
vel: http://bvsms.saude.gov.br/bvs/saudelegis/gm/2010/prt3207_20_10_2010.
html. Acessado em 10 de janeiro de 2011. Pode ser usado como referncia de
poltica de segurana de informao.
NASCIMENTO, A. C., GSIC250: Criptografa e Infraestrutura de Chaves Pblicas (Notas de
Aula). Braslia: Departamento de Cincia da Computao do Instituto de Cincias
Exatas da Universidade de Braslia. 2011. 44 p.
NIST - National Institute of Standards and Technology. Risk Management Guide for In-
formation Technology Systems: Special Publication 800-30. EUA: NIST. 2002. Dis-
ponivel: http://www.nist.org.
OECD - Organisation for Economic Co-operation and Development. OECD Guidelines
for the Security of Information Systems and Networks: Towards a Culture of
Security. Europa: OECD. 30 p. 2002. Disponvel http://www.oecd.org/dataoe-
cd/16/22/15582260.pdf. Acessado em janeiro de 2011.
OWASP Open Web Application Security Project. The Open Web Application Secutity
Project. EUA: OWASP. http://www.owasp.org/index.php/Main_Page. Acessado
em fevereiro de 2011.
PETER, Maria G. A.; MACHADO, M. V. V., Manual de Auditoria Governamental. So Paulo:
Editora Atlas, 2003. Disponibiliza vrias tcnicas de auditoria que podem ser mui-
to teis como modelo.
PMI - Project Management Institute. PMBOK: Guide to the Project Managament Body of
Knowledge. EUA: PMI. 2004.
ROCHA, R. X., Proposta de procedimento simplifcado de auditoria de gesto em se-
gurana da informao em rgos do Poder Executivo Federal (Monografa de
Especializa Lato Sensu). Braslia: Departamento de Cincia da Computao do
Instituto de Cincias Exatas da Universidade de Braslia. 2008.
ROCHA, H. A. da, Proposta de Cenrio para Aplicao da Norma NBR ISO/IEC 27002 em
Auditorias Governamentais do Sistema de Controle Interno (Monografa de Es-
pecializa Lato Sensu). Braslia: Departamento de Cincia da Computao do
Instituto de Cincias Exatas da Universidade de Braslia. 2008.
RODRIGUES, R. W. da S. Aquisio e Implementao, Entrega e Suporte de Servios de TI
(Notas de Aula). Braslia: Departamento de Cincia da Computao do Instituto
de Cincias Exatas da Universidade de Braslia. 2010. 46 p.
SOUZA NETO, Joo. GSIC331: Poltica e Cultura de Segurana (Notas de aula). Braslia:
versidade de Braslia. 2010. 33p.
57
SCHMIDT, A. ; ALENCAR, A J. ; VILLAR, C. B. Modelos qualitativos de Anlise de Risco para
Projetos de Tecnologia da Informao. sl:Brasport, 2007. Descreve vrias tcnicas
de anlise de riscos pra projetos de tecnologia de informao.
TCU Tribunal de Contas da Unio. Manual de Auditoria de Natureza Operacional. Bras-
lia: Tribunal de Contas da Unio - Secretaria-Geral de Controle Externo - Coorde-
nadoria de Fiscalizao e Controle, 2000.
TCU Tribunal de Contas da Unio. Manual de Auditoria de Sistemas. Braslia: TCU, 1991.
Descreve formas de organizar auditorias de sistemas e se aplica bem a ideia da
auditoria como uma atividade de controle.
VENEZIANO, W. GSIC051: Organizaes e Sistemas de Informao(Notas de Aula). Bras-
lia: Departamento de Cincia da Computao do Instituto de Cincias Exatas da
VIDAL, F. B. GSIC202: Controles de Segurana Fsica e Ambiental (Notas de Aula). Braslia:
VIEIRA, Tatiana Malta. Direito da Sociedade da Informao. (Notas de Aula). Braslia: De-
partamento de Cincia da Computao do Instituto de Cincias Exatas da Univer-
sidade de Braslia. 2009. 59 p.

GSIC345 Auditoria Conformidade Seguranca Informacao

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

GSIC345 Auditoria Conformidade Seguranca Informacao

Uploaded by

Copyright:

Available Formats

>> Gesto da Segurana da Informao e Comunicaes >> 2009-2011

Roberto Wagner da Silva Rodrigues

You might also like