Asi

Universidade do Sul de Santa Catarina
Auditoria de Sistemas
Informatizados
Disciplina na modalidade a distância
Palhoça
UnisulVirtual
2007
auditoria_de_sistemas_informatiz1 1 22/12/2006 12:17:00

Apresentação
Parabéns, você está recebendo o livro didático da disciplina

Auditoria de Sistemas Informatizados.
O processo de ensino e aprendizagem na UnisulVirtual leva

em conta instrumentos que se articulam e se complementam,
portanto, a construção de competências se dá sobre a articulação
de metodologias e por meio das diversas formas de ação/
mediação.
São elementos desse processo:
 O livro didático;
 O EVA (Espaço UnisulVirtual de Aprendizagem);
 Atividades de avaliação (complementares, a distância
e presenciais).
Os materiais didáticos foram construídos especialmente para
este curso, levando em consideração o seu perfil e as
necessidades da sua formação. Como os materiais estarão, a
cada nova
versão, recebendo melhorias, pedimos que você encaminhe suas
sugestões, sempre que achar oportuno, via professor tutor ou
monitor.
Recomendamos que antes de você começar os seus estudos,

verifique as datas-chave e elabore o seu plano de estudo
pessoal, garantindo assim a boa produtividade no curso.
Lembre-se: você não está só nos seus estudos. Conte com o
Sistema Tutorial da UnisulVirtual sempre que precisar de ajuda
ou alguma orientação.
Desejamos que você tenha êxito neste curso!
Equipe UnisulVirtual

Abílio Bueno
Neto Davi
Solonca
Auditoria de Sistemas
Informatizados
Livro didático
Design instrucional
Dênia Falcão de
Bittencourt
Viviane Bastos
3ª edição
Palhoça
UnisulVirtual
2007

Copyright © UnisulVirtual 2006
Nenhuma parte desta publicação pode ser reproduzida por qualquer meio sem a prévia autorização desta instituição.
005.8
B94 Bueno Neto, Abílio
Auditoria de sistemas informatizados : livro didático / Abílio Bueno
Neto, Davi Solonca ; design instrucional Dênia Falcão de Bittencourt,
Viviane Bastos. – 3. ed. rev. e atual. Palhoça : UnisulVirtual, 2007.
190 p. : il. ; 28 cm.
Inclui bibliografia.
1. Sistemas de segurança. 2. Computadores – Medidas de

segurança. I. Solonca, Davi. II. Bittencourt, Dênia Falcão de. III. Bastos,
Viviane. IV. Título.
Ficha catalográfica elaborada pela Biblioteca Universitária da Unisul
Créditos
Unisul - Universidade do Sul de Santa
Catarina UnisulVirtual - Educação Superior
a Distância
Coordenação dos Carolina Hoeller da Silva Boeing Dênia Falcão de Bittencourt Enzo
Campus UnisulVirtual Cursos Adriano Sérgio Cristina Klipp de Oliveira de Oliveira Moreira Flávia Lumi
Rua João Pereira dos Santos, 303 da Cunha Ana Luisa Daniela Erani Monteiro Will Matuzawa Karla Leonora Dahse
Palhoça - SC - 88130-475 Mülbert Nunes Leandro Kingeski Pacheco
Fone/fax: (48) 3279-1541 e Ana Paula Reusing Pacheco Ligia Maria Soufen Tumolo Márcia
3279-1542 Cátia Melissa S. Rodrigues Loch
E-mail: cursovirtual@unisul.br (Auxiliar) Charles Cesconetto Patrícia Meneghel Silvana
Site: www.virtual.unisul.br Diva Marília Flemming Denise Guimarães Tade-Ane de
Itamar Pedro Bevilaqua Amorim
Reitor Unisul Janete Elza Felisbino Vanessa de Andrade Manuel
Gerson Luiz Joner da Silveira Jucimara Roesler Vanessa Francine Corrêa Viviane
Lilian Cristina Pettres (Auxiliar) Bastos
Vice-Reitor e Pró-Reitor Lauro José Ballock Viviani Poyer
Acadêmico Luiz Guilherme
Sebastião Salésio Heerdt Buchmann Figueiredo Logística de Encontros
Luiz Otávio Botelho Presenciais
Chefe de gabinete da Lento Marcelo Marcia Luz de Oliveira
Reitoria Cavalcanti (Coordenadora) Aracelli
Fabian Martins de Castro Mauri Luiz Heerdt Araldi
Mauro Faccioni Filho Graciele Marinês Lindenmayr
Pró-Reitor Administrativo Michelle Denise Durieux Lopes Guilherme M. B. Pereira
Marcus Vinícius Anátoles da Silva Destri Moacir Heerdt José Carlos Teixeira Letícia
Ferreira Nélio Herzmann Cristina Barbosa
Onei Tadeu Dutra Kênia Alexandra Costa Hermann Priscila
Campus Sul Patrícia Alberton Santos Alves
Diretor: Valter Alves Schmitz Patrícia Pozza
Neto Diretora adjunta: Alexandra Raulino Jacó Logística de Materiais
Orsoni Brüning Rose Clér Jeferson Cassiano Almeida da Costa
E. Beche (coordenador)
Campus Norte Eduardo Kraus
Diretor: Ailton Nazareno Soares Design Gráfico
Diretora adjunta: Cibele Schuelter Cristiano Neri Gonçalves Ribeiro Monitoria e Suporte
(coordenador) Rafael da Cunha Lara (coordenador)
Campus UnisulVirtual Adriana Ferreira dos Adriana Silveira
Diretor: João Vianney Santos Alex Sandro Caroline Mendonça Dyego
Diretora adjunta: Jucimara Roesler Xavier Rachadel Edison Rodrigo
Evandro Guedes Machado Valim Francielle Arruda
Fernando Roberto Dias Gabriela Malinverni Barbieri Josiane
Equipe UnisulVirtual Zimmermann Higor Ghisi Conceição Leal
Luciano Maria Eugênia Ferreira Celeghin Rachel
Administração Pedro Paulo Alves Lopes C. Pinto
Renato André Luz Teixeira Rafael Pessi Simone Andréa de Castilho Tatiane
Valmir Venício Inácio Vilson Martins Filho Silva
Vinícius Maycot Serafim
Bibliotecária Equipe Didático-
Soraya Arruda Waltrick Pedagógica
Angelita Marçal Flores
Cerimonial de Formatura Carmen Maria Cipriani
Jackson Schuelter Wiggers Pandini Caroline Batista

Produção Industrial e Suporte Arthur Silva Bruchado Grasiela Secretária Executiva Falcão de Bittencourt
Emmanuel F. Silveira (coordenador) Martins Viviane Schalata Martins Edição – Livro Viviane Bastos
Francisco Asp James Marcel Silva Ribeiro Didático
Lamuniê Souza Tecnologia Projeto Gráfico e Capa
Projetos Corporativos Diane Dal Liana Pamplona Osmar de Oliveira Braz Júnior Professores Conteudistas Equipe UnisulVirtual
Mago Vanderlei Brasil Marcelo Pereira (coordenador) Abílio
Marcos Alcides Medeiros Junior Ricardo Alexandre Bueno Diagramação
Secretaria de Ensino a Distância Maria Isabel Aragon Bianchini Rodrigo de Neto Davi Vilson Martins Filho
Karine Augusta Zanoni (secretária Olavo Lajús Barcelos Martins Solonca Evandro Guedes Machado
de ensino) Ana Luísa Mittelztatt Priscilla Geovana Pagani (3º edição)
Ana Paula Pereira Silvana Henrique Silva Design
Djeime Sammer Bortolotti Carla Vilmar Isaurino Vidal Instrucional Dênia Revisão Ortográfica
Cristina Sbardella Franciele da Revisare

Sumário
Palavras dos professores.............................................................................. 09

Plano de estudo....................................................................................... 11
UNIDADE 1 – Introdução à auditoria de sistemas informatizados.........15

UNIDADE 2 – Organização da auditoria................................................53
UNIDADE 3 – Política de segurança de informações.............................81
UNIDADE 4 – Plano de contingência e de continuidade de
negócios.......................................................................111
UNIDADE 5 – Auditoria de sistemas informação.................................141
Para concluir o estudo................................................................................ 179

Referências................................................................................................. 181
Sobre os professores conteudistas............................................................. 185
Respostas e comentários das atividades de auto-avaliação.......................187

Palavras dos professores
A profissão de auditor já existe há um bom tempo, mas

com o passar dos tempos muitas mudanças ocorreram
no mundo dos negócios, fazendo com que a profissão
de auditor também sofresse algumas alterações. O
auditor de sistemas informatizados é uma pessoa que
acima de tudo deve estar atenta às novidades de
mercado, pois todos os dias são descobertas novas
formas de se invadir os computadores e redes.
São vários os desafios que devem ser ultrapassados por

um auditor, pois com os constantes avanços tecnológicos,
auditar sistemas torna-se cada dia mais difícil.
Um dos objetivos deste livro é minimizar de alguma

forma, parte da carência de informação nesta área, que é
nova, mas desde seu início muito promissora.
Um dos desafios de se escrever sobre este assunto é que

os livros que tratam de segurança de informações são
muito técnicos, o que pode dificultar o aprendizado. De
outra parte, os livros que tratam sobre auditoria deixam,
muito a desejar no que diz respeito a atualizações
tecnologicas. Este desafio foi o principal motivador para
se escrever a respeito deste assunto.
Esperamos que este trabalho sirva de fonte de consulta

para auditores iniciantes, para analistas de sistemas
de informação que passaram a ser auditores e para
executivos que pretendem formar a sua equipe de
auditores.
Seja bem-vindo à disciplina Auditoria de Sistemas

Informatizados.

Plano de estudo
O plano de estudo tem por objetivo orientar você no

desenvolvimento da disciplina. Ele possui elementos que
o ajudarão a conhecer o seu contexto e a organizar o seu
tempo de estudo.
Ementa da disciplina
Fundamentos. Responsabilidades legais. Classificação
de serviços. Procedimentos genéricos e específicos
para exames e seus respectivos relatórios e
certificados. Aspectos de auditoria de controle geral,
segurança, aplicações, desempenho, fraude, uso do
sistema e
equipamentos. Pontos de controle e trilhas de auditoria.
Controle pré-operacional, operacional, de processamento
e documental. Relatório de auditoria de sistemas.
Auditoria computadorizada: validação de valores,
programas específicos de auditoria, verificação lógica
dos programas, monitoria on-line do sistema.
Créditos: 4
Objetivo(s)
Geral
Desenvolver habilidades para realização de auditoria de
sistemas nos diversos campos de atuação.
Específicos
 Estudar os conceitos que envolvem a auditoria.
 Conhecer a organização de um trabalho de
auditoria.
22/12/2006 12:17:06
auditoria_de_sistemas_informatiz11 11
 Conhecer os diversos componentes de uma política
de segurança.
 Identificar a necessidade e as características de um
plano de continuidade de negócios.
 Identificar os passos necessários de um trabalho
de auditoria de sistemas de informação.
Agenda de atividades
Verifique com atenção o cronograma no “EVA” e organize-se
para acessar periodicamente o espaço das disciplinas cursadas.
Lembre-se que o sucesso nos seus estudos depende da
priorização do tempo para a leitura, da realização de análises e
sínteses do conteúdo e da interação com os seus colegas e
professor tutor.
Antes de iniciar a realização das atividades de avaliação, leia

com atenção os critérios de avaliação apresentados pelo
professor tutor no plano de ensino da disciplina no “EVA”.
Não perca os prazos das atividades. Registre no espaço, a seguir,

as datas-chave com base no cronograma disponibilizado no EVA.
12

Atividades
Avaliação a distância 1 (AD 1)
Avaliação presencial (AP)
Avaliação final (AF)
Demais atividades (registro pessoal)
Habitue-se a usar o quadro para agendar e programar as

atividades relativas ao desenvolvimento da disciplina.
13

14

1
UNIDADE 1
Introdução à auditoria de
sistemas informatizados
Objetivos de aprendizagem
Ao final desta unidade, você terá subsídios para:
 contextualizar
a evolução dos sistemas
computacionais e da necessidade da segurança da
informação.
 entender o conceito de auditoria e, mais
especificamente, da auditoria de sistemas
informatizados.
 compreender a importância da auditoria de sistemas
informatizados.
 conheceros desafios éticos e sociais da tecnologia
da informação.
Seções de estudo
Apresentamos, a seguir, as seções para você estudar.
Seção 1 Evolução dos sistemas computacionais e

de segurança da informação
Seção 2 Quais são os conceitos básicos da auditoria?
Seção 3 Qual é o tipo da auditoria objeto

deste estudo?
Seção 4 Por que auditar?
Seção 5 Quais são os desafios éticos da auditoria

de sistemas informatizados?
Após a leitura dos conteúdos, realize as atividades de
auto-avaliação propostas no final da unidade e no EVA.
22/12/2006 12:17:06
Para início de estudo

Para você que está prestes a iniciar os estudos na área de
auditoria, algumas considerações são necessárias.
Esta unidade pretende conceituar a auditoria de sistemas

informatizados. Para que o seu conceito e importância fiquem
claros, na primeira seção será abordada a evolução dos
sistemas de informação.
Nas terceira e quarta seções são enfocados os desafios éticos

que permeiam a tecnologia de informação e a importância da
auditoria nos sistemas informatizados.
Bom estudo!
Seção 1 – Evolução dos sistemas computacionais e dos de segurança da

informação
Nem sempre o bem mais precioso de uma empresa se encontra no
final da sua linha de produção, na forma de um produto acabado
ou de algum serviço prestado Ele pode estar nas informações
relacionadas a este produto ou serviço.
A crescente utilização de soluções informatizadas nas diversas

áreas de serviços exige níveis de segurança adequados e maior
exposição dos valores e informações. A evolução da tecnologia
de informação, migrando de um ambiente centralizado para
um ambiente distribuído, interligando redes internas e externas,
somada à revolução da Internet, mudou a forma de se fazer
negócios. Isto fez com que as empresas se preocupassem mais
com o controle de acesso às suas informações bem como a
proteção dos ataques, tanto internos quanto externos.
Na época em que as informações eram armazenadas apenas em

papel, a segurança era relativamente simples. Bastava trancar
os documentos em algum lugar e restringir o acesso físico
àquele local. Com as mudanças tecnológicas e o uso de
computadores de grande porte, a estrutura de segurança já ficou
um pouco
16

Auditoria de Sistemas Informatizados
mais sofisticada, englobando controles lógicos, porém ainda

centralizados. (CRONIN, 1996)
Com a chegada dos computadores pessoais e das redes de

computadores que conectam o mundo inteiro, os aspectos de
segurança atingiram tamanha complexidade que há a necessidade
de desenvolvimento de equipes cada vez mais
especializadas para a sua implementação e
gerência.
Paralelamente, os sistemas de informação também

adquiriram uma importância vital para a sobrevivência
da maioria das organizações modernas, já que, sem
computadores e redes de comunicação, a prestação de
serviços de informação pode se tornar inviável.
A esta constatação, você pode adicionar o fato de que hoje em

dia não existem mais empresas que não dependam da
tecnologia da informação, num maior ou menor grau. Pelo fato
de que esta mesma tecnologia permitiu o armazenamento de
grande quantidade de informações em um local restrito e
centralizado, criou-se aí uma grande oportunidade ao acesso
não autorizado.
A segurança da informação tornou-se estratégica,

pois interfere na capacidade das organizações de
realizarem negócios e no valor de seus produtos
no mercado.
Em tempos de economia nervosa e racionalização de

investimentos, a utilização de recursos deve estar focada naquilo
que mais agrega ao valor do negócio.
Visando minimizar as ameaças, a ISO (International

Standardization Organization) e a ABNT (Associação Brasileira
de Normas Técnicas), em sintonia com a ISO, publicaram uma
norma internacional para garantir a segurança das informações
nas empresas, a ISO 17799:1. As normas ISO e ABNT são
resultantes de um esforço internacional que consumiu anos
de pesquisa e desenvolvimento para se obter um modelo de
segurança eficiente e universal.
Unidade 1 17

Quais são as ameaças?
Este modelo tem como característica principal tentar preservar

a disponibilidade, a integridade e o caráter confidencial da
informação.
 O comprometimento do sistema de informações, por
problemas de segurança, pode causar grandes prejuízos
à organização. Diversos tipos de incidentes podem
ocorrer a qualquer momento, podendo atingir a
informação confidencial, a integridade e
disponibilidade.
 Problemas de quebra de confidência, por vazamento
ou roubo de informações sigilosas, podem expor para o
mercado ou concorrência as estratégias ou tecnologias
da organização, eliminando um diferencial
competitivo, comprometendo a sua eficácia, podendo
perder mercado e até mesmo ir à falência.
 Problemas de disponibilidade podem ter um impacto
direto sobre o faturamento, pois deixar uma
organização sem matéria-prima ou sem suprimentos
importantes ou mesmo, o impedimento de honrar
compromissos com clientes, prejudicam sua imagem
perante os clientes, gerando problemas com custos e
levando a margem de lucro a ficar bem comprometida.
 Problemas de integridade, causados por invasão ou
fatores técnicos em dados sensíveis, sem uma imediata
percepção, irão impactar sobre as tomadas de decisões.
Decisões erradas fatalmente reduzirão o faturamento ou
aumentarão os custos, afetando novamente a margem de
lucros.
 A invasão da página de Internet de uma
empresa, com modificação de conteúdo, ou até
mesmo a
indisponibilidade de serviços on-line, revela a
negligência com a segurança da informação e causa
perdas financeiras a quem sofreu algum tipo de ataque.
18
Contudo, você pode inferir que elementos fundamentais para

a sobrevivência das empresas estão relacionados com
segurança
da informação, a qual contribui muito para a sua lucratividade e
sobrevivência, ou seja, agrega valor ao negócio e garante o
retorno do investimento feito.
Agora que você pode entender a importância para uma

organização de tomar medidas para salvaguardar suas
informações, acompanhe, na próxima seção, conceitos
básicos para quem começa a estudar auditoria.
Seção 2 – Quais são os conceitos básicos da auditoria?

Alguns conceitos básicos relacionados com a auditoria
são: campo, âmbito e área de verificação.
 O campo compõe-se de aspectos

como: objeto, período e natureza da
auditoria.
 O objeto é definido como o “alvo”
da auditoria, pode ser uma entidade
completa (corporações públicas ou
privadas, por exemplo).
 Período a ser fiscalizado pode ser um
mês, um ano ou, em alguns casos,
poderá
corresponder ao período de gestão do administrador da
instituição.
 A natureza da auditoria poderá ser operacional,
financeira ou de legalidade, por exemplo. Na
seqüência, você estudará com mais detalhes a natureza
(ou tipo) da auditoria.
 O âmbito da auditoria pode ser definido como a
amplitude e exaustão dos processos de auditoria, ou
seja, define o limite de aprofundamento dos trabalhos e
o seu grau de abrangência.
 A área de verificação pode ser conceituada como
sendo o conjunto formado pelo campo e âmbito da
auditoria.

Unidade 1 19

A auditoria é uma atividade que engloba o exame das

operações, processos, sistemas e responsabilidades
gerenciais de uma determinada entidade, com o
objetivo de verificar sua conformidade com certos
objetivos e políticas institucionais, orçamentos, regras,
normas ou padrões.
Os procedimentos de auditoria formam um conjunto de

verificações e averiguações que permite obter e analisar as
informações necessárias à formulação da opinião do auditor.
 Controle é a fiscalização exercida sobre as atividades

de pessoas, órgãos, departamentos ou sobre produtos,
para que estes não se desviem das normas ou
objetivos previamente estabelecidos. Existem três
tipos de controles.
usados para prevenir fraudes, erros ou vulnerabilidades. (senhas de acesso a

Preventivos algum sistema informatizado, por exemplo)
usados para detectar fraudes, erros, vulnerabilidades (por exemplo: Log de eventos
Detectivos de tentativas de acesso a um determinado recurso informatizado)
usados para corrigir erros ou reduzir impactos causados por algum sinistro
Corretivos (planos de contingência, por exemplo)
Um dos objetivos desses controles é, primeiramente, a

manutenção do investimento feito pela corporação em sistemas
informatizados, tendo em vista que os sistemas de informação
interconectados de hoje desempenham um papel vital no sucesso
empresarial de um empreendimento.
A internet e as redes internas similares, ou intranets,

e as redes interorganizacionais externas, as chamadas
extranets, podem fornecer a infra-estrutura de
informação que uma empresa necessita para
operações
eficientes, administração eficaz e vantagem
competitiva. Entretanto, os sistemas de informação
também precisam apoiar as estratégias de negócios, os
processos
empresariais e as estruturas organizacionais e culturais de
um empreendimento.
20

Esses controles também têm como objetivo evitar que algum

sinistro venha a ocorrer; não conseguindo evitar, tentar fazer com
que o impacto seja pequeno e, se mesmo assim, o impacto for
grande, ter em mãos processos que auxiliem a reconstrução do
ambiente.
O que precisa ser controlado?
Em geral, é um check-list que contempla os itens a serem

verificados durante a auditoria. A concepção desses
procedimentos antes do início dos processos de auditoria
é de suma importância porque garantirá um aumento da
produtividade e da qualidade do trabalho. Como exemplo, pode-
se citar que, para o bom andamento de uma partida de futebol,
não é aconselhável mudar as regras do jogo enquanto o mesmo
estiver acontecendo; faz-se isto antes de começar a partida.
Os chamados “achados” de auditoria são fatos

importantes observados pelo auditor durante a
execução dos trabalhos.
Apesar de que geralmente são associados a falhas ou

vulnerabilidades, os “achados” podem indicar pontos fortes da
corporação auditada. Para que eles façam parte do relatório final
de auditoria, os mesmos devem ser relevantes e baseados em
fatos e evidências incontestáveis.
Os papéis de trabalho são registros que evidenciam

atos e fatos observados pelo auditor.
Esses registros podem estar em forma de documentos, tabelas,

listas de verificações, planilhas, arquivos, entre outros. Estes
documentos são a base para o relatório de auditoria, pois contêm
registro da metodologia utilizada, procedimentos, fontes de
informação, enfim, todas as informações relacionadas ao trabalho
de auditoria.
Unidade 1 21

Já na fase da concepção do relatório, são feitas as

recomendações de auditoria.
Elas são medidas corretivas possíveis, sugeridas pela instituição

fiscalizadora ou pelo auditor em seu relatório, para corrigir as
deficiências detectadas durante o trabalho de verificação de
vulnerabilidades ou deficiências. Dependendo da competência ou
posição hierárquica do órgão fiscalizador, essas recomendações
podem se transformar em determinações a serem cumpridas.
(DIAS, 2000)
Seção 3 – Qual é o tipo de auditoria objeto deste estudo?

Vários autores fazem uma classificação ou denominação formal
sobre a natureza ou sobre os diversos tipos de auditorias
existentes. Os tipos mais comuns são classificados quanto: à
forma de abordagem, ao órgão fiscalizador e à área envolvida.
Acompanhe, a seguir, quais são elas:
Tabela 1 – Classificação dos tipos de auditoria
Classificação Tipos de auditoria Descrição

auditoria com tema específico, realizada em várias
Auditoria horizontal entidades ou serviços paralelamente.
Quanto à forma de
abordagem: focaliza uma atividade específica qualquer ou atividades
Auditoria orientada com fortes indícios de fraudes ou erros.
auditoria realizada por um departamento interno,
responsável pela verificação e avaliação dos sistemas
e procedimentos internos de uma entidade. Um de
Auditoria interna seus objetivos é reduzir a probabilidade de
fraudes, erros, práticas ineficientes ou ineficazes.
Este serviço deve ser independente e prestar
contas diretamente à classe executiva da
corporação.
Quanto ao órgão
fiscalizador: auditoria realizada por uma empresa externa
e independente da entidade que está sendo
Auditoria externa fiscalizada, com o objetivo de emitir um parecer
sobre a gestão de recursos da entidade, sua
situação financeira, a legalidade e regularidade
de suas operações.
trabalho conjunto de auditorias internas e externas,
devido à superposição de responsabilidades dos órgãos
Auditoria articulada fiscalizadores, caracterizado pelo uso comum de
recursos e comunicação recíproca dos resultados.
22

Acompanhamento, exame e avaliação da execução

de programas e projetos governamentais.
Auditoria de programas de
governo Auditoria do planejamento estratégico – verifica se
os principais objetivos da entidade são atingidos e se
as políticas e estratégias são respeitadas.
engloba o plano da organização, seus procedimentos,

Auditoria administrativa diretrizes e documentos de suporte à tomada de
decisão.
é relativa à fidedignidade das contas da instituição. Esta
auditoria, consequentemente, tem como finalidade
Auditoria contábil fornecer alguma garantia de que as operações e o
acesso aos ativos se efetuem de acordo com as devidas
autorizações.
conhecida também como auditoria das contas. Consiste

na análise das contas, da situação financeira, da
Quanto à área legalidade e regularidade das operações e aspectos
envolvida contábeis, financeiros, orçamentários e patrimoniais,
verificando se todas as operações foram corretamente
Auditoria financeira autorizadas, liquidadas, ordenadas, pagas e registradas.
Auditoria de legalidade – conhecida como
auditoria de conformidade. Consiste na análise da
legalidade e regularidade das atividades, funções,
operações ou gestão de recursos, verificando
se estão em conformidade com a legislação
em vigor.
incide em todos os níveis de gestão, nas fases
de programação, execução e supervisão, sob a ótica da
Auditoria operacional economia, eficiência e eficácia. Analisa também a
execução das decisões tomadas e aprecia até que
ponto os resultados pretendidos foram atingidos.
tipo de auditoria essencialmente operacional, por
Auditoria de sistemas meio da qual os auditores analisam os sistemas de
informatizados informática, o ambiente computacional, a segurança de
informações e o controle interno da entidade
fiscalizada, identificando seus pontos fortes e
deficiências.
Destas auditorias, qual delas é o seu objeto de estudo?
É a auditoria de sistemas informatizados. E como já foi

conceituada, a auditoria de sistemas informatizados é um tipo
de auditoria operacional, ou seja, analisa a gestão de recursos,
focalizando os aspectos de eficiência, eficácia, economia e
efetividade.
Unidade 1 23

Dependendo da área de verificação escolhida, este tipo de

auditoria pode abranger:
 todo o ambiente de informática ou

 a organização do departamento de informática. Além
disso, pode ainda contemplar:
 os controles sobre banco de dados, redes de
comunicação e de computadores e
 controles sobre os aplicativos.
Deste modo, sob o ponto de vista dos tipos de controles citados, a
auditoria pode ser separada em duas grandes áreas:
 Auditoria de segurança de informações - este tipo

de auditoria em ambientes informatizados determina
a postura ou situação da corporação em relação à
segurança. Avalia a política de segurança e os controles
relacionados com aspectos de segurança, enfim, controles
que influenciam o bom funcionamento dos sistemas de
toda a organização. São estes:
 Avaliação da política de segurança.
 Controles de acesso lógico.
 Controles de acesso físico.
 Controles ambientais.
 Plano de contingência e continuidade de serviços.
 Controles organizacionais.
 Controles de mudanças.
 De operação dos sistemas.
 Controles sobre o banco de dados.
 Controles sobre computadores.
 Controles sobre ambiente cliente-servidor.
24

 Auditoria de aplicativos - este tipo de auditoria está

voltado para a segurança e o controle de aplicativos
específicos, incluindo aspectos que fazem parte da área
que o aplicativo atende, como: orçamento,
contabilidade, estoque, marketing, RH, etc. A auditoria
de aplicativos compreende:
 Controles sobre o desenvolvimento de
sistemas aplicativos.
 Controles de entrada, processamento e saída de dados.
 Controles sobre o conteúdo e funcionamento do
aplicativo com relação à área por ele atendida.
Esses tipos de auditoria são comumente usados para se
alcançarem altos padrões de qualidade no desenvolvimento de
softwares: o mais famoso desses modelos é o CMM. (DIAS,
2000)
Uma vez compreendida a abrangência e o escopo da auditoria

dos sistemas informatizados, compreenda, na seção seguinte, por
que auditar.
Seção 4 – Por que auditar?

Um ditado popular diz que nenhuma corrente é mais forte que
seu elo mais fraco; da mesma forma, nenhuma parede
é mais forte que a sua porta ou janela mais fraca, de
modo que você precisa colocar as trancas mais
resistentes possíveis nas portas e janelas. De
forma similar é o que acontece quando você
implementa segurança em um ambiente de
informações. Na realidade, o que se procura
fazer é eliminar o máximo possível de
pontos fracos ou garantir o máximo de
segurança possível para os mesmos.
Acima de tudo, o bem mais valioso de uma

empresa pode não ser o produzido pela sua
linha de produção ou o serviço prestado, mas
as
informações relacionadas com este bem de consumo ou serviço.
Ao longo da história, o ser humano sempre buscou o controle das
Unidade 1 25

informações que lhe eram importantes de alguma forma; isto

é verdadeiro mesmo na mais remota antiguidade. O que
mudou desde então foram as formas de registros e
armazenamento das informações; se na pré- história e até
mesmo nos primeiros milênios da idade antiga o principal
meio de armazenamento e
registro de informações era a memória humana, com o advento
dos primeiros alfabetos isto começou a mudar. Mas foi somente
nos últimos dois séculos que as informações passaram a ter
importância crucial para as organizações humanas.
Atualmente, não há organização humana que não seja altamente

dependente da tecnologia de informações, em maior ou menor
grau. E o grau de dependência agravou-se muito em função
da tecnologia de informática, que permitiu acumular grandes
quantidades de informações em espaços restritos. O meio de
registro é, ao mesmo tempo, meio de armazenamento, meio de
acesso e meio de divulgação.
Esta característica traz conseqüências graves para as

organizações, por facilitar os ataques de pessoas não-autorizadas.
Por exemplo, um banco não trabalha exatamente

com dinheiro, mas com informações financeiras
relacionadas com valores seus e de seus clientes. A
maior parte destes dados é de natureza sigilosa, por
força de determinação legal ou por se tratarem de
informações de natureza pessoal, que controlam
ou mostram a vida econômica dos clientes, os quais
podem vir a sofrer danos, caso elas sejam levadas a
público.
Independente do setor da economia em que a empresa atue, as

informações estão relacionadas com seu processo de
produção e de negócios, políticas estratégicas, de marketing,
cadastro de clientes, etc. Não importa o meio físico em que as
informações estão armazenadas, elas são de valor inestimável
não só para a
empresa que as gerou, como também para seus concorrentes. Em
último caso, mesmo que as informações não sejam sigilosas, na
maioria das vezes elas estão relacionadas com atividades diárias
da empresa que, sem elas, poderia ter dificuldades.
26
Tradicionalmente, as empresas dedicam grande atenção de seus

ativos físicos e financeiros, mas pouca ou até mesmo nenhuma
atenção aos ativos de informação que possuem; esta proteção
tradicional pode nem mesmo visar um bem valioso. Da mesma
forma que seus ativos tangíveis, as informações envolvem três
fatores de produção tradicionais: capital, mão-de-obra e
processos. Assim, ainda que as informações não sejam passíveis
do mesmo tratamento fisco-contábil que os outros ativos, do
ponto de vista do negócio, elas são um ativo da empresa e,
portanto, devem ser protegidas. Isto vale tanto para as
informações como para seus meios de suporte, ou seja, para todo
o ambiente de informações. (O`BRIEN, 2002).
A figura 1.1 mostra os fatores econômicos de uma organização,

onde o capital, a mão-de-obra e os processos geram os ativos
de uma empresa, ou seja, os produtos, os bens e a informações.
Figura 1.1 – Fatores econômicos de produção.

