Henrique Aparecido

Henrique Aparecido da Rocha
Proposta de Cenario para aplicacao da norma NBR

ISO/IEC 27002 em Auditorias Governamentais do
Sistema de Controle Interno
Braslia
dezembro de 2008
Henrique Aparecido da Rocha
Proposta de Cenario para aplicacao da norma NBR

ISO/IEC 27002 em Auditorias Governamentais do
Monografia apresentada ao Departamento de
Ciencia da Computacao da Universidade de
Braslia como requisito parcial para a obtencao do ttulo de Especialista em Ciencia da
Computacao: Gestao da Seguranca da Informacao e Comunicacoes
Orientador: Prof. Dr. Edgard Costa Oliveira
Universidade de Braslia UnB

ncia da Computa
o
Departamento de Cie
ca
henrique.rocha@cgu.gov.br
Braslia
dezembro de 2008
Monografia de Especializacao defendida sob o ttulo Proposta de Cenario para aplicac

ao da norma NBR ISO/IEC 27002 em Auditorias Governamentais do Sistema de
Controle Interno, defendida por Henrique Aparecido da Rocha e aprovada em 10 de dezembro de 2008 em Braslia - DF, pela banca examinadora constituda pelos professores
e pesquisadores:
Prof. Dr. Edgard Costa Oliveira

Orientador
Prof. Dr. Jose Carlos Loureiro Ralha

Universidade de Braslia
Prof. Dr. Jorge H. C. Fernandes

Universidade de Braslia
ii
Dedicatoria
` pequena Yasmin, presente de Deus.
A
iii
Agradecimentos
` Deus,
A
pela oportunidade de vibrar com mais esta conquista.
Ao Prof. Edgard,
pela disposicao em direcionar este trabalho.
` Coordenacao,
A
que assumiu o compromisso de conduzir essa 1 turma e o fez de forma extremamente
competente.
Ao Gabinete de Seguranca Institucional,

pelas iniciativas como esta que fomentam a cultura de seguranca da informacao na APF.
` Controladoria-Geral da Uniao,
A
pela consideracao com que me distinguiu para participar deste projeto.
Aos colegas de curso,

que criaram um ambiente propcio para a aprendizagem coletiva e a troca de
experiencias.
` minha famlia,
A
pelo apoio e compreensao.
iv
Resumo
As iniciativas em Seguranca da Informacao tem se destacado nos u
ltimos anos em
virtude de fatores que incluem o poder conquistado pela informacao nos processos de
negocio atuais, a grande exposicao dessas informacoes propiciada pelo desenvolvimento
tecnologico e o conseq
uente aumento dos registros de incidentes de seguranca. Entretanto,
a Administracao P
ublica Federal (APF) ainda nao absorveu totalmente essa cultura de
seguranca e nao protege adequadamente as suas informacoes de valor.
De outro lado, o Sistema de Controle Interno tem a incumbencia de assessorar os
gestores p
ublicos na implementacao dos controles internos responsaveis por garantir que
sejam alcancados os objetivos das instituicoes. E nesse contexto, a seguranca da informacao pode ajudar. O foco desta monografia e especificar meios de disseminar a cultura de
seguranca da informacao entre os orgaos da APF e apoia-los a implementar os controles
adequados para esse fim. A solucao proposta consiste na incorporacao de procedimentos
de verificacao, baseados em normas de seguranca da informacao amplamente utilizadas,
no processo de auditoria do Sistema de Controle Interno. A ideia e utilizar a estrutura ja
existente de auditorias periodicas como suporte tambem para conscientizar e orientar os
orgaos da importancia da seguranca da informacao para suas missoes.
As principais contribuicoes desta monografia sao: (1) Descrever o processo de auditoria
empregado pelo Sistema de Controle Interno do Governo Federal; (2) Descrever a norma
NBR ISO/IEC 270002 que apresenta codigo de pratica para a gestao da seguranca da
informacao; e (3) Propor cenario de aplicacao da norma NBR ISO/IEC 270002 no processo
de auditoria do Sistema de Controle Interno do Governo Federal.
Palavras-Chave
Controle Interno, Cultura de Seguranca, Procedimentos de Auditoria
Abstract
Initiatives on Information Security have been highlighted in recent years due to factors that include the importance acquired by information in the light of modern business
processes, the vast exposure of the information provided by the development of new technologies and the consequent growth of reported information security incidents. However,
the Federal Public Administration (FPA) has not yet fully absorbed the culture of information security and thus, does not adequately protect its important information.
Yet in this context, the Internal Control System of the Federal Government has the
duty of advising the public managers on the implementation of internal procedures that
ensure the institutions needs they represent are achieved. As will be discussed, information
security can play an important role in this process. The goal of this monograph is to specify
ways to disseminate the culture of information security among FPA departments and to
support them on the task of implementing the appropriate controls for that purpose. The
solution to be proposed includes the incorporation of verification procedures, especially
those based on widely used information security standards, in the audit process of the
Internal Control System. The idea is to make use of the existing periodic audit structure
as a mean of bringing the institutions orientation and awareness about the importance of
information security on their missions.
The main contributions of this monograph are: (1) To describe the audit process
employed by the Internal Control System, (2) To describe the standard NBR ISO/IEC
27002 which presents a code of practice for information security management, and (3) To
propose an implementation scenario for the NBR ISO/IEC 27002 in the context of the
Internal Control System audit process.
Keywords
Internal Control, Culture of Information Security, Auditing Procedures
vi
Sumario
Resumo
p. iv
Abstract
p. v
Lista de Tabelas
p. ix
Lista de Figuras
p. x
1 Introducao
p. 1
2 Requisitos Pre-pesquisa
p. 3
2.1
Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
p. 3
2.1.1
Objetivo geral . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
p. 3
2.1.2
Objetivos especficos . . . . . . . . . . . . . . . . . . . . . . . . .
p. 3
2.2
Justificativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
p. 4
2.3
Metodologia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
p. 5
2.3.1
p. 5
Caracterizacao da pesquisa . . . . . . . . . . . . . . . . . . . . . .
3 Revisao de Literatura e Fundamentos

3.1
p. 7
O Controle na Administracao P
ublica . . . . . . . . . . . . . . . . . . . .
p. 7
3.1.1
A funcao Controle . . . . . . . . . . . . . . . . . . . . . . . . . .
p. 7
3.1.1.1
Classificacao . . . . . . . . . . . . . . . . . . . . . . . .
p. 8
3.1.1.2
Controle Interno . . . . . . . . . . . . . . . . . . . . . .
p. 8
3.1.2
Sistema de Controle Interno . . . . . . . . . . . . . . . . . . . . . p. 10

3.1.2.1
Finalidades . . . . . . . . . . . . . . . . . . . . . . . . . p. 10
Sum
ario
vii
3.1.2.2
3.1.3
3.2
Controladoria-Geral da Uniao . . . . . . . . . . . . . . . p. 11
Fundamentacao Legal
. . . . . . . . . . . . . . . . . . . . . . . . p. 12
Gestao da Seguranca da Informacao . . . . . . . . . . . . . . . . . . . . . p. 12

3.2.1
Informacao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 13
3.2.2
Classificacao das Informacoes . . . . . . . . . . . . . . . . . . . . p. 14
3.2.3
Seguranca da Informacao . . . . . . . . . . . . . . . . . . . . . . . p. 15
3.2.4
Seguranca da Informacao na Administracao P

ublica Federal . . . p. 16
3.3
Trabalhos Correlatos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 18
3.4
Resumo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 20
4 Auditoria Governamental no Sistema de Controle Interno
p. 21
4.1
Acoes de Controle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 21
4.2
Planejamento das Acoes de Controle . . . . . . . . . . . . . . . . . . . . p. 23
4.3
4.2.1
Hierarquizar Programas . . . . . . . . . . . . . . . . . . . . . . . p. 24
4.2.2
Detalhar Acoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 25
4.2.3
Identificar pontos crticos . . . . . . . . . . . . . . . . . . . . . . . p. 25
4.2.4
Elaborar Plano Operacional . . . . . . . . . . . . . . . . . . . . . p. 26
Execucao das Acoes de Controle . . . . . . . . . . . . . . . . . . . . . . . p. 26

4.3.1
4.3.2
4.4
Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 27
4.3.1.1
Classificacao . . . . . . . . . . . . . . . . . . . . . . . . p. 27
4.3.1.2
Formas de Execucao . . . . . . . . . . . . . . . . . . . . p. 28
4.3.1.3
Procedimentos e tecnicas
Fiscalizacao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 29
Resumo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 30
5 A norma NBR ISO/IEC 27002

5.1
. . . . . . . . . . . . . . . . . p. 29
p. 31
Historico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 31
Sum
ario
viii
5.2
Estrutura da Norma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 32
5.3
Requisitos de Seguranca da Informacao . . . . . . . . . . . . . . . . . . . p. 33
5.4
Controles de Seguranca da Informacao . . . . . . . . . . . . . . . . . . . p. 34
5.5
Resumo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 36
6 Cenario de aplicacao da norma NBR ISO/IEC 27002
p. 37
6.1
Cenario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 37
6.2
Complementando os Procedimentos de Auditoria . . . . . . . . . . . . . p. 40
6.3
Aplicacao do cenario proposto em um caso real . . . . . . . . . . . . . . p. 41
6.4
Resumo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 43
7 Conclusoes e Extensoes
p. 45
7.1
Contribuicoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 45
7.2
Extensoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 46
Referencias
p. 48
ix
Lista de Tabelas
1
Categorias de controles da norma NBR ISO/IEC 27002 . . . . . . . . . . p. 34
Comparativo entre um procedimento de auditoria e um objetivo de controle da norma NBR ISO/IEC 27002 . . . . . . . . . . . . . . . . . . . . p. 41
Sntese de procedimento de auditoria recomendado pelo Manual de Controle Interno para gestao patrimonial (CORREIA; SPINELLI, 2007) . . . . . p. 42
Controles recomendados pela norma NBR ISO/IEC 27002 para gestao

de ativos (ANBT, 2007) . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 43
Controle de inventario de ativos proposto pela norma NBR ISO/IEC

27002 (ANBT, 2007) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 44
Lista de Figuras
1
Principais deficiencias de Seguranca da Informacao na Administracao

P
ublica Federal (TCU, 2008) . . . . . . . . . . . . . . . . . . . . . . . . . p. 17
Etapas de uma acao de controle . . . . . . . . . . . . . . . . . . . . . . . p. 22
Cenario de utilizacao da norma NBR ISO/IEC 27002 nas acoes de controle p. 39
Introducao
Em 2005, um estagiario de 18 anos que trabalhava no INSS conseguiu fraudar o sistema

de benefcios da Previdencia Social desviando um montante de R$ 3 milhoes em 2 anos. O
estagiario creditava valores em conta das avos, que eram sacados com procuracoes falsas,
acessando o sistema com a senha da chefe do posto em que trabalhava (IstoE Dinheiro,
2005). Esse fato da a dimensao dos riscos a que a Administracao P
ublica Federal (APF)
e a sociedade estao submetidas atualmente.
Um n
umero crescente de Sistemas de Informacao e inovacoes tecnologicas tem sido
introduzido nos processos e fluxos informacionais da APF. Visam aumentar a eficiencia
e o grau de execucao dos objetivos e metas dos orgaos de governo. De outro lado tambem introduzem pontos de risco para a integridade das informacoes e vulnerabilidades ao
processo de comunicacao e preservacao dos ativos das instituicoes.
Para garantir a execucao das metas e objetivos de forma ntegra, as organizacoes
devem nao somente investir em tecnologia e aprimoramento do fluxo de informacoes, mas
tambem em seguranca. Basicamente atraves da implementacao de controles adequados à
funcao de proteger as informacoes que transitam em seus processos.
A APF conta com um Sistema de Controle Interno (SCI) que e responsavel pela
verificacao da eficiencia e eficacia dos sistemas de gestao e dos controles adotados nos
orgaos do Poder Executivo Federal. A Controladoria-Geral da Uniao (CGU) como seu
orgao central tem a incumbencia de orientar e supervisionar tecnicamente os orgaos e
unidades que compoem o Sistema.
Com os controles internos dessas organizacoes se preparando para serem mais efetivos
tambem na gestao de seguranca da informacao, convem que as auditorias governamentais
empreendidas pelo SCI incluam tambem a verificacao de controles conforme as normas
amplamente utilizadas na area. Varias normas sobre seguranca da informacao estao disponveis para serem aplicadas dentre as quais a NBR ISO/IEC 27002 que apresenta um
conjunto de controles que podem ser implementados em uma organizacao.
1 Introduc
ao
O restante desta monografia esta organizado da seguinte maneira: o captulo 2 descreve os objetivos desta pesquisa e apresenta os aspectos metodologicos de producao
deste trabalho; o captulo 3 apresenta os conceitos basicos necessarios para entendimento
do texto, englobando os conceitos de controle e de seguranca da informacao; o captulo 4
detalha os processos de verificacao executados pelos orgaos de controle; o captulo 5 apresenta o conte
udo da norma NBR ISO/IEC 27002 utilizada como insumo deste trabalho; o
captulo 6 apresenta o cenario proposto de insercao da norma no processo de auditoria dos
orgaos de controle visando complementa-lo com os conceitos de seguranca da informacao;
e, por fim, o captulo 7 apresenta as conclusoes desta pesquisa e relaciona um conjunto
de trabalhos futuros que podem ser derivados desta monografia.
Requisitos Pre-pesquisa
Este captulo apresenta os requisitos desta pesquisa e esta dividido da seguinte maneira: a secao 2.1 apresenta os objetivos, geral e especficos, pretendidos desta pesquisa;
a secao 2.2 apresenta a justificativa de se estudar o tema proposto; e por fim, a secao 2.3
descreve a metodologia utilizada neste trabalho.
2.1
Objetivos
2.1.1
Objetivo geral
Esta pesquisa se concentra em propor melhoria no Sistema de Controle Interno (SCI)

com a incorporacao de procedimentos de verificacao da seguranca da informacao. O
objetivo e empregar a norma NBR ISO/IEC 27002 para agregar seguranca da informacao
aos processos de auditoria governamental.
Dessa forma o SCI reunira as condicoes para colaborar de forma mais efetiva na
disseminacao da cultura de seguranca da informacao entre os orgaos da APF. Por meio
de seus trabalhos de auditoria, o SCI podera acompanhar e orientar os demais orgaos a
implementar controles adequados de protecao das informacoes.
2.1.2
Objetivos especficos
Os objetivos especficos deste trabalho sao:

1. Descrever o processo de auditoria empregado pelo Sistema de Controle Interno do
Governo Federal;
2. Descrever a norma NBR ISO/IEC 27002 que apresenta codigo de pratica para a
gestao da seguranca da informacao;
2.2 Justificativa
3. Propor cenario de aplicacao da norma NBR ISO/IEC 27002 no processo de auditoria

do Sistema de Controle Interno do Governo Federal.
2.2
Justificativa
A seguranca da informacao apesar de disciplina relativamente nova, tomou um espaco

importante na agenda das organizacoes em geral. Seja em funcao do aumento da dependencia delas em relacao à tecnologia, seja pelo receio dos prejuzos advindos de sua ma
utilizacao.
Entretanto na Administracao P
ublica Federal (APF), a seguranca da informacao ainda
nao e tratada com a devida importancia. Com excecao de alguns orgaos, especialmente
aqueles que fornecem majoritariamente servicos de tecnologia da informacao (como SERPRO e DATAPREV), a maioria ainda esta mais preocupada em utilizar seu orcamento
disponvel com os programas de governo do que despender recursos com iniciativas de seguranca. Isso implica em grande risco para sociedade em geral, destinataria das acoes de
governo, vez que a execucao de programas de governo deve estar acompanhada de acoes
que garantam sua integridade e efetividade.
Colaborando com esse cenario, constata-se ainda a escassez de bons profissionais de
seguranca atuando no setor p
ublico. O currculo medio dos profissionais ainda nao abrange
com profundidade a area de seguranca da informacao. A preocupacao com seguranca
nao e prioritaria na maioria das vezes, com reflexo na baixa carga horaria destinada a
treinamento sobre o assunto. Isso dificulta bastante a adocao de mecanismos de seguranca
pelos orgaos, elevando o nvel de risco de quebras de integridade dos processos que lidam
com informacao.
Os orgaos de governo responsaveis pelo controle devem estar atentos a essas dicotomias
dever
entre o avanco tecnologico e a protecao da integridade dos sistemas de gestao. E
desses orgaos assessorar os dirigentes nas atividades de implantacao de controles que
garantam a eficiencia e integridade da gestao.
Nesse contexto, as recomendacoes dos orgaos de controle elaboradas a partir de suas
auditorias devem estar em linha com as boas praticas da area. Devem acompanhar as
recomendacoes ja existentes e atestadas pelo mercado. Justifica-se assim a necessidade
de se alinhar os procedimentos adotados nas auditorias com as normas que explicitam as
boas praticas em seguranca da informacao. Essa integracao entre as normas em seguranca
da informacao e os procedimentos de auditoria pode ajudar a subsidiar o controle interno
2.3 Metodologia
da APF com as tecnicas mais modernas, o que e fator crtico de sucesso em um ambiente
que sofre mudancas com grande freq
uencia. Alem disso, a verificacao das competencias
dos orgaos de controle pode auxiliar na reformulacao dos normativos, que hoje nao contemplam explicitamente o conceito de seguranca da informacao, para reafirmar a posicao
do Controle como orgao fomentador das atividades de seguranca.
2.3
2.3.1
Metodologia
Caracterizac
ao da pesquisa
A metodologia utilizada neste trabalho e classificada como pesquisa qualitativa e exploratoria. Tem como objetivo proporcionar maior familiaridade com o problema, com
vistas a torna-lo mais explcito (GIL, 1999; SANTOS, 2004). Este trabalho tratou de explorar o processo de auditoria governamental com o objetivo de identificar pontos onde
as norma de seguranca da informacao podem atuar de forma complementar.
Esta pesquisa dividiu-se em tres etapas. A primeira mapeou e descreveu o processo
de auditoria governamental empregado pelo Sistema de Controle Interno (SCI). O metodo utilizado nessa etapa foi a pesquisa bibliografica aos normativos legais que regulam a
atuacao do SCI e aos manuais de auditoria da Controladoria-Geral da Uniao (CGU). Foram detalhadas as etapas do processo de auditoria, seus produtos decorrentes e as formas
de execucao dos procedimentos de verificacao. O processo de auditoria foi sistematizado
a partir do estudo das normas que o regulam e desenhado para evidenciar os fluxos de
informacao entre suas etapas.
A segunda etapa detalhou a norma NBR ISO/IEC 27002 que trata de codigo de
pratica para a gestao da seguranca da informacao. O metodo utilizado foi tambem a
pesquisa bibliografica, agora ao texto da norma e a outras referencias sobre a evolucao da
norma. Foram descritos a aplicacao da norma, os objetivos de controle e a diretrizes de
implementacao dos controles da norma.
A terceira etapa identificou oportunidades de insercao de conceitos de segurnaca da
informacao no processo de auditoria do SCI. Por meio da analise dos produtos elaborados
nas etapas anteriores, desenhou-se um cenario de complementacao do processo de auditoria
com os controles da norma NBR ISO/IEC 27002. O cenario identifica os momentos do
processo de auditoria em que a norma pode ser agregada e tambem quais elementos
da norma podem contribuir de forma mais efetiva. Nessa etapa houve a necessidade
2.3 Metodologia
de pesquisa documental a procedimentos de auditoria utilizados pela CGU e tambem a