Fonte: Caruso&Steffen (1999)
Numa instituição financeira, o ambiente de informações não está

apenas restrito à área de informática, ele chega a mais longínqua
localização geográfica onde haja uma agência ou representação
de qualquer tipo. Enquanto na área de informática os ativos de
informação estão armazenados, em sua maior parte, em meios
magnéticos, nas áreas fora deste ambiente eles ainda estão
representados em grande parte por papéis, sendo muito tangíveis e
de entendimento mais fácil por parte de seres humanos.
É importante ressaltar que muitas empresas não

sobrevivem mais que poucos dias a um colapso
do fluxo de informações, não importando o meio
de armazenamento das informações.
Unidade 1 27

E, dada à característica de tais empreendimentos, que no caso de

bancos é essencialmente uma relação de confiança, é fácil prever
que isto acarretaria completo descontrole sobre os negócios e
até uma corrida ao caixa. A atual dependência das instituições
financeiras em relação à informática está se estendendo por
toda a economia, tornando aos poucos todas as empresas
altamente dependentes dos computadores e, conseqüentemente,
cada vez mais sensíveis aos riscos representados pelo eventual
colapso do fluxo de informações de controle gerencial.
Os riscos são agravados em progressão geométrica à medida

que informações essenciais ao gerenciamento dos negócios
são centralizadas e, principalmente, com o aumento do grau
de centralização. Ainda que estes riscos sejam sérios, as
vantagens dessa centralização são maiores, tanto sob
aspectos econômicos, quanto sob aspectos de agilização de
processos de tomada de decisão em todos os níveis. Esta
agilização é
tanto mais necessária, quanto maior for o uso de facilidades de
processamento de informação pelos concorrentes.
É preciso, antes de qualquer coisa, cercar o ambiente de

informações com medidas que garantam sua segurança
efetiva a um custo aceitável, pois é impossível obter-se
segurança total já que, a partir de um determinado nível, os
custos envolvidos tornam-se cada vez mais onerosos e
superam os benefícios obtidos. Estas medidas devem estar
claramente descritas
na política global de segurança da organização, delineando
as responsabilidades de cada grau da hierarquia e o grau de
delegação de autoridade e, muito importante, estarem claramente
sustentadas pela alta direção.
A segurança, mais que estrutura hierárquica, os homens e os

equipamentos envolvem uma postura gerencial, que ultrapassa a
tradicional abordagem da maioria das empresas.
Dado ao caráter altamente dinâmico que as

atividades relacionadas com o processamento de
informações adquiriram ao longo do tempo, a
política de segurança de informações deve ser a
mais ampla e mais simples possível.
28

Como conseqüência da informatização, outros aspectos

começam a ser levantados, o acúmulo centralizado de
informação, causando um sério problema para a segurança.
Os riscos inerentes ao processo agravaram-se e um estudo mais

detalhado sobre eles teve que ser realizado.
Uma pesquisa realizada pela Módulo Security Solutions aponta

os potenciais riscos aos quais a informação está sujeita. A figura
2 mostra que a principal ameaça às organizações é o vírus de
computador.
Figura 1.2 – Principais ameaças às informações nas organizações

Fonte: 9ª Pesquisa Nacional sobre Segurança da Informação – Módulo Security Solutions (2003)
As ameaças podem ser definidas como sendo

agentes ou condições incidentes que comprometem
as informações e seus ativos, por meio da
exploração de vulnerabilidades.
Unidade 1 29

O que caracteriza as vulnerabilidades?

As vulnerabilidades podem ser conceituadas como sendo
fragilidades presentes ou associadas a ativos que manipulam
e/ou processam informações, que podem ser exploradas por
ameaças, permitem a ocorrência de um incidente de segurança,
afetando negativamente um ou mais princípios da segurança da
informação: caráter confidencial, integridade e disponibilidade.
As vulnerabilidades por si só não provocam incidentes de

segurança, porque são elementos passivos. Porém, quando
possuem um agente causador, como ameaças, esta condição
favorável causa danos ao ambiente.
As vulnerabilidades podem ser:
instalações prediais fora do padrão;

salas de CPD mal planejadas;
Físicas a falta de extintores, detectores de fumaça e outros para combate a incêndio em sala com
armários e fichários estratégicos;
risco de explosões, vazamentos ou incêndio.
os computadores são suscetíveis a desastres naturais, como incêndios, enchentes,
Naturais terremotos, tempestades, e
outros, como falta de energia, o acúmulo de poeira, o aumento de umidade e de
temperatura, etc.
falha nos recursos tecnológicos (desgaste, obsolescência, má utilização) ou erros
Hardware
durante a instalação.
erros na aquisição de softwares sem proteção ou na configuração podem ter como
Software conseqüência uma maior quantidade de acessos indevidos, vazamentos de informações,
perda de dados ou indisponibilidade do recurso quando necessário.
discos, fitas, relatórios e impressos podem ser perdidos ou danificados. A radiação
Mídias
eletromagnética pode afetar diversos tipos de mídias magnéticas.
Comunicação acessos de intrusos ou perda de comunicação.
rotatividade de pessoal,
falta de treinamento,
compartilhamento de informações confidenciais na execução de rotinas de segurança,
Humanas
erros ou omissões;
ameaça de bomba, sabotagens, distúrbios civis, greves, vandalismos, roubos, destruição
da propriedade ou dados, invasões ou guerras.
30

O que é ser Hacker?
O termo genérico para identificar quem realiza ataques em um

sistema de computadores é hacker. Porém, esta generalização
possui diversas ramificações, pois cada ataque apresenta um
objetivo diferente.
Por definição, hacker são aqueles que utilizam seus conhecimentos

para invadir sistemas, sem a intenção de causar danos às vítimas,
mas como um desafio às suas habilidades.
Os hackers possuem grande conhecimento de sistemas

operacionais e linguagens de programação.
Constantemente buscam mais conhecimento,
compartilham o que descobrem e jamais corrompem
dados intencionalmente.
O termo hacker também é definido pela RFC-

2828 (2000) como sendo alguma pessoa com um
grande interesse e conhecimento em tecnologia,
não utilizando eventuais falhas de seguranças
descobertas em benefício próprio.
Como se tornou um termo genérico para invasores de redes, o termo

hacker freqüentemente é usado para designar os elementos que invadem
sistemas para roubar informações e causar danos.
O termo correto para este tipo de invasor seria cracker ou

intruder, que também é utilizado para designar àqueles que
decifram códigos e destroem proteções de softwares.
O termo cracker ou intruder é definido pela RFC-2828 como

sendo alguém que tenta quebrar a segurança ou ganhar acesso
a sistemas de outras pessoas sem ser convidado, não sendo,
obrigatoriamente, uma pessoa com grande conhecimento de
tecnologia como o hacker.
Unidade 1 31

O termo hacker existe desde o ano de 1960. A palavra começou

a ser usada pelos membros do Tech Model Rail Club, do
Instituto de Tecnologia de Massachusetts (MIT), e indicava
pessoas com capacidades técnicas para proezas que ninguém
mais conseguia. Na área de informática, este termo foi usado
para designar programadores prodigiosos, de técnica apurada,
visivelmente superior.
Podemos classificar essas pessoas em várias categorias:
 Carders – Aqueles que fazem compras com cartão de

crédito alheio ou gerado, ou seja, os carders têm
grande facilidade em fazer compras via internet ou
em outro meio.
 Hackers – Pessoas com um grande interesse e
conhecimento em tecnologia, não utilizando
eventuais falhas de seguranças em benefício próprio.
Porém, não destroem dados.
 Crackers – Os crackers são como os hackers, porém
gostam de ver a destruição. Eles invadem e destroem
só para ver o caos formado. Eles apagam todo o
sistema sempre deixando a sua marca registrada.
 Phreacking – São os piratas da telefonia. Eles fazem
tudo o que é relativo aos telefones, convencionais ou
celulares. (SPYMAN, 2002).
Existem muitas maneiras de se atacar os sistemas de informação
de uma organização. Na figura 3 está disponibilizada uma
pesquisa mostrando um balanço dos tipos de ataques mais
usados nos cinco últimos anos. Esta pesquisa foi realizada pelo
departamento de crimes de computador do FBI.
32

Figura 3 – Tipos de ataques mais utilizados

Fonte: CSI/FBI 2003 Computer Crime and Security Survey (2003)
As mais famosas técnicas de ataques às redes corporativas são:
 Quebra de Senha – O quebrador de senha, ou

cracker, é um programa usado pelo hacker para
descobrir uma
senha do sistema. Uma das formas de quebra são os
testes de exaustão de palavras, a decodificação
criptográfica, etc.
 Denial of Service – Também conhecido como DoS,
estes ataques de negação de serviço são
aborrecimentos semelhantes aos mails bomba, porém
muito mais ameaçadores porque eles podem
incapacitar temporariamente uma rede corporativa ou
um provedor
de acesso. É um ataque que consiste em sobrecarregar um
servidor com uma quantidade excessiva de solicitações
de serviços. Sua finalidade não é o roubo de dados, mas
a indisponibilidade de serviço. Existem variantes deste
ataque, como o DoS distribuído, chamado DDoS, ou
seja, a tentativa de sobrecarregar o I/O de algum serviço
é feita de vários locais ao mesmo tempo.

Unidade 1 33

 Cavalo de tróia – É um programa disfarçado que

executa alguma tarefa maligna. Um exemplo, o usuário
roda um jogo qualquer que foi pego na internet. O jogo
instala o cavalo-de-tróia, que abre uma porta TCP
(Transmission Control Protocol) no micro para a invasão.
Este software não propaga a si mesmo de um
computador para outro. Há também o cavalo-de-tróia
dedicado a roubar senhas e outros dados.
 Mail Bomb – É considerado como dispositivo
destrutivo. Utiliza a técnica de inundar um computador
com mensagens eletrônicas. Em geral, o agressor usa
um script para gerar um fluxo contínuo de mensagens e
abarrotar a caixa postal de alguém. A sobrecarga tende
a provocar uma negação de serviço, ou um DoS no
servidor de correio eletrônico. Não há perda de dados na
maioria dos casos.
 Phreacking – é o uso indevido das linhas telefônicas,
fixas e celulares. No passado, os phreackers
empregavam gravadores de fita e outros dispositivos
para produzir sinais de controle e enganar o sistema de
telefonia. Conforme as companhias telefônicas foram
reforçando a segurança, as técnicas foram ficando cada
vez mais difíceis. Hoje em dia é uma atividade muito
elaborada, que poucos conhecem.
 Scanners de Porta – São programas que buscam
portas TCP abertas por onde pode ser feita uma
invasão. Para que a varredura não seja percebida pela
vítima, alguns scanners testam as portas de um
computador durante muitos dias, em horários
aleatórios.
 Smurf – É outro tipo de ataque de negação de serviço.
O agressor envia uma rápida seqüência de solicitações
de ping (um teste para verificar se um servidor está
acessível) para um endereço de brodcast. Usando
spoofing, o cracker faz com que o servidor de broadcast
encaminhe as respostas não para o seu endereço, mas
para o da vítima. Assim o computador alvo é inundado
pelo Ping.
34
 Spoofing – É a técnica de se fazer passar por outro

computador da rede para conseguir acesso a um sistema.
Há muitas variantes, como o spoofing de IP. Para
executá- lo, o invasor altera o cabeçalho dos pacotes IP,
de
modo que pareça estar vindo de uma outra máquina,
possivelmente, uma que tenha cesso liberado.
 Sniffer – É um programa ou dispositivo que analisa o
tráfego na rede. Sniffers são úteis e usados
normalmente para o gerenciamento de redes. Porém nas
mãos erradas, é uma ferramenta poderosa no roubo de
informações sigilosas.
 Vírus – São programas desenvolvidos para alterar
softwares instalados em um computador, ou mesmo
apagar todas as informações existentes no computador.
Possuem comportamento semelhante ao vírus biológico,
multiplicam-se, precisam de hospedeiros, esperam o
momento certo para o ataque e tentam se esconder para
não serem exterminados. A internet e o correio
eletrônico são hoje os principais meios de propagação de
vírus. A RFC-2828 define vírus como sendo um software
com a capacidade de se duplicar, infectando outros
programas. Um vírus não pode se auto-executar, requer
que o programa hospedeiro seja executado para ativá-lo.
 Worm – São programas auto-replicantes que não
alteram arquivos, mas residem na memória ativa
e se duplicam por meio de redes de computador.
Os
worms utilizam recursos do sistema operacional para
ganhar acesso ao computador e, ao se
replicarem, usam recursos do sistema, tornando
as máquinas lentas e interrompendo outras
funções. Um worm é um programa de
computador que pode se auto- executar,
propagar-se pelos computadores de uma
rede, podendo consumir os recursos do computador
destrutivamente (RFC-2828, 2000).

Unidade 1 35

Após ter acompanhado esta série de possíveis vulnerabilidades,

acreditamos que você esteja convencido de que auditar é preciso,
não é mesmo?
Auditar é preciso porque o uso inadequado dos sistemas

informatizados pode impactar uma sociedade. Informação com
pouca precisão pode causar a alocação precipitada de recursos
dentro das corporações e as fraudes podem ocorrer devido à falta
de sistemas de controle.
Então, para garantir que os investimentos feitos em tecnologia da

informação retornem para a empresa na forma de lucros, custos
menores e um menor custo total de propriedade é que o auditor
de sistemas informatizados irá atuar. De posse dos objetivos,
normas ou padrões da corporação o auditor irá verificar se tudo
está funcionando como deveria.
Ainda para ilustrar a importância da atuação do auditor,

acompanhe, na seqüência, algumas estatísticas sobre os ataques
aos sistemas de informação.
A Tabela 2 mostra quais são as medidas tomadas pelas

organizações no que diz respeito à segurança no ano de 2003.
Tabela 2 – As medidas de segurança mais utilizadas pelas empresas brasileiras no ano de 2003.
“TOP 10” MEDIDAS DE SEGURANÇA MAIS IMPLEMENTADAS
Ranking 2003 Medidas de Segurança %
1º Antivírus 90
2º Sistema de backup 76,5
3º Firewall 75,5
4º Política de segurança 72,5
5º Capacitação técnica 70
6º Software de controle de acesso 64
7º Segurança física na sala de servidores 63
8º Proxy server 62
9º Criptografia 57
10º Análise de riscos 56
36

O maior investimento em TI por profissionais da área foi em

antivirus, já que uma grande quantidade de empresas tem
sofrido ataques ou até mesmo deixou de ficar com seus serviços
disponíveis. Logo em seguida, a maior preocupação são os
sistemas de backup. E veja que a política de segurança está em
quarto lugar.
Nota-se pela pesquisa da figura 5 que o roubo de informações

e a negação de serviço, ou seja, parar de disponibilizar dados,
informações e aplicações são os ataques que mais dão
prejuízos para as organizações.
Figura 5 – Perdas financeiras relacionadas com os tipos de ataques realizados

Fonte: CSI/FBI 2003 Computer Crime and Security Survey (2003)
Unidade 1 37

Apesar das vulnerabilidades, não são todas as empresas que

prontamente investem em sistemas de segurança de informações,
porque os responsáveis por manter o ambiente funcionando
enfrentam algumas dificuldades para conseguir estes recursos.
Figura 6 – Principais obstáculos para a implementação da Segurança

Falta de consciência dos executivos (23%), dificuldade em

demonstrar o retorno (18%) e custo de implementação
(16%) foram considerados os três principais obstáculos
para
implementação da segurança nas empresas, como ilustrado na
figura 7. (MÓDULO, 2003)
Quando questionados sobre a fonte de informações para se

obter discernimento a respeito do que fazer quando se trata de
segurança, os entrevistados se mostraram bastante informados
a respeito, e apontaram as referências, normas e legislações
que falam sobre o assunto.
38

Figura 7 – Adequação a legislação / Normas e Regulamentação

Sobre as legislações, normas e regulamentações de segurança

que norteiam suas organizações, 63,5% dos entrevistados
apontaram a ISO 17799; 37% as publicações do Governo
Federal (decreto 4553 e outros); 30% as publicações do Banco
Central (resolução 2554 e outras); 27% a Regulamentação da
ICP-Brasil; 20% o COBIT e 20% as Publicações da CVM
(Resolução 358 e outras).
Você compreendeu a importância de realizar auditoria de

sistemas informatizados, conheceu as principais
vulnerabilidades que ameaçam estes sistemas, bem como
entendeu as funções de um auditor. A seção seguinte propõe que
você estude e reflita sobre os desafios éticos da auditoria de
sistemas informatizados.

Unidade 1 39

Seção 5 – Quais são os desafios éticos da auditoria de sistemas

informatizados?
Esta seção, convida você a realizar uma leitura e uma reflexão
sobre assuntos que lhe farão entender melhor os desafios éticos
do auditor de sistemas informatizados. Para iniciar, realize uma
breve reflexão sobre o dito por Aristóteles e a questão dos atos
justos:
“Sendo os atos justos e injustos tais como os

descrevemos, um homem age de maneira justa ou
injusta sempre que pratica tais atos voluntariamente.
Quando os pratica involuntariamente, seus atos
não são justos nem injustos, salvo por acidente,
isto é, porque ele fez muitas coisas que redundam
em justiças ou injustiças. É o caráter voluntário ou
involuntário do ato que determina se ele é justo ou
injusto, pois, quando é voluntário, é censurado, e
pela mesma razão torna-se um ato de injustiça; de
forma que existem coisas que são injustas, sem que,
no entanto sejam atos de injustiça, se não estiver
presente também a voluntariedade”.
Pois é, dentro das corporações, questões éticas estão envolvidas

em muitas decisões estratégicas, como por exemplo, no
desenvolvimento de novos produtos, em questões ambientais ou
até mesmo no salário de seus funcionários. Essas decisões podem,
em alguns casos, afetar diretamente o desempenho da empresa.
Por conseqüência, essas oportunidades podem envolver um
verdadeiro desafio à ética, não é mesmo?
Só para direcioná-lo mais no assunto em questão, considere

que estamos no meio de uma revolução da informação, onde
nossa capacidade de adquirir, manipular, armazenar e transmitir
informações foi fortemente ampliada. Com a tecnologia da
internet, atualmente é possível conseguir várias informações
dos mais variados cantos do mundo em uma fração de
segundos. Em contrapartida, graças a esta mesma tecnologia,
várias oportunidades de práticas éticas ou não vieram à tona,
não concorda? oportuno voltarmos nossa atenção para os
40

fundamentos filosóficos das questões éticas. Segundo O’Brien

(2002), quatro filosofias éticas são básicas:
 Egoísmo – o que é melhor para um determinado

indivíduo é o correto.
 Lei natural – os homens devem promover sua própria
vida, propagar-se, buscar conhecimento do mundo,
buscar relações íntimas com outras pessoas e submeter-
se à autoridade legítima.
 Utilitarismo – são corretas as ações que produzem
o bem máximo para o maior número de pessoas.
 Respeito pelas pessoas – as pessoas devem ser tratadas
como fim e não como meio para um fim; e as ações são
corretas se todos adotarem a regra moral pressuposta
pela ação.
Afinal o que é Ética?
A ética é uma característica inerente a toda ação humana e,

por esta razão, é um elemento vital na produção da realidade
social. Todo homem possui um senso ético, uma espécie de
“consciência moral”, estando constantemente avaliando e
julgando suas ações para saber se são boas ou más, certas
ou erradas, justas ou injustas.
A ética está relacionada à opção, ao desejo

de realizar a vida, mantendo com os outros
relações justas e aceitáveis. Normalmente, está
fundamentada nos ideais de bem e virtude, que
são valores perseguidos por todo ser humano e
cujo alcance se traduz numa existência plena e feliz.
Hoje, mais do nunca, a atitude dos profissionais em relação

às questões éticas pode ser a diferença entre o seu sucesso
ou fracasso. Ser ético nada mais é do que agir direito,
proceder bem, sem prejudicar os outros. Ser ético é,
também, agir de acordo com os valores morais de uma
determinada sociedade. Essas regras morais são o resultado
da própria cultura de
Unidade 1 41

uma comunidade. Elas variam de acordo com o tempo e sua

localização no mapa.
A regra ética é uma questão de atitude, de escolha. Já a regra

jurídica não prescinde de convicção íntima - as leis têm que ser
cumpridas independentemente da vontade das pessoas. A ética
não é algo superposto à conduta humana, pois todas as nossas
atividades envolvem uma carga moral. A pessoa e a
organização são mais eficientes quando há congruência entre
valores e
as crenças a respeito de como o trabalho deve ser feito e as
expectativas e exigências da organização em relação ao
sucesso. (JACOMINO, 2000)
A empresa que almeje ser ética deve divulgar declarações

precisas, definindo as regras e deve criar procedimentos de
verificação para assegurar que todos na organização as estão
cumprindo.
Por que é importante saber a importância das

dimensões éticas na utilização da tecnologia da
informação?
Um ponto de vista é quando você percebe, por exemplo, que o

impacto causado pela tecnologia da informação sobre o emprego
é uma preocupação ética muito importante e está diretamente
relacionada ao uso dos computadores para se conseguir um
determinado grau de automação. Não há dúvidas que ao advento
dos sistemas informatizados veio aumentar a produtividade,
ao mesmo tempo em que diminuiu a oferta de determinadas
oportunidades de trabalho. Aplicações, computadores e
máquinas automatizadas realizam tarefas que antes eram
realizadas por vários trabalhadores.
O que existe hoje é uma procura por habilidades diferentes,

formando o grupo de usuários de computadores e o grupo de
administradores de computadores, de forma que, se você não
tem uma ou outra habilidade, as chances de conseguir uma
oportunidade de trabalho diminuem bastante.
Esta questão é um problema a ser superado no Brasil, onde

50% das vagas na área de tecnologia da informação não são
preenchidas por falta de mão-de-obra qualificada. Apenas 11%
dos jovens na faixa etária entre 18 e 24 anos cursam o ensino
42

superior e 64% da população empregada nem sequer completou

o primeiro grau. Se o panorama nacional nos faz crer que a
demanda por recursos humanos não será preenchida a curto
prazo, está mais do que na hora das empresas baseadas no Brasil
proporem soluções que visem minimizar este cenário e sejam
capazes de transformar bits e bytes em poderosa vantagem
competitiva para todos.
Nesta perspectiva, em contrapartida, surge a possibilidade da

gestão do conhecimento, a qual, com uma coleção de
processos, governa a criação, disseminação e utilização do
conhecimento para atingir plenamente os objetivos da
organização. A gestão do conhecimento lida principalmente
com os aspectos que são
críticos para a adaptação e sobrevivência da empresa diante de um
ambiente de mudança crescente e descontínua.
O conhecimento é a chave para o poder nos negócios e as

empresas que se voltam para a gestão do conhecimento,
necessitam de uma abordagem que veja a organização como uma
comunidade humana, cujo conhecimento coletivo representa um
diferencial competitivo em relação à concorrência.
É no conhecimento coletivo que se baseiam as

competências competitivas essenciais.
A Tecnologia da Informação tem um papel
fundamental que muitas vezes tem sido
negligenciado ou até mesmo tem passado
despercebido na maioria das empresas e órgãos
de informática.
As competências essenciais e o conhecimento coletivo baseiam-

se em informações de negócio: conhecimento e experiência.
O papel a ser desempenhado pela TI é estratégico: ajudar o
desenvolvimento coletivo e o aprendizado contínuo, tornando
mais fácil para as pessoas na organização compartilharem
problemas, expectativas, idéias e soluções. E em meio a este
ambiente competitivo do mundo contemporâneo, o principal
desafio das organizações está em estabelecer os padrões éticos
nas relações entre pessoas e empresas.
Unidade 1 43

Como aplicar a ética no campo de novas tecnologias?
Não podemos ser inocentes e pensar que empresas são apenas

entidades jurídicas. Empresas são formadas por pessoas e só
existem por causa delas. Por trás de qualquer decisão, de
qualquer erro ou imprudência estão seres de carne e osso. E são
eles que vão viver a glória ou o fracasso da organização. Por
isso, quando falamos de empresa ética, estamos falando de
pessoas éticas. Uma política interna mal definida por um
funcionário de qualquer nível pode denegrir dois dos maiores
patrimônios de uma empresa: a marca e a imagem.
Além de ser individual, qualquer decisão ética tem por trás

um conjunto de valores fundamentais. Muitas dessas virtudes
nasceram no mundo antigo e continuam válidas até hoje. Eis
algumas das principais: ser honesto em qualquer situação, ter
coragem para assumir as decisões, ser tolerante e flexível, ser
íntegro e ser humilde.
A internet tem modificado o comportamento humano,

incentivando a paixão pelo conhecimento, educação e cultura.
A sociedade contemporânea valoriza comportamentos que

praticamente excluem qualquer possibilidade de cultivo de
relações éticas. É fácil verificar que o desejo obsessivo na
obtenção, possessão e consumo da maior quantidade possível de
bens materiais é o valor central na nova ordem estabelecida no
mundo e que o prestígio social é concedido para quem consegue
esses bens. Esse desejo se tornou mais voluptuoso e de acesso
mais fácil depois da ascensão do comércio eletrônico na internet.
A pessoa que antes devia fazer um mínimo esforço para uma

compra ou aquisição, hoje se vê diante de um mar de ofertas da
tela do seu computador. O sucesso material passou a ser sinônimo
de sucesso social e o êxito pessoal deve ser adquirido a qualquer
custo.
44

Um dos campos mais carentes, no que diz respeito

à aplicação da ética, é o das novas tecnologias e
nisto inclui-se a internet.
Não existe uma legislação prevendo condutas ou regras e com

isso fica muito perto o limite da ética no trabalho e exercício
profissional. Uma das principais e mais evidentes realidades da
internet é o individualismo extremo. Este fator, muitas vezes
associado à falta de ética pessoal, tem levado alguns
profissionais a defender seus interesses particulares acima dos
interesses das empresas em que trabalham, colocando-as em
risco.
Este quadro nos remete diretamente à questão da formação

de recursos humanos, pois as pessoas são a base de
qualquer
tentativa de iniciar o resgate da ética nas empresas e nas
relações de trabalho e gestão do conhecimento.
Ética, além de ser a ciência que estuda o comportamento

moral das pessoas na sociedade, é um investimento. Um
investimento que traz bons frutos a longo prazo. É importante
entender que o conceito de que estender benefícios à sociedade
é um meio concreto de abraçar a ética e criar uma boa imagem
para a
empresa. Na internet, por exemplo, é extremamente necessário se
ter credibilidade para que a empresa possa sobreviver no
comércio eletrônico. (SROUR, R. H., 1998)
O ambiente organizacional sob a ótica da ética na gestão do

conhecimento
O conhecimento antropológico nos ensina que não se deve

confundir normas morais, socialmente praticadas, com pautas
abstratas, universais e anistóricas, pois elas são padrões
sociais convencionados que espelham condições históricas
bem determinadas.
Você deve distinguir, entretanto, normas jurídicas (leis,

regulamentos) e normas morais.

Unidade 1 45

Ambas as normas regulamentam as relações sociais, postulam

condutas obrigatórias, assumem a forma de imperativos e visam a
garantir a coesão social.
A moral é um discurso de justificação e se encontra no coração da

ideologia. É um dos mais poderosos mecanismos de reprodução
social, porque define o que é permitido e proibido, justo e injusto,
lícito e ilícito, certo e errado.
Há inúmeras situações carentes de normalização que não

remetem às confortáveis dicotomias do tipo branco e preto.
Diante delas, as opiniões se dividem, exacerbadas porque os
interesses subjacentes convivem em frontal oposição.
Quem será beneficiado e quem sairá prejudicado?
Eis a justificativa de uma competente reflexão ética. Vale a pena

distinguir entre: racionalizações, que são situações em que o
agente sabe o que é certo fazer, mas deixa de fazer mediante
justificações e dilemas, que são situações em que o agente não
sabe o que é certo fazer e patina na incerteza moral.
Como ser ético num mundo em que se confrontam

valores e fins que, por sua própria pluralidade,
sustentam a irracionalidade ética do mundo?
Toda tomada de decisão processa-se num contexto em que

interesses contraditórios se movimentam, tenham ou não
consciência os agentes envolvidos. Tal ou qual curso de ação
beneficia quem? Quais interesses estão em jogo? Os interesses
gerais, nacionais, públicos ou comunitários? Os interesses
universais, coletivos, sociais ou os interesses paroquiais,
familiares e pessoais?
Qualquer sistema de normas morais põe em cena crenças e

valores, fins e meios, a partir de um conjunto de
informações que procuram descrever uma situação.
46

Ele supõe também as conseqüências prováveis das ações que

poderão vir a ser adotadas e ainda sugere os interesses que
sustentam o edifício todo. Ora, toda moral palpita no coração de
uma ideologia e, de maneira aparentemente paradoxal, reivindica
um caráter universalista.
A chave da discussão contemporânea gira em torno do egoísmo

ético em choque com as morais socialmente orientadas. Assim
é que nos países latinos e, em particular no Brasil, rastreia-se
uma dupla moral social: uma moral da integridade, que é a
moralidade oficial, edificante e convencional, compondo uma
retórica pública que se difunde nas escolas, nas igrejas, nos
tribunais e na mídia; e uma moral do oportunismo, que é a
moral oficiosa, pragmática e dissimulada, furtivamente praticada
como ação entre amigos e muitas vezes celebrada pela
“esperteza” de seus procedimentos.
Os valores da moral da integridade são a honestidade, a

lealdade, a idoneidade, o respeito à verdade e à legalidade, o
compromisso com a retidão. Tais virtudes desenham o perfil
do homem de caráter, confiável, decente e digno, cumpridor
de suas obrigações e fiel à palavra empenhada, sujeito
eminentemente virtuoso e inflexível na preservação dos
valores consagrados. Quaisquer decisões e ações deveriam
orientar-se por princípios que, por definição, valem para todos
os homens.
Em contrapartida, a moral do oportunismo funciona com base
em procedimentos cínicos como o jeitinho, o calote, a falta de
escrúpulo, o desprezo irresponsável pelas conseqüências dos
atos praticados, o vale-tudo, o engodo, a trapaça, a exaltação da
malandragem, o fisiologismo e a bajulice. Esta moral valoriza
o enriquecimento rápido e o egoísmo, consagra a esperteza e
acredita que o proveito pessoal move o mundo. Assim, desde que
a finalidade seja alcançada, a ação se justifica, não importam os
meios, lícitos ou não.
Ora, queiram ou não, as empresas convivem com os padrões
morais que suas contrapartes partilham. Ferir tais padrões
significa estimular a deslealdade individual aos interesses da
empresa. Em razão disto, é preciso convencionar um código de
honra que ligue as organizações a seus funcionários. Ademais,
as empresas têm uma imagem a resguardar, patrimônio
essencial para a continuidade do próprio negócio. A imagem da
empresa

Unidade 1 47

não pode ser desprezada impunemente, nem pode ser reduzida

à mera moeda publicitária, porque ela representa um ativo
econômico sensível à credibilidade que inspira.
A ética está amplamente constituída de regras de sobrevivência,

regras de comportamento associadas à profissão, regras de
relacionamento que possibilitem harmonia na convivência social
e assim por diante.
As atitudes devem ser rápidas e certeiras, mas sempre

seguindo estratégias globais; estas sim, capazes de diferenciar
as empresas e garantir resultados consistentes no que diz
respeito à sobrevivência das organizações. As empresas hoje
buscam profissionais com um perfil diferenciado.
A era da informação é implacável: joga para escanteio

quem não têm instrução adequada e coloca no ápice
os mais preparados.
Os sistemas formais da organização correspondem aos

métodos, às políticas e aos procedimentos que claramente
identificam qual o negócio, quando, como, onde e por que ele
se realiza.
Quando os sistemas formais contêm um direcionamento

ético claro, os funcionários têm uma compreensão correta
das expectativas e exigências. Quando estes sistemas não
são claros ou quando a mensagem ética varia entre os
sistemas, os indivíduos buscam outro ponto de referência
para uma orientação definitiva, uma dimensão tipicamente de
liderança.
Quando os sistemas não se referem à questão ética, a

mensagem transmitida é de que não existe um padrão ético.
Isto deixa os funcionários totalmente dependentes de seus
valores pessoais e do comportamento observável dos outros.
48

O que fazer para andar com um pouco mais de segurança nesse
saiba exatamente quais são os seus limites éticos;

avalie detalhadamente os valores da sua empresa;
trabalhe sempre com base em fatos;
avalie os riscos de cada decisão que tomar saiba que, mesmo ao optar pela solução mais ética, poderá se envolver em situações delicadas
Falhas éticas “arranham” a imagem da empresa e as levam

a perder clientes e fornecedores importantes, dificultando o
estabelecimento de parcerias, pois na hora de se dar as mãos,
além de levantar as afinidades culturais e comerciais, as
empresas também verificam se existe compatibilidade ética entre
elas.
É fundamental criar relacionamentos mais éticos

no mundo dos negócios para poder sobreviver e,
obviamente, obter vantagens competitivas.
E assim, com as ferramentas e o saber a postos, o quadro não é

tão ruim assim, pois sem sombra de dúvida, a tecnologia criou
um verdadeiro mundo de oportunidades de emprego, para a
fabricação de computadores e periféricos, desenvolvimento de
softwares e outros sistemas de informação. E junto com isto,
criou uma gama maior ainda de serviços para quem trabalha com
tecnologia.
Uma vez que você finalizou a leitura criteriosa desta unidade,

realize, a seguir, as atividades propostas e pratique os novos
conhecimentos.

Unidade 1 49

Atividades de auto-avaliação
Efetue as atividades de auto-avaliação e acompanhe as respostas

e comentários a respeito no final do livro didático. Para melhor
aproveitamento do seu estudo, realize a conferência de suas respostas
somente depois de fazer as atividades propostas.
Leia com atenção os enunciados e realize, a seguir, as atividades:
1) Basicamente, descreva quais ao os riscos que as informações em
meio digital ou não correm dentro das empresas?
2) Por que auditar? Explique.
50

3) Considerando os aspectos financeiros, sociais e tecnológicos

envolvidos na gestão de TI, descreva a seguir qual o maior desafio
ético na área de tecnologia?
Síntese
Com o estudo desta primeira unidade, você conferiu os conceitos

que permeiam o assunto de auditoria de sistemas informatizados.
Constatou que o crescente uso de soluções informatizadas dentro

das empresas cresceu muito nos últimos anos. Um novo mundo
de oportunidades surgiu com o uso descontrolado dos sistemas
de informação, havendo a necessidade iminente de controle e as
empresas optaram por um plano de auditoria.
Esta auditoria tem como objetivo a manutenção do investimento

feito sobre as soluções de tecnologia da informação, fazendo
com que o custo total de propriedade da solução se mantenha
baixo.
Deste modo, você entendeu os motivos pelos quais a auditoria em

sistemas informatizados se faz necessária dentro das corporações.
Por fim, estudou também que essas lacunas abertas nos levam
a verdadeiros desafios em nossa profissão, pois tendo em
mãos
informações, programas e dados de maneira tão fácil e tão rápida,
um verdadeiro desafio à ética surge e nos coloca em “cheque” na
hora de decidir como agir.
Unidade 1 51

Saiba mais
Para aprofundar as questões abordadas nesta unidade, você

poderá pesquisar os seguintes materiais:
 http://www.gocsi.com – CSI/FBI – 2003. Pesquisa do

FBI a respeito de crimes de internet.
 http://www.modulo.com.br – site da empresa Módulo,
empresa líder de mercado em soluções de segurança.
 http://www.bsibrasil.com.br/ - site da organização que
gerencia a norma BS 7799.
52

2
UNIDADE 2
Organização da auditoria
Ao final desta unidade, você terá subsídios para:
 compreender os atributos mais comuns das atividades

dos auditores e os aspectos relacionados as suas
responsabilidades;
 conhecer os principais componentes de
um planejamento de auditoria;
 conhecer o que é uma conclusão de auditoria.
Seções de estudo
A seguir, apresentamos as seções para você estudar:
Seção 1 A origem da auditoria
Seção 2 O auditor e os sistemas informatizados
Seção 3 Quais são as responsabilidades do
auditor? Seção 4 Como ocorre o planejamento da
auditoria? Seção 5ocorre a conclusão da auditoria?

22/12/2006 12:17:50

A auditoria é de suma importância para os negócios,
independente de sua origem, seja ela contábil ou de tecnologia de
informação. O termo auditoria é relacionado com diversas áreas
de nossa sociedade.
Nesta unidade, você vai estudar a organização da auditoria

em seu âmbito geral e resgatar a relação dela com as diversas
áreas dos negócios. Bom estudo!
Seção 1 – A origem da auditoria

A auditoria sempre foi muito relacionada com a contabilidade
e também surgiu numa época bem remota. Este fato dificulta
a pesquisa de matérias para estudos acadêmicos que falam
com
propriedade a respeito do assunto, já que a literatura disponível,
em sua grande maioria, trata de eventos de auditorias
financeiras. Porém, muitos dos conceitos utilizados são muito
bem-vindos pelo fato de que somente o objeto de auditoria está
sendo mudado.
No Egito antigo, autoridades providenciavam verificações

independentes nos registros de arrecadações de impostos. Na
Grécia, eram realizadas inspeções nas contas de funcionários
públicos através da comparação de gastos com autorizações
de pagamentos. Já os nobres castelos medievais ingleses
indicavam auditores que revisavam os registros contábeis e
relatórios preparados pelos criados.
Como surgiu a auditoria de empresas?
A auditoria de empresas começou com a legislação britânica

promulgada durante a revolução industrial, em meados do
século XIX. Avanços na tecnologia industrial e de transporte
provocaram novas economias de escala, empresas maiores,
o advento de administradores profissionais e o crescimento
54

da incidência de situações em que os donos de empresas não

estavam presentes nas ações diárias da corporação. No advento da
auditoria, este serviço tinha que ser feito por acionistas que não
eram administradores das empresas e que recebiam a delegação
dos demais acionistas. (PURPURA, 1998)
Você sabia?
Na Inglaterra encontram-se as empresas de auditorias
mais bem conceituadas, tais como: Deloitte & Co.,
Peat Marwick & Mitchell e Price Waterhouse & Co.
Tanto eles são pioneiros na área, que foi de lá, de
estudos acadêmicos, que surgiu o padrão de
segurança
de informações que os auditores de sistemas
informatizados utilizam: o padrão BS 7799 que tem
suas variações na ISO (ISO 27001) e na ABNT, onde se
encontra a NBR ISO/IEC 17799:1 (2005).
A influência britânica foi essencial para os Estados Unidos, no

final do século XIX, na mesma proporção em que investidores
escoceses e ingleses enviavam seus próprios auditores para a
verificação na contas das empresas norte-americanas, nas quais
tinham investido muito dinheiro.
No final do século XIX, Nova Iorque tornou-se o primeiro

estado norte-americano a aprovar uma legislação sobre a
profissão de auditor. Vinte anos mais tarde, todos os Estados
Americanos já tinham aprovado lei semelhante.
No início do século XX, a demanda de serviços na área aumentou

exponencialmente, em razão, a princípio, da venda de títulos ao
público. Esta situação deixou clara a necessidade de uma maior
linearidade na apresentação de demonstrações contábeis.
Você sabia?
Para se ter uma noção do crescimento da profissão
de auditor, observe que em 1900 eram apenas 250
auditores autorizados a exercer a profissão nos
Estados Unidos e hoje são mais de 500.000. (Fonte:
Wise, 2002).
Unidade 2 55

Continuando a trajetória histórica, você vai perceber que a

complexidade dos negócios foi aumentando. Na década de 40,
já eram observadas três importantes mudanças na prática da
auditoria:
 a verificação contábil passou a ser realizada

por amostragem, em sua maioria;
 foi desenvolvida a prática de vincular os testes
realizados à avaliação dos controles internos da
entidade auditada; e, por fim,
 a ênfase na detecção de fraudes com o objetivo de
uma auditoria foi reduzida. Esta última alteração
gera controvérsia até hoje, pois no âmbito contábil é
de
interesse público que os auditores detectem fraudes e não
apenas não-conformidades. Esta alteração está prestes a
ser mudada.
Durante a década de 80 e 90, a tônica nos campos profissionais

era o conhecimento exigido e, assim, a profissão de auditor deu
um outro passo no sentido de assegurar a prestação de serviços de
qualidade. Cursos de capacitação e reciclagem começaram a ser
exigidos, bem como a certificação, pois profissionais certificados
eram mais bem conceituados.
Seção 2 – O auditor e os sistemas informatizados

Quando os sistemas de computadores surgiram, muitos auditores
estavam preocupados com a essência da auditoria que poderia
mudar para poder lidar com a nova tecnologia. Agora está
claro que não é este o caso. Os auditores devem prover uma
avaliação competente e independente indicando se um conjunto
de atividades econômicas tem sido registrado de acordo com os
padrões e critérios estabelecidos.
Os sistemas informatizados têm afetado duas

funções básicas dos auditores: coleta e avaliação das
evidências.
56

Coletar evidências sobre a segurança em um sistema

informatizado é muito mais complexo do que em um sistema
manual, sem automação, justamente devido à diversidade e
complexidade da tecnologia de controle interno. Os auditores
devem entender estes controles e ter know-how para coletar
evidências corretamente.
Tecnologias como hardware ou software evoluem muito

rapidamente, o que torna o entendimento sobre o controle muito
complicado e difícil, pois existem intervalos de surgimento de
tecnologias e entendimento da mesma.
Por exemplo, num equipamento de hardware, os

famosos “appliances” que fazem o papel de
Firewall são considerados somente bloqueadores
de portas lógicas. Uma nova versão deste
equipamento possui um software que permite,
além de bloquear portas lógicas, fazer o serviço de
detecção de intrusos, o que o torna mais eficaz no
momento de avaliar a segurança de dispositivos de
rede que fazem este papel.
Em alguns casos, não é possível detectar evidências de forma

manual. Nesse caso, o auditor terá que recorrer outros
recursos como, por exemplo, sistemas informatizados que
possibilitem a coleta das evidências necessárias. Novas
ferramentas de
auditoria podem ser requeridas devido à evolução da tecnologia,
e infelizmente aqui também ocorre um intervalo entre as
necessidades da auditoria e as implantações das mesmas.
Devido à crescente complexidade dos sistemas informatizados,

também é mais difícil avaliar as conseqüências das
vulnerabilidades existentes. Primeiramente, os auditores devem
entender quando um controle está agindo de forma segura ou
não.
Erros em programas de computador tendem a ser deterministas:

um programa errado sempre executará incorretamente. Além
disto, erros são gerados em grande velocidade e corrigi-los
pode custar caro. Assim, controles internos que garantam que
sistemas de computadores de alta qualidade sejam projetados,
implementados, operados e mantidos são críticos.
Unidade 2 57

O ônus sobre os auditores é garantir que estes

controles sejam suficientes para manter a proteção
dos ativos de informação da corporação, integridade
dos dados, efetividade e eficiência dos sistemas, além
de disponibilizá-los para que eles sejam operados de
forma segura.
Os sistemas de informação passaram a disponibilizar mais

informações para os que detêm o poder decisório das empresas.
Os auditores desenvolveram uma fama de entenderem tanto de
contabilidade quanto dos fatores que afetam a competitividade
de um negócio ou setor de atuação. Contudo, esta profissão tem
sido alvo de críticas por não utilizar o know-how adquirido para
agregar valor a seu serviço. Pode-se, inclusive, comparar com a
área de sistemas informatizados, pois um auditor pode, além de
detectar uma não-conformidade, dar alguma sugestão imediata
para resolver esta não-conformidade.
Esta situação permite uma discussão bastante interessante:
Primeiro reflita sobre a questão, após escreva suas

conclusões:
O auditor deve simplesmente detectar as não-
conformidades e dar a “nota” ao objeto auditado ou,
além disso, ele pode ajudar a corporação a aumentar
o nível de segurança dos seus sistemas de
informação?
Utilize o espaço, a seguir, para registrar suas reflexões.
58

Deste modo, serviços de auditoria deslocam-se na cadeia de

valores na mesma proporção que o auditor traduz as informações
obtidas com seu trabalho para informações críticas à camada
executiva da empresa.
Por exemplo, com seu conhecimento do negócio, o

auditor pode reconhecer que uma companhia não
está utilizando adequadamente os seus ativos de
informação e pode fazer recomendações sobre
como outras empresas o fazem ou, até mesmo,
como as normas e padrões de segurança mais
conceituados no mercado o fariam.
O auditor ocupa posição privilegiada em nossa sociedade por

entender o funcionamento de várias organizações e saber de que
forma elas utilizam os recursos de tecnologia para atingir seus
objetivos.
O desafio desta profissão está em compartilhar o conhecimento

de maneira que ajude o cliente a atingir seus objetivos além de
manter a independência. É interessante que este profissional
saiba a grande diferença entre fazer recomendações e implantar
decisões, respeitando a ética profissional.
Quais são os principais valores de um auditor?
É possível resumir, em três características, os principais valores

de um auditor:
 manter princípios éticos;

 possuir integridade;
 possuir objetividade.
Apesar de simples, encontra-se no mercado de auditoria, apesar

de vasto, poucas empresas prestadoras de serviço de auditoria
que respeitam estas propriedades.
Unidade 2 59

É importante, na hora de contratar tais serviços, procurar por

empresas com tenham sua reputação baseada nas características
acima mencionadas.
A incessante procura por atualizações das normas e métodos de

auditoria devem também fazer parte do dia-a-dia da profissão de
auditor, pois vulnerabilidades e ameaças são lançadas todos os
dias.
Nosso cenário é de muita crítica aos auditores pelo fato de

que esta profissão é muitas vezes vista como a de relatores
de
problemas e não como a de solucionadores de situações de não-
conformidade.
Quais são as necessidades para ser um profissional auditor?

Auditores necessitam de grande capacidade de comunicação, pois
o serviço pede que ao levantar-se questões relacionadas com o
objeto auditado, a discussão seja levada para a camada executiva
da empresa e os resultados deste trabalho também. Como a
tecnologia influencia diretamente a forma como os auditores
se comunicam, deve-se recorrer a modelos padronizados que
possam passar a extensão, conclusão e observações do trabalho
realizado. A capacidade de pensar crítica e estrategicamente é
essencial ao auditor.
Por exemplo, o auditor deve ser capaz de analisar e

avaliar o P.D.I. (Plano Diretor de Informática) de um
cliente e avaliar se os recursos de TI que existem
na corporação manipulam as informações de
forma concisa e coerente e atendem aos objetivos
previamente definidos para estes sistemas.
O auditor deve procurar fazer com que suas competências não

somente sejam ditadas por normas, mas decorram de foco no
cliente e no mercado.
60

Quais são os serviços prestados pelo auditor?
Os principais serviços prestados por auditores são:
 assurance;
 consultoria gerencial;
 planejamento;
 certificação de normas.
Assim, os serviços de assurance são as traduções de

informações provindas dos recursos encontrados no objeto
auditado, melhorando o contexto e a qualidade para que a
camada executiva possa tomar suas decisões.
Os serviços de consultoria gerencial abrangem as recomendações

sobre como utilizar os sistemas de informação do cliente de uma
forma mais proveitosa e que atenda aos objetivos de negócio da
empresa auditada.
Os serviços de certificação de normas são aqueles em que o

auditor irá prover um check-list apontando conformidades e
não-conformidades segundo determinada norma e irá emitir
uma parecer sobre a emissão ou não para uma empresa daquele
certificado. (CARUSO, 1999)
Com esta seção, você conheceu um pouco mais sobre a

história desta profissão e a interação do auditor com os
recursos informatizados, que será melhor apresentado nas
próximas unidades. Continue seu estudo e conheça quais são as
responsabilidades de um auditor.
Unidade 2 61

Seção 3 – Quais são as responsabilidades do auditor?

O auditor é, na maioria das vezes, visto como um detetive
justiceiro, que se insere no âmago da organização para
apontar erros, defeitos, problemas, sem a contrapartida
de contribuir para uma solução. Isto torna complicado o
trabalho do auditor, pois sua presença pode incomodar os
administradores da informação da empresa.
Auditor: vilão incompreendido Um auditor pode incorrer em responsabilidade legal ao

ou recurso indispensável para as prestar qualquer serviço profissional. Se você analisar o passado
corporações. desta profissão, o auditor tem tido um percentual extremamente
baixo de acusações de falhas ou fraudes em seu serviço, em
relação à quantidade de auditorias realizadas.
Apesar de serem raros, os erros em serviços de auditoria

acontecem, e quando ocorrem, tem conseqüências grandes. E essa
falha tem o seu respectivo lado jurídico.
Um exemplo disto é que um erro de pouco menos

de um grau na programação de um vôo de longa
distância, apesar de raramente acontecer, suas
conseqüências são muito grandes, como a falta de
combustível para o pouso do avião com
segurança.
Quais são as responsabilidades do auditor em relação

aos seus clientes?
Um auditor tem uma relação contratual direta com seus clientes.
Quando concorda em prestar serviços, algumas coisas devem
ser lembradas pela empresa contratante para que o processo de
auditoria, já aprovado pela camada executiva, siga de acordo
com os objetivos esperados.
62

Quais cuidados tomar durante o processo

de fechamento de contrato?
Assim, alguns cuidados são importantes no processo de

fechamento do contrato:
 Antes da assinatura do contrato, uma proposta

comercial deve ser apresentada à empresa
contratante, a fim de se conhecer o escopo de
trabalho, ou seja, todas as responsabilidades
da empresa contratada e da contratante. Isto é
favorável para que, no final dos serviços,
possa- se fazer um processo de Quality
Assurance da
auditoria em si, isto é, uma medição do que foi proposto
e do que foi realizado.
 A empresa que contratar os serviços de auditoria de
terceiros deve ter o cuidado de escolher a empresa
contratada seguindo algumas características como:
tempo que a empresa está no mercado, se a empresa
possui
um plano de atualização permanente dos auditores, se
a empresa não possui muitas queixas ou processos de
clientes, verificar a carteira de clientes da empresa, entre
outras características.
 Na hora da assinatura do contrato, é importante observar
a parte sobre o sigilo de contrato, que é imprescindível
para um contrato de serviços de auditoria. Se a empresa
contratada não for de boa índole, pode acontecer de o
auditor repassar informações para concorrentes, já que
ele também presta serviço para outras empresas.
 Verificar se a norma ou padrão adotado pela empresa
contratada tem grande aceitação no mercado; verificar
se a mesma está atualizada quanto às últimas mudanças
do mundo contábil, financeiro ou tecnológico.
Unidade 2 63
Que situações o auditor pode ser responsabilizado

por quebra de contrato?
Há três situações típicas onde o auditor pode ser responsabilizado

por quebra de contrato, a considerar:
 na emissão de um parecer-padrão de auditoria sem

ter aplicado as normas de auditoria geralmente
aceitas;
 na entrega do relatório fora do prazo estipulado;
 na violação da relação confidencial acordada no contrato.
É importante ressaltar que na quebra de um contrato pelas

situações anteriormente citadas ou outras, o queixoso geralmente
busca uma ou mais das seguintes alternativas: prestação dos
serviços pelo réu; indenização monetária por prejuízos ocorridos
durante a quebra de contrato; ou uma indenização por prejuízos
indiretos causados pela não realização dos serviços contratados.
1136 Tenants’Corp versus Max Rothenberg & Co. (1971)

Responsabilidade por negligência
O queixoso, uma corporação que possui um conjunto de apartamentos, acionou o réu, uma firma de auditores contábeis, pleiteando inde
administrador do queixoso, tinha realizado. Riker tinha contratado Rothenberg verbalmente por honorários anuais de US$ 600,00 (Seiscen
O queixoso argumentou que Rothenberg tinha sido contratado para realizar todos os serviços de contabilidade e auditoria. O réu, por sua
64

Além disso, em uma carta de encaminhamento das

demonstrações contábeis, o contabilista afirmou que as
demonstrações tinham sido preparadas com base nos
livros e registros da empresa e não tinham sido objeto
de verificação independente.
O tribunal decidiu que acusado tinha sido contratado
para realizar uma auditoria porque Rothenberg admitiu
que havia realizado alguns procedimentos, como exame
de extratos bancários, faturas e contas. Na realidade,
os papéis de trabalho do auditor continham um mapa
intitulado “”Faturas não encontradas”, que mostrava que
não havia comprovantes para pagamentos da ordem de
US$ 40.000,00(quarenta mil dólares). O contabilista não
informou ao queixoso sobre a falta desses comprovantes
e não se empenhou em encontrá-los. O tribunal decidiu
que o auditor contábil foi negligente e determinou que
ele pagasse indenizações que totalizaram US$ 237.000
(duzentos e trinta e sete mil dólares) afirmando que:
Independente de o Auditor contábil ter sido contratado
para realizar uma auditoria ou simplesmente preparar
demonstrações contábeis, ele tinha o dever de informar
o cliente qualquer conduta errada ou suspeita de seus
empregados, da qual chegasse a ter conhecimento.
Papéis de trabalho do réu indicavam que ele tinha realizado
alguns procedimentos de auditoria contábil.
Os registros mostravam que o réu tinha sido contratado
para realizar uma auditoria dos livros e registros do
cliente e que os procedimentos utilizados pelo réu
tinham sido “incompletos, inadequados e realizados de
forma não apropriada”.
1136 Tenants’Corp vs Max Rothenberg & Co.
(1971) (36 A2d 30 NY2d 804), 319 NYS2d 1007
(1971).
Unidade 2 65

Por que é importante documentar por escrito a

execução dos trabalhos?
Para obter tal resposta, acompanhe a seguir, a descrição de um

caso interessante. Ele ficou conhecido como o Caso 1136 Tenants
e é utilizado, freqüentemente, para demonstrar a importância do
processo de execução dos trabalhos ser documentado por escrito.
A existência de um contrato por escrito foi boa, porém não foi a

única questão que o caso levantou. A questão crítica aqui é que o
auditor contábil não informou ao cliente que um empregado seu
estava cometendo atos errados, independente do tipo de serviço
que estava sendo prestado.
Apesar de antigo, esse caso acontece muito em nosso país:

contratos são assinados e muitas informações são
acertadas verbalmente. Por isto, muita atenção!
Até aqui, você estudou sobre as responsabilidades do auditor

no que diz respeito aos procedimentos a serem adotados com
os clientes e, com isso, a importância do contrato de trabalho.
Veja, a seguir então, quais são as responsabilidades quando o

trabalho é feito sem a existência de um contrato, ou seja, com
terceiros.
Um terceiro pode ser definido como um indivíduo

que não tem relação contratual com as partes de
um contrato.
De acordo com a lei de perdas e danos, o auditor tem

responsabilidade para com todos os terceiros, por negligência
grave e fraude. Por negligência normal, contudo, sua
responsabilidade para com as duas classes de terceiros tem sido
diferente.
66

O conceito de responsabilidade evoluiu

significativamente, passando a abranger proteção ao
consumidor contra atos errados, tanto para fabricantes
como para os prestadores de serviços.
O tamanho das empresas, de uma maneira geral,

aumentou, para suportar novos níveis de responsabilidade
perante o cliente. Pode-se dizer que hoje em dia as
empresas, tecnicamente falando, além de procurarem
um bom profissional para prestar serviços, procuram
também àquelas empresas em que possam confiar. Afinal,
o auditor de sistemas de informação irá lidar com dados e
informações que são, em sua grande maioria, sigilosos.
Seção 4 – Como ocorre o planejamento da auditoria?

A atividade de auditoria pode ser dividida em três fases:
planejamento, execução (supervisão) e relatório.
O que ocorre na fase de planejamento?
Uma fase vital para qualquer contrato de auditoria é o seu

planejamento. Ele desempenha o mesmo papel que em outras
áreas, na vida pessoal, no desenvolvimento de um novo produto,
entre outros. Dele resulta um arranjo ordenado dos passos
necessários à condução de determinado objetivo. Tudo que é feito
de forma organizada está fadado ao sucesso.
Planejamento da auditoria envolve vários passos importantes.

Obtenção de conhecimento do negócio e da organização
representa a etapa crítica neste processo, pois estabelece a base
para a realização de muitos outros procedimentos de auditoria.
Ao planejar o seu trabalho, o auditor toma importantes decisões
sobre a relevância e risco de auditoria. Um produto importante
do planejamento envolve a tomada de decisões preliminares
sobre a estratégia a ser seguida.
Unidade 2 67

Por exemplo, num parecer técnico de um auditor de

sistemas de informação, uma constatação de que
determinado sistema não é de missão crítica
influencia e muito na decisão do auditor de
recomendar alguma mudança. Isso na relação com a
conformidade ou
não-conformidade, mas com trabalho próativo do
auditor em dizer que, apesar da não-conformidade,
esta vulnerabilidade não causará muitos danos, pois o
sistema não é de missão crítica.
Um aspecto muito importante na obtenção das informações

relacionadas com o negócio do cliente é o ciclo de vida das
informações. É baseado nestes fluxos que se avalia a segurança
envolvida.
Sendo mais específico, deve ser feito um inventário do ambiente

computacional do cliente, com informações sobre hardware,
sistemas operacionais, arquitetura computacional, metodologia
usada no desenvolvimento de software, quais são ou não os
sistemas críticos.
Com estas informações, o auditor irá traçar o seu

plano de auditoria e definir o escopo do serviço.
Um dos motivos do auditor definir o escopo após o inventário é

a necessidade de se saber dos recursos técnicos a serem
Estes conceitos já foram explorados alocados.
na unidade anterior. No caso de auditoria de software, por exemplo, é necessário um
auditor que conheça as normas e procedimentos para a
fabricação de alguma aplicação, já que elas diferem das que
aplicam diretrizes e procedimentos, para garantir a alta
disponibilidade de um ambiente computacional.
Saber previamente a complexidade do

ambiente de tecnologia que será auditado é
uma grande
vantagem, pois a empresa terá mais tempo na hora de
procurar algum recurso humano em especial.
68
Lembre-se sempre que as informações que são anexadas ao

processo de auditoria devem ser coletadas em primeira mão, ou
seja, com a certeza de que o dado coletado é de fonte segura.
Considerar o pessoal que administra o ambiente pode ser uma
boa estratégia e é lógico, que como prestador de serviço, uma
certa política e jogo de cintura são importantes nestes casos.
Tendo em mãos as informações pertinentes ao ambiente

computacional do cliente, a equipe de auditores pode, neste
momento, definir o campo, o âmbito e as sub áreas a serem
auditadas. A definição do escopo, ou seja, o campo, o âmbito e
as sub áreas é um passo importante no planejamento da
auditoria porque é desta forma que o cliente fica sabendo até
aonde vai o trabalho realizado pelo auditor, ou seja, evita falsas
expectativas, até no que diz respeito ao prazo. Existe uma
tendência muito forte da classe executiva em pensar que
auditoria é uma simples análise superficial e leva-se pouco
tempo para executá-la. Este aspecto deve ser discutido ainda na
fase de contratação dos serviços para evitar problemas futuros.
Uma das situações mais corriqueiras durante o planejamento é

sem dúvida a que diz respeito ao conhecimento técnico
necessário para a realização do serviço. Isto implicará
dificuldades para formar a equipe de auditoria e causará
problemas como: alocar um recurso muito especializado para
uma auditoria simples ou perceber, em cima da hora, que se
precisa de um suporte muito especializado e, este recurso não
estar disponível no momento desejado.
Tais como os recursos humanos, as previsões financeiras devem

estar na lista das verificações, pois podem ocorrer situações
como uma viagem às redes remotas do cliente, envolvendo
custos com hotel, despesas de alimentação e deslocamento.
Outro caso é a contratação de um recurso técnico para compor a
equipe
de auditoria, se este recurso não existir no quadro atual de
funcionários da empresa. (DIAS, 2000).
Tão importante como a equipe de auditoria e suas previsões

financeiras, são os recursos técnicos, ou seja, as ferramentas de
trabalho do auditor. São elas: manuais de sistemas operacionais,
laptops, computadores, software especialista em auditoria, entre
outros.
Unidade 2 69

Este planejamento envolve o desenvolvimento de uma estratégia

global para a condução da auditoria, dada a sua extensão.
O auditor deve planejá-la considerando a ética profissional
sobre questões como: integridade da administração, erros
e irregularidades e atos ilegais. O volume de planejamento
exigido em um contrato varia de acordo com o tamanho e
complexidade do cliente, se ele já é conhecido do auditor
e em experiências passadas que tenha tido com ele. Como
se
esperaria, o planejamento de uma auditoria inicial requer esforço
consideravelmente maior que o de uma auditoria recorrente.
Um dos principais motivos dessa preocupação, a princípio

aparentemente exagerada, é a de que na maioria das organizações
dedicadas à auditoria, controle e segurança, os auditores de
sistemas são recursos humanos escassos e, com isso, o seu tempo
deve ser administrado com muito critério. Sua presença para
execução de alguma tarefa só é definida nos casos em que sua
atuação seja realmente necessária.
O que ocorre após o planejamento?
Após a etapa do planejamento, vem a supervisão. Esta envolve

o direcionamento dos trabalhos dos assistentes para atingir os
objetivos de auditoria e verificar se os objetivos foram de fato
atingidos.
A extensão da supervisão necessária em um contrato depende da

qualificação das pessoas que realizam os trabalhos, entre outros
fatores. Com isto, ao planejar uma auditoria e sua supervisão,
também deve ser previsto quantos membros da equipe são
inexperientes e quantos são experientes.
70

Seção 5 – Como ocorre a conclusão da auditoria?