relatorios de auditoria. A analise crtica desse material subsidiou a elaboracao de exemplos
de procedimento de auditoria complementado com controles da norma e de aplicacao do
cenario proposto a um caso real de auditoria.
Revisao de Literatura e Fundamentos
Este captulo apresenta os conceitos basicos para a compreensao desta monografia e

relaciona um conjunto de trabalhos correlatos ao tema em pesquisa.
O captulo esta dividido da seguinte forma: a secao 3.1 desenvolve o conceito de
controle e como essa atividade e desempenhada no Governo Federal; a secao 3.2 apresenta
os conceitos de seguranca da informacao e um panorama do seu estagio de implementacao
nos orgaos do Governo; por fim, a secao 3.3 relaciona alguns trabalhos correlatos ao
assunto desenvolvido nesta monografia.
3.1
3.1.1
O Controle na Administrac
ao P
ublica
A func
ao Controle
Segundo De Placido e Silva (2006) o vocabulo controle, derivado do frances contr

oler
(registrar, inspecionar, examinar) ou do italiano controllo (registro, exame), era utilizado
para expressar tecnica comercial de inspecao ou exame, que se processava nos papeis ou
nas operacoes, registradas a cada instante, nos estabelecimentos comerciais.
Entretanto, para melhor entender e situar a importancia da funcao de controle, tornase necessario esclarecer os fundamentos que orientam a atividade de administracao.
A administracao de uma entidade deve estar estruturada e organizada de acordo com
princpios cientficos aplicaveis às funcoes basicas que a compoem, para melhor realizar os
seus planos e alcancar os objetivos que constituem a razao da sua existencia.
Segundo a teoria, a administracao deve atender, particularmente, aos princpios de
planejamento, organizacao, direcao e controle (CHIAVENATO, 2001; TAYLOR, 1995; FAYOL,
a
1994). O controle constitui, portanto um dos princpios basilares da administracao. E
funcao administrativa que monitora e avalia as atividades e resultados alcancados para
assegurar que o planejamento, a organizacao e a direcao sejam bem-sucedidas.
3.1 O Controle na Administrac

ao P
ublica
Por meio da funcao de controle as demais funcoes recebem informacoes de retroalimentacao para aumentar a probabilidade de que os resultados planejados sejam atingidos
da melhor maneira.
3.1.1.1
Classificac
ao
Existem varias formas de classificar a funcao de controle. As mais importantes estao

listadas abaixo:
1. Quanto ao sujeito: Estatal ou social;
2. Quanto ao orgao: Administrativo, Legislativo ou Judiciario;
3. Quanto ao momento: Previo, concomitante ou posterior;
4. Quanto à localizacao: Interno ou externo;
No ambito governamental, o Controle Interno e o controle exercido diretamente pelos orgaos que praticam os atos administrativos e por orgaos especficos de cada poder
enquanto Controle Externo e controle exercido pelo poder legislativo com auxlio dos
Tribunais de Contas sobre os atos administrativos de todos os poderes.
Em especial, o Controle Interno faz parte do tema desta pesquisa e sera detalhado
nas secoes a seguir.
3.1.1.2
Controle Interno
O controle interno faz parte do plano de organizacao da administracao e tem os mesmos objetivos. Ocupa-se essencialmente do processamento de informacoes que retroalimentem a funcao de direcao, concorrendo para a correta tomada de decisoes; coexiste com
as demais funcoes da administracao e com elas, por vezes, se confunde, sendo cada qual
indispensavel para o funcionamento do sistema que formam, de tal maneira que a falha
em uma delas pode prejudicar o funcionamento de todo o conjunto.
Almeida (1996) define o conceito de Controle Interno para o universo privado, mas
que pode ser aplicado tambem, por analogia, à Administracao P
ublica:
O controle interno representa em uma organizac
ao o conjunto de procedimentos, metodos ou rotinas com os objetivos de proteger os ativos,
produzir dados cont
abeis confi
aveis e ajudar a administrac
ao na conduca
o ordenada dos neg
ocios da empresa.

ao P
ublica
A Organizacao Internacional de Entidades de Fiscalizacao Superiores (INTOSAI), em

seu documento Padroes de Controles Internos para o Setor P
ublico (INTOSAI, 2004) define
Controle Interno como:
Um processo fundamental efetuado por todos em uma entidade, projetado para identificar riscos e fornecer garantia razo
avel de que, ao se
buscar cumprir a miss
ao da entidade, os seguintes objetivos gerais ser
ao
atingidos: executar operac
oes de forma organizada, etica, econ
omica,
eficiente e eficaz; estar em conformidade com as leis e os regulamentos
aplic
aveis; salvaguardar recursos contra perda, abuso e dano; e cumprir
as obrigac
oes de accountability.
A garantia e razoavel porque os controles dependem de uma vantajosa relacao de

custo e benefcio (todo controle tem um custo, que deve ser inferior à perda decorrente
da consumacao do risco controlado) e da inexistencia de conluio entre empregados, e
devido aos eventos externos estarem alem do controle de qualquer organizacao. Tais fatos
constituem ameacas aos objetivos dos controles.
Segundo Piscitelli (1998), os Controles Internos tem como objetivos:
1. os aspectos eminentemente contabeis, formais e legais, revisando e/ou verificando
as operacoes;
2. o aspecto da eficiencia, que concerne aos meios empregados, verificando os recursos
utilizados para a consecucao dos objetivos da organizacao;
3. o aspecto da eficacia, verificando o produto, os programas e os fins perseguidos; e
4. o julgamento da propria administracao, disponibilizando e tornando transparente
uma prestacao de contas de qualidade e os resultados.
Na analise de Sanchez (2003), o primeiro objetivo diz respeito ao controle formal no
sentido de verificar se os gastos foram feitos em conformidade com as leis e regulamentos
aplicaveis à entidade e à sua area de atuacao. O segundo envolve o controle substantivo de
contas, contra o desperdcio, a fraude e o abuso de poder. O terceiro refere-se ao controle
de gestao, ou seja, a avaliacao do desempenho da organizacao. Enquanto o quarto objetivo
visa dar subsdios ao referido controle vertical.
Em resumo, o Controle Interno e crtico para o sucesso de qualquer organizacao.
Quando e efetivo, o nvel de gestao tem razoavel garantia quanto ao alcance das metas e
objetivos da organizacao.