Na fase de conclusão da auditoria, o auditor freqüentemente irá
trabalhar sob rígidas condições de prazo, pois os clientes querem
obter o parecer o mais cedo possível. Nada mais justo, porém
é importante lembrar que não se pode sucumbir às pressões
decorrentes do trabalho sob pena de emitir um relatório simples
demais, de pouca qualidade ou até mesmo com poucos detalhes.
Quais são as responsabilidades do auditor

na conclusão dos trabalhos?
As responsabilidades do auditor na conclusão dos trabalhos

podem ser divididas em três categorias: conclusão do trabalho de
campo; avaliação das descobertas; comunicação com o cliente.
A seguir acompanhe em detalhes, as características de cada
responsabilidade referente às fases do processo de conclusão da
auditoria.
a)Conclusão do trabalho de campo

Na conclusão do trabalho de campo, o auditor deve ter certeza
de que já fez todas as entrevistas necessárias, coletou todos os
dados necessários para analisar as evidências e tecer um parecer
correto, que auxilie o cliente a melhorar o seu ambiente de TI
aumentando a sua disponibilidade, o seu caráter confidencial e a
sua integridade de dados.
Uma boa estratégia é revisar as entrevistas com as pessoas

envolvidas na administração da informática, relendo-as e
confirmando os dados com as pessoas envolvidas para garantir a
integridade de tais informações. Também e importante revisar
atas de possíveis reuniões passadas, a fim de se fazer a mesma
confirmação.
A conclusão da auditoria deve conter as

dificuldades para a obtenção de informações, que
possam ter atrapalhado o trabalho.
Unidade 2 71

Este é um fator importante, pois um parecer pouco detalhado

deve ter como justificativa a escassez de informações ou
dificuldades em obtê-las.
Outro ponto a ser lembrado é a revisão dos históricos de eventos,

os “logs”, para garantir a integridade dos mesmos, analisar a
procura de falhas nas seqüências de datas, que demonstra algum
tipo de fraude.
b) Avaliação das descobertas

Ao avaliar o que foi verificado na auditoria, o auditor tem por
objetivos determinar o tipo de parecer a ser emitido e determinar
se a auditoria seguiu as normas geralmente aceitas.
Para formar opinião sobre as demonstrações contábeis, o

auditor deve assimilar todas as evidências que constatou
durante a auditoria, da mesma forma que o auditor de sistemas
informatizados deve reunir todo tipo de informação coletada
do ambiente de TI do cliente. O primeiro passo é identificar as
distorções que foram encontradas e não foram corrigidas pelo
administrador de TI Em casos de pouca severidade, o auditor
pode ressaltar o fato de que a alteração pode ser feita mais tarde.
Porém, em casos graves, ele também pode pedir que a alteração
seja feita imediatamente.
Como exemplo temos: a correção de algum

sistema operacional que influencie diretamente
na vulnerabilidade do sistema, deve ser feita o
quanto antes, sob pena de perda de
disponibilidade da máquina.
Durante a realização de uma auditoria, vários testes são

realizados. Muitas vezes, estes testes são executados por
auditores cuja participação na auditoria pode limitar-se a poucas
áreas.
À medida em que os testes correspondentes em cada área (por
exemplo: redes, sistemas operacionais, softwares) vão sendo
concluídos, um auditor sênior vai resumindo o que neles foi
constatado.
72

Na conclusão da auditoria, é necessário que todas as

constatações sejam resumidas e avaliadas. Aqui também é
constatada a não- conformidade com a norma aceita pelo cliente
como sendo padrão de segurança de informação.
Antes da decisão final sobre a opinião a ser emitida, geralmente

o cliente é chamado para uma reunião, na qual a empresa
responsável pela auditoria relata as descobertas, inicialmente
de forma oral, e justifica, conceitualmente, eventuais ajustes e
mudanças que esteja recomendando. (SEGURANÇA, 2000)
A administração do ambiente de informática, por sua vez, pode

tentar defender a sua posição, porém isto não deve interferir
na avaliação de conformidade da norma de segurança, caso
contrário, incorrerá no erro de ser complacente com muitas
inconformidades e acabará sem ajudar o cliente como proposto.
Nesta situação é imprescindível que haja uma formalização para
não haver dúvidas sobre o caso. Isto gera segurança para todos
os envolvidos, tanto no lado do cliente quanto no lado do
auditor.
No final, geralmente se chega a um acordo a respeito das

alterações que devem ser feitas e o auditor pode então ter que
emitir um parecer explicando a situação. A comunicação da
opinião do auditor é feita por meio de seu parecer.
c)Comunicação com o cliente

Durante uma auditoria, o auditor pode vir a tomar conhecimento
de questões relacionadas com controles internos, que sejam
de interesse do comitê corporativo de segurança ou de outros
envolvidos dentro da corporação - que tenham autoridade e
responsabilidade equivalente e que normalmente é a classe
executiva da empresa.
Unidade 2 73

Figura 2.1 – Diagrama do modelo de implementação e gestão de

segurança Fonte: Elaborado pelo autor
Na figura 2.1 você pode perceber a posição do comitê

corporativo de segurança dentro de um diagrama. Nela, você
pode visualizar o ambiente de segurança de informação de uma
organização.
O comitê é um grupo formado por vários gerentes

de diversas áreas da empresa e que tem influência
e responsabilidade sobre os ativos de informação
da corporação.
74

A comunicação em qualquer período da auditoria, seja durante

ou na conclusão dos trabalhos, deve ser feita por um canal
escolhido pelas partes envolvidas, ou seja, tanto pelo cliente,
quanto pela empresa de auditoria. Tal prática evita distorções de
fatos e atos, pois deve ser feita formalmente por escrito, com
cópia para todas as pessoas envolvidas no trabalho dos dois lados
e com cópia para o comitê de segurança da empresa, se for o
caso.
No caso de apresentar o parecer de maneira formal, a fim de

encerrar os trabalhos de auditorias, é interessante marcar com
antecedência uma reunião para que todas as pessoas envolvidas
estejam presentes, porque é nesta reunião que será confirmada a
auditoria.
As normas de auditorias geralmente aceitas não exigem que

vulnerabilidades relevantes sejam identificadas
separadamente. Porém é muito interessante, para um maior
entendimento e até programação de investimentos por parte
do cliente, que
as vulnerabilidades sejam divididas em níveis de severidade,
acusando suas conseqüências caso não sejam remediadas e a
medida do risco das mesmas, para se prever em que momento
esta fraqueza pode ser explorada por uma ameaça.
É importante ter cuidado na hora de comunicar toda

e qualquer dificuldade em obter informações, ou
barreiras encontradas para se chegar ao relatório de
conclusão da auditoria.
Normalmente, o parecer de auditoria aponta alguma falha

humana, ou seja, você estará apontando alguém e para que isto
não vire motivo de uma guerra, é necessário ter cautela na forma
de passar estas informações para o cliente.
Aqui é bom lembrar que, em muitos casos, o auditor de sistemas

de informação é visto como “dedo-duro” e é bom acostumar-se
com isto e saber agir de acordo com esta fama.
À medida que a auditoria progride, o auditor deve registrar

em seus papéis de trabalho questões que pretenda incluir no
seu relatório final para posterior entrega à classe executiva
da empresa.
Unidade 2 75
Resumindo: O relatório entregue à administração da empresa deve ser

cuidadosamente elaborado, bem organizado e escrito em tom de “críticas
construtivas”. A entrega rápida deste relatório pode ter uma reação
imediata e positiva.
Uma vez que você finalizou a leitura da unidade 2, para praticar

seus novos conhecimentos, realize as atividades propostas a
seguir.
Leia com atenção os enunciados e realize as atividades.
1) A profissão de auditor mudou muito nos últimos anos, porém eles

têm uma tendência que já existe a algum tempo, qual é?
76

2) Quando falamos das responsabilidades da profissão de auditor, quais

são elas perante os clientes?
Unidade 2 77

3) Cite um dos principais motivos de se dar importância ao

planejamento da auditoria?
78

Realize também as atividades propostas no EVA.

Interaja com a sua comunidade de aprendizagem
e amplie seu ponto de vista.
Síntese
Nesta unidade, você estudou que uma auditoria tradicional

envolve a revisão do histórico financeiro da empresa com o
intuito de validar a exatidão e a integridade das declarações
financeiras. O controle interno representa uma metodologia
primária usada pela classe executiva da organização para
assegurar a proteção dos ativos e a disponibilidade da
informação.
No advento dos sistemas de informação, o computador já

demonstrou impacto em muitas áreas distintas dos negócios e
de várias profissões. Com esta nova tecnologia, os processos
de revisões destes controles ou o processo de auditoria
mudaram e os auditores atualmente, também devem saber a
respeito da tecnologia do processamento eletrônico de dados.
Como você pôde perceber, vários desafios devem ser vencidos

na profissão de auditor, pois ela envolve muitas
responsabilidades além de muita organização.
Muitos sistemas não foram projetados para serem seguros. A

segurança que pode ser alcançada por meios técnicos é limitada e
convém ser apoiada por gestão e procedimentos apropriados.
Na próxima unidade você irá estudar maneiras, métodos e

procedimentos que podem ser utilizados para suprir a deficiência
tecnológica encontrada nos sistemas de segurança. Até lá!
Unidade 2 79

Saiba mais
Para aprofundar as questões abordadas nesta unidade, realize

pesquisa nos seguintes livros:
 PINKERTON CONSULTING and

INVESTIGATIONS. Top Security Threatsand
Management Issues Facing Corporate America
2002 Survey of Fortune 1000 Companies, Pinkerton
Service Corporation, 2002.
 PURPURA, Philiph. Security and Loss Prevention :
An Introduction. Boston: Butterworth – Heinemann, 3ª
edição, 1998.
 SENNEWALD, Charles A. Effective Security
Management. Boston: Butterworth – Heinemann. 3.
edição, 1998.
 ROPER, Carl A. Risk Management for Security
Professionals.Boston: Butterworth – Heinemann, 1999.

3
UNIDADE 3
Política de segurança
de informações
Ao final desta unidade você terá subsídios para:
 conhecer o impacto de ataques externos ao

ambiente corporativo da tecnologia da informação.
 compreender a importância do inventário de recursos
para uma entidade.
 conhecer e diferenciar os tipos de controles de

acesso lógico.
 conhecer e diferenciar os tipos de controles de acesso
físico.
 conhecer e diferenciar os tipos de controles ambientais.
Seções de estudo
Qual é o papel da política de segurança da

Seção 1 informação?
Seção 2 Como realizar a análise de riscos?
Seção 3 Inventário e recursos
Seção 4 Como efetuar os controles de acesso lógico?
Como executar os controles de

Seção 5 acesso físico?
Seção 6 Como realizar os controles ambientais?

22/12/2006 12:17:54

Na vida das pessoas dentro das organizações, tudo gira em
torno de decisões políticas, não importando quem as tome e
que nome elas tenham. Qualquer organização sempre estabelece
diretrizes políticas para serem seguidas pelas pessoas que
fazem parte direta ou indiretamente da corporação. Com o
propósito de fornecer orientação e apoio às ações de gestão de
segurança, a política de segurança da informação tem um papel
fundamental e, guardadas as devidas proporções, tem
importância similar à constituição federal para um país.
Após o entendimento inicial da relevância deste conteúdo, siga

em frente! Bom estudo!
Seção 1 – Qual é o papel da política de segurança da

informação?
Tendo como propósito fornecer orientação e apoio às ações de
gestão de segurança, a política de segurança da informação
assume uma grande abrangência e, por conta disto, é subdividida
em três blocos: procedimentos/instruções, diretrizes e normas,
que são destinados, respectivamente, às camadas operacional,
tática e estratégica.
a) Procedimentos/instruções: estabelecem padrões,

responsabilidades e critérios para o manuseio, armazenamento,
transporte e descarte das informações dentro do nível de
segurança estabelecido sob medida pela e para a empresa.
Portanto, a política das empresas deve ser sempre
personalizada.
b) Diretrizes: por si só tem papel estratégico, pois precisam

expressar a importância que a empresa dá à informação, além
de comunicar aos funcionários seus valores e seu
comprometimento em incrementar a segurança a sua cultura
organizacional.
c) Normas: é notória a necessidade do envolvimento da alta

direção, que terá a responsabilidade de fazer refletir o
caráter oficial da política da empresa através de
comunicação e compartilhamento com seus funcionários.
82
Este instrumento deve expressar as preocupações dos

executivos e definir as linhas de ação que orientarão as
atividades táticas e operacionais.
Responsabilidades dos proprietários e custodiantes das

informações, métricas, índices e indicadores do nível de
segurança, controles de conformidade legal, requisitos de
educação e capacitação de usuários, mecanismos de controle de
acesso físico e lógico, responsabilizações, auditoria do uso de
recursos, registros de incidentes e gestão da continuidade do
negócio são algumas das dimensões a serem tratadas pela política
de segurança.
Critérios normatizados para admissão e demissão de

funcionários; criação e manutenção de senhas;
descarte de informação em mídia magnética;
desenvolvimento e manutenção de sistemas; uso da
internet; acesso remoto; uso de notebook; contratação
de serviços de terceirizados; e classificações da
informação são bons exemplos de normas de uma
típica política de segurança.
Em especial, a norma de classificação da informação é fator

crítico de sucesso, pois descreve os critérios necessários para
sinalizar a importância e o valor das informações, premissa
importante para a elaboração de praticamente todas as demais
normas. Não há regra preconcebida para estabelecer esta
classificação; mas é preciso entender o perfil do negócio e as
características das informações que alimentam os processos e
circulam no ambiente corporativo para que os critérios sejam
personalizados. Esta relação entre a classificação e o tratamento
está ilustrada na figura 3.1.
Unidade 3 83

Figura 3.1 – Relação entre a classificação e o tratamento da

informação. Fonte: Sêmola (2003).
Por seu perfil operacional, procedimentos e instruções deverão

estar presentes na política da empresa em maior quantidade.
É necessário descrever meticulosamente cada ação e atividade
associada a cada situação distinta de uso das informações.
Por exemplo: enquanto a diretriz orienta

estrategicamente para a necessidade de salvaguardar
as informações classificadas como confidenciais e a
norma define que estas deverão ser criptografadas
em tempo e enviadas por e-mail, o procedimento e a
instrução específica para esta ação têm de descrever
os passos necessários para executar a criptografia
e enviar o e-mail. A natureza detalhista deste
componente da política pressupõe a necessidade de
manutenção ainda mais freqüente.
Diante disso, você já pode perceber o quão complexo é

desenvolver e, principalmente, manter atualizada a política de
segurança da informação com todos os seus componentes.
84

Esta percepção torna-se ainda mais latente ao considerarmos

o dinamismo do parque tecnológico de uma empresa e, ainda,
as mudanças previsíveis e imprevisíveis que o negócio
poderá
sofrer. Desta forma, o importante é começar e formar um grupo
de trabalho com representantes das áreas e departamentos mais
representativos, integrando visões, percepções e necessidades
múltiplas que tenderão a convergir e gerar os instrumentos da
política. A conformidade com requisitos legais, envolvendo
obrigações contratuais, direitos de propriedade intelectual,
direitos autorais de software e todas as possíveis
regulamentações que incidam no negócio da empresa, deve ser
respeitada e ser a linha de conduta da construção da política de
segurança.
Qual é o objetivo da política de segurança?
A política de segurança tem como objetivo prover à direção da

organização orientação e apoio para a segurança da informação,
preservando:
 Caráter confidencial – Garantia de que o acesso à

informação seja obtido somente por pessoas
autorizadas;
 Integridade – salvaguardar a exatidão e completeza
da informação e dos métodos de processamento.
 Disponibilidade – Garantia de que os usuários
autorizados obtenham acesso à informação e aos
ativos correspondentes sempre que necessário.
Como efetivar o documento da política da segurança da

informação?
É conveniente que este documento expresse as preocupações da

direção e estabeleça as linhas-mestras para a gestão de segurança
da informação.
É aconselhável, segundo a ABNT (NBR ISO/IEC

17799:1), que o documento da política seja aprovado
pela classe executiva da empresa, publicado e
comunicado de forma adequada para todos os
funcionários.

Unidade 3 85

No mínimo, é interessante que as seguintes orientações sejam

incluídas:
 Definição de segurança da informação – resumo

das metas e escopo, e a importância da segurança
como um mecanismo, habilitam o compartilhamento
da informação;
 Declaração do comprometimento – feita pela alta
direção, apoiando as metas e princípios da segurança
da informação;
 Explanação – breve explanação das políticas, princípio,
padrões e requisitos de conformidade com a importância
específica para a organização.
Por exemplo:
Conformidade com a legislação e cláusulas
contratuais.
Requisitos na educação de segurança.
Prevenção e detecção de vírus e softwares
maliciosos.
Gestão de continuidade do negócio.
Conseqüências das violações na política
de segurança da informação.
Definição das responsabilidades – definição em
linhas gerais e especificas à gestão da segurança
da informação, incluindo o registro dos incidentes
de segurança.
Documentação – referências à documentações
que possam apoiar a política da empresa. Por
exemplo, políticas e procedimentos de segurança
com detalhes dos sistemas de informação
específicos ou regras de segurança a serem
seguidas.
Em qualquer atividade organizacional, a primeira

tarefa a ser realizada é a definição do que se deseja,
fixando-se os objetivos a serem atendidos, definindo-se
os meios
e recursos necessários, estabelecendo-se as etapas a
cumprir e os prazos das mesmas.
86

Somente após uma análise do que se que deseja é que se inicia

a execução do plano de ação para a implantação da política
de segurança. Este plano não é fixo. Ele deve ser maleável o
suficiente para permitir que algumas modificações inesperadas
ocorram.
Que diretrizes se inserem na política de segurança?
Uma típica política de segurança ou uma política de uso

aceitável de recursos computacionais deve abranger diretrizes
claras a respeito, pelo menos, dos seguintes aspectos:
Aspecto Características
Deve explicar de forma rápida e sucinta a finalidade da política de

Objetivo da segurança segurança
Alvo Deve definir em quais estruturas organizacionais elas serão aplicadas.
Devem explicar e definir as regras que irão contemplar a política

Propriedades dos recursos no que diz respeito à propriedade de ativos de
informações.
Devem definir de forma detalhada qual o tipo de responsabilidades
Responsabilidades envolvidas com a manipulação de ativos de informações, a quem
devem ser atribuídas e os mecanismos de transferência.
Conterão a indicação de quais os requisitos a serem atendidos para o

Requisitos de acesso acesso a ativos de informações.
Indicarão as medidas a serem tomadas nos casos de infringência às
Responsabilização normas.
Generalidades Aqui colocam-se todos os itens e aspectos que não cabem nas
demais.
Para ficar mais claro, acompanhe o exemplo de

um Modelo de Política de segurança de acesso ao
Datacenter da Xpto Corp. por parte de empresas
terceirizadas
Objetivo - Assegurar um método seguro de
conectividade entre Xpto Corp. e as empresas
terceirizadas, bem como prover diretrizes para o uso
de recursos computacionais e de rede associados
com a conexão feita por essas empresas.
Unidade 3 87

Escopo - Esta política se aplica a todas as empresas

terceirizadas que acessam o CPD da Xpto Corp. ,
fisicamente, ou logicamente, de forma a controlar
esse acesso e auditar responsabilidades quando
necessário.
Descrição - Convém que seja controlado o acesso de
prestadores de serviço aos recursos de
processamento da organização.
Onde existir uma necessidade para este acesso de
prestadores de serviço, convém que seja feita uma
avaliação dos riscos envolvidos para determinar as
possíveis implicações na segurança e os controles
necessários. Convém que os controles sejam acordados
e definidos através de contrato assinado com os
prestadores de serviço.
O acesso de prestadores de serviço pode também
envolver outros participantes. Convém que os
contratos liberando o acesso de prestadores de
serviço incluam
a permissão para designação de outros participantes
qualificados, assim como as condições de seus acessos.
Esta norma pode ser utilizada como base para tais
contratos e levada em consideração na terceirização do
processamento da informação.
Tipos de Acesso - O tipo de acesso dado a
prestadores de serviço é de especial importância. Por
exemplo,
os riscos no acesso através de uma conexão de rede
são diferentes dos riscos resultantes do acesso físico.
Convém que os seguintes tipos de acesso sejam
considerados:
a) Acesso físico: por exemplo, a escritórios, sala
de computadores, gabinetes de cabeamento;
b)Acesso lógico: por exemplo, aos banco de dados
da organização, sistemas de informação.
Razões para o acesso - Acessos a prestadores de
serviços podem ser concedidos por diversas razões.
Por exemplo, existem prestadores de serviços que
fornecem serviços para uma organização e não estão
localizados no mesmo ambiente, mas necessitam de
acessos físicos e lógicos, tais como:
• Equipes de suporte de hardware e software, que
necessitam ter acesso em nível de sistema ou acesso
às funcionalidades de baixo nível das aplicações;

88

• Parceiros comerciais ou Joint ventures, que

podem trocar informações, acessar sistemas de
informação ou compartilhar base de dados.
As informações podem ser colocadas em risco
pelo acesso de prestadores de serviços com
uma
administração inadequada de segurança. Existindo a
necessidade de negócios de conexão com prestadores
de serviços, convém que uma avaliação de riscos seja
feita a fim de identificar quaisquer necessidades de
implementação de controles de segurança. Convém
que sejam levados em conta o tipo de acesso
requerido, o valor da informação, os controles
empregados por prestadores de serviços e as
implicações deste acesso à segurança da informação
da organização.
Contratados para serviços internos - Prestadores de
serviço que, por contrato, devem permanecer dentro da
organização por um período de tempo também podem
aumentar a fragilidade na segurança.
Convém que o acesso de prestadores de
serviços à informação e aos recursos de
processamento da
informação não seja permitido, até que os controles
apropriados sejam implementados e um contrato
definindo os termos para a conexão ou acesso seja
assinado.
Generalidades - Todo acesso que seja necessário
ao CPD da Xpto Corp e não está contemplado
neste
documento deve ser analisado pelo Departamento de
T.I. antes de ser liberado, se for o caso.
Todas as empresas que, por ventura precisarem acessar
de qualquer forma o CPD da Xpto, mesmo que por uma
única vez, ser faz necessária a assinatura do Contrato
de sigilo entre empresas, como segue o anexo 3 desta
política.
A figura 3.2 mostra um diagrama que apresenta o esquema do

desafio que é a implantação de uma política de segurança de
informações, com a informação no centro do diagrama, e, ao
redor, todos os aspectos envolvidos. Observe!

Unidade 3 89

Figura 3.2 – Diagrama que representa uma política de segurança de informação agindo
sobre o principal ativo de uma empresa, a informação.
Fonte: Sêmola (2003)
Você viu que um círculo central está dividido em três partes,

representando os três principais aspectos envolvidos na
segurança de informações: a disponibilidade, a integridade e o
caráter confidencial. Numa camada mais externa, encontramos
os aspectos que estão relacionados com os citados anteriormente,
que são a autenticidade e a legalidade.
Na próxima camada, encontra-se o ciclo de vida da informação,

que contempla o manuseio, o armazenamento, o transporte
e o descarte. Os processos e ativos, que são elementos que
manipulam direta ou indiretamente uma informação, estão na
camada superior. Todo este aparato é voltado estrategicamente
para atender à demanda de negócios da organização.
90

Como em todo sistema de informações existem vulnerabilidades,

podemos citar três grandes áreas que dividem estes tipos: as
físicas, as humanas e as tecnológicas.
Na penúltima camada estão ilustradas as medidas de segurança.

A solução que uma organização deve adotar para diminuir a
possibilidade de eventuais ocorrências, pode ter um princípio
de cunho preventivo, visando manter a segurança já
implementada por meios de mecanismos que estabeleçam a
conduta e a ética da segurança na instituição. É uma atuação
nas seguintes áreas: humanas, tecnológicas e físicas.
Essa estrutura montada deve conter agentes ou condições que

causam incidentes que comprometam as informações e seus ativos
por meio da exploração de vulnerabilidades, que são as ameaças,
esboçadas na camada mais externa.
Uma vez que você estudou uma introdução ao estudo da política

de segurança de informação, veja a próxima seção.
Seção 2 – Como realizar a análise de riscos?

É bastante interessante que a política de segurança de
informações tenha uma pessoa responsável por sua manutenção e
análise crítica, e que esteja de acordo com um processo definido.
Quando realizar as análises?
Convém que este processo ocorra na decorrência de qualquer

mudança que venha a afetar a avaliação de risco original,
como, por exemplo, um incidente de segurança significativo,
novas vulnerabilidades ou, até mesmo, mudanças organizacionais
ou na infra-estrutura técnica.
Unidade 3 91

É interessante, também, que sejam agendadas as seguintes

análises periódicas:
1. Efetividade da política: demonstrada pelo tipo, volume

e impacto dos incidentes de segurança registrados;
2. Custo e impacto dos controles na eficiência do negócio;
3. Efeitos das mudanças na tecnologia.
A finalidade desta análise é obter uma medida da segurança

existente em determinado ambiente.
A primeira consideração relacionada com segurança de ativos

de informações, como qualquer outra modalidade de segurança,
é a relação custo-benefício. Não se gastam recursos em
segurança que não tenham retorno à altura, isto é, não se gasta
mais dinheiro em proteção do que o valor do ativo a ser
protegido.
Outro ponto a ser considerado é que a análise deve contemplar

todos os momentos do ciclo de vida da informação:
Qual é o ciclo de vida da informação?
O ciclo de vida da informação pode ser definido nas seguintes

etapas:
 Manuseio - momento em que a informação é criada ou

manipulada, seja ao digitar um documento eletrônico,
preencher um formulário de colaboração ou ainda,
folhear um maço de papéis.
 Armazenamento - momento em que a informação
gerada ou manipulada é armazenada, seja em um papel
post-it ou ainda em mídia eletrônica, como um
disquete, CD-ROM ou disco rígido.
 Transporte - momento em que a informação é
transportada, seja ao mandar uma carta pelo correio,
enviar informações via correio eletrônico, falar ao
telefone ou, até mesmo, mandar informações via
fax.
92
 Descarte - Momento em que a informação é descartada,

seja ao depositar na lixeira da empresa um material
impresso, seja ao eliminar um arquivo eletrônico do
computador, ou até mesmo ao descartar um CD-ROM
usado que apresentou falha na leitura.
Observe que a figura 3.3 ilustra o ciclo de vida da informação

e destaca que a segurança deve englobar todos os quatro
momentos, pois não seria possível alcançar um bom nível de
segurança protegendo apenas um ou outro momento da vida da
informação. Daí a importância de se avaliar todo o processo.
Em recurso, se o objetivo é dar segurança às informçaões de

uma organização, essa segurança deverá abranger todo o ciclo
de vida da informação.
Figura 3.3 – Quatro momentos do ciclo de vida da informação.

Fonte: Sêmola (2003).
Unidade 3 93

Dentro de uma análise de riscos, deve-se ter a noção de

dois fatores que influenciam na determinação da medida de
segurança: o grau de impacto que a ocorrência terá e o nível de
exposição causado por este sinistro.
O grau de impacto ocorre quanto cada área ou a empresa inteira

sofre as conseqüências da falta de disponibilidade, da integridade
ou do caráter confidencial da informação.
O nível de exposição está relacionado com o grau

de risco inerente a cada processo ou produto, ou
seja, está diretamente relacionado com a
probabilidade de ocorrência de um evento danoso
para um determinado ativo.
Nesta análise, também, deve constar uma classificação da

informação quanto ao sigilo e preservação, para que possa ser
planejada uma política de segurança que atenda à demanda
crescente de segurança.
Seção 3 – Inventário e recursos

A tarefa mais trabalhosa na implantação de segurança em uma
organização é, com certeza, o inventário de usuários e recursos.
Empresas com grande preocupação em segurança investem na
compra ou no desenvolvimento de ferramentas que auxiliem
no inventário de hardware e software. O volume de trabalho
envolvido dependerá em grande parte do grau de padronização
encontrado na organização e da ordem já existente.
Outro aspecto que influirá no trabalho é o grau de dinamismo

da organização. Uma empresa com uma estrutura dinâmica terá
menos trabalho do que uma organização com baixo grau de
dinamismo ao inventariar os seus recursos.
O que se deve levar em conta na hora de realizar um

banco de dados de segurança?
94

Em um banco de dados de segurança,

deve-se levar em conta as seguintes
premissas básicas:
 Dados de usuários – o banco

de dados de segurança deve
identificar claramente o
usuário, seu código de
identificação ou chave de
acesso, o domínio
de usuários a que pertence, o
domínio de recursos que ele
pode acessar e a área onde está alocado, sua matrícula na
organização, ramal de telefone, correio eletrônico da
rede interna e as aplicações que está autorizado a
acessar.
 As funções dos usuários – o banco de dados de
segurança deve indicar claramente a função de cada
usuário cadastrado. Isto se prende ao fato de se
conceder direito de acesso somente em função da
necessidade de se executar tarefas que envolvam acesso
a determinados recursos.
Por exemplo, a área de produção de um CPD de

grande porte ou que cuida dos equipamentos
centralizados de uma rede de micros, precisa ter
acesso total a ativos de informações, devido à
necessidade de processamento destes ativos dos
usuários e de garantir a integridade de recursos
sobre os quais a mesma tenha custódia. Porém,
este acesso deve ser estritamente controlado e,
sempre que possível, as tarefas devem ser divididas
entre diversas pessoas, de modo que nenhuma
delas, isoladamente, acesse mais recursos do que o
necessário para a execução de suas tarefas.
 Propriedade dos recursos – a administração de

segurança de acesso a recursos deve levar em conta o
perfil da propriedade dos recursos. Esta deve ficar
bem clara, de modo que não restem dúvidas acerca de
quem tem o direito de conceder acesso.
Unidade 3 95
 Nível de acesso permitido – o banco de dados de

segurança também deve indicar de forma clara o nível
de acesso que cada usuário pode ter sobre cada recurso
para o qual obtenha a permissão de acesso. Isto é
importante, para se controlar o acesso dado em função
da necessidade de executar operações relacionadas com
o recurso acessado. O ideal é que o banco de dados de
segurança seja integrado com o sistema de recursos
humanos da organização. Desta forma, qualquer
mudança feita no
RH refletirá automaticamente no banco de dados de
segurança.
Uma vez que você estudou e refletiu sobre a importância de
realizar o inventário de usuários e recursos, na próxima seção
verá como se realiza o controle de acesso lógico.
Seção 4 – Como efetuar os controles de acesso lógico?