ao P
ublica
3.1.2
10
Vieira (2008), ao citar que sistema e o conjunto de partes coordenadas (articuladas

entre si) com vista à consecucao de objetivos bem determinadosdefine Sistema de Controle
Interno como o conjunto de unidades tecnicas, articuladas a partir de um orgao central de
coordenacao, orientado para o desempenho das atribuicoes de controle interno indicados
na Constituicao e normatizados em cada nvel de governo.
Os Sistemas de Controle Interno existem para auxiliar as organizacoes a atingir suas
metas e objetivos. Permitem ao nvel de gestao lidar com mudancas nos ambientes interno
e externo. Tambem promovem eficiencia, reduzem o risco de perdas e ajudam a assegurar
confiabilidade às declaracoes financeiras e conformidade com leis e regulacoes.
O Sistema de Controle Interno (SCI) e constitudo de varios subsistemas ou unidades
que devem atuar de forma integrada e harmonica e nao deve ser confundido com o sistema
contabil e financeiro que representa apenas um dos instrumentos do controle interno;
tambem nao e sinonimo de auditoria interna, pois esta pertence ao Sistema e equivale à
atividade desenvolvida por unidade especializada quanto à revisao e apreciacao da atuacao
dos controles internos, os quais servem de base para toda a atividade de controle na
Administracao P
ublica.
O SCI precisa funcionar integrado e possuir uma unidade para coordenar todos os
controles internos que o formam. Silva (2004) ensina que, na estrutura integrada, as delegacoes funcionam nos orgaos e sao subordinadas tecnica e administrativamente à unidade
coordenadora central. Dessa forma, a unidade de comando administrativo assegura o comando tecnico; possibilita maior especializacao devido à unidade de quadro de pessoal
tecnico; uniformiza de procedimentos; viabiliza maior velocidade na obtencao de informacoes; e garante adequada autonomia tecnica, indispensavel ao exerccio da funcao de
controle.
3.1.2.1
Finalidades
Segundo a Constituicao Federal (BRASIL, 1988), o Sistema de Controle Interno do

Poder Executivo Federal tem como finalidades:
1. avaliar o cumprimento das metas previstas no Plano Plurianual, a execucao dos
programas de governo e dos orcamentos da Uniao;
2. comprovar a legalidade e avaliar os resultados, quanto à eficacia e à eficiencia da

ao P
ublica
11
gestao orcamentaria, financeira e patrimonial nos orgaos e entidades da Administracao P

ublica Federal, bem como da aplicacao de recursos p
ublicos por entidades
de direito privado;
3. exercer o controle das operacoes de credito, avais e garantias, bem como dos direitos
e haveres da Uniao; e
4. apoiar o controle externo no exerccio de sua missao institucional.
3.1.2.2
Controladoria-Geral da Uni
ao
A Controladoria-Geral da Uniao (CGU) e o orgao do Governo Federal responsavel

por assistir direta e imediatamente o Presidente da Rep
ublica quanto aos assuntos que,
no ambito do Poder Executivo Federal, sejam relativos à defesa do patrimonio p
ublico e
ao incremento da transparencia da gestao, por meio das atividades de controle interno,
auditoria p
ublica, correicao, prevencao e combate à corrupcao e ouvidoria.
No Poder Executivo Federal, a CGU atua como orgao central, exercendo supervisao
tecnica dos orgaos que compoem o Sistema de Controle Interno e o Sistema de Correicao
e das unidades de ouvidoria, prestando a necessaria orientacao normativa.
A CGU foi criada por meio da Medida Provisoria n 2.143-31, 2 de abril de 2001,
com a denominacao inicial de Corregedoria-Geral da Uniao. Teve, originalmente, como
proposito declarado o de combater, no ambito do Poder Executivo Federal, a fraude e a
corrupcao e promover a defesa o patrimonio p
ublico.
Quase um ano depois, o Decreto n 4.177, de 28 de marco de 2002, integrou a Secretaria Federal de Controle Interno (SFC) e a Comissao de Coordenacao de Controle
Interno (CCCI) à estrutura da entao Corregedoria-Geral da Uniao. O mesmo Decreto
transferiu para a Corregedoria-Geral da Uniao as competencias de Ouvidoria-Geral, ate
entao vinculadas ao Ministerio da Justica.
A Medida Provisoria n 103, de 1 de janeiro de 2003, convertida na Lei n 10.683,
de 28 de maio de 2003, alterou a denominacao para Controladoria-Geral da Uniao, assim
como atribuiu ao seu titular a denominacao de Ministro de Estado do Controle e da
Transparencia. Mais recentemente, o Decreto n 5.683, de 24 de janeiro de 2006, alterou
a estrutura da CGU, conferindo maior organicidade e eficacia ao trabalho realizado pela
instituicao.
Efetivou-se, desta forma, o agrupamento das principais funcoes administrativas de
3.2 Gest
ao da Seguranca da Informac
ao
12
controle, correicao, prevencao e ouvidoria, consolidando-as em uma u

nica estrutura funcional.
3.1.3
Fundamentac
ao Legal
O princpio de controle da Administracao P

ublica como se conhece hoje foi introduzido pela Reforma Administrativa atraves da Constituicao de 1967 e regulamentada
pelo Decreto-Lei n 200/1967. Esse Decreto-Lei dedica um captulo inteiro para tratar do
controle das atividades da Administracao Federal.
Mais recentemente a Constituicao de 1988 institui os Sistemas de Controle Interno
de cada Poder e atribui ao Congresso Nacional, com auxlio do Tribunal de Contas da
Uniao, a responsabilidade pelo controle externo. Em 2000, o Decreto n 3.591/2000 dispoe
sobre as finalidades, atividades, estrutura e competencias do Sistema; Em seguida, a Lei
n 10.180/2001 organiza e disciplina os sistemas do ciclo de gestao governamental, entre
os quais figura o Sistema de Controle Interno. Ainda em 2001 a Secretaria Federal de
Controle Interno, orgao da estrutura da CGU, edita a Instrucao Normativa n 01/2001
para definir diretrizes, princpios, conceitos e normas tecnicas para a atuacao do Sistema
de Controle Interno do Poder Executivo Federal.
Na proxima secao serao apresentados os conceitos basicos de gestao da seguranca da
informacao com o intuito de agrega-los aos procedimentos executados pelo Sistema de
Controle Interno.
3.2
Gest
ao
Tradicionalmente, as organizacoes dedicam grande atencao aos seus ativos tangveis

fsicos e financeiros, mas relativamente pouca atencao aos ativos de informacao que possuem. Em anos recentes, contudo, a informacao assumiu importancia vital para manutencao dos negocios, marcados pela dinamicidade da economia globalizada e permanentemente on-line, de tal forma que, atualmente, as organizacoes dependem, em maior ou
menor grau, da tecnologia da informacao. Imaginar um comprometimento dos sistemas
de informacao por problemas de seguranca nesse contexto pode causar grandes prejuzos
ou mesmo invibializar a missao de uma instituicao.
3.2 Gest
ao
3.2.1
13
Informac
ao
A informacao e o dado com uma interpretacao logica ou natural dada a ele por seu
usuario (REZENDE; ABREU, 2000). Constitui um ativo que, como qualquer outro ativo
importante, e essencial para os negocios de uma organizacao. A sua importancia e o nvel
de interconectividade atuais expoem a informacao a um crescente n
umero e a uma grande
variedade de ameacas e vulnerabilidades.
A informacao pode existir em diversas formas. Impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletronicos, apresentada em
filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio atraves do
qual a informacao e compartilhada ou armazenada, e recomendado que ela seja sempre
protegida adequadamente.
Independentemente da forma como as informacoes sao representadas, elas percorrem
um ciclo de vida que pode ser definido por quatro fases (SEMOLA
, 2003):
Manuseio: e a fase na qual a informacao e originada e manejada, seja na digitacao,
folheamento de papeis, ou ate mesmo na utilizacao de uma senha, por exemplo.

Armazenamento: e a continuidade da fase anterior, ou seja, depois de manipu-
lada a informacao deve seguir um caminho, por exemplo: gravacao em uma mdia,
preservacao em um armario de arquivo ou deposito em gaveta para eventos futuros.
Transporte: seguido do armazenamento esta fase representa o instante em que a
informacao e encaminhada, seja via e-mail, fax, ou mesmo uma informacao confidencial que deve ser remetida pelo telefone.
Descarte: este e o momento do destino que a informacao ir
a tomar, seja para a
lixeira (material impresso), ou entao um arquivo que vai ser excludo do computador,
alem de outros.
O controle da informacao e um fator de sucesso crtico para os negocios e sempre teve
fundamental importancia para as corporacoes do ponto de vista estrategico e empresarial (SYNNATT, 1987). Dispor da informacao correta, na hora adequada, significa tomar
uma decisao de forma agil e eficiente. Com a evolucao das tecnologias e dos sistemas, a
informacao ganhou mobilidade, exigiu estrategias de inteligencia competitiva e se incorporou definitivamente aos processos de gestao. Por essas razoes deve ser administrada em
seus particulares, diferenciada e salvaguardada (LAUREANO, 2007).
3.2 Gest
ao
3.2.2
14
Classificac
ao das Informac
oes
Nem toda informacao e crucial ou essencial a ponto de merecer cuidados especiais.

Por outro lado, determinada informacao pode ser tao vital que o custo de sua integridade,
qualquer que seja, ainda sera menor que o custo de nao dispor dela adequadamente. E
importante classificar a informacao em nveis de prioridade, respeitando a necessidade de
cada empresa assim como a importancia da classe de informacao para a manutencao das
atividades da empresa. Ferreira (FERREIRA; ARAuJO, 2006) apresenta uma classificacao
segundo o grau de importancia dividida em tres grupos:
Informa
co
es P
ublicas: sua divulgacao e livre. Nao exige controle. Por exemplo:
folhetos comerciais para o p

ublico em geral, ou dados divulgados pela imprensa e
Internet.
Informa
co
es de Uso Interno: nao devem ser expostas fora da empresa. Devem
ser armazenadas em locais que nao permitam o acesso p

ublico. Por exemplo: relatorios, pareceres, documentos e processos de negocio que interessam apenas aos
funcionarios da empresa.
Informa
co
es Confidenciais: exigem um cuidadoso esforco de protecao, uma vez
que sua divulgacao pode vir a causar prejuzos na empresa. Devem ser armazenadas
em locais de maxima protecao, trancado e com acesso restrito. Quando elas estiverem contidas em meios eletronicos, e imprescindvel que sejam utilizados meios
seguros para seu armazenamento, de preferencia equipados com programas criptograficos e senhas de acesso. Por exemplo: contratos, senhas, balancos, dados
cadastrais de clientes e funcionarios e informacoes que devem ser protegidas por
obrigatoriedade legal.
Entretanto, independentemente da relevancia ou tipo da informacao, a gestao dos
dados organizacionais e estrategica, pois possibilita o apoio para a tomada de decisoes
em qualquer ambito institucional. Algumas informacoes sao centrais para organizacao
e a divulgacao parcial ou total destas pode alavancar um n
umero de repercussoes cuja
complexidade pode ser pouco ou nada administravel pela organizacao com conseq
uencias
possivelmente nefastas.
O conceito de engenharia da informacao - que e um conjunto empresarial de disciplinas
automatizadas, dirigido ao fornecimento da informacao correta para a pessoa certa no
3.2 Gest
ao
15
tempo exato (MARTIN, 1991; FELICIANO NETO; FURLAN; HIGO, 1988) - ja demonstrava a
importancia da seguranca da informacao para as instituicoes.
Conforme Crosby (1992), a qualidade dos processos custa dinheiro, mas a falta dela
custa muito mais. Estabelecendo uma analogia, a seguranca custa dinheiro mas a sua
ausencia podera custar muito mais.
3.2.3
Seguranca da Informac
ao
Seguranca da informacao e a protecao da informacao de varios tipos de ameacas para

garantir a continuidade do negocio, minimizar o risco ao negocio, maximizar o retorno
sobre os investimentos e as oportunidades de negocio.
A seguranca da informacao e obtida a partir da implementacao de um conjunto de controles adequados, incluindo polticas, processos, procedimentos, estruturas organizacionais
e funcoes de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessario, para garantir
que os objetivos do negocio e de seguranca da organizacao sejam atendidos. Convem que
isto seja feito em conjunto com outros processos de gestao do negocio (ABNT, 2005).
evidente que os negocios estao cada vez mais dependentes das tecnologias e estas
E
precisam estar de tal forma a proporcionar confidencialidade, integridade e disponibilidade
- que conforme ABNT (2005), Tipton e Krause (2005), Albuquerque e Ribeiro (2002), sao
os princpios basicos para garantir a seguranca da informacao - das informacoes:
Confidencialidade: seguranca de que a informacao pode ser acessada apenas por
quem tem autorizacao.

Integridade: certeza da precis
ao da informacao.
Disponibilidade: garantia de que os usuarios autorizados tenham acesso a infor-
macao e aos recursos associados, quando necessario.

O item integridade nao pode ser confundido com confiabilidade do conte
udo (seu
significado) da informacao. Uma informacao pode ser imprecisa, mas deve permanecer
ntegra (nao sofrer alteracoes por pessoas nao autorizadas).
A seguranca visa tambem aumentar a produtividade dos usuarios atraves de um ambiente mais organizado, proporcionando maior controle sobre os recursos de informatica,
viabilizando ate o uso de aplicacoes de missao crtica.
3.2 Gest
ao
16
A combinacao em proporcoes apropriadas dos itens confidencialidade, disponibilidade

e integridade facilitam o suporte para que as empresas alcancem os seus objetivos, pois
seus sistemas de informacao serao mais confiaveis.
Outros autores (DIAS, 2000; WADLOW, 2000; TIPTON; KRAUSE, 2005; ALBUQUERQUE;
RIBEIRO, 2002; SEMOLA

, 2003) defendem que para uma informacao ser considera segura,
o sistema que o administra ainda deve respeitar:

Autenticidade - Garante que a informacao ou o usu
ario da mesma e autentico;
Atesta com exatidao, a origem do dado ou informacao;

N
ao rep
udio - Nao e possvel negar (no sentido de dizer que nao foi feito) uma
operacao ou servico que modificou ou criou uma informacao; Nao e possvel negar
o envio ou recepcao de uma informacao ou dado;
Legalidade - Garante a legalidade (jurdica) da informacao; Aderencia de um sis-
tema à legislacao; Caracterstica das informacoes que possuem valor legal dentro de
um processo de comunicacao, onde todos os ativos estao de acordo com as clausulas
contratuais pactuadas ou a legislacao poltica institucional, nacional ou internacional
vigentes.
Privacidade - Foge do aspecto de confidencialidade, pois uma informacao pode
ser considerada confidencial, mas nao privada. Uma informacao privada deve ser
vista / lida / alterada somente pelo seu dono. Garante ainda, que a informacao
nao sera disponibilizada para outras pessoas (neste caso e atribudo o carater de
a capacidade de um usuario realizar acoes em
confidencialidade a informacao); E
um sistema sem que seja identificado.
Auditoria - Rastreabilidade dos diversos passos que um neg
ocio ou processo reali-
zou ou que uma informacao foi submetida, identificando os participantes, os locais

e horarios de cada etapa. Consiste no exame do historico dos eventos dentro de um
sistema para determinar quando e onde ocorreu uma violacao de seguranca.
3.2.4
Seguranca da Informac
ao na Administrac
ao P
ublica Federal
A seguranca da informacao vem ganhando espaco nas agendas das organizacoes. Apesar disso, o cenario ainda e tmido na Administracao P
ublica Federal como revela pesquisa recente do Tribunal de Contas da Uniao (TCU). Cerca de 330 orgaos/entidades
3.2 Gest
ao
17
foram consultados sobre governanca da tecnologia da informacao e tambem seguranca da

informacao.
As respostas fornecidas pelos orgaos/entidades pesquisados às questoes sobre o tratamento dado à seguranca das informacoes sob sua responsabilidade indicam que e preciso
mais atencao ao tema. Dentre as nove questoes sobre esse assunto, apenas uma obteve
mais de 50% de resposta positiva. A figura 1 resume as deficiencias encontradas no tratamento de seguranca da informacao, indicando para cada questao qual o percentual de
orgaos/entidades que informaram nao executar o controle associado. O resultado preocupa, pois a propria prestacao do servico de uma instituicao p
ublica aos cidadaos depende
da confiabilidade das informacoes por ela tratadas e ofertadas (TCU, 2008).
Figura 1: Principais deficiencias de Seguranca da Informacao na Administracao P

ublica
Federal (TCU, 2008)
Da figura 1 podem ser destacados alguns pontos para a reflexao sobre os resultados
da pesquisa:
64% dos orgaos/entidades pesquisadas declarou nao possuir poltica de seguranca
da informacao (PSI). Isso demonstra que a gestao da seguranca da informacao e

incipiente ou inexistente na maioria dos orgaos, vez que a PSI e um dos primeiros
documentos elaborados no processo de seguranca da informacao;
80% dos orgaos/entidades pesquisadas declarou n
ao efetuar a classificacao de suas
informacoes. Outro dados preocupante, ja que junto com a PSI, o processo de

classificacao de informacoes e um dos pilares da seguranca da informacao;
3.3 Trabalhos Correlatos
18
88% dos orgaos/entidades pesquisados declarou n