Os controles de acesso, físicos ou lógicos, têm como objetivo
proteger os recursos computacionais (equipamentos, softwares,
aplicativos e arquivos de dados) contra perda, danos,
modificações ou divulgação não-autorizada.
Os sistemas computacionais, bem diferentes de outros tipos

de recursos de uma organização, não podem ser facilmente
controlados apenas com dispositivos físicos, como cadeado,
alarmes, guarda de segurança, etc., principalmente se os
computadores estiverem conectados a redes locais ou de
maior abrangência.
É preciso controlar o acesso lógico a estes recursos por meio de medidas

preventivas e procedimentos adequados a cada tipo de ambiente
computacional.
96

O que é acesso lógico?
O acesso lógico nada mais é do que um processo em que

um sujeito ativo deseja acessar um objeto passivo. O sujeito
normalmente é um usuário ou um processo e o objeto pode ser
um arquivo ou outro recurso como memória ou impressora.
Os controles de acesso lógico são, então, um conjunto de medidas

e procedimentos adotados pela organização ou intrínsecos aos
softwares utilizados, cujo objetivo é proteger dados, programas
e sistemas contra tentativas de acesso não-autorizadas feitas por
usuários ou outros programas.
Vale a pena ressaltar que, mesmo que os controles de acesso sejam

ultra-sofisticados seu ponto fraco será sempre o usuário.
O compartilhamento de senhas, o descuido na

proteção de informações confidenciais ou a escolha
de senhas facilmente descobertas, por exemplo,
pode comprometer a segurança de informações.
A conscientização dos usuários é fundamental para que a

estratégia de controle de acesso seja eficaz.
O compartilhamento de senhas, o descuido na

proteção de informações confidenciais ou a escolha
de senhas facilmente descobertas, por exemplo,
pode comprometer a segurança de informações.
Devido à variedade e complexidade dos ambientes

informatizados hoje em dia, cujo processamento é centralizado
ou distribuído em diversas plataformas de hardware e software,
a tarefa da equipe de segurança e auditoria não é nada fácil. Nos
casos de auditoria, dependendo da complexidade dos controles
de acesso lógico implementados pelo sistema operacional ou
por outros softwares especializados em segurança, talvez seja
necessário suporte adicional de especialistas com o
discernimento e experiência prática mais detalhada sobre o
ambiente específico a ser auditado.
Unidade 3 97

Como controlar o acesso lógico?
A primeira coisa a fazer quando se trata de controles de acesso, é

determinar o que se pretende proteger. A seguir, são apresentados
alguns recursos e informações normalmente sujeitas aos controles
lógicos:
Recursos e informações Por que controlar?
O acesso não-autorizado ao código fonte dos aplicativos pode ser usado para alterar suas
Aplicativos funções e lógica do programa, como por exemplo, em um aplicativo bancário, pode-se zerar
(Programas fonte os centavos de todas as contas correntes e transferir o total dos centavos para uma
objeto) determinada conta, beneficiando ilegalmente este correntista.
Base de dados, arquivos ou transações de bancos devem ser protegidos para evitar que os dados sejam apagados ou a
Arquivo de dados
O acesso a utilitários, como editores, compiladores, softwares de manutenção, de

monitoração e diagnóstico deve ser restrito, já que estas ferramentas podem ser usadas para
Utilitários e alterar arquivos de dados, aplicativos e arquivos de configuração do sistema operacional. Por
sistema exemplo: o sistema operacional é sempre um alvo bastante visado, pois a configuração é
operacional o ponto-chave de todo o
esquema de segurança. A fragilidade do sistema operacional compromete a segurança de todo o
conjunto de aplicativos, utilitários e arquivos.
A falta de proteção adequada aos arquivos que armazenam as senhas pode comprometer todo o sistema, pois uma pe
Os arquivos de log são usados para registrar as ações dos usuários, constituindo-se em
ótimas fontes de informação para auditorias futuras e análise de quebras de
segurança.
Os logs registram quem acessou os recursos computacionais, aplicativos, arquivos de
Arquivos de dados e utilitários, quando foi feito o acesso e que tipo de operações foram
log efetuadas.
Se os arquivos de log não forem devidamente protegidos, um invasor poderá alterar seus
registros para encobrir ações por ele executadas, tais como, alteração ou destruição de dados,
acesso a aplicativos de alteração da configuração do sistema operacional para facilitar futuras
invasões.
98
Como visualizar o controle de acesso lógico?
O controle de acesso lógico pode ser visualizado a partir de dois

pontos diferentes:
 do recurso computacional que se pretende proteger, e,

 do usuário a quem se pretende dar certos privilégios
e acessos aos recursos.
A proteção aos recursos (arquivos, diretórios, equipamentos, etc.)

baseia-se nas necessidades de acesso de cada usuário, enquanto
que a identificação e autenticação do usuário (confirmação de que
o usuário realmente é quem diz ser) são feitas normalmente por
um userid e uma senha durante o processo de logon.
Qual é o objetivo do controle de acesso lógico?
Os controles de acesso lógico têm como objetivo garantir que:
 apenas usuários autorizados tenham acesso aos recursos;

 os usuários tenham acesso apenas aos recursos
realmente necessários para a execução de suas tarefas;
 o acesso a recursos críticos seja bem monitorado e
restrito a poucas pessoas;
 os usuários sejam impedidos de executar
transações incompatíveis com sua função ou além
de suas responsabilidades.
O controle de acesso pode ser traduzido, então, em termos

de funções de identificação e autenticação de usuários;
alocação, gerência e monitoramento de privilégios;
limitação, monitoramento e cancelamento de acessos; e
prevenção de acessos não-autorizados.
Unidade 3 99

Ao finalizar os estudo de como realizar o controle de acesso

lógico, veja na próxima seção como se procede com relação ao
controle de acesso físico.
Seção 5 – Como executar os controles de acesso físico?

A segurança física pode ser abordada de duas formas: segurança
de acesso, que trata das medidas de proteção contra acesso físico
não-autorizado e segurança ambiental, que trata da prevenção de
danos por causas naturais.
Os controles de acesso físico têm como objetivo

proteger equipamentos e informações contra
usuários não-autorizados, prevenindo o acesso a estes
recursos.
Apenas as pessoas expressamente autorizadas pela gerência

podem ter acesso físico aos sistemas de computadores. A
segurança de acesso físico deve basear-se em perímetros
predefinidos na vizinhança dos recursos computacionais,
podendo ser explícita, como uma sala-cofre ou implícita, como
áreas de acesso restrito de acordo com a função desempenhada
na organização.
Quais recursos físicos precisam ser protegidos?
Os recursos a serem protegidos diretamente pelo controle de

acesso físico são:
 os equipamentos - servidores, estações de

trabalho, CPUS, placas, vídeos, mouses, teclados,
unidades de disco, impressoras, scanners, modem,
linhas de comunicação, roteadores, cabos elétricos,
etc;
 a documentação - sobre hardware e software,
aplicativos, política de segurança;
100

 os suprimentos - disquetes, fitas, formulários, papel; e

 as próprias pessoas.
A proteção física destes recursos constitui-se em uma

barreira adicional e anterior às medidas de segurança de
acesso lógico. Portanto, pode-se até dizer que, indiretamente,
os controles de acesso físico também protegem os recursos
lógicos, como programas e dados.
Quais são os controles físicos?
Conheça, a seguir, quais são os controles físicos mais comuns:
 Um dos controles administrativos mais comuns são

os crachás de identificação, que podem distinguir um
funcionário de um visitante ou até mesmo categorizar os
funcionários a partir de cores ou números diferentes.
O uso de crachás facilita o controle visual de

circulação feito pela equipe de vigilância.
 Uma outra prática muito usada é a exigência da

devolução dos bens de propriedade da instituição
quando o funcionário é demitido. Ao serem desligados
da organização, os ex-funcionários normalmente
devolvem equipamentos, documentos, livros e outros
objetos
que estavam sob sua guarda, inclusive chaves,
crachás e outros meios de acesso físico. É
recomendável que
existam procedimentos para identificar os
demissionários e garantir a restrição de acesso destes
indivíduos ao prédio da organização. A partir da
demissão, eles deverão ser tratados como visitantes e
não mais como
funcionários.
Unidade 3

101

 A entrada e saída de visitantes devem ser controladas

por um documento de identificação diferenciado,
registros (com data, horários de entrada e de saída) e,
dependendo do grau de segurança necessário,
acompanhamento até o local de destino da visita.
 Outro grupo de pessoas que merece uma atenção
especial é a equipe de limpeza, manutenção e vigilância.
Como este tipo de funcionário ou prestador de serviço
trabalha fora do horário normal de expediente e
geralmente tem maior liberdade para transitar pelo
prédio, deve haver
um controle especial sobre suas atividades ou áreas de
acesso permitidas. Há vários casos de pessoas do serviço
de limpeza ou vigias atuarem também como espiões ou
ladrões.
 É aconselhável orientar os funcionários, dependendo do
grau de segurança necessário em seu setor de trabalho,
a não deixar os computadores sem qualquer supervisão
de pessoa autorizada, por exemplo, durante o horário
de almoço ou quando se ausentarem de sua sala por
tempo prolongado. Deve-se encorajar o bloqueio do
teclado
de documentos confidenciais, disquetes e laptops em
armários com chave, como medida preventiva.
 É uma prática instituir o princípio de mesa limpa, isto é,
o funcionário é instruído a deixar seu local de trabalho
sempre limpo e organizado, guardando os documentos
confidenciais tão logo não precise mais deles. Em
algumas instituições, há uma equipe encarregada de
verificar, esporadicamente, ao final do expediente,
locais de trabalho escolhidos de forma aleatória, em
busca
de documentos classificados como confidenciais. Se
encontrados, estes documentos são reunidos e levados ao
gerente do funcionário, que tomará medidas, orientando,
advertindo ou punindo o funcionário para que essa
prática não volte a ocorrer.
 Os controles explícitos são geralmente
implementados por meio de fechaduras ou cadeados,
cujas chaves são criteriosamente controladas. Estas
chaves podem ser algo que alguém possui ou sabe,
como chaves comuns ou códigos secretos. Os
controles explícitos mais encontrados são:

102

 fechaduras mecânicas ou cadeados comuns;

 fechaduras codificadas acopladas a mecanismo
elétrico com teclado para entrada do código secreto;
 fechaduras eletrônicas cujas chaves são cartões com
tarja magnética contendo o código secreto. Este tipo
de fechadura pode ser usado para registrar entrada e
saída de pessoas e restringir acesso de acordo com a
necessidade do usuário e o grau de segurança do local
acessado. Pode ainda ser conectada a alarme
silencioso que ativa um outro dispositivo na sala de
segurança para indicar acesso indevido;
 fechaduras biométricas programadas para reconhecer
características físicas dos usuários autorizados. Elas
podem ser projetadas para identificar formatos das
mãos, cabeças, impressões digitais, assinatura
manual, conformação da retina e voz. Devido ao seu
alto custo, são utilizadas somente em sistemas de alta
confidência;
 câmeras de vídeo e alarmes, como
controles preventivos e de detecção;
 guardas de segurança para verificar a identidade de
todos que entram nos locais de acesso controlado
ou patrulhar o prédio fora dos horários de
expediente normal.
Terminado o estudo a respeito do controle de acesso lógico
e físico, veja na próxima seção como se executa os
controles ambientais.
Unidade 3 103

Seção 6 – Como realizar os controles ambientais?

Você que está estudando auditoria de sistemas de informação,
talvez esteja se perguntando se aqui cabe estudar controles
ambientais, não é mesmo? Pois saiba que os controles ambientais
devem constar da política de segurança da informação, pois estão
diretamente relacionados com a disponibilidade e integridade dos
sistemas computacionais.
Os controles ambientais visam a proteger os recursos

computacionais contra danos provocados por desastres naturais
(incêndios, enchentes), por falhas na rede de fornecimento de
energia, ou no sistema de ar condicionado, por exemplo.
Os controles associados a incêndios podem ser

preventivos ou supressivos, isto é, procedimentos
para evitar incêndio ou combatê-lo de forma
eficiente, caso já tenha ocorrido.
As medidas preventivas muitas vezes são implementadas logo na

construção do prédio, com o uso de material resistente à ação do
fogo, dispositivos de detecção de fumaça ou calor e a instalação
de pára-raios. Após a construção, durante o funcionamento
normal da organização, é aconselhável adotar políticas contra o
fumo e de limpeza e conservação, mantendo as salas limpas, sem
acúmulo de papéis ou outros materiais de fácil combustão.
A instituição deve estar preparada para suprimir ou minimizar os

efeitos de um incêndio, caso ele aconteça. Para tanto, deve
possuir mangueiras e/ou extintores de incêndio em número
suficiente
e do tipo adequado, de acordo com as especificações
técnicas e instalar sistemas de combate ao fogo,
segmentando as suas
atuações por área ou zona. É imprescindível o treinamento dos
funcionários para utilizarem, de forma adequada, os dispositivos
manuais de combate a incêndios e a vistoria freqüente destes
dispositivos para garantir seu perfeito funcionamento quando for
necessário.
As equipes de bombeiros normalmente promovem treinamentos

de combate e prevenção de acidentes, com demonstrações do
104
uso correto dos dispositivos contra incêndios e simulações com

a participação dos treinados.
Os controles associados a incêndios podem ser

preventivos ou supressivos, isto é, procedimentos
para evitar incêndio ou combatê-lo de forma
eficiente, caso já tenha ocorrido.
Falhas ou flutuações no fornecimento de energia elétrica podem

afetar consideravelmente a disponibilidade e a integridade dos
sistemas da organização. É necessário estabelecer controles que
minimizem os efeitos de cortes, picos e flutuações de energia
através da instalação de dispositivos, tais como estabilizadores,
no-breaks (equipamentos que mantêm as máquinas ligadas
até que seja restabelecido o fornecimento normal de energia),
geradores alternativos (a diesel ou a gás) ou conexão a mais
de uma subestação de distribuição de energia elétrica.
Para evitar danificação dos equipamentos e

instalações prediais por descargas elétricas naturais,
instale pára-raios estabilizadores de energia e tenha
como hábito desligar os equipamentos em caso de
fortes tempestades.
Como os equipamentos eletrônicos não combinam com água,

a primeira medida para prevenir danos é instalá-los em locais
pouco suscetíveis e a este tipo de ameaça ambiental ou em
locais em que a presença de água seja facilmente detectada e
contida.
Para se defenderem contra danos provocados pela água, algumas

empresas costumam instalar seus equipamentos nos andares
mais altos ou sobre suportes elevados. No entanto, esta medida
preventiva não é suficiente no caso de goteiras ou estouro do
encanamento.
Unidade 3 105

A maioria dos computadores necessita de um

ambiente controlado em termos de
temperatura, umidade e ventilação para que
possa operar adequadamente.
Assim como as pessoas, os computadores preferem operar dentro

de uma determinada faixa de temperatura (tipicamente entre 10 e
32 °C). Um ambiente seco demais pode gerar eletricidade estática
e danificar os equipamentos. Por outro lado, em um ambiente
úmido demais, pode ocorrer condensação nos circuitos dos
equipamentos, provocando curtos.
Para promover a ventilação necessária ao funcionamento

adequado dos equipamentos, não se deve vedar suas canaletas de
ventilação, nem dispô-los em ambientes muito apertados, que
dificultem a circulação de ar. Já existem dispositivos que podem
auxiliar no monitoramento do ambiente, registrando níveis de
umidade e temperatura.
As salas onde se encontram os computadores devem ser

mantidas limpas, livres de poeira ou fumaça e sem acúmulo de
matérias de fácil combustão, tais como papéis e copos plásticos.
Agora que você finalizou a leitura desta unidade, para praticar os

novos conhecimentos, realize as atividades propostas a seguir.
106

Leia com atenção os enunciados e realize as atividades:
1) Qual é a função de uma análise de riscos?
2) Basicamente, quais são os objetivos de uma política de segurança?
Unidade 3 107

3) O que são os controles aplicados em sistemas

informatizados? Que tipos de controles podem ser
aplicados em um ambiente informatizado? Cite exemplos.
Realize também as atividades propostas no EVA.

Interaja com a sua comunidade de aprendizagem
e amplie o seu ponto de vista.
108

Síntese
Você estudou que a informação e os processos de apoio, sistemas

e redes são importantes ativos para os negócios. O caráter
confidencial, a integridade e a disponibilidade da informação
podem ser essenciais para preservar a competitividade, o
faturamento, a lucratividade, o atendimento aos requisitos legais e
a imagem da organização no mercado.
Cada vez mais as organizações, seus sistemas de informação e

redes de computadores são colocados à prova por diversos tipos
de ameaças à segurança da informação de uma variedade de
fontes, incluindo fraudes eletrônicas, espionagem, sabotagem,
vandalismo, fogo ou inundação. Problemas causados por vírus,
hackers e ataques de denial of service estão se tornando cada vez
mais comuns, mais ambiciosos e incrivelmente mais
sofisticados.
A dependência dos sistemas de informação e serviços significa

que as organizações estão mais vulneráveis às ameaças de
segurança. A interconexão de redes públicas e privadas e o
compartilhamento de recursos de informação aumentam a
dificuldade de se controlar o acesso. A tendência da computação
distribuída dificulta a implementação de um controle de acesso
centralizado realmente eficiente.
Muitos sistemas não foram projetados para serem seguros. A

segurança que pode ser alcançada por meios técnicos é limitada
e convém que seja apoiada por gestão e procedimentos
apropriados. A identificação de controles convenientes para
implantação requer planejamento cuidadoso e atenção aos
detalhes. A
gestão da segurança de informação necessita, pelo menos, da
participação de todos os funcionários da organização. Pode
ser que seja necessária também a participação de
fornecedores, clientes e acionistas, ou uma consultoria
externa especializada.
Na próxima unidade você estudará que além de uma política de

segurança bem concisa, é necessário também que a corporação
possua um meio de garantir a continuidade de processos e
informações vitais à sobrevivência da empresa através de um
plano de contingência e continuidade de negócios.
Até lá!

Unidade 3 109

Saiba mais
Para aprofundar as questões abordadas nesta unidade, realize

pesquisa nos seguintes livros:
 BOSWORTH, Seymor. E KABAY, M. E. Computer

Security Handbook. Wiley. 2002
 NBR ISO/IEC 17799. Código de práticas para a gestão
da segurança da informação. ABNT, 2005.
 ICOVE, David; Seger, Karl; VonStorch, William.
Computer Crime. O`Reilly & Associates.
110

4
UNIDADE 4
Plano de contingência e
de continuidade de
negócios
 conceituar planos de contingência e de continuidade

de serviços.
 analisar qual o impacto causado por alguma

ocorrência inesperada.
 conhecer e escolher corretamente os tipos mais

usados de contingência.
 desenvolver um plano de contingência.
Seções de estudo
Seção 1 O que é plano de contingência e

de continuidade de negócios?
Seção 2 Como realizar a análise de impacto?
Seção 3 Quais são as estratégias de contingência?
Seção 4 Como desenvolver um plano

de contingência?
22/12/2006 12:18:00

O ataque ao World Trade Center em Nova Iorque, em setembro
de 2001, expôs à críticas uma atividade que pode determinar o
futuro de muitas organizações.
Independente das conseqüências locais, a economia mundial

foi afetada pelo ataque, determinando uma mudança no
comportamento empresarial, destacando a possibilidade de
minimizar impactos decorrentes de desastres que
impossibilitem suas instalações, afetando suas atividades, seu
perfil econômico e seu mercado de atuação.
A questão conseqüente foi o levantamento/identificação de

planos, quando existiam, para prevenção e recuperação das
atividades, bem como a reavaliação quanto à exposição a riscos e
seus impactos.
Em decorrência destes fatos, foi observada uma busca por

ferramentas, profissionais, instalações, entre outros que,
teoricamente, proporcionariam uma “garantia” operacional
e a tranqüilidade desejada. Não é tão simples assim, mesmo
utilizando o exemplo do World Trade Center, verificamos que
muitas organizações que planejaram mal sofreram
conseqüências indesejáveis, permanecendo impossibilitadas de
retomar a suas operações.
Da mesma forma que com nossos bens particulares buscamos

seguros confiáveis e reconhecidos, torna-se necessário aplicar o
mesmo conceito para as organizações. Utilizando metodologia,
recursos e instalações adequadas será possível a continuidade
operacional em caso de desastre, proporcionando a continuidade
dos negócios.
Existem metodologias, ferramentas e procedimentos que devem

ser observados nas atividades relativas à recuperação de
desastres, onde, entidades e institutos mantêm programas de
treinamento, qualificação e certificação de profissionais, com
normas técnicas descritas, instalações e equipamentos providos
de características técnicas favorecendo a missão de disaster
recovery.
112

Assim, nesta unidade, você vai estudar como são estabelecidas

estas atividades, ou seja, como funciona um plano de
contingência e de continuidade de negócios.
Seção 1 - O que é plano de contingência e

de continuidade de negócios?
Você já sabe que muitas organizações não
seriam capazes de sobreviver no atual
mercado competitivo sem seus sistemas de
informações, que os ajudam a escolher
estratégias.
O fato de uma empresa ficar “refém” dos

computadores deve ser discutido com a classe
executiva da empresa, pois se houver alguma falha
destes computadores ou dos dados que estão neles, pode
significar perdas financeiras ou até mesmo perda de participação
de mercado.
Devido às vulnerabilidades existentes no ambiente

computacional é imprescindível traçar um plano de
recuperação em caso de desastres, como o famoso
“quebre o vidro em caso de incêndio!”
Os bancos são as organizações que há tempos se preocupam com

o contingenciamento de seu ambiente de TI, o que é facilmente
explicado, porque se houver perda de informações de cliente
ou até mesmo se o cliente não conseguir fazer uma operação
bancária, isto pode significar perda de credibilidade e por
conseqüência, a perda do cliente.
As empresas européias e americanas, depois de vários

incidentes, passaram a olhar com outros olhos a questão de
planos de contingência.
Unidade 4 113

Você sabia?
O ataque terrorista ao World Trade Center em 11 de
setembro de 2001, teve impacto significativo nos
mercados dos Estados Unidos e mundial. A Bolsa de
Valores de Nova Iorque, o American Stock Exchange
e a NASDAQ não abriram em 11 de Setembro e
permaneceram fechadas até 17 de Setembro. As
instalações e centros de processamento de dados
remotos da Bolsa de Valores de Nova Iorque (NYSE)
mais as empresas participantes, consumidores e
mercados, foram incapazes de se comunicarem
devido aos danos ocorridos à instalação de
chaveamento telefônico próxima ao World Trade
Center. Quando os mercados de ações reabriram em
17 de setembro de 2001, após o maior período de
fechamento desde a Grande Depressão em 1993,
o índice do mercado de ações Dow Jones Industrial
Average (“DJIA”) caiu 684 pontos ou 7,1%, passando
para 8920 pontos, sua maior queda em um único dia.
No fim da semana, o DJIA tinha caído 1369,7 pontos
(14,3%), sua maior queda em uma semana na história.
O mercado de ações americano perdeu 1,2 trilhão de
dólares em valor em uma semana (Fonte: Wikipedia).
As organizações brasileiras precisam atentar para esses

tipos de situação. Apesar do nosso país não sofrer com
atentados terroristas, sofremos com incêndios, falta de luz,
enchentes, roubos, sabotagens, sistema de UPS com
problemas de fabricação, entre outros.
Por exemplo, numa companhia geradora de energia

elétrica, se um tranformador queimar, outro irá
assumir o seu papel. Isso na maior parte das vezes é
transparente para o usuário final.
Da mesma forma, os sistemas de informações das empresas

devem estar preparados para qualquer imprevisto, sem dano ou
perda para o usuário final.
Normalmente quando se fala em planos de contingência, o que

se encontra é recuperação de desastres para situações drásticas.
Outras falhas, como problemas de link, fontes redundantes, etc.
são esquecidos.
114

A organização deve listar todos os recursos de informática

existentes, analisar qual será a perda, caso os recursos
estejam fora do ar e investir de forma a garantir a
disponibilidade dos serviços e a integridade das informações.
Mas antes de você conhecer a concepção do plano de

contingência, é importante definir alguns aspectos, tais como
orçamento, prazos, recursos - sejam eles humanos ou materiais
- responsabilidades da equipe e a escolha de alguém para ser o
coordenador do planejamento de contingências.
O plano de continuidade de negócios é de

responsabilidade da classe executiva da
empresa.
Os auditores internos e externos podem auxiliar a escrever o

plano, porém cabe à gerência ou diretoria, garantir sua eficiência
para que não haja perdas financeiras ou outras situações
constrangedoras para a empresa, como interrupção de transações
pela indisponibilidade de serviços.
Antes de tudo, deve existir um estudo prévio onde serão

identificadas todas as funções críticas do negócio, os sistemas
envolvidos, pessoas responsáveis e usuários. O resultado são
informações que servem de base para que seja feita a análise de
impacto que será estudada na próxima seção.
A partir daí, já se tem uma idéia do que será o plano inicial,

contendo a relação de funções, sistemas e recursos críticos,
estimativa de custos, prazos e recursos humanos necessários para
a realização da análise de impacto.
Unidade 4 115

Seção 2 – Como realizar a análise de impacto?

Existe um ditado popular que diz “Não existe almoço
grátis!”. E se você parar para pensar nesta frase, irá
perceber que ela tem um fundo de verdade porque
sempre tem alguém que pagará a conta. Então,
responda a seguinte pergunta: qual é o valor da
conta da segurança da sua empresa?
Conheça, então, as etapas de elaboração do plano de

continuidade.
Conhecido mundialmente pela sigla BIA – Business

Impact Analysis, esta primeira etapa do plano de
contingências
é fundamental, pois fornece informações para o perfeito
dimensionamento das demais fases de sua construção.
Basicamente, o objetivo desta etapa é levantar o grau de

relevância entre os processos ou atividades que são inclusas no
escopo da contingência para continuidade do negócio.
Tabela 4.1 – Função entre os processos de negócio versus escala de criticidade

Escala Processo de negócio PN1 PN2 PN3 PN4 PN5
1 Não-considerável x
2 Relevante x
3 Importante x
4 Crítico x
5 Vital x
De posse dos resultados desta análise, já se possui condições de

definir prioridades no que diz respeito a alocar recursos conforme
o orçamento, de saber os níveis de tolerância e a probabilidade
de acontecerem algumas falhas , e desta forma, construir uma
fotografia de criticidade dos processos.
Continuando esta análise, considere agora as possíveis ameaças

e relacione-as com a tolerância, adquirida através da relação do
processo de negócio com o seu senso crítico. Neste processo,
você teria:
116

Tabela 4.2 – Relação entre processos de negócio / ameaças / tolerância
Ameaças Tolerância
Incêndio Greve Falta de luz Ataque de D.O.S. Sabotagem
PN1 X X X 48h
PN2 X 5h
PN3 X X X X 24h
PN4 15 min
PN5 X X X 0
Com a Tabela 4.2, você tem uma noção mais completa da

situação, do sinistro que se está esperando, ao passo que se sabe
o quanto é preciso investir por causa da sua tolerância.
O relatório da análise de impacto deve identificar os recursos,

sistemas e funções críticas para a organização e classificá-los em
ordem de importância. Em seguida, deve descrever, em cada um,
que tipo de ameaça poderá ocorrer e qual é o dano que ela causa a
esta vulnerabilidade.
Seção 3 – Quais são as estratégias de contingência?