ao possuir qualquer plano de con-
tinuidade do negocio (PCN). Esse dado aponta para a falta de cultura acerca de
continuidade de negocios. Isso constitui um alto risco para a seguranca das informacoes tratadas por essas instituicoes governamentais, ao deixa-las vulneraveis à
perda ou ao comprometimento de informacoes em caso de interrupcao de servicos
por causas naturais ou intencionais.
Apesar das diversas praticas e projetos de seguranca da informacao adotados no ambito do governo, percebe-se que a Administracao P
ublica Federal ainda nao criou uma
cultura de seguranca da informacao em seus processos de trabalho. Mesmo os controles
mais basicos de seguranca nao sao implementados pelos orgaos. Em razao disso, uma serie de medidas, desde iniciativas de conscientizacao e treinamento ate mesmo auditorias,
devem ser empreendidas ou reforcadas para reverter esse quadro.
A pesquisa conclui dizendo que esses resultados delineiam um cenario no qual o auditor
de TI tem papel fundamental no incentivo à governanca da seguranca de informacao
por meio da indicacao de controles para apoiar estruturas e processos organizacionais
com vistas à protecao das informacoes, tendo como referencia modelos apropriados (TCU,
2008).
Nesse contexto, como forma de encaminhamento, o trabalho do TCU finaliza com
recomendacao ao Gabinete de Seguranca Institucional da Presidencia da Rep
ublica, ao
Conselho Nacional de Justica e ao Conselho Nacional do Ministerio P
ublico que promovam
acoes com objetivo de disseminar a importancia do gerenciamento da seguranca da informacao e induzir, mediante orientacao normativa, os orgaos/entidades da Administracao
P
ublica Federal a realizarem acoes para implantacao e/ou aperfeicoamento dos controles
mencionados no questionario.
3.3
Trabalhos Correlatos
A Controladoria-Geral da Uniao nao possui procedimentos de auditoria especficos

que versem sobre seguranca da informacao. Isso tambem e observado no trabalho de
Hanashiro (2007), ao recomendar estrutura do governo federal exclusiva para auditar
assuntos de Tecnologia da Informacao e tambem de Seguranca da Informacao. A area de
seguranca da informacao e tratada incidentalmente quando em execucao de procedimentos
correlatos como: acesso fsico, guarda de documentos, segregacao de funcoes entre outras.
3.3 Trabalhos Correlatos
19
Existem varias normas internacionais tratando do assunto. Dentre elas, destacase a famlia de normas ISO/IEC 27000 que trata do tema especfico de seguranca da
informacao. Para citar as mais utilizadas, a ISO/IEC 27001:2005 define os requisitos para
um Sistema de Gestao de Seguranca da Informacao e a ISO/IEC 27002 expoe o codigo
de pratica para a gestao da seguranca da informacao (ABNT, 2005). Esta prevista para o
ano de 2009 a publicacao da norma ISO/IEC 27007 que especificara os requisitos e o guia
para auditoria e certificacao de um sistema de gestao da seguranca da informacao.
A quase totalidade dos trabalhos em gestao da seguranca da informacao baseia-se
nessas normas ISO/IEC, especialmente na ISO/IEC 27002. Souto, Silva e Lima (2006)
apresentam um estudo da norma e propoem maneiras de se aplica-la no ambiente empresarial. Entretanto o foco e bastante direcionado para os aspectos tecnicos. Mota (2006)
faz um trabalho similar dando enfase apenas à parte de seguranca fsica. Varios outros
trabalhos seguem essa linha, sugerindo adaptar os procedimentos e modelos da norma
para simplificar a tarefa de desenvolver um sistema de seguranca (HOLT, 2006; SALEH;
ALRABIAH; BAKRY, 2007; BERGHEL, 2007).
Alem disso, varios orgaos, do Brasil e exterior, publicam documentos com recomendacoes para a gestao da seguranca da informacao. O Tribunal da Contas da Uniao (TCU)
disponibiliza em seu site manual com boas praticas (TCU, 2007), relacionando acordaos e
decisoes do Tribunal sobre seguranca de tecnologia da informacao. O National Institute
of Standards and Technology (NIST), orgao de tecnologia do governo americano, mantem
publicacao que agrega um conjunto de informacoes relacionadas à seguranca (NIST, 1995),
inclusive contemplando conceitos de trilhas de auditoria. Entretanto, a auditoria nesse
contexto e focada no sentido de atividade forense - de percia, investigacao e elaboracao
de prova legal, diferentemente do objetivo das auditorias realizadas pela CGU, que e de
assessoramento ao gestor p
ublico.
Existem tambem na literatura, algumas normas e guias que tratam da gestao de
tecnologia da informacao de forma ampla. Apesar de nao serem especficos quanto à
questao da seguranca, trazem recomendacoes de que e necessario proteger a integridade
o caso do Cobit -Control Objectives for Information
das informacoes das organizacoes. E
and related Technology, editado pelo ISACA - Information Systems Audit and Control
Foundation (ISACA, 2007); do ITIL - Information Technology Infrastructure Library, sob
custodia da OGC (Office for Government Commerce) da Inglaterra (OGC, 2007); e tambem
do Guidance on Monitoring Internal Control Systems, publicado pelo COSO - Committee
of Sponsoring Organizations of the Treadway Commission (COSO, 2007).
3.4 Resumo
20
Por fim, o Governo Federal tambem possui regulamentos proprios que versam sobre
seguranca da informacao. O mais importante deles e o Decreto 3.505/2000 que instituiu
a Poltica de Seguranca da Informacao nos orgaos e entidades da Administracao P
ublica
Federal (BRASIL, 2000). Corresponde à definicao de seguranca da informacao, primeiro
passo para que o assunto fosse colocado em pauta e posto em discussao. Outras normas
a seguiram, como a Medida Provisoria n 2.200-2/2001 que instituiu a Infra-Estrutura de
Chaves P
ublicas Brasileira - ICP-Brasil e o Decreto n 4.553/2002 que dispoe sobre a salvaguarda de dados, informacoes, documentos e materiais sigilosos, entre outras (BRASIL,
2001b; BRASIL, 2002). Recentemente o Gabinete de Seguranca Institucional da Presidencia da Rep
ublica editou a IN GSI n 1/2008 disciplinando a Gestao da Seguranca da
Informacao e Comunicacoes na APF (BRASIL, 2008).
3.4
Resumo
Este captulo descreveu os conceitos basicos que serao utilizados no decorrer desta
monografia: o conceito de controle e a especificacao de controle interno, a organizacao do
Sistema de Controle Interno do Poder Executivo Federal e suas atribuicoes constitucionais;
os conceitos de informacao e de seguranca da informacao; um panorama do grau de
implementacao de controle de seguranca da informacao nos orgaos da Administracao
P
ublica Federal. Alem disso, o captulo ainda apresentou alguns trabalhos correlatos que
tratam de controle interno e normas de seguranca da informacao.
O proximo captulo descreve detalhadamente o processo de auditoria executado pelos
orgaos de controle. Entender esse processo e importante para se identificar as oportunidades de aplicacao da norma de seguranca da informacao como forma de complementa-lo.
21
Auditoria Governamental no Sistema de

Controle Interno
A auditoria e tecnica recomendada para verificacao de controles internos (CFC, 2003).

Atraves dela os orgaos de controle avaliam e monitoram a qualidade/efetividade dos mecanismos e medidas adotados pelos orgaos que compoem o Sistema de Controle Interno
de modo a aperfeicoar a gestao p
ublica. Essa avaliacao e monitoramento se materializam
por meio de auditorias que sao planejadas e organizadas atraves das acoes de controle.
Este captulo e baseado no Manual do Sistema de Controle Interno do Poder Executivo
Federal (BRASIL, 2001a) que detalha o processo de planejamento das acoes de controle,
suas formas e tecnicas de execucao.
O captulo esta dividido da seguinte maneira: A secao 4.1 apresenta o conceito de acao
de controle; A secao 4.2 detalha o seu processo de planejamento; A secao 4.3 introduz as
tecnicas utilizadas na execucao das acoes de controle.
4.1
Ac
oes de Controle
A atuacao da CGU esta baseada na execucao de acoes de controle. Por meio dessas
acoes a CGU, como orgao central do Sistema de Controle Interno, exerce o controle sobre
a atuacao dos orgaos do Poder Executivo Federal (BRASIL, 2001a).
Basicamente a atuacao de cada orgao de governo se concentra na execucao das polticas p
ublicas que estao sob sua responsabilidade. De forma simplificada o ciclo das polticas
p
ublicas se inicia pela aprovacao do Orcamento da Uniao o qual, por sua vez, apresenta
os recursos organizados segundo a classificacao orcamentaria em Programas, que serao
divididos em Acoes. Para as situacoes em que nao existam classificacoes orcamentarias
especficas, utiliza-se o artifcio de criar a figura das programacoes, analogas aos programas, e que, tambem de forma analoga às Acoes, sao divididas em Modulos-Tipo. Essa
classificacao e importante, pois define a unidade sobre a qual se executa os procedimentos
4.1 Ac
oes de Controle
22
de controle.
Nesse contexto, as acoes de controle visam verificar os controles implementados pelos
orgaos que suportam a gestao de seus Programas e Acoes. Possibilita tambem que o orgao
central monitore a evolucao da gestao p
ublica e identifique oportunidades de melhoria e
recomende as modificacoes necessarias.
Toda acao de controle possui dois momentos distintos: o planejamento e a execucao.
A figura 2 ilustra os momentos de uma acao de controle e a correspondente seq
uencia de
etapas.
Figura 2: Etapas de uma acao de controle

Conforme demonstrado na figura 2, cada etapa se insere em um momento definido
(planejamento ou execucao) e apresenta um produto correspondente que servira como
insumo para a etapa posterior. Convem destacar que as etapas de Identificar Pontos
Crticos e Elaborar Plano Operacional sao executadas para cada Acao priorizada pela
4.2 Planejamento das Ac

oes de Controle
23
atividade de hieraquizacao.
O processo de uma acao de controle nao e apresentado dessa forma nos normativos,
restringindo-se apenas à descricao textual esparsa das etapas e de alguns dos produtos
gerados. Entretanto, para favorecer a compreensao de como se processa uma acao de
controle, que e essencial para os propositos desta pesquisa, organizou-se o processo da
acao de controle no diagrama da figura 2 que evidencia o fluxo de etapas e sua associacao
com os produtos gerados. As proximas secoes detalharao todas as etapas da acao de
controle com a caracterizacao dos produtos desenvolvidos em cada uma delas.
4.2
Planejamento das Ac
oes de Controle
O planejamento das acoes de controle tem o objetivo de favorecer o estudo das Acoes
de cada Ministerio, a percepcao das principais areas de atuacao e pauta poltica especfica,
a compreensao sobre o funcionamento dos Programas e respectivas Acoes ou equivalentes,
bem como avaliar as unidades responsaveis pelas diferentes etapas do processo gerencial de
implementacao das Polticas P
ublicas. A partir desse conjunto de informacoes e possvel
tracar a estrategia mais adequada para avaliar os controles internos e sua efetividade no
alcance dos objetivos estipulados para os orgaos.
O planejamento das acoes de controle deve observar os procedimentos e seq
uencia
abaixo:
1. Mapear as polticas p
ublicas afetas a cada ministerio ou orgao equivalente, com
identificacao dos macro-objetivos, dos recursos previstos, dos agentes responsaveis
e interfaces, de modo a evidenciar a importancia estrategica, de cada uma delas,
inclusive em relacao ao projeto global de governo;
2. Hieraquizar programas/programacoes governamentais, baseado em criterios polticos e estrategicos definidos, bem como riscos baseados em materialidade, relevancia
e criticidade. Na conformacao atual da classificacao orcamentaria, esse exerccio de
hierarquizacao se faz em nvel de Programa por ser esse o que apresenta, em geral,
a definicao consistente de limites e abrangencia;
3. Mapear as A
c
oes que se vinculam aos Programas hierarquizados na etapa anterior;
4. Hierarquizar A
c
oes de cada Programa, segundo criterios definidos com bases
estrategicas;

oes de Controle
24
5. Detalhar as Aco
es priorizadas elaborando o Relatorio de Situacao dessas Acoes
com as informacoes pertinentes à sua execucao;
6. Para cada Acao selecionada identificar os pontos crticos e frageis capazes de
impactar a execucao e a definicao da abordagem de controle a ser adotada; e
7. Elaborar o Plano Operacional de cada divisao de trabalho definida na abordagem da Acao, com identificacao das acoes de controle a serem realizadas, definicao
de instrumentos e do perodo de realizacao dos trabalhos.
As secoes seguintes detalham as etapas mais relevantes do processo de planejamento
das acoes de controle.
4.2.1
Hierarquizar Programas
A hierarquizacao trata de classificar os Programas/Programacoes, segundo a percepcao do controle, em Essenciais, Relevantes e Coadjuvantes. A percepcao do controle resulta da aplicacao de criterios de importancia poltico-estrategica aos Progra ao, sendo ainda consideradas as variaveis
mas/Programacoes sob responsabilidade do Org
de materialidade e criticidade.
Devido às suas proprias caractersticas, os Programas/Programacoes de classificacao
Essencial sao em geral objeto de controle sistematico, com a mais elevada concentracao
de atencao por parte do Controle. Embora sempre presente, face às limitacoes de recursos
e menores taxas de impacto e/ou risco, as acoes do Controle serao menos intensas nos
Programas/Programacoes governamentais classificadas como Relevantes e Coadjuvantes.
O Controle Sistem
atico tem como premissa a existencia de um processo detalhado
de planejamento como base para deflagracao das acoes de controle. O planejamento adotado pressupoe obrigatoriamente o conhecimento amplo do problema, a definicao de uma
estrategia de atuacao focada nos pontos crticos do processo de execucao e o estabelecimento de cronologias, formas e instrumentos de atuacao capazes de garantir um padrao
de cobertura e seguranca compatveis com as caractersticas e especificidades do objeto
controlado.
O Controle Assistem
atico trata das excepcionalidades, caracterizadas como questoes pontuais e agudas, tpicas de den
uncias ou solicitacoes de autoridades, ou aspectos
que, por qualquer razao, o Sistema de Controle Interno entenda necessario averiguar, ou,

oes de Controle
25
ainda, cuja complexidade ou risco justifique um planejamento mais simplificado. Nesses

casos, dispensa-se o planejamento completo para a deflagracao de acoes de controle.
Atraves de um conjunto de criterios que incluem fatores de natureza poltica, estrategica, economico-financeira, de complexidade da execucao, da maior ou menor fragilidade dos orgaos responsaveis, a fase de hierarquizacao pretende selecionar os Programas/Programacoes que farao parte do processo sistematico de controle, de acordo com a
capacidade operacional existente para planejamento e execucao das acoes de controle.
4.2.2
Detalhar Ac
oes
O detalhamento das Acoes deve ser documentado por meio de Relatorio de Situacao
que apresenta uma descricao sumaria do objeto de interesse e informes sobre o exerccio
anterior e o exerccio atual. Os elementos de informacao apresentados no Relatorio oferecem as condicoes para definir a estrategia de atuacao e, a partir dela, estabelecer as acoes
de controle que serao desenvolvidas.
O Relatorio de Situacao apresenta informacoes extradas em sua maior parte das Leis
de Orcamento Anual, de Diretrizes Orcamentarias, do Plano Plurianual de Investimento
e dos sistemas estruturadores do governo.
4.2.3
Identificar pontos crticos
Os principais pontos crticos das Acoes governamentais sob enfoque sao registrados
no Plano Estrategico que deve ser elaborado a partir do conhecimento detalhado da Acao.
Pontos crticos sao os pontos cruciais da trajetoria de desenvolvimento da Acao,
indispensaveis e essenciais à viabilizacao das atividades e objetivos colimados. Na identificacao dos pontos crticos, deve-se trabalhar com o fluxo de processos, os agentes e as
interacoes entre eles. Os pontos crticos nao sao necessariamente fragilidades no processo
de execucao da Acao. Caso apresentem fragilidades, essas devem ser observadas como
impacto negativo sobre o processo. Identificar os pontos crticos e desenvolver hipoteses
sobre as suas possveis fragilidades e riscos de ocorrencia sao atividades cruciais para a
definicao e o planejamento das acoes de controle.
O Plano Estrategico busca definir o que se considera ser a melhor opcao entre as varias
possibilidades diferentes de se controlar a Acao. Assim, devem-se identificar as particoes
em que se dividiu a estrategia de atuacao da Acao para facilitar o seu controle, e, se for
4.3 Execuc
ao das Aco
es de Controle
26
o caso, de que forma elas serao ou nao abordadas nesta fase dos trabalhos. Tais divisoes
podem corresponder a regioes geograficas, areas tematicas, fases do processo gerencial
de implementacao da acao, ou qualquer outra que seja considerada conveniente. Cada
divisao estabelecida gera um u
nico Plano Operacional especfico a ser detalhado.
4.2.4
Elaborar Plano Operacional
O Plano Operacional e elaborado para cada divisao definida na abordagem do Plano