Usualmente as organizações para garantir a continuidade dos
negócios utilizam as seguintes estratégias de contingência :
Hot-site; Warm-site; Relocação de operação; Bureau de
serviços; Acordo de reciprocidade; Cold-site; Auto-
suficiência; Plano de administração de crise; Plano de
continuidade operacional. A seguir, veja do que trata cada
uma. Acompanhe com atenção.
a)Hot-site
Recebe este nome por ser uma estratégia pronta para entrar em
ação assim que algum sinistro ocorrer. Mais uma vez, o tempo
de operacionalização desta estratégia está diretamente ligado
ao tempo de tolerância às falhas do objeto.
Unidade 4 117

Por exemplo: no caso de um banco de dados,

consideram-se milésimos de segundos de
tolerância para garantir a disponibilidade do
serviço mantido pelo equipamento.
b) Warm-site
Esta estratégia se aplica a objetos com maior tolerância à
paralisação, os quais podem se sujeitar à indisponibilidade por
mais tempo, ou seja, até o retorno operacional da atividade.
Como exemplo, temos o serviço de e-mail dependente de
uma conexão de comunicação. Veja que o processo de
envio e recebimento de mensagens é mais tolerante que o
exemplo usado na primeira estratégia, pois poderia ficar
indisponível
por minutos, sem, no entanto, comprometer o serviço ou gerar
impactos significativos, apesar de que para algumas empresas,
o e-mail é considerado um serviço altamente essencial.
c) Relocação de operação
Esta estratégia objetiva desviar a atividade atingida pelo sinistro
para outro ambiente físico, equipamento ou link, pertencentes a
mesma empresa. Ela só é possível com a existência de “folgas”
de recursos que podem ser alocados em situações de desastre.
Um exemplo disto é o redirecionamento do tráfego de dados de
um roteador ou servidor com problemas para outro que possua
mais recursos.
d) Bureau de serviços
Nesta estratégia, considera-se a possibilidade de transferir a
operacionalização da atividade atingida para um ambiente
terceirizado, isto é, fora dos domínios da empresa. O seu
uso é restrito a poucas situações por requerer um tempo de
tolerância maior, em função do tempo de reativação operacional
da atividade. Informações manuseadas por terceiros requerem
uma atenção redobrada na adoção de procedimentos, critérios
e mecanismos de controle que garantam condições de
segurança adequadas à relevância e senso crítico da atividade
de contingência.
118

e)Acordo de reciprocidade
Esta estratégia é bastante conveniente quando os investimentos
necessários na falta de uma infra-estrutura de segurança
adequada, pois nada mais é do que um acordo entre duas
empresas que possuem um ambiente de TI que exija a possível
relocação de serviços, mas que não disponham de recursos
financeiros para contratar uma empresa especializada no assunto.
Da mesma forma do bureau de serviços, é preciso ter cuidado na
hora de expor as informações da sua empresa para outra, pois
o risco existe e é grande. Este tipo de acordo é comum entre
empresas de áreas diferentes e não concorrentes.
f) Cold-site
Seguindo os modelos de classificação citados anteriormente,
Hot-site e Warm-site, o Cold-site propõe uma alternativa de
baixo custo para ambientes de TI, ou seja, pouco budget
para investimentos na área de continuidade de negócios. No
entanto, exige uma tolerância alta, pois o mesmo não suporta
alta disponibilidade. Um exemplo deste modelo é um “ghost”
de um HD de um servidor de Active Directory. Supondo que o
HD do servidor principal queimou, coloca-se o HD cold para
funcionar, e ao invés de ler, faz-se a restauração dos dados. Este
é um procedimento de resultados duvidosos, porém, de baixo
custo.
g) Auto-suficiência
Este caso ocorre quando nenhuma outra estratégia é aplicável,
pois prevê aproximadamente 100% de disponibilidade,
integridade e caráter confidencial dos dados. Seria o ideal para
qualquer empresa, porém é necessário se fazer o cálculo para
medir o quanto se perde, caso a informação não esteja disponível.
h) Plano de administração de crise

Este plano é um tutorial que define todos os passos,
procedimentos, equipes responsáveis que serão acionadas, como
este acionamento é feito, o que se deve fazer para que a situação
volte a operação normal.
Unidade 4 119

Comunicação impressa para classe operacional da empresa,

distribuída entre órgãos e departamentos são aspectos de um
típico plano de administração de crise.
i)Plano de continuidade operacional

É neste documento que você irá relatar o passo-a-passo para o
contingenciamento das informações com o intuito de reduzir o
down-time, isto é, o tempo de parada. Ele deve conter ações a
serem executadas no caso de uma queda de energia, por exemplo.
Uma vez conhecidas as estratégias para elaborar um plano de

contingência, acompanhe, na próxima seção, o desenvolvimento
deste plano.
Seção 4 – Como desenvolver um plano de contingência?

A norma ISO 17799:1- 2005 recomenda que o plano seja
desenvolvido e implementado para a manutenção ou recuperação
das operações e para assegurar a disponibilidade da informação
no nível requerido e na escala de tempo requerida, após a
ocorrência de interrupções ou falhas dos processos críticos do
negócio.
O que é recomendável considerar em um plano de

contigência?
É recomendável que o processo de planejamento da continuidade

dos negócios considere os seguintes itens:
 a) identificação e concordância de todas as

responsabilidades e procedimentos da continuidade
do negócio;
 b) identificação da perda aceitável de informações
e serviços;
120

 c) implementação dos procedimentos que permitam a

recuperação e restauração das operações do negócio e
da disponibilidade da informação nos prazos
necessários. A avaliação de dependências externas ao
negócio e de contratos existentes merece atenção
especial;
 d) procedimentos operacionais para seguir
conclusão pendente de recuperação e restauração;
 e) documentação dos processos e
procedimentos acordados;
 f) educação adequada de pessoas quanto aos
procedimentos e processos definidos, incluindo
o gerenciamento de crise;
 g) teste e atualização dos planos.
É preciso identificar os serviços e recursos que facilitam o

desenvolvimento do plano, prevendo a contemplação de pessoal,
recursos em geral, além da tecnologia de informação, assim como
o procedimento de recuperação dos recursos de processamento
das informações. Tais procedimentos de recuperação, podem
incluir procedimentos com terceiros na forma de um acordo de
reciprocidade ou um contrato de prestação de serviços.
Que informações devem ser contempladas no

plano de continuidade?
O plano de continuidade do negócio deve tratar das

vulnerabilidades da organização, especificamente das
informações sensíveis que necessitem de proteção adequada.
 Convém que cópias do plano de continuidade do

negócio sejam guardadas em um ambiente remoto,
distante suficientemente para escapar de qualquer dano
no local principal.
Unidade 4 121

 A administração deve garantir que as cópias dos planos

de continuidade do negócio estejam atualizadas e
protegidas com o mesmo nível de segurança do ambiente
principal.
 A direção deve garantir que as cópias dos planos de
continuidade do negócio estejam atualizadas e
protegidas com o mesmo nível de segurança do ambiente
principal.
 Outros materiais necessários para a execução do
plano de continuidade do negócio também devem
ser armazenados em local remoto.
 Convém que uma estrutura básica dos planos de
continuidade do negócio seja mantida para assegurar
que eles sejam consistentes, para contemplar os
requisitos de segurança da informação e para identificar
prioridades para testes e manutenção.
 Cada plano de continuidade do negócio deve
descrever o enfoque para continuidade, por exemplo,
assegurar a
disponibilidade e segurança do sistema de informação ou
da informação.
 Cada plano de continuidade do negócio deve
especificar o plano de escalonamento e as condições
para sua ativação, assim como as responsabilidades
individuais para execução de cada uma de suas
atividades. Quando novos requisitos são identificados,
é importante que
os procedimentos de emergência relacionados sejam
ajustados de forma apropriada, por exemplo, o plano de
abandono ou o procedimento de recuperação.
 Convém que os procedimentos do programa de gestão
de mudança da organização sejam incluídos para
assegurar que os assuntos de continuidade de negócios
estejam sempre direcionados adequadamente.
 Cada plano deve possuir uma pessoa responsável em
separado. Procedimentos de emergência, de
recuperação, manual de planejamento e planos de
reativação deve
ser de responsabilidade dos gestores dos recursos de
negócios ou dos processos envolvidos. Procedimentos
de recuperação para serviços técnicos alternativos,
como

122

processamento de informação e meios de comunicação,

normalmente deveriam ser de responsabilidade dos
provedores de serviços.
Basicamente, o desenvolvimento de um bom plano de

continuidade de negócios consiste em detalhar dez aspectos que
são primordiais: administração do projeto, análise de riscos,
análise de impacto, estratégia de continuidade de negócios,
respostas e operações de emergência, desenvolvimento do plano,
treinamento, manutenção, administração da crise e parcerias.
Acompanhe, no decorrer dos seus estudos, detalhes de cada um

dos aspectos citados para que fiquem claros todos os componentes
de um plano de contingência e continuidade de negócios. Na
figura 4.1, você encontra um diagrama que ilustra o que foi
abordado até aqui.
Unidade 4 123

Figura 4.1 – Diagrama de Fluxo de um projeto de plano de

Contingência Fonte: Marinho (2003).
124

Acompanhe agora, as descrições de cada fase da elaboração

do plano de contingência e continuidade de negócios.
a)Início e administração do projeto

Nesta primeira fase é definido o escopo de atuação do
plano de continuidade de negócios. Isto inclui: procurar
apoio, se necessário, definir o gerenciamento do projeto, e
organizar o plano de acordo com os limites de recursos
temporais e financeiros.
A pessoa que recebe a incumbência desta tarefa, deve atingir os

seguintes objetivos:
 auxiliar o patrocinador do projeto, que normalmente

é uma pessoa da camada executiva da empresa, na
definição de objetivos e políticas, analisar os fatores de
sucesso, os requisitos, casos que já ocorreram e
aderência às normas;
 coordenar e gerenciar o projeto do plano de
continuidade de negócios, através da convocação de
uma equipe operacional, esclarecendo alguns pontos
como a diferença entre recuperação de desastres e
continuidade de negócios, resposta a crises e o seu
gerenciamento, reduzir ao máximo possível a ocorrência
de eventos;
 supervisionar o projeto por meio de ferramentas
de controle e o gerenciamento de mudanças;
 apresentar e defender o projeto junto aos funcionários da
organização;
 desenvolver o plano do projeto e orçar seus custos;
 definir a equipe de projeto e a delegação de
responsabilidades, bem como o gerenciamento
do projeto.
Unidade 4 125

b) Análise e controle de riscos

As atividades relacionadas com a análise de risco envolvem
as possibilidades de ocorrência de qualquer sinistro dentro de
uma organização. É através delas que se sabe o quanto estão
vulneráveis os ativos de informação da corporação.
Nesta fase, são determinados os possíveis danos relacionados

com cada evento e quais as ações a serem tomadas para prevenir
e reduzir os efeitos de algum desastre. Aqui, é importante
também uma análise sobre o retorno de investimento para ajudar
na venda do projeto para a camada executiva.
O responsável por esta fase deve atingir as seguintes metas:
 conceber a função da redução, através da organização;

 identificar potenciais riscos para a organização;
 identificar a exigência de suporte técnico;
 identificar vulnerabilidades, ameaças e exposições;
 identificar as alternativas de redução dos riscos;
 identificar a consistência das fontes de informação
(trabalhar sempre com os dados mais precisos
possíveis);
 interagir com a classe executiva da empresa para
a definição de níveis aceitáveis de risco;
 documentar todos os passos.
c) Análise de impacto
Nesta etapa, também conhecida como B.I.A. - Business Impact
Analyisis, ou seja, Análise de impacto aos negócios, é onde
serão identificados, avaliados e relatados os impactos resultantes
dos sinistros ocorridos. Além disto, será definida o senso crítico
dos processos de negócios e as prioridades de
recuperação e relacionamento entre elas com a finalidade
de verificar a
dependência entre um serviço e outro. Com isto, o prazo para
restabelecimento dos sistemas de informação se dará de acordo
com o planejado.

126

As principais tarefas desta fase são:
 identificação de eventos que

podem ocasionar a interrupção de
serviços;
 avaliação de risco para
determinação do impacto;
 plano estratégico para se determinar
a continuidade de negócios.
Para realizar tais tarefas, o responsável por

ela deverá atingir os seguintes objetivos
específicos:
 identificar todos os processos de negócios da corporação;

 identificar os responsáveis por cada processo;
 definir e verificar os critérios de senso crítico: criticidade;
 auxiliar a camada executiva na definição de critérios
para a análise;
 identificar o relacionamento entre os processos;
 definir objetivos, janelas para recuperação de desastres,
incluindo os tempos de recuperação, as perdas previstas
e as prioridades;
 identificar os recursos necessários para a análise;
 avaliar junto à classe executiva da empresa os custos
de interrupção de negócios;
 preparar e apresentar o relatório de análise de impacto.
Durante a etapa de análise de impacto, você precisa ter cuidado

na hora de verificar as vantagens e desvantagens qualitativas e
quantitativas.
Uma avaliação quantitativa fornece uma medida da magnitude

dos impactos, que poderá ser utilizada para a avaliação do
custo- benefício dos controles de segurança.
Lembre-se que, uma medida quantitativa mal formulada resulta

na falta de precisão no seu resultado.
Unidade 4 127

Por sua vez, a avaliação qualitativa prioriza os riscos e identifica

áreas para melhorias imediatas. É interessante ressaltar que
esta medida não fornece dados para mensurar a magnitude de
impactos.
A tabela 4.3 apresenta as categorias de impactos que podem ser

utilizadas para a medição quantitativa deles.
Tabela 4.3 - Níveis de impacto e sua descrição

Nível Descrição
•Perda significante dos principais ativos e recursos • Perda da reputação,

Alto imagem e credibilidade • Impossibilidade de continuar com as atividades de
negócio.
Médio •Perda dos principais ativos e recursos • Perda da reputação, imagem e credibilidade.
Baixo •Perda de alguns dos principais ativos e recursos • Perda da reputação, imagem e
credibilidade.
Fonte: Ferreira (2003).
d) Estratégias de continuidade de negócios

Esta é a fase onde são definidas as estratégias operacionais para
a recuperação dos processos e dos componentes de negócios
dentro do prazo de recuperação estipulado.
Para que estas estratégias sejam realmente efetivas, uma boa

política é dividi-las em dois planos distintos:
 um plano de recuperação de desastres, que seria o

responsável pelas atividades relacionadas à
recuperação ou substituição de componentes que
falharam; e,
 um plano de contingência, que seria o responsável
pelas atividades dos processos de negócios.
A pessoa responsável por estas atividades deverá atingir os
seguintes objetivos específicos:
128
 identificar e analisar as possíveis alternativas para a

continuidade de negócios disponíveis - esta análise
deve conter vantagens e desvantagens, custos e recursos
para auxiliar na tomada de decisão;
 identificar estratégias de recuperação compatíveis com
as áreas funcionais do negócio porque cada processo
de negócios possui suas peculiaridades. Portanto, o
plano deverá contemplar estas personalizações;
 consolidar estratégias, reduzindo o risco de congelar o
processo, pois na ocorrência de um sinistro a agilidade
é uma característica a ser lembrada; e,
 obter o comprometimento da classe executiva da
empresa.
Agora conheça um pouco mais cada um dos dois planos.
 Plano de recuperação de desastres – fornece maneiras

de restaurar de forma rápida os sistemas de informação,
nas situações de interrupções não-programadas. Além
disso, deve contemplar os impactos de uma paralisação
e o tempo máximo aceitável de parada. Como
exemplos, você pode considerar: backup, localidades
alternativas, a
reposição de equipamentos e regras e responsabilidades a
serem seguidas pela equipe em situações de emergência.
 Plano de contingência – consiste em procedimentos de
recuperação preestabelecidos para minimizar o impacto
sobre as atividades da organização no caso de
ocorrência de um dano ou desastre e que os
procedimentos de segurança não conseguiram evitar.
Para que o plano
seja realmente efetivo, é imprescindível que as regras e
responsabilidades estejam bem explícitas e detalhadas
para as equipes, assim como os procedimentos
relacionados com a recuperação de um ambiente
informatizado vítima de um sinistro.
Unidade 4

129

e) Respostas e operações de emergência

Nesta etapa, são desenvolvidos e implementados procedimentos
de resposta e estabilização de situações atingidas por um
incidente ou evento, incluindo a criação e a especificação de
normas para o gerenciamento de um centro operacional de
emergência utilizado como central de comando durante uma
crise.
O profissional responsável por esta etapa deverá atingir os

seguintes objetivos específicos:
 identificar os tipos potenciais de emergências e as

respostas necessárias (por exemplo: incêndio,
inundação, greves etc.);
 verificar a existência de procedimentos de
resposta apropriados às emergências;
 recomendar o desenvolvimento de procedimentos
de emergência quando não existam;
 identificar os requisitos de comando e controle
para gerenciamento de emergências;
 sugerir a elaboração de procedimentos de comando
e controle para definir o papel das autoridades e os
processos de comunicação para o gerenciamento
das emergências;
 assegurar que os procedimentos de resposta a
emergências estejam integrados com os procedimentos
de órgãos públicos.
Por exemplo: assegurar que o tempo que você

relatou para um link dedicado volte a funcionar
possuindo uma determinada proporção com o
tempo que a operadora telefônica passa para a
resolução desse tipo de problema.
O Plano de resposta emergencial deve ter início no

momento T-2 até o momento T+1, ou seja, o tempo
disponível para
a realização dos procedimentos se dará em função da
antecedência do alarme de desastre até a duração do
desastre propriamente dito.
130

A figura 4.2, a seguir, ilustra o fluxograma da estratégia de um

plano de resposta emergencial.
Figura 4.2 - Fluxograma da estratégia de um plano de resposta

emergencial Fonte: Saldanha (2000).
Unidade 4 131

f)Desenvolvimento do plano
Nesta fase, os componentes, até então elaborados e planejados,
serão integrados em um plano de continuidade de negócios, a
fim de permitir o atendimento às janelas de recuperação dos
componentes e dos processos da corporação.
De acordo com a norma ISO 17799:1, o PCN deve ser

desenvolvido para a manutenção ou recuperação das
operações do negócio, na escala de tempo requerida, após a
ocorrência de interrupções ou falhas dos processos críticos.
Para isto,
recomenda-se que o processo de planejamento da continuidade
do negócio considere os seguintes itens:
 identificação e concordância de todas as

responsabilidades e procedimentos de
emergência;
 implementação dos procedimentos de emergência
que permitam a recuperação e restauração nos
prazos
necessários. Atenção especial deve ser dada à
avaliação de dependências externas ao negócio e de
contratos existentes;
 documentação dos processos e procedimentos acordados;
 treinamento adequado do pessoal nos
procedimentos e processos de emergência definidos,
incluindo o gerenciamento da crise;
 teste e atualização dos planos.
O processo de planejamento deve focalizar os objetivos

requeridos do negócio, como por exemplo, a recuperação de
determinados serviços específicos para os clientes, em um
período de tempo aceitável.
É importante que o plano especifique

claramente as condições de sua ativação, assim
como as responsabilidades individuais para a
execução de cada uma das atividades.

132

Quando novos requisitos são identificados, é imprescindível que

os procedimentos de emergência relacionados sejam atualizados
de forma apropriada, permitindo, desta forma, sua execução com
sucesso.
O responsável por esta fase deverá atingir os seguintes objetivos

específicos:
 identificar os componentes de planejamento

dos processos;
 planejar a metodologia;
 organizar o plano;
 dirigir as responsabilidades;
 definir as pessoas envolvidas;
 controlar o processo de planejamento e produzir o plano;
 implementar o plano;
 testar o plano;
 definir a manutenção do plano.
g) Treinamento
O processo de treinamento das equipes começa com a
distribuição do plano para cada um dos seus componentes,
sendo que cada parte do plano deve ser encaminhada para o
responsável por ela, acompanhada da visão geral do plano e da
visão geral da sua equipe. Telefones de emergência, dos demais
membros da equipe e de fornecedores também devem fazer parte
do conjunto de instruções básicas.
Durante a contingência, os membros de cada equipe não estarão

necessariamente desempenhando os mesmos papéis de seus
cotidianos. Desta forma, é necessário que os membros sejam
pessoas aptas e preparadas para desempenhar satisfatoriamente
as funções e executar a contento as atividades que lhes
couberem. O objetivo do treinamento, por sua vez, é
familiarizar os participantes com o plano e suas atribuições.
Unidade 4 133

Além do treinamento, é bastante interessante vender a idéia

de continuidade de negócios para a equipe e colaboradores
da organização, ou seja, a adoção de um programa de
conscientização para ressaltar a importância das medidas
preventivas e dos procedimentos de garantia de continuidade.
Este programa deve utilizar todas as mídias de comunicação

existentes na organização e possuir como meta a manutenção do
nível de conscientização permanentemente elevado.
Algumas ações que podem ser utilizadas para manter a

conscientização em alta são:
 distribuir artigos sobre desastres operacionais,

segurança e planos de continuidade;
 produzir e divulgar um vídeo apresentando o plano,
sua razão de existir e seu escopo;
 publicar o material na intranet;
 promover palestras;
 mandar periodicamente matérias para as listas de e-mail;
 incluir os fornecedores entre o público a
ser conscientizado;
 cobrar dos fornecedores a implementação de um SLA
- Service Level Agreements (Acordo de garantia de
nível de serviços).
h) Manutenção
Nesta fase, como o próprio nome diz, faz-se um pré-plano para
gerenciar os exercícios do plano de continuidade de negócios,
avaliando os resultados obtidos. Além disso, serão desenvolvidos
processos para a manutenção das variáveis dos planos de acordo
com os objetivos estratégicos da empresa.
É importante que o plano de continuidade de negócios seja

mantido por meio de análises críticas regulares e atualizações,
de forma a assegurar a sua contínua efetividade, pois um plano
sem atualização é análogo a um administrador de redes que faz
134

regularmente o backup de dados, porém não faz periodicamente

testes de restauração destes mesmos dados. Segurança não é
produto, nem um projeto, é um processo.
Alguns exemplos que podem demandar atualizações no plano

incluem a aquisição de um novo equipamento, atualizações dos
sistemas operacionais ou ainda alterações de pessoal ou números
telefônicos, mudanças na estratégia de negócios, legislação, ou até
mesmo mudança de prestadores de serviço.
O responsável por esta fase deverá atingir os seguintes objetivos

específicos:
 preparar o planejamento dos exercícios;

 gerenciar os exercícios;
 implementar o exercício das atividades dos planos;
 documentar e avaliar os resultados;
 atualizar e adequar os planos;
 reportar os resultados e a avaliação dos exercícios
aos gestores;
 assimilar as diretivas estratégicas do negócio.
i)Administração da crise
Este documento tem o propósito de definir detalhadamente o
funcionamento das equipes envolvidas com o acionamento da
contingência antes, durante e depois da ocorrência do incidente.
Nesta etapa, encontra-se o desenvolvimento, coordenação,

avaliação e exercício do manuseio de mídias e documentos
durante a ocorrência de um desastre, bem como os possíveis
meios de comunicação que minimizem atritos entre a
corporação, seus funcionários e suas famílias, clientes-
chave, fornecedores, investidores e gestores corporativos.
Através dos procedimentos desta etapa, será possível assegurar o

fornecimento de informações para todos os investidores, por meio
de uma fonte única e constantemente atualizada.
135
Unidade 4


 estabelecer programas de relações públicas para

o gerenciamento proativo de crises;
 estabelecer a necessária coordenação de crises
com agências externas;
 estabelecer a comunicação essencial de crise com
grupos de investidores relevantes, colaboradores,
fornecedores
e clientes, ou seja, o que cada uma destas pessoas deve
saber.
j)Parcerias
Por fim, esta é a fase onde serão estabelecidos os procedimentos
e respostas necessárias para as atividades de continuidade e
restauração de negócios, com o auxílio de parcerias, sejam elas
públicas ou privadas.
 Em caso de autoridades públicas estes serão

estabelecidos para o atendimento de normas e leis;
 no caso de entidades privadas, quando
estas compartilham interesses comuns; ou
 de terceiros contratados para a execução de tarefas
e serviços devido à especialização de sua estrutura
e
objetivo de negócio para limitação de responsabilidades
e funções.

 coordenar preparativos de emergência, resposta,

recuperação, retomada e procedimentos de
restauração com o apoio de órgãos públicos;
 estabelecer procedimentos de acordos e contratos
durante situações de crise, emergência ou desastre;
 manter atualizado o conhecimento entre parceiros.

136

Finalizada a leitura dos conteúdos desta unidade, para praticar os

novos conhecimentos, realize as atividades propostas a seguir:
1) Qual é a função de uma análise de impacto?
2) O que leva um C.I.O. a escolher uma estratégia de

contingência chamada “Cold Site” ao invés da estratégia “Hot
Site”?
Unidade 4 137

3) Por que a manutenção de um plano de continuidade de negócios

é importante?
Realize também as atividades propostas no EVA -

Espaço UnisulVirtual de Aprendizagem. Interaja com
a sua comunidade de aprendizagem e amplie seu
ponto de vista.
138

Síntese
O principal objetivo de um plano de continuidade de negócios

(BCP – Business Continuity Plan) é garantir a operação da
empresa em situações de contingência com o mínimo impacto
aos clientes. No atentado de 11 de setembro de 2001 às Torres
Gêmeas do World Trade Center de Nova Iorque, as empresas
que tinham BCPs bem estruturados reiniciaram suas operações
poucas horas depois do atentado terrorista.
Algumas empresas subestimam os riscos de um desastre e não

investem em BCPs. Os planos de continuidade de negócios
podem ser classificados em dois tipos: os planos de continuidade
das áreas de negócios e os planos de recuperação de desastres
(DRP – Disaster Recovery Plan) do Centro de Processamento de
Dados.
Em muitos casos, as áreas de negócios das empresas

dependem fortemente do processamento de dados para suas
atividades
e sua paralisação pára o negócio da empresa. Um exemplo
foi a paralisação do serviço de e-mail do provedor de
internet Terra por dois dias devido a um problema no
subsistema de
armazenamento de dados, em abril de 2003. O portal Terra teve
que abonar dois dias da mensalidade dos seus 800 mil assinantes
com um prejuízo de mais de R$400 mil.
Nesta unidade você viu o que é um plano de negócios, seus

componentes e suas características. Viu também, com detalhes,
os componentes que formam o desenvolvimento de um plano de
continuidade de negócios.
Na próxima unidade, você verá que uma auditoria tradicional

envolve a revisão do histórico financeiro da empresa com o
intuito de validar a exatidão e a integridade das declarações
financeiras. O controle interno representa uma metodologia
primária usada pela classe executiva da organização para
assegurar a proteção dos ativos e a disponibilidade da
informação. A próxima unidade irá abranger aspectos voltados
para a verificação de controles gerais da organização, sua infra-
estrutura de informática e segurança de informações. Até lá!
Unidade 4

139

Saiba mais
Para aprofundar as questões abordadas nesta unidade você poderá

pesquisar os seguintes livros:
 CARUSO, Carlos A. A. e STEFFEN, Flavio Deny.

Segurança de Informática e de Informações.
Senac. 1999.
 SALDANHA, Fernando. Introdução a planos de
continuidade e contingência operacional. Rio de
Janeiro: Papel Virtual, 2000.
 MARINHO, Fernando. Como proteger e manter seus
negócios. Rio de Janeiro: Campus, 2003.
 FERREIRA, Fernando N. F. Segurança da informação
em ambientes informatizados. Rio de Janeiro: Ciência
Moderna, 2003.
140

5
UNIDADE 5
Auditoria em Sistemas
de Informação
 conheceras técnicas de auditoria de sistemas de

informação mais usadas;
 compreender os controles gerais envolvidos
na auditoria;
 conhecer os tipos de auditoria de
sistemas informatizados;
 estabelecer
um plano de trabalho das verificações
que devem ser realizados durante o trabalho de
auditoria.
Seções de estudo
A seguir, conheça as seções para você estudar:
Seção 1 Quais são as técnicas de auditoria de SI?
Seção 2 Quais são os controles gerais?
Seção 3 Quais são os tipos de auditoria de SI?
Seção 4 Roteiro para avaliação dos controles

internos em auditoria de sistemas
Após a leitura do conteúdo, realize as atividades de auto-

avaliação propostas no final da unidade e no EVA.
22/12/2006 12:18:04

Para esta última unidade, você conhecerá detalhadamente a
auditoria em sistemas informatizados. Alguns tópicos irão dar
a impressão de repetição de conceitos de unidades passadas, e
é exatamente isso que é o objetivo. O que vai diferir agora é
que estes conceitos serão colocados dentro do contexto da
unidade.
Com o objetivo de aperfeiçoar as atividades de auditoria

possivelmente desenvolvidas por você aluno, esta unidade tem
como característica a praticidade, facilitando assim a assimilação
do conhecimento de auditoria em sistemas informatizados.
Cabe aqui relembrar que um sistema de informação pode ser

conceituado como um conjunto de partes que se integram entre
si para atingir objetivos ou resultados informativos. Um sistema
de informação pode ser manual ou informatizado. No caso de
sistemas informatizados, as características predominantes são:
 Manipulação de grandes volumes de dados

e informações;
 Complexidade de processamento;
 Muitos usuários envolvidos;
 Contexto abrangente, mutável e dinâmico;
 Interligação de diversas técnicas e tecnologias;
 Auxílio à qualidade, produtividade e
competitividade organizacional, e suporte à tomada
de decisões empresariais.
Uma auditoria de sistemas de informação pode abranger desde

o exame de dados registrados em sistemas informatizados, até
a avaliação do próprio sistema informático – aplicativos,
sistemas operacionais etc.; a avaliação do ambiente de
desenvolvimento,
do ambiente de operação, do ambiente de gerenciamento da rede
e todos os demais elementos associados a um ou mais sistemas
de informação corporativos.
Antes de iniciar a auditoria de um sistema de informação,

o auditor deve determinar o tipo e o escopo (ou grau de

142

abrangência) da auditoria a ser realizada e solicitar à unidade a ser

auditada os documentos adequados para planejar seu trabalho.
Em ambientes complexos de processamento de dados o auditor

terá uma grande variedade de objetos de controle a considerar. Os
documentos a serem solicitados e os procedimentos de auditoria
a serem aplicados irão variar de acordo com o tipo ou escopo da
auditoria.
E a proposta desta unidade e levá-lo a entender como os conceitos

apresentados até aqui, acontencem na prática. Siga em frente com
determinação!
Seção 1 – Quais são as técnicas de auditoria de SI?

Existem inúmeras técnicas de auditoria de sistemas de
informação. É durante a fase de planejamento da auditoria,
dependendo dos objetivos, do escopo e das
limitações inerentes ao trabalho, que a equipe de
auditoria seleciona as técnicas de auditoria mais
adequadas para se chegar às conclusões
esperadas do trabalho.
Algumas técnicas usadas em auditorias de

sistemas são comuns a outros tipos de auditoria,
como:
 entrevista (reunião realizada com os

envolvidos com o ponto auditado,
que deve ser documentada);
 questionário (conjunto de perguntas que podem ser
aplicadas a muitas pessoas simultaneamente, sem a
presença do auditor);
 verificação in loco (observação direta de
instalações, atividades ou produtos auditados).
Outras técnicas são específicas para a avaliação de operações,

transações, rotinas e sistemas em operação ou desenvolvimento.
A seguir, acompanhe quais são elas:
Unidade 5 143

Quadeo 5.1 - Técnicas de auditoria de SI
Método Caracterítisticas
consiste na aplicação do conceito de “massa de teste” para sistemas em operação, envolvendo testes
Test-deck normais e corretos, com campos inválidos, com valores incompatíveis, com dados incompletos, etc.
consiste na elaboração de programas de computador para simular as funções da rotina do sistema em

Simulação paralela operação que está sendo auditado. Utiliza-se os mesmos dados da rotina em produção como input do
programa de simulação.
avaliação de um sistema em operação quanto aos procedimentos manuais e/ou automáticos para a
Teste de recuperação recuperação e retomada do processamento em situações de falhas. Um exemplo típico é testar para
ver se o backup funciona.
Verificação de um sistema em operação quanto ao consumo de recursos computacionais e ao tempo
Teste de desempenho de resposta de suas operações (exige instrumentos de monitoração para hardware e software).
Avaliação do comportamento de um sistema em operação quando submetido a condições de

Teste de estresse funcionamento envolvendo quantidades, volumes e freqüências acima do normal.
Teste de segurança Avaliação dos mecanismos de segurança preventivos, detectáveis e corretivos presentes no sistema.
Método que se concentra nos requisitos funcionais dos programas em operação. Os casos de
Teste de caixa preta testes, normalmente derivados de diferentes condições de entrada, avaliam funções, interfaces,
acessos a bancos de dados, inicialização e término do processamento.
Métodos que prevêem a inserção de rotinas especiais nos programas em operação, usadas para
depurá- los (debug) após serem executados. São estes:
Mapping: lista as instruções não utilizadas que determina a freqüência daquelas executadas.
Mapping, tracing e
snapshot Tracing: possibilita seguir o caminho do processamento dentro de um programa, isto é,
visualizar quais instruções de uma transação foram executadas e em que ordem.
Snapshot: fornece o conteúdo de determinadas variáveis do programa durante sua execução,
de acordo com condições preestabelecidas.
Concentra-se nas estruturas internas de programas em desenvolvimento. Os casos de testes

Teste de caixa branca avaliam decisões lógicas, loops, estruturas internas de dados e caminhos dentro dos
módulos.
ITF – Integrated Test Consiste na implementação de rotinas de auditoria específicas dentro dos programas de um
Facility sistema em implantação, que poderão ser acionadas com dados de teste, em paralelo com os
dados reais de produção, sem comprometer os dados de saída.
Ao auditor é recomendado conhecer todos os métodos para saber

fazer uso deles e melhor realizar seu trabalho. Conhecidas as
técnicas de auditoria de SI, estude na próxima seção os controles
gerais.
144

Seção 2 – Quais são os controles gerais?