Estrategico de cada Acao, ocasiao em que sao identificadas as etapas, os produtos e
os clientes relacionados às mesmas. Tambem sao identificados os pontos de controle
mais adequados, as acoes de controle a serem desenvolvidas com vistas a efetivar os
procedimentos definidos, com a determinacao das tecnicas de controle adequadas para
realizacao dos exames, bem como o perodo de realizacao das mesmas.
Ponto de controle e o item, area ou atividade sobre o qual e exercida a acao de
controle.
O resultado esperado das acoes de controle consiste no registro dos pontos de controle
eleitos e na especificacao da avaliacao que sera executada sobre eles. Podem existir varias
acoes de controle destinadas a avaliar um u
nico ponto de controle. Esse aspecto pode ser
considerado como elemento chave, destinando-se a agregar as informacoes de forma mais
estrategica.
O detalhamento das acoes de controle esclarece exatamente o que sera feito, que
instrumentos serao utilizados e, cabendo, da uma indicacao sobre alguma particularidade
que deva ser observada no desencadeamento das acoes.
4.3
Execuc
ao das Ac
oes de Controle
As atividades a cargo do Sistema de Controle Interno do Poder Executivo Federal sao

exercidas mediante a utilizacao de tecnicas proprias de trabalho, as quais se constituem
no conjunto de processos que viabilizam o alcance dos macro-objetivos do Sistema. As
tecnicas de controle sao as seguintes:
1. auditoria; e
2. fiscalizacao
4.3 Execuc
ao das Aco
es de Controle
4.3.1
27
Auditoria
A auditoria e o conjunto de tecnicas que visa avaliar a gestao p

ublica, pelos processos
e resultados gerenciais, e a aplicacao de recursos p
ublicos por entidades de direito p
ublico
e privado, mediante a confrontacao entre uma situacao encontrada com um determinado
criterio tecnico, operacional ou legal. Trata-se de uma importante tecnica de controle do
Estado na busca da melhor alocacao de seus recursos, nao so atuando para corrigir os
desperdcios, a improbidade, a negligencia e a omissao e, principalmente, antecipando-se
a essas ocorrencias, buscando garantir os resultados pretendidos, minimizar os impactos
negativos e maximizar os benefcios sociais.
A auditoria tem por objetivo primordial o de garantir resultados operacionais na
gerencia da coisa p
ublica. Essa auditoria e exercida nos meandros da maquina p
ublica
em todas as unidades e entidades p
ublicas federais, observando os aspectos relevantes
relacionados à avaliacao dos programas de governo e da gestao p
ublica.
A finalidade basica da auditoria e comprovar a legalidade e legitimidade dos atos e
fatos administrativos e avaliar os resultados alcancados, quanto aos aspectos de eficiencia,
eficacia e economicidade da gestao orcamentaria, financeira, patrimonial, operacional,
contabil e finalstica das unidades e das entidades da Administracao P
ublica, em todas as
suas esferas de governo e nveis de poder, bem como a aplicacao de recursos p
ublicos por
entidades de direito privado, quando legalmente autorizadas nesse sentido.
4.3.1.1
Classificac
ao
As auditorias realizadas no ambito do Sistema de Controle Interno podem ser classificadas nos seguintes grupos:
Auditoria de Avalia
c
ao da Gest
ao: objetiva emitir opiniao com vistas a certifi-
car a regularidade das contas, verificar a execucao de contratos, acordos, convenios

ou ajustes, a probidade na aplicacao dos dinheiros p
ublicos e na guarda ou administracao de valores e outros bens da Uniao ou a ela confiados;
Auditoria de Acompanhamento da Gest
ao: realizada ao longo dos processos
de gestao, com o objetivo de se atuar em tempo real sobre os atos efetivos e os efeitos
potenciais positivos e negativos de uma unidade ou entidade federal, evidenciando
melhorias e economias existentes no processo ou prevenindo gargalos ao desempenho
da sua missao institucional;
4.3 Execuc
ao das Aco
es de Controle
28
Auditoria Cont
abil: compreende o exame dos registros e documentos e na co-
leta de informacoes e confirmacoes, mediante procedimentos especficos, pertinentes

ao controle do patrimonio de uma unidade, entidade ou projeto. Objetiva obter
elementos comprobatorios suficientes que permitam opinar se os registros contabeis
foram efetuados de acordo com os princpios fundamentais de contabilidade;
Auditoria Operacional: consiste em avaliar as acoes gerenciais e os procedimen-
tos relacionados ao processo operacional, com a finalidade de emitir uma opiniao

sobre a gestao quanto aos aspectos da eficiencia, eficacia e economicidade. Este
tipo de procedimento auditorial, consiste numa atividade de assessoramento ao gestor p
ublico, com vistas a aprimorar as praticas dos atos e fatos administrativos,
procurando auxiliar a administracao na gerencia e nos resultados por meio de recomendacoes que visem aprimorar os procedimentos, melhorar os controles e aumentar
a responsabilidade gerencial.
Auditoria Especial: objetiva o exame de fatos ou situacoes consideradas relevan-
tes, de natureza incomum ou extraordinaria, sendo realizadas para atender determinacao expressa de autoridade competente. Classificam-se nesse tipo os demais
trabalhos auditoriais nao inseridos em outras classes de atividades.
4.3.1.2
Formas de Execuc
ao
1. Direta - trata-se das atividades de auditoria executadas diretamente por servidores em exerccio nos orgaos e unidades do Sistema de Controle Interno do Poder
Executivo Federal
2. Indireta - trata-se das atividades de auditoria executadas com a participacao de
servidores nao lotados nos orgaos e unidades do Sistema de Controle Interno do
Poder Executivo Federal, que desempenham atividades de auditoria em quaisquer
instituicoes da Administracao P
ublica Federal ou entidade privada
3. Simplificada - trata-se das atividades de auditoria realizadas, por servidores em
aos Central, setoriais, unidades regionais ou setoriais do Sistema de
exerccio nos Org
Controle Interno do Poder Executivo Federal, sobre informacoes obtidas por meio
de exame de processos e por meio eletronico, especfico das unidades ou entidades
federais, cujo custo-benefcio nao justifica o deslocamento de uma equipe para o
orgao.
4.3 Execuc
ao das Aco
es de Controle
4.3.1.3
29
Procedimentos e t
ecnicas
Os Procedimentos e as Tecnicas de Auditoria constituem-se em investigacoes tecnicas

que, tomadas em conjunto, permitem a formacao fundamentada da opiniao por parte do
Sistema de Controle Interno do Poder Executivo Federal.
Procedimento de auditoria e o conjunto de verificacoes e averiguacoes previstas
num programa de auditoria, que permite obter evidencias ou provas suficientes e adequadas para analisar as informacoes necessarias à formulacao e fundamentacao da opiniao
por parte do Sistema de Controle Interno do Poder Executivo Federal. Trata-se ainda,
do mandamento operacional efetivo, sao as acoes necessarias para atingir os objetivos nas
normas auditoriais. Tambem chamado de comando, o Procedimento representa a essencia
do ato de auditar, definindo o ponto de controle sobre o qual se deve atuar e como deve
ser o exame. O exame abrange testes de observancia e testes substantivos:
1. Testes de observ
ancia: visam à obtencao de razoavel seguranca de que os procedimentos de controle interno estabelecidos pela Administracao estao em efetivo
funcionamento e cumprimento.
2. Testes substantivos: visam à obtencao de evidencias quanto à suficiencia, exatidao e validacao dos dados produzidos pelos sistemas contabil e administrativos da
entidade, dividindo-se em testes de transacoes e saldos e procedimentos de revisao
analtica.
T
ecnica de Auditoria e o conjunto de processos e ferramentas operacionais de que se
serve o controle para a obtencao de evidencias, as quais devem ser suficientes, adequadas,
relevantes e u
teis para conclusao dos trabalhos.
necessario observar a finalidade especfica de cada tecnica auditorial, com vistas
E
a evitar a aplicacao de tecnicas inadequadas, a execucao de exames desnecessarios e o
desperdcio de recursos humanos e tempo. Existe um grande n
umero de tecnicas de
auditoria que podem ser aplicadas. Para citar algumas: Analise Documental, Conferencia
de Calculos, Inspecao Fsica entre outros.
4.3.2
Fiscalizac
ao
A fiscalizacao e uma tecnica de controle que visa a comprovar se o objeto dos programas de governo existe, corresponde às especificacoes estabelecidas, atende às necessidades
4.4 Resumo
30
para as quais foi definido e guarda coerencia com as condicoes e caractersticas pretendidas
e se os mecanismos de controle administrativo sao eficientes.
O ato de fiscalizar e a aplicacao do conjunto de procedimentos que permitam o exame
dos atos da Administracao P
ublica, visando avaliar a execucao de polticas p
ublicas,
atuando sobre os resultados efetivos dos programas do Governo Federal.
A finalidade basica da fiscalizacao e avaliar a execucao dos programas de governo
elencados ou nao nos orcamentos da Uniao e no Plano Plurianual.
Os procedimentos, tecnicas e as formas de execucao empregadas na fiscalizacao se
assemelham àquelas aplicadas para a auditoria. A diferenca substancial entre auditoria
e fiscalizacao se concentra na questao do objetivo. Enquanto a auditoria se concentra no
exame dos controles e no aperfeicoamento da gestao, a fiscalizacao se incumbe de verificar
os produtos gerados quando da execucao das polticas p
ublicas.
4.4
Resumo
Este captulo apresentou como se processam as auditorias governamentais no Sistema

de Controle Interno. A auditoria representa tecnica de controle utilizada na etapa de
execucao do processo mais amplo de acao de controle. Os orgaos de controle organizam
suas atividades em torno dessas acoes de controle que apresentam