Controles gerais consistem na estrutura,
políticas e procedimentos que se aplicam às
operações do sistema computacional de uma
organização como um todo. Eles criam o
ambiente em que os sistemas aplicativos e os
controles irão operar.
Durante uma auditoria em que seja

necessário avaliar algum sistema
informatizado, seja ele financeiro,
contábil, de pagamento de pessoal etc., é
preciso
inicialmente avaliar os controles gerais que atuam sobre o
sistema computacional da organização.
Controles gerais deficientes acarretam uma diminuição da

confiabilidade a ser atribuída aos controles das aplicações
individuais. Por esta razão, os controles gerais são normalmente
avaliados separadamente e antes da avaliação dos controles dos
aplicativos que venham a ser examinados em uma auditoria de
Quais são as categorias de controles gerais a serem

consideradas em auditoria?
São identificadas cinco categorias de controles gerais que podem

ser consideradas em auditoria. Acompanhe, a seguir, quais são:
a) Controles organizacionais - políticas, procedimentos

e estrutura organizacional estabelecidos para organizar
as responsabilidades de todos os envolvidos nas
atividades relacionadas à área da informática.
Os elementos críticos para a avaliação dos controles

organizacionais são:
 unidades organizacionais bem definidas, com níveis

claros de autoridade, responsabilidades e
habilidades técnicas necessárias para exercer os
cargos;
Unidade 5 145
 atividades dos funcionários controladas através de

procedimentos documentados de operação e
supervisão e políticas claras de seleção, treinamento e
avaliação de desempenho;
 política de segregação de funções e controles de
acesso para garantir na prática a segregação de
funções;
 recursos computacionais gerenciados para as
necessidades de informação de forma eficiente
e econômica.
Figura 5.1 - Exemplo de estrutura organizacional para o departamento de Tecnologia da

Informação (organização de tamanho médio).
b) Programa geral de segurança - oferece estrutura para: (1)

gerência do risco, (2) desenvolvimento de políticas de
segurança,
(3) atribuição das responsabilidades de segurança, e (3)
supervisão da adequação dos controles gerais da entidade;
c) Plano de continuidade do negócio - controles que garantam

que, na ocorrência de eventos inesperados, as operações
críticas

146

não serão interrompidas., Elas devem ser imediatamente

retomadas e os dados críticos protegidos.
d) Controle de software de sistema - limita e supervisiona

o acesso aos programas e arquivos críticos para o sistema
que controla o hardware e protege as aplicações presentes.
São exemplos de software de sistema:

Software de sistema operacional;
Utilitários de sistema;
Sistemas de bibliotecas de
programas; Software de manutenção
de arquivos; Software de segurança;
Sistemas de comunicação de dados;
Sistemas de gerência de base de dados (SGBD).
O controle sobre o acesso e a alteração do software de sistema

é essencial para oferecer uma garantia razoável de que os
controles de segurança baseados no sistema operacional não estão
comprometidos, prejudicando o bom funcionamento do sistema
computacional como um todo.
Os controles de software de sistema são avaliados por meio dos

seguintes elementos críticos:
 acesso limitado ao software de sistema;

 acesso e uso supervisionado do software de sistema;
 controle das alterações do software de sistema.
e) Controles de acesso - limitam ou detectam o acesso a

recursos computacionais (dados, programas, equipamentos e
instalações), protegendo estes recursos contra modificação não-
autorizada, perda e divulgação de informações confidenciais.
Os controles de acesso têm o propósito de oferecer uma garantia

razoável de que os recursos computacionais (arquivos de dados,
programas aplicativos, instalações e equipamentos relacionados
Unidade 5 147

aos computadores) estão protegidos contra modificação ou

divulgação não-autorizada, perda ou dano. Eles incluem
controles físicos, tais como manutenção dos computadores em
salas trancadas para limitar o acesso físico, e controles lógicos
(softwares de segurança projetados para prevenir ou detectar
acesso não autorizado a arquivos críticos).
Os elementos críticos que determinam a adequação dos controles

de acesso são:
 classificação dos principais recursos de informação

de acordo com sua importância e vulnerabilidade;
 manutenção de lista atualizada de usuários autorizados e
seu nível de acesso;
 implantação de controles lógicos e físicos para
prevenir ou detectar acesso não autorizado;
 supervisão do acesso, investigação de indícios de
violação da segurança e adoção das medidas
corretivas apropriadas.
Uma vez que você conheceu quais são os controles

gerais, na próxima seção estude os tipos de auditoria de
Seção 3 – Quais são os tipos de auditoria de SI?

Nesta seção você irá estudar os tipos de auditoria de sistemas
de informação, os quais são: auditoria de software aplicativo,
auditoria do desenvolvimento de sistemas, auditoria de banco de
dados, auditoria de redes e de microcomputador.
3.1. Auditoria de software aplicativo

Software aplicativos são aqueles projetados para executar
determinado tipo de operação, a exemplo do cálculo da folha de
pagamento ou de controle de estoque.
Veja, a seguir, quais são os controles que podem ser auditados:
148

São aqueles incorporados diretamente em programas aplicativos, nas três áreas de operação (entrada, processamento e saída de dados),
Sem um controle de aplicativo apropriado, existe o risco de que características de segurança possam se omitidas ou contornadas, intencio
versão errada de um programa pode ser implementada, causando processamentos errados ou desatualizados; um vírus pode se introduz
Controles de ap
São projetados para garantir que os dados sejam convertidos para um formato
Controles de padrão e inseridos na aplicação de forma precisa, completa e tempestiva.
entrada de dados Os controles de entrada de dados devem detectar transações não-autorizadas,
incompletas, duplicadas ou errôneas, e assegurar que sejam controladas até serem
corrigidas.
Nem sempre é possível ter procedimentos de autorização antes da entrada de dados. Em sistemas de entrad
A organização deve estabelecer rotinas que impeçam o uso não-autorizado ou indevido de microcomputado
Controles do Os controles de processamento devem assegurar que todos os dados de entrada sejam
processamento de processados e que o aplicativo seja executado com sucesso, usando os arquivos de
dados dados, as rotinas de operação e a lógica de processamento corretos.
Controles da saída são utilizados para garantir a integridade e a correta e tempestiva distribuição dos dados
A principal preocupação com a saída de dados consiste na restrição do acesso adainformações
Controles sigilosas às pes
saída de dados
3.2. Auditoria do desenvolvimento de sistemas

A auditoria do desenvolvimento de sistemas objetiva avaliar
a adequação das metodologias e procedimentos de projeto,
desenvolvimento, implantação e revisão pós-implantação dos
sistemas produzidos dentro da organização auditada.
Esta avaliação pode abranger apenas o ambiente de

desenvolvimento da organização ou prever também a análise do
processo de desenvolvimento de um sistema específico, ainda na
fase de planejamento, já em andamento ou após sua conclusão.
O desenvolvimento de um sistema de informação representa um

investimento que não pode ser assumido sem dados confiáveis
Unidade 5 149

e precisos sobre o custo do projeto, seus benefícios e os riscos

envolvidos
Todos os projetos de desenvolvimento de sistemas precisam

ter sido avaliados em profundidade, devendo ser precedidos
de análises de custo/benefício, capacidade de satisfação dos
usuários e de atendimento aos objetivos da organização,
custos de desenvolvimento, medidas de desempenho, planos
de implementação, previsão de recursos humanos, etc. São
necessários, também, mecanismos gerenciais que auxiliem a
definição de prioridade dos projetos e permitam sua avaliação e
controle durante todo o processo de desenvolvimento.
3.3. Auditoria de banco de dados

Tradicionalmente, o termo banco de dados foi usado para
descrever um arquivo contendo dados acessíveis por um ou
mais programas ou usuários. Os arquivos de dados eram
designados para aplicações específicas e o programa era
projetado para acessá-los de uma forma predeterminada.
3.4. Auditoria de redes de computadores

Atualmente, é bastante comum que os usuários de um sistema
estejam em um local diferente de onde se encontram os recursos
computacionais da organização. Isto torna necessário o uso
de mecanismos de transporte de informações entre diferentes
computadores e entre computadores e seus periféricos.
Para o bom funcionamento da comunicação de dados são usados:
 Arquivo log de comunicações, onde ficam registrados

todos os blocos transmitidos correta e incorretamente
para efeito estatístico e para tentativas de recuperação
de dados transmitidos;
 Software de comunicação de dados para verificação de
protocolo de transmissão, gravação do arquivo log de
transações e para codificação de sinais de
comunicação;
 Protocolo de transmissão que garante a recepção
correta do bloco de informações transmitidas;
150

 Software ou hardware para a realização de codificação

e decodificação das informações transmitidas.
O principal risco oferecido pelas redes é o de acesso não
autorizado a dados e programas da organização, que pode resultar
em danos ou prejuízos intencionais ou acidentais.
Existe uma grande variedade de software e hardware

especializados em limitar o acesso de indivíduos ou sistemas
externos a uma rede de comunicação.
Exemplos de componentes de rede que podem ser

usados para limitar o acesso incluem gateways ou
firewalls (dispositivos que restringem acesso entre
redes, importantes para reduzir o risco associado ao
uso da internet); monitores de teleprocessamento
(programas incorporados ao sistema operacional dos
computadores para limitar o acesso) e dispositivos de
proteção dos canais de comunicação.
Além dos riscos associados à facilidade de acesso a

dados e programas, a auditoria das redes de
comunicação de
computadores deve contemplar os riscos relativos à operação
incorreta do sistema, perda de informações que podem causar
dano ou prejuízo à organização em função do ambiente de rede.
Quais os elementos críticos que a auditoria de

redes de comunicação deve abranger?
A auditoria de redes de comunicação deve abranger os seguintes

elementos críticos:
 Gerência de rede - devem existir procedimentos e

políticas para auxiliar a gerência do ambiente de rede e
padrões definidos para controle do hardware
envolvidos;
 Segurança dos dados e da rede - devem existir
mecanismos de controle de hardware e software que
garantam a segurança e integridade dos dados mantidos
Unidade 5

151

no ambiente de rede e dos recursos físicos que a

compõem; bem como limitem e controlem o acesso a
programas e dados;
 Operação da rede - a organização deve oferecer
condições para uma operação eficiente da rede,
incluindo normas e procedimentos de treinamento de
pessoal, execução de cópias de segurança, avaliação da
eficiência do serviço e rotinas de recuperação da rede
após interrupções inesperadas;
 Software de rede - a gerência de rede deve
monitorar e controlar o software de comunicação e o
sistema operacional instalado.
3.5. Auditoria de microcomputadores

Normalmente são chamados microcomputadores os
computadores de mesa que compreendem um processador, disco
rígido e flexível, monitor e teclado. Os microcomputadores
podem ser utilizados isoladamente ou estar conectados a uma
rede, com o propósito de compartilhar dados ou periféricos.
Exemplos dos riscos específicos associados

aos microcomputadores:
Familiaridade – por causa da aparente simplicidade
e facilidade de utilização, existe o risco de que o
uso inadequado seja subestimado por usuários e
pela gerência;
O custo – ainda que os microcomputadores possam
ser considerados de baixo custo, é importante
levar em conta gastos com softwares, periféricos
e manutenção, que pode elevar
significativamente o custo de uma máquina;
Localização – microcomputadores normalmente
estão localizados em escritórios comuns, com pouca
proteção contra furto, acesso não-autorizado ou
dano acidental;
Software proprietário – apesar de ser mais
barato adquirir programas do que desenvolvê-
los
internamente, os softwares oferecidos pelo mercado
muitas vezes não apresentam mecanismos de
segurança adequados;
152

Para que possa proteger-se contra estes riscos, a organização

precisa adotar políticas e procedimentos específicos quanto ao
uso de microcomputadores pelos seus funcionários,
compreendendo padrões de hardware, software, aquisição,
treinamento e suporte, além dos controles gerais e de
aplicativos.
Os microcomputadores precisam de controles

específicos destinados a protegê-los de furto ou
acidente, que podem ocasionar a perda de dados e
programas. Isto pode ser evitado através de restrições
físicas de acesso às máquinas, controles de software,
tais
como: senhas de acesso e realização periódica de cópias de
segurança. O furto de equipamentos pode ser evitado por meio
de mecanismos adequados de segurança no local de trabalho.
Quais são os elementos críticos para auditoria de

microcomputadores?
Os elementos críticos para a auditoria dos microcomputadores

são:
 Controles do software em uso - destinados a garantir

consistência da operação dos softwares instalados
nos microcomputadores, impedindo a instalação de
programas não-autorizados, sua alteração indevida, etc.,
 Segurança - controla o acesso a recursos computacionais,
dados e programas, protegendo-os contra alterações
indevidas, furtos, divulgação de documentos sigilosos,
etc.
 Controles sobre a operação - protegem os recursos
de microinformática contra prejuízos e danos
causados por falta de treinamento de pessoal e de
manutenção adequada.
Uma vez que você estudou os tipos de auditoria, chega a vez

de entender como os conhecimentos estudados até agora nesta
disciplina, se aplicam a prática do auditor.
Unidade 5 153

Seção 4 – Roteiro para avaliação dos controles internos em auditoria de

sistemas
A seguir, é apresentado um roteiro para servir de
base à avaliação dos controles internos em auditoria
de sistemas. Os tópicos a serem avaliados devem
ser escolhidos com base nos objetivos da auditoria.
Outros itens de avaliação poderão ser necessários
dependendo das circunstâncias.
Avaliação dos controles gerais

O auditor deve avaliar se dentro do departamento
de tecnologia da informação (DTI) existem unidades
organizacionais bem definidas e com suas funções claras.
Como parâmetro para o DTI, foram definidas:
 Cada Unidade dentro do DTI definiu seus principais

objetivos e padrões de desempenho.
 Cada Unidade dentro do DTI definiu os diversos níveis
de autoridade, as responsabilidades de cada cargo e as
habilidades técnicas necessárias para exercê-los.
 Os funcionários do DTI exercem atividades
compatíveis com as estabelecidas formalmente pela
organização.
 Os funcionários do DTI possuem capacitação técnica
compatível com o previsto no respectivo plano de
cargos.
 Atividades dos funcionários são controladas e a
política de seleção clara.
 Treinamento e avaliação de desempenho são políticas
na área de capacitação.
 Existem instruções documentadas para o desempenho
das atividades dentro do DTI, que são seguidas pelos
funcionários.
 Existem manuais de instrução que indicam como operar
softwares de sistema e aplicativos.
 O pessoal técnico tem supervisão adequada, inclusive
nas trocas de turno de operação de computadores.
154
 As atividades dos operadores do sistema computacional

são automaticamente armazenadas em registros
históricos de operação.
 Supervisores revisam periodicamente os registros
históricos de operação e investigam qualquer
anormalidade.
 Há um planejamento das necessidades de pessoal
especializado e existem políticas definidas, métodos e
critérios para o preenchimento de vagas que permitam
aferir as reais habilidades técnicas dos pretendentes.
 Existe um programa de treinamento de pessoal na área
de tecnologia da informação, com recursos suficientes
para capacitar o pessoal técnico.
 Existe um programa de avaliação de desempenho eficaz.
a)Política de segregação de funções e controles de acesso

Funções distintas são desempenhadas por diferentes indivíduos,
incluindo as seguintes:
 Gerência dos sistemas de informação;

 Projetos de sistemas;
 Programação de aplicativos;
 Programação de sistemas;
 Teste e garantia de qualidade;
 Gerência de biblioteca/gerência de alteração;
 Operação de computador;
 Controle de dados;
 Segurança de dados;
 Administração de dados.
Unidade 5 155

b) Controles gerais: programa de segurança

Os riscos são periodicamente avaliados, de acordo com políticas
documentadas para esta avaliação.
 As avaliações do risco são realizadas por pessoal

suficientemente independente (não diretamente
responsável pelas questões de segurança), sendo revistas
toda vez que algum sistema, instalação ou outra
condição se altere.
 A avaliação do risco leva em conta a vulnerabilidade
inerente aos dados e o risco adicional, acrescentado
pelos diversos caminhos de acesso passíveis de
utilização por usuários e estranhos não-autorizados.
 As avaliações gerais de risco mais recentes estão
de acordo com as políticas estabelecidas e atendem
aos demais requisitos acima indicados.
c) Documentação do programa de segurança

O auditor, neste momento, deve questionar se o plano de
segurança:
 Foi documentado e aprovado pela alta gerência e

pelos setores afetados;
 Cobre todas as instalações e operações essenciais;
 É mantido atualizado, com revisões periódicas e
ajustes que reflitam as mudanças nas condições de
operação e nos riscos;
 Estabelece uma estrutura de gerência de segurança
com independência, autoridade e conhecimento
suficientes;
 Prevê a existência de gerentes de segurança dos
sistemas de informação tanto em nível geral quanto nos
níveis subordinados;
 Identifica precisamente o proprietário de cada recurso
computacional e os responsáveis pela gerência do acesso
a estes recursos;
156

 Define as responsabilidades de segurança nos seguintes

níveis: (1) proprietários e usuários dos recursos de
informação; (2) pessoal de processamento de dados; (3)
alta gerência; e (4) administradores de segurança;
 É periodicamente revisto e atualizado, estando em dia
com as necessidades da entidade.
d) Política de segurança eficaz

Deve existir um programa de treinamento sobre as políticas
de segurança que inclua treinamento inicial de todos os novos
funcionários e usuários a respeito das normas de segurança para
uso dos recursos computacionais.
Deve existir um treinamento periódico de atualização!
Um treinamento que possa ser realizado, por exemplo, via

mensagens de correio eletrônico que alertem os usuários para os
procedimentos existentes, como necessidade de troca periódica de
senhas e de manutenção do sigilo das mesmas, etc. (Examinar os
registros das atividades de treinamento.).
Os processos de transferência e demissão incluem

procedimentos de segurança, tais como:
 devolução de crachás, chaves, passes de identificação,

etc.;
 notificação da gerência de segurança para a pronta
desativação de senhas de acesso;
 imediata retirada do funcionário do local de trabalho;
 definição do período em que o funcionário afastado ficará
sujeito à guarda do sigilo das informações confidenciais
às quais teve acesso.
Unidade 5 157

e) Controles gerais: planejamento da

continuidade do negócio
Avaliação da vulnerabilidade das operações computadorizadas e
identificação dos recursos que as apóiam. A organização preparou
uma lista de dados, operações e sistemas críticos que:
 informa a prioridade de cada item;

 foi aprovada pelos gestores responsáveis;
 reflete a situação atual dos recursos computacionais.
Adoção de medidas devem objetivar a prevenção

de interrupções potenciais e minimizar danos
causados.
São exemplos de medidas preventivas:
Por exemplo, cópias de segurança dos arquivos e da

documentação dos sistemas são providenciadas e
deslocadas para um local de armazenamento
externo, com freqüência suficiente para evitar
problemas em caso de perda ou dano dos arquivos
em uso.
O local de armazenamento externo está localizado
geograficamente distante da sede da organização
e é protegido por controles ambientais e controles
de acesso físico.
Dispositivos de supressão e prevenção de
incêndio foram instalados e estão em
funcionamento (detectores de fumaça, extintores
de incêndio, etc.).
Controles físicos foram implementados para evitar
outros desastres, tais como inundação, elevação
excessiva da temperatura, etc. Os controles físicos
são periodicamente testados.
Foi providenciada uma fonte substituta de
suprimento de energia elétrica que permita, em
caso de falha da fonte principal, a conclusão
segura das operações em andamento.
Os procedimentos de emergência são
periodicamente testados junto ao
pessoal encarregado de implementá-los.

158

Os funcionários do departamento de TI

receberam treinamento para os casos de
emergência, tendo sido informados de suas
responsabilidades na ocorrência de eventos do
gênero. Verificar se existem registros de
treinamentos periódicos previstos e efetuados
para procedimentos de emergência envolvendo
fogo, inundação e disparo de alarmes.
O pessoal de todos os departamentos tem
conhecimento de suas atribuições em caso de
emergência (telefone para notificação de
problemas, procedimentos de emergência na
ocorrência de desastres, etc.).
Existem políticas e procedimentos atualizados de
manutenção de hardware, gerência de problemas
e gerência de alteração de programas para
prevenir interrupções inesperadas da operação.
Existe um hardware de reserva que garanta, em
casos de problemas com o equipamento principal,
a disponibilidade do sistema para aplicações
críticas e vulneráveis.
O que o auditor precisa documentar?

No caso do desenvolvimento e documentação do plano de
contingência, o auditor tem que verificar se existe um
plano de contingência devidamente documentado que:
 reflete as condições atuais da organização;

 foi aprovado pelos grupos mais afetados,
incluindo a alta administração, DTI e gerentes
proprietários dos sistemas;
 atribui as responsabilidades de recuperação de forma
clara;
 inclui instruções detalhadas para restaurar a operação,
tanto do sistema operacional quanto das aplicações
críticas;
 identifica a instalação alternativa de processamento e o
local externo de armazenamento de cópias de segurança;
Unidade 5 159

 inclui procedimentos a serem seguidos quando o

centro de processamento de dados estiver
impossibilitado de receber ou transmitir dados;
 identifica os sistemas e os arquivos de dados críticos;
 é detalhado o suficiente para ser compreendido por todos
os gerentes da organização;
 foi distribuído para todas as pessoas apropriadas;
 o plano de contingência foi testado em condições
que simulem um desastre.
 Examinar as políticas de teste e os relatórios da
sua execução;
 os resultados dos testes foram documentados e um
relatório com as “lições aprendidas” foi providenciado
e encaminhado para a alta administração;
 o plano de contingência e os acordos relacionados
foram ajustados para corrigir quaisquer deficiências
constatadas durante o teste.
f) Controles gerais: controle de acesso

Existem políticas e procedimentos documentados para a
classificação dos principais recursos de informação pelos
critérios de importância e vulnerabilidade dos dados.
As autorizações de acesso são:
 documentadas e mantidas em arquivo organizado;

 aprovadas pelo proprietário do recurso computacional;
 transmitidas para os gerentes de segurança de uma forma
protegida.
As autorizações de acesso temporárias são:
 documentadas e mantidas em arquivo;

 aprovadas pela gerência encarregada;
160

 comunicadas de uma forma protegida para o serviço de

segurança;
 automaticamente desativadas após um período
determinado.
g) Controles lógicos sobre arquivos de dados e

programas de software
Aqui o auditor tem que verificar se:
 softwares de segurança são usados para restringir o

acesso aos arquivos de dados e programas;
 o acesso ao software de segurança é restrito aos
administradores de segurança;
 as sessões de acesso a sistemas, via terminais de
computadores, são terminadas automaticamente após
um período de inatividade do operador;
 os responsáveis pela administração da segurança
configuram o software de segurança para restringir
o acesso não-autorizado a arquivos de dados,
bibliotecas de dados, procedimentos de operação
em lote (batch), bibliotecas de códigos fonte,
arquivos de
segurança e arquivos de sistema operacional. Testar os
controles tentando obter acesso a arquivos restritos.
h) Controles lógicos sobre a base de dados

Controles sobre os gerenciadores de banco de dados (SGBD ou
DBMS) e dicionários de dados foram implementados para:
 restringir o acesso a arquivos de dados nos níveis de

leitura de dados, campos, etc.;
 controlar o acesso ao dicionário de dados usando perfis
de segurança e senhas;
 manter trilhas de auditoria que permitam supervisionar
mudanças nos dicionários de dados;
161
Unidade 5

 prever formas de pesquisa e atualização de funções

de aplicativos, funções de SGBD e dicionário de
dados.
i)Controles lógicos sobre acesso remoto

Um software de comunicação foi implementado para:
 identificar o terminal/ponto de acesso que está em uso

pelo usuário;
 checar IDs (códigos de identificação do usuário) e
senhas para acesso a aplicativos específicos;
 controlar o acesso através de conexões entre sistemas
e terminais;
 restringir o uso de facilidades de rede em
aplicações específicas;
 interromper automaticamente a conexão ao final de uma
sessão;
 manter registros da atividade na rede;
 restringir o acesso a tabelas que definem opções de
rede, recursos e perfis de operador;
 permitir que somente usuários autorizados
desconectem componentes da rede;
 supervisionar o acesso discado, através do controle da
fonte de chamadas ou pela interrupção da chamada e
retorno da ligação para números de telefone
previamente autorizados;
 restringir o acesso interno aos softwares
de telecomunicações;
 controlar mudanças nesses softwares;
 garantir que dados não sejam acessados ou modificados
por usuários não-autorizados durante sua transmissão
ou enquanto temporariamente armazenados;
 restringir e supervisionar o acesso ao hardware
de telecomunicações ou instalações.
162

j)Controles gerais: software de sistema

Quanto a restrição de acesso:
Existem políticas e procedimentos atualizados para a

restrição do acesso ao software de sistema?
O auditor tem que prestar atenção nestes aspectos:
 o acesso ao software de sistema é restrito a um número

limitado de pessoas, cujas responsabilidades exijam este
acesso. (programadores de aplicativos e usuários em
geral não devem possuir autorização de acesso ao
software de sistema);
 os documentos com justificativa e aprovação da
gerência para o acesso ao software de sistema são
mantidos em
arquivo;
 o nível de acesso permitido aos programadores de
sistema é periodicamente reavaliado pelos gerentes para
ver se
a permissão de acesso corresponde às necessidades de
serviço. Verificar a última vez que o nível de acesso foi
revisto.
Existem políticas e procedimentos documentados e

atualizados para o uso de utilitários do software de
sistema?
Dentro do serviço de auditoria, o auditor deve prestar atenção nos

seguintes pontos:
 as responsabilidades no uso de utilitários de

sistema foram claramente definidas e
compreendidas pelos programadores de sistema;
 as responsabilidades pela supervisão do uso de
utilitários de sistema estão definidas e são exercidas
pela gerência de informática;
Unidade 5 163

 o uso de utilitários de sistema é registrado em

relatórios produzidos pelo software de controle de
acesso ou outro mecanismo de registro de acesso;
 os registros de acesso ao software de sistema e aos
seus utilitários são periodicamente examinados pela
gerência de informática e atividades suspeitas ou não
usuais são investigadas;
 revisões gerenciais são efetuadas para determinar se
as técnicas de supervisão do uso do software de
sistemas estão funcionando como previsto e mantendo
os riscos dentro de níveis aceitáveis (avaliações
periódicas dos riscos).
Existem políticas e procedimentos atualizados

para identificar, selecionar, instalar e modificar
o software de sistema, bem como identificar,
documentar e solucionar problemas com este
software?
A implantação de novas versões do software de sistema ou seus

utilitários segue procedimentos de segurança, que incluem:
 justificativa documentada para a alteração;

 realização de testes conduzidos num ambiente próprio
e não no ambiente de operação normal;
 parecer técnico sobre os resultados do teste;
 revisão dos resultados dos testes e das
opiniões documentadas, pólo gerente de TI;
 autorização do gerente de TI para colocar a nova
versão do software de sistema em uso.
Como realizar controles de aplicativos?
164

Acompanhe a lista de verificações do auditor:
 existem procedimentos documentados

para a inserção de dados na aplicação;
 os documentos ou telas de entrada
garantem a entrada de dados de
maneira exata e consistente;
 os campos de dados de
preenchimento obrigatório são
facilmente identificáveis na tela;
 existem padrões para as telas de entrada, quando a sua
apresentação, disposição dos campos e acionamento
de teclas.
 rotinas de preparação dos dados (batch)
 existem rotinas para a preparação dos dados a serem
preenchidos em cada documento;
 há pessoas claramente identificadas como responsáveis
pela preparação, revisão e autorização da entrada de
dado;
 existem rotinas escritas para cada atividade do processo
de preparação de dados, com instruções claras e
adequadas;
 no caso de aplicativos em que a entrada de dados ocorre
em terminais ou microcomputadores, há procedimentos
de segurança para o uso, manutenção e controle de
códigos de identificação do operador e do terminal ou
estação de trabalho;
 os códigos de identificação do operador e do terminal são
checados no processo de autorização de entrada de dados;
 existem procedimentos documentados para que, em caso
de transmissão eletrônica de documentos, a rota
utilizada e os procedimentos de autorização sejam
registrados;
 os microcomputadores e terminais usados pela
organização para entrada de dados estão localizados em
salas fisicamente seguras;
Unidade 5 165

 as rotinas de entrada de dados da organização asseguram

que esta atividade só pode ser executada por
funcionários com determinado nível de acesso.
Como realizar verificações para aplicações com

entrada de dados batch?
Verificações para aplicações com entrada de dados batch:
 a aprovação da entrada de dados está limitada aos

indivíduos especificados pela organização em
documento escrito;
 pessoal responsável pela autorização da entrada de
dados não executa outras tarefas incompatíveis pelo
princípio da segregação de funções (v. Segregação de
Funções nos Controles Gerais).
Como realizar verificações na entrada de

dados on-line?
Na entrada de dados on-line deve-se verificar se:
 existem controles lógicos e físicos nos pontos de

acesso (terminais ou microcomputadores) para
prevenção e detecção de entrada de dados não-
autorizados;
 foram instalados mecanismos de segurança para
gerenciar a autorização de acesso às transações on-line
e aos registros históricos associados;
 os mecanismos de segurança da organização garantem
que todas as tentativas de acesso, com ou sem sucesso,
são gravadas em logs que registram data e hora do
evento de acesso e identificam o usuário e o ponto de
acesso.
166

Na retenção de documentos de entrada (sistema batch) deve ser

verificado se:
 os documentos originais são retidos pela organização

por um determinado período de tempo com intuito de
facilitar a recuperação ou reconstrução de dados;
 existem procedimentos documentados para retenção de
documentos na organização;
 os documentos ficam retidos por tempo suficiente para
permitir a reconstrução de dados, caso sejam perdidos
durante a fase de processamento;
 os documentos são mantidos em arquivos organizados,
para fácil recuperação;
 o departamento que originou os documentos mantém
cópias dos mesmos;
 somente as pessoas devidamente autorizadas têm acesso
aos documentos arquivados;
 existem procedimentos documentados para remover e
destruir os documentos quando expirado o tempo de
tensão e se estes são obedecidos.
A organização deve estabelecer rotinas que

assegurem que os dados de entrada são
validados e editados de forma a espelharem
corretamente os documentos originais.
Nesse interim, verificar se:
 existem procedimentos documentados que definem o

formato dos dados para assegurar a entrada deles no
campo correto e com o formato adequado;
 nas rotinas de entrada de dados existem informações de
ajuda (help) para facilitar a entrada de dados e reduzir
o numero de erros;
Unidade 5 167

 existem mecanismos para a validação, edição e

controle da entrada de dados (terminais inteligentes ou
software dedicado a esta função);
 os campos essenciais para o correto processamento
posterior dos dados são de preenchimento
obrigatório;
 existem rotinas para detectar, rejeitar e impedir a entrada
de dados incorretos no sistema;
 a validação dos dados é executada em todos os
campos relevantes do registro ou tela de entrada;
 As rotinas de validação de dados testam a presença de:
 Código de aprovação e autorização;
 Dígitos de verificação em todas as chaves
de identificação;
 Dígitos de verificação ao final de uma
seqüência (string) de dados numéricos;
 Códigos válidos;
 Valores alfanuméricos ou numéricos válidos;
 Tamanhos válidos de campo;
 Campos combinados;
 Limites válidos, razoabilidade dos valores ou faixa
de valores válidos;
 Campos obrigatórios preenchidos;
 Símbolos;
 Registros de entrada completes;
 Campos repetitivos, eliminando a necessidade
da entrada dos mesmos dados mais de uma vez.
 A organização utiliza totais de controle de processamento

em lote (batch), gerados pelos terminais de entrada de
dados ou pelo software dos microcomputadores, para
assegurar que todos os dados enviados em lote foram
recebidos corretamente.
168

 A rotina de entrada de dados da organização estabelece

um registro histórico dos dados, proporcionando uma
trilha de auditoria.
A organização deve estabelecer rotinas para

correção e re-submissão de dados de entrada
incorretos.
Para tal é necessário verificar se:
 existem rotinas para identificação, correção e re-

submissão de dados incorretos.
 a rotina de entrada de dados possui procedimentos
automáticos ou manuais que permitem que dados
errôneos sejam prontamente corrigidos e re-submetidos;
 existe controle sobre os erros ocorridos na entrada de
dados, sendo possível identificá-los justamente com as
medidas que foram tomadas para corrigi-los e qual o
tempo transcorrido entre a sua ocorrência e sua correção;
 as mensagens de erro geradas pela rotina de entrada
de dados são suficientemente claras e fáceis de
serem entendidas pelo usuário do terminal ou
microcomputador, facilitando a correção e a submissão
dos dados.
A organização possui um grupo de controle responsável pelas

seguintes atividades:
 investigar e corrigir qualquer problema operacional no

terminal, microcomputador ou outro dispositivo de
entrada de dados;
 assegurar que os procedimentos de reinicializarão são
executados de maneira apropriada;
 monitorar as atividades de entrada de dados no terminal,
microcomputador ou outro dispositivo similar;
 investigar qualquer desvio dos procedimentos de entrada
de dados preestabelecidos;
Unidade 5 169

 os recursos computacionais e humanos disponíveis

para a entrada de dados garantem que estes sejam
inseridos tempestivamente.
Como realizar controle do desenvolvimento

de sistemas?
Uma questão importante a auditar é se foi desenvolvida uma

metodologia de desenvolvimento de sistemas que:
 fornece uma abordagem estruturada de desenvolvimento,

compatível com os conceitos e práticas geralmente
aceitos, incluindo o envolvimento ativo dos usuários
durante o processo;
 é suficientemente documentada, sendo capaz de
oferecer orientação a funcionários com diversos níveis
de conhecimento e experiência;
 oferece meios de controlar mudanças nos requisitos
de projeto que ocorram durante a vida do sistema;
 inclui requisitos de documentação;
 o pessoal envolvido no desenvolvimento e teste de
software foi treinado para utilizar a metodologia de
desenvolvimento adotada pela entidade;
 solicitações de alteração de sistemas são
documentadas e submetidas à aprovação tanto dos
usuários do sistema quanto do DTI;
 os softwares de domínio público ou de uso pessoal
são objetos de políticas restritivas (é importante que
a entidade tenha políticas claras com respeito ao uso
de
softwares de domínio publico ou de propriedade pessoal
do funcionário do trabalho). Permitir aos funcionários
que utilizem seus próprios softwares ou mesmo
disquetes para armazenamento de dados que foram
usados em outro lugar, aumenta os riscos de introdução
de vírus, de violação de patentes e de processamento
errado de dados, causado pela utilização de programas
inadequados.
170
O auditor deve verificar a existência de

procedimentos de alterações de emergência
documentados.
As alterações de emergência são:
 documentadas e aprovadas pelo supervisor de operação;

 formalmente relatadas à gerência de operação para as
providências necessárias;
 aprovadas, ainda que depois de realizadas pelos gerentes
de desenvolvimento proprietário do sistema.
No que diz respeito ao banco de dados, analisar e verificar se

foram claramente definidas e documentadas as responsabilidades
relacionadas à administração de dados, tais como:
 coordenação da manutenção dos dados (definição,

criação, exclusão e propriedade dos dados);
 estabelecimento de políticas de acesso, confidencialidade
e integridade de dados;
 manutenção da documentação;
 coordenação entre administração de dados, usuários e
programação de sistemas;
 desenvolvimento e manutenção de padrões.
 O pessoal responsável pelas atividades de administração
de dados possui as habilidades e conhecimentos
técnicos necessários para executá-las.
Verificar se foram claramente definidas e

documentadas as responsabilidades relacionadas à
administração de banco de dados.
Unidade 5 171

Tais como:
 projeto e manutenção da estrutura da base de dados;

 revisão e avaliação da confiabilidade do
sistema gerenciador de banco de dados;
 avaliação do pessoal encarregado das funções de
banco de dados;
 treinamento do pessoal responsável pela
administração de banco de dados;
 segurança de dados;
 o pessoal responsável pelas atividades de administração
de banco de dados possui as habilidades e
conhecimentos técnicos necessários para executá-las;
 as atividades de administração de banco de dados são
armazenadas em registros históricos e
periodicamente analisadas por um supervisor;
 o plano de treinamento em linguagens de acesso a
banco de dados é adequado.
Como realizar Controle das redes de computadores?
A escolha da plataforma de rede para a organização foi precedida

de uma análise de custo/benefício fundamentada em elementos
suficientes para justificar a alternativa adotada. O plano de
implantação de processamento em rede contempla:
 participação dos usuários;

 riscos da conversão dos sistemas;
 as diferentes necessidades de processamento dos
usuários das diversas localidades;
 testes de aceitação a serem executados pelo DTI
(Departamento de Tecnologia da Informação), pelo
controle de qualidade e por usuários selecionados.
172

Ao auditor, cabe verificar se:
 os procedimentos de controle do processamento em rede

são testados e avaliados periodicamente;
 existem procedimentos documentados que definem
as atividades permitidas no ambiente de rede;
 os procedimentos de operação da rede foram
distribuídos aos usuários de cada departamento;
 foi estabelecido um mecanismo para garantir a
compatibilidade de arquivos entre as aplicações,
na medida do tamanho e complexidade da rede;
 foi estabelecida uma política de auditoria e de backup
para a rede.
 existem procedimentos documentados e
responsabilidades atribuídas para as atividades de
inicialização (start-up), supervisão e uso da rede e
recuperação de defeitos de funcionamento do
hardware.
Verificar se o DTI possui políticas, procedimentos e padrões

documentados, atualizados e divulgados para o pessoal
responsável, cobrindo as seguintes áreas:
 descrição resumida de cada aplicativo rodando na rede;

 procedimentos de operação (tais como startup
e shutdown);
 gerência de fitas e discos;
 cópias de segurança (backup);
 procedimentos de emergência;
 planejamento de contingência.
Os departamentos de usuários devem manter um inventário

atualizado dos equipamentos de rede que se encontrem em seu
local de trabalho e revisar periodicamente a eficácia das
práticas de segurança adotada.
Unidade 5 173

Os procedimentos de segurança devem estar adequados para

proteger os recursos físicos da rede e a integridade do software do
aplicativo e dos dados armazenados, e devem ser periodicamente
revisados (v. também Programa Geral de Segurança e Controles
Gerais: Controles de Acesso).
O grupo responsável pela segurança da rede confere

periodicamente se a documentação de segurança está
devidamente atualizada e reavalia, com a freqüência suficiente, a
adequação dos controles de segurança:
 do hardware de comunicação e estações de trabalho;

 do sistema operacional;
 dos aplicativos relevantes.
Um ponto interessante de se verificar é se existe

segregação de funções adequada entre gerência
de funções, entre gerência de rede e gerência de
segurança, pois isto denota uma rede organizada e
segura.
Na existência da gerência de segurança, verificar a existência de

trilhas de auditoria, informando atividades tais como:
 login/out (local, hora e data, identificação do usuário);

 tipo de acesso (discado, por estação de trabalho, etc.);
 tentativas de acesso inválidas (local, hora e data, ID).
E, por fim, não esqueça que usuários devem conseguir acesso

aos discos, volumes, diretórios e arquivos somente para os
quais possuem autorização. As tentativas de acesso devem ser
contabilizadas de forma que após um determinado número de
tentavias falhas, exista o travamento da conta do usuário. Ainda
restam a conta de usuário, que deverá ser pessoal e
intransferível, e a senha dessa conta.
Uma ótima dica é estabelecer perfis de acesso para os usuários,

que definam os recursos, dados, aplicações, transações e
174

comandos autorizados, de acordo com as responsabilidades dos

respectivos cargos.
Uma vez que você finalizou a leitura criteriosa desta

unidade, realize as atividades propostas e pratique os novos
conhecimentos.

1) Das inúmeras técnicas de auditoria, quais delas são
utilizadas em ambientes de produção, rodando em
paralelo e que não comprometem a saída de dados ou
informações?
2) O que determina o controle de sofware de sistemas?
Unidade 5 175

3) Que cuidados a organização deve ter no que diz respeito à demissão de

um funcionário?
Síntese
Nesta última unidade, você conheceu algumas das mais usadas

técnicas de auditorias, como test-deck, ITF, entre outras. Também
conheceu os parâmetros necessários para uma rede segura.
Você viu que a utilização da tecnologia da informação para a

manipulação e armazenamento de dados introduz novos riscos
para o controle, acrescentando outras variáveis às questões
relacionadas à segurança e por conseqüência ao trabalho de
auditoria.
Muitas vezes, redes corporativas bem estruturadas acabam

esbarrando em falhas internas, de usuários não preparados
para utilizar os sistemas ali instalados. Um bom começo de
estruturação de uma política de segurança é a conscientização
dos usuários por parte do pessoal responsável pela segurança
de dados. Educar é a melhor política que pode ser aplicada à
organização, principalmente se apoiada pela classe executiva da
empresa.
A segurança não é um projeto e sim um processo, portanto deve

ser revista constantemente. Deve-se ter na equipe pessoas alertas
e informadas de falhas de sistemas operacionais, gerenciadores
de bancos de dados, dispositivos de redes locais e de longa
distância (LAN / WAN) que sejam sempre proativos em
possíveis incidentes.
176

Política de segurança é a linha de defesa contra qualquer ataque,

é um documento importantíssimo na organização e deve ser
conhecido por todos os funcionários. Utilizando esta mesma
analogia, a auditoria será o procedimento para que esta linha
de defesa fique sempre firme, sem causar danos ao cliente. E
também, por este motivo ela deve ser realizada periodicamente.
Saiba mais
Para aprofundar as questões abordadas nesta unidade você poderá

pesquisar os seguintes livros:
 MARCIAL, Elaine Coutinho. GRUMBACH, Raul

José dos Santos. Cenários Prospectivos: como
construir um futuro melhor. Rio de Janeiro: Editora
FGV, 2002.
 MARCY, José de Campos Verde. Foco na Gestão da
Segurança Empresarial. Revista Proteger, S.Paulo,
número 31, pg. 41 até 43, 2000.
 PINKERTON CONSULTING and
INVESTIGATIONS. Top Security Threats and
Management Issues Facing Corporate America
2002 Survey of Fortune 1000 Companies. Pinkerton
Service Corporation, 2002.
Unidade 5 177

Para concluir o estudo
Parabéns! Você acaba de concluir os estudos da

disciplina de auditoria em sistemas informatizados.
O conhecimento adquirido por você é de suma

importância para sua carreira profissional, pois os
últimos anos provocaram uma grande mudança no
papel do auditor. De mero fiscalizador de processos, ele
tornou-se um profissional com participação estratégica
no desenvolvimento da competitividade da empresa.
Hoje o papel do auditor vai muito além de simplesmente

identificar problemas. Ele tem que conhecer a empresa e
atuar, no sentido de corrigir as falhas existentes dentro
do processo de gestão da informação. Com isso, ele
ajuda no desenvolvimento da organização e contribui
para o aperfeiçoamento de sua competitividade.
O Conhecimento de auditoria em sistema de informação

garante a qualidade dos serviços prestados pelo DTI,
ajuda no aprimoramento dos controles internos, permite
a detecção de fraudes, cada vez mais comuns no
ambiente corporativo e aprimora o desenvolvimento das
pessoas. Enfim, é um serviço que contribui muito para o
desenvolvimento da empresa.
Por fim, esperamos que o período dedicado a estudar esta

disciplina tenha despertado o interesse em prosseguir
na busca de novos conhecimentos sobre a auditoria em
sistemas de informação. Você verá que novos
horizontes se abrirão em seu futuro acadêmico e
profissional.
Bom estudo e um grande abraço.
Davi e Abílio
22/12/2006 12:18:11
Referências
BOSWORTH, Seymor. E KABAY, M. E. Computer Security
Handbook. Wiley, 2002
BREHMER, Laércio. Política de Segurança da Informação

no CIASC. 2003. Dissertação (Pós-graduação em Ciência
da Computação), Universidade do Vale do Itajaí, São José.
CARISSIMI, Leonardo. Segurança da Informação agrega

valor? Modulo E-Security Magazine. Agosto 2001.
CARUSO, Carlos A. A. e STEFFEN, Flavio Deny. Segurança

de Informática e de Informações. SENAC. 1999.
CRONIN, Mary. Global Advantage on the Internet. New York.

Nostrand Reynholdsm, 1996.
CASANAS, Alex D. G. e MACHADO, César de S. O impacto

da implementação da Norma NBR ISO/IEC 17799 –
Código de prática para a gestão da Segurança da
Informação – nas Empresas. UFSC. 2000.
CETEC. Comitê Estadual de Tecnologia da Informação.

Disponível em www.cetec.sc.gov.br.
CSI/FBI – 2005. Computer Crime and Security Survey.

Disponível em http://www.gocsi.com .
DIAS, Claudia. Segurança e Auditoria da Tecnologia da

Informação. Axel Books. 2000.
FERREIRA, Fernando N. F. Segurança da informação

em ambientes informatizados. Rio de Janeiro: Ciência
Moderna, 2003.
JACOMINO. D. Você é um profissional ético? Você S.A., São

Paulo, v.3, n.25, p.28-37, jul. 2000.
MARCIAL, Elaine Coutinho e GRUMBACH, Raul José dos

Santos. Cenários Prospectivos: Como Construir um Futuro
Melhor. Rio de Janeiro: Editora FGV, 2002.

MARCY, José de Campos Verde. Foco na Gestão da Segurança

Empresarial. Revista Proteger, S.Paulo, número 31, pg. 41 à 43,
2000.
MARTINELLI. Noções de Auditoria de Sistemas. Unicamp. 2002.
MARINHO, Fernando. Como proteger e manter seus negócios. 1.

ed. Rio de Janeiro: Campus, 2003.
MÓDULO SECURITY SOLUTIONS. 9ª Pesquisa Nacional sobre

Segurança da Informação. Disponível em http://www.modulo.com. br.
NAVARRO, P. L. Ética na informática. [on line] Disponível em http://

www.pr.gov.br/celepar/celepar/batebyte/edicoes/1996/bb60/etica.
htm.
NBR ISO/IEC 17799. Tecnologia da Informação. Código de Prática

para a gestão de segurança de informação. ABNT. 2001.
NEUMANN, Seev. Strategic Information Systems: Competition through

Information Technologies. New York: Macmillan College Publishing Co.,
1994.
O`BRIEN, James A. Sistemas de Informação e as Decisões

Gerenciais na era da Internet. Saraiva, 2002.
PINKERTON CONSULTING and INVESTIGATIONS. Top Security Threats

and Management Issues Facing Corporate America 2002 Survey of
Fortune 1000 Companies, Pinkerton Service Corporation, 2002.
PURPURA, Philiph. Security and Loss Prevention : An Introduction.

Boston: Butterworth – Heinemann, 3ª edição, 1998.
RFC-2828. Request for Coment: Internet Security Glossary. Disponível

em http://www.ietf.org/rfc/rfc2828.txt.
ROPER, Carl A. Risk Management for Security Professionals. Boston:

Butterworth – Heinemann, 1999.
ROSENTAL, M. Pequeno dicionário filosófico. São Paulo: Editora

Política do Estado,1959. 602p.
SALDANHA, Fernando. Introdução a planos de continuidade e

contingência operacional. 1. ed. Rio de Janeiro: Papel Virtual,
2000.
SENNEWALD, Charles A. Effective Security Management Boston:
182

Butterworth – Heinemann, 3ª edição, 1998.
SEGURANÇA. Segurança Máxima: O Guia Completo de um Hacker

para proteger o seu site na Internet e sua rede. Rio de janeiro.
Campus. 2000.
SPYMAN. Manual Completo do Hacker. Book Express. 2000.
SROUR, R. H. Poder, cultura e ética nas organizações. Rio de Janeiro:

Campus, 1998. 340p.
TOP 10: Os vírus que mais atacaram. Security Magazine. São Paulo.
n. 25, Julho de 2004. Disponível em http://www.securitymagazine.
com.br.
183

Sobre os professores conteudistas
Abilio Bueno de Oliveira Neto é bacharel em

Ciência da Computação, formado pela Universidade
do Sul de Santa Catarina – UNISUL. Atualmente é
mestrando em Engenharia do Conhecimento na
Universidade Federal de Santa Catarina – UFSC. É
engenheiro de sistemas operacionais certificado pela
Microsoft e pela IBM. É também certificado LPI e
Citrix. Possui 12 anos de experiência na área
tecnologia, 8 deles dedicados à área de segurança de
informação Atualmente, trabalha como Arquiteto de
Soluções e Auditor de Sistemas de Informação em
uma IBM Business Premier Partner chamada
POWERSolutions, em Florianópolis.
Davi Solonca é bacharel em Administração de Empresas

pela Universidade Federal de Santa Catarina em 1987.
Defendeu sua dissertação de Mestrado em 1994, com
o título “Valores e crenças dos dirigentes
patrimoniais e profissionais que influenciam a
profissionalização
de empresas familiares”. Natural de São Paulo – SP,
radicado em Santa Catarina desde 1978. Concursado em
1984 no Tribunal de Contas de Santa Catarina. Exerceu
Chefias do Controle Externo no Tribunal de Contas.
Fez parte de várias Comissões: Análise das Prestações de
Contas do Governo do Estado por mais de 10 anos (1992
a 2004); Comissão que analisou as Letras Financeiras do
Tesouro do Estado de SC; Auditoria da Dívida Pública de
1992 a 2002; Realizou diversas auditorias externas nos
órgãos públicos como Secretaria de Estado da Fazenda,
Procuradoria Geral do Estado, Secretaria de Estado
da Administração referente ao controle e cobrança da
Dívida Ativa do Estado; Auditorias de Gestão; Auditoria
no orçamento público estadual, finanças públicas, LRF.
Auditoria dos Convênios efetuados pelo Estado com
Prefeituras Municipais; Analisou a antecipação de
22/12/2006 12:18:11
recursos através das Subvenções e Auxílios a Entidades Civis e
Órgãos Estaduais. Professor da Unisul desde 1998, do curso de
Ciência da Computação e de Sistemas de Informação, ministra as
disciplinas de Auditoria de Sistemas e Administração e Sistemas,
respectivamente; na Pós-graduação curso de Especialização
de Auditoria Governamental e Responsabilidade Fiscal e nas
Faculdades Energia: Finanças Públicas e Orçamento Público e
matérias afins de Administração.
Respostas e comentários das atividades
de auto-avaliação
A seguir, acompanhe as respostas sobre as atividades de

auto- avaliação apresentadas ao longo de cada uma das
unidades desta disciplina. Para o melhor aproveitamento do
seu estudo, confira suas respostas somente depois de
realizar as atividades propostas.
Unidade 1
Respostas:
1) Basicamente, problemas com a integridade, o caráter
confidencial e a disponibilidade das informações.
2) Palavras-chaves para esta resposta são: proteção de
investimento de TI, aumento dos níveis de segurança de
informações, aderência a alguma norma de segurança,
exigência de parceiros de negócio, garantir a continuidade
dos negócios.
3) Palavras-chaves que contém a resposta correta são:
facilidade de acesso a informações confidenciais dentro
de uma corporação, a fraude simples pelo motivo de
dinheiro, a insubordinação perante superiores ditos como
incompetentes, o prazer de ter burlado a segurança de
algum alvo desprotegido, insatisfação com o emprego.
Unidade 2
Respostas:
1) A tendência de sempre se aprimorar, pois com o advento
da informática, coletar dados, mesmo no caso de uma
auditoria de finanças é muito mais complexo do que
antigamente, forçando o auditor a sempre se atualizar no
que diz respeito a softwares financeiros, sistemas
informatizados de auditorias, entre outras tecnologias.
2) Antes da assinatura do contrato, uma proposta comercial
deve ser apresentada à empresa contratante de forma que
se saiba do escopo de trabalho, ou seja, todas as
responsabilidades da
22/12/2006 12:18:12
empresa contratada e da contratante, para que, no final dos serviços,

possa se fazer um processo de Quality Assurance da auditoria em si, ou
seja, uma medição do que foi proposto e do que foi realizado.
A empresa que contratar os serviços de auditoria de terceiros deve ter
o cuidado de escolher a empresa contratada seguindo algumas
características como: tempo que a empresa está no mercado, se a
empresa possui um plano de atualização permanente dos auditores, se
a empresa não possui muitas queixas ou processos de clientes,
verificar a carteira de clientes da empresa, entre outras características.
Na hora da assinatura do contrato, lembrar de ler a parte que fala
sobre o sigilo de contrato, que é imprescindível para um contrato de
serviços de auditoria, pois se a empresa contratada não for de boa
índole, o auditor pode vazar informações para concorrentes,
especialmente se ele presta serviços para ambas as empresas.
Verificar se a norma ou padrão adotado pela empresa é uma norma
de grande aceitação no mercado. Verificar se a empresa está
atualizada no que concerne às últimas mudanças do mundo contábil,
financeiro ou tecnológico. OBS: São 4 itens que devem ser cuidados
no que se refere ao cliente, porém se você se lembrar de pelo menos
três, já está valendo!
3) Um dos principais motivos de se dar importância à organização desse
projeto, é que as empresas de auditorias possuem recursos humanos
escassos o que faz com que seu tempo seja gerenciado com muito
critério. Sua presença para execução de alguma tarefa só é definida
nos caso em que sua atuação seja realmente necessária
Unidade 3
Respostas:
1) A função dessa análise é obter uma medida da segurança existente
em determinado ambiente informatizado. A primeira consideração
relacionada com segurança de ativos de informações, como
qualquer outra modalidade de segurança, é a relação custo-
benefício. Não
se gasta dinheiro em sistemas de segurança ou serviços que não
tenham retorno ou que ao menos não garantam algum retorno de
investimento, isto é, não se gasta mais dinheiro em proteção do que o
valor do ativo a ser protegido.
2) Basicamente, uma política de segurança tem como objetivos
preservar os ativos de informação da corporação, garantindo o
caráter confidencial, integridade e disponibilidade da informação.
O caráter confidencial garante que a informação será acessada
somente pelo grupo de pessoas autorizadas. Integridade para
garantir que a informação estará intacta, sem distorções ou
possíveis corrupções de dados. Disponibilidade para garantir que a
informação estará sempre disponível ao usuário.
188
3) Os controles são formas de proteger a informação contra desastres,

sinistros ou até mesmo ataques externos ou internos. Eles podem ser
lógicos, físicos ou ambientais. Um bom exemplo de um controle de
acesso lógico, são os programas de antivírus. Quanto aos controles de
acessos físicos, temos as salas-cofre, autenticação biométrica para
acesso ao datacenter, entre outros. Por sua vez, como exemplo de
controles ambientais, temos os equipamentos de condicionador de ar,
sistemas de prevenção a incêndios, amortecedores contra terremotos,
entre outros.
Unidade 4
Respostas:
1) A Análise de Impacto no Negócio permite quantificar o valor das
perdas que podem ser causadas por incidentes de segurança da
informação, considerando os aspectos de caráter confidencial,
integridade e disponibilidade. Os resultados da Análise de Impacto no
Negócio
dão suporte ao planejamento estratégico de segurança, permitindo
priorizar os investimentos nos pontos mais críticos, ou seja, aqueles que
podem gerar as maiores perdas para a empresa.
2) Elas são bem distintas, basicamente a estratégia “Hot Site” é muito
mais eficiente e eficaz, porém muito mais cara. O que vai diferenciar a
escolha basicamente é a análise de impacto e a análise de riscos que
vão apontar a medida de segurança do ambiente e onde se encontra o
“calo” da estrutura.
3) Em um ambiente informatizado, as formas de ameaças mudam
todos os dias, cada vez mais aprimoradas. Da mesma forma, o
plano de continuidade de negócios deve estar sempre atualizado
para ser
útil. Outro fato é que a manutenção do plano pode acusar falha de
processo, que podem ser corrigidas para aumentar a eficácia do plano.
Unidade 5
Respostas:
1) ITF – Integrated Test Facility
2) Essa categoria de controle tem como parâmetro limitar e
supervisionar o acesso aos programas e arquivos críticos do
ambiente computacional do cliente, com o objetivo de proteger as
aplicações presentes.
3) Procedimentos como a devolução de crachás, chaves, exclusão do
login do usuário, definição de período de sigilo que um ex-
funcionário deve cumprir, entre outros.

189


Asi

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Asi

Uploaded by

Copyright:

Available Formats

Universidade do Sul de Santa Catarina

auditoria_de_sistemas_informatiz1 1 22/12/2006 12:17:00

Parabéns, você está recebendo o livro didático da disciplina

O processo de ensino e aprendizagem na UnisulVirtual leva

São elementos desse processo:

Recomendamos que antes de você começar os seus estudos,

Desejamos que você tenha êxito neste curso!

auditoria_de_sistemas_informatiz3 3 22/12/2006 12:17:04

auditoria_de_sistemas_informatiz5 5 22/12/2006 12:17:05

1. Sistemas de segurança. 2. Computadores – Medidas de

Ficha catalográfica elaborada pela Biblioteca Universitária da Unisul

auditoria_de_sistemas_informatiz6 6 22/12/2006 12:17:05

auditoria_de_sistemas_informatiz6 6 22/12/2006 12:17:05

Palavras dos professores.............................................................................. 09

UNIDADE 1 – Introdução à auditoria de sistemas informatizados.........15

Para concluir o estudo................................................................................ 179

auditoria_de_sistemas_informatiz7 7 22/12/2006 12:17:05

A proﬁssão de auditor já existe há um bom tempo, mas

São vários os desaﬁos que devem ser ultrapassados por

Um dos objetivos deste livro é minimizar de alguma

Um dos desaﬁos de se escrever sobre este assunto é que

Esperamos que este trabalho sirva de fonte de consulta

Seja bem-vindo à disciplina Auditoria de Sistemas

auditoria_de_sistemas_informatiz9 9 22/12/2006 12:17:06

O plano de estudo tem por objetivo orientar você no

Antes de iniciar a realização das atividades de avaliação, leia

Não perca os prazos das atividades. Registre no espaço, a seguir,

auditoria_de_sistemas_informatiz12 12 22/12/2006 12:17:06

Avaliação a distância 1 (AD 1)

Avaliação presencial (AP)

Avaliação ﬁnal (AF)

Demais atividades (registro pessoal)

Habitue-se a usar o quadro para agendar e programar as

auditoria_de_sistemas_informatiz13 13 22/12/2006 12:17:06

auditoria_de_sistemas_informatiz14 14 22/12/2006 12:17:06

Seção 1 Evolução dos sistemas computacionais e

Seção 2 Quais são os conceitos básicos da auditoria?

Seção 3 Qual é o tipo da auditoria objeto

Seção 4 Por que auditar?

Seção 5 Quais são os desafios éticos da auditoria

Para início de estudo

Esta unidade pretende conceituar a auditoria de sistemas

Nas terceira e quarta seções são enfocados os desaﬁos éticos

Seção 1 – Evolução dos sistemas computacionais e dos de segurança da

A crescente utilização de soluções informatizadas nas diversas

Na época em que as informações eram armazenadas apenas em

auditoria_de_sistemas_informatiz2 2 22/12/2006 12:17:06

mais soﬁsticada, englobando controles lógicos, porém ainda

Com a chegada dos computadores pessoais e das redes de

Paralelamente, os sistemas de informação também

A esta constatação, você pode adicionar o fato de que hoje em

A segurança da informação tornou-se estratégica,

Em tempos de economia nervosa e racionalização de

Visando minimizar as ameaças, a ISO (International

auditoria_de_sistemas_informatiz3 3 22/12/2006 12:17:07

Quais são as ameaças?

Este modelo tem como característica principal tentar preservar

Contudo, você pode inferir que elementos fundamentais para

Agora que você pode entender a importância para uma

Seção 2 – Quais são os conceitos básicos da auditoria?

 O campo compõe-se de aspectos

auditoria_de_sistemas_informatiz5 5 22/12/2006 12:17:07

auditoria_de_sistemas_informatiz5 5 22/12/2006 12:17:07

A auditoria é uma atividade que engloba o exame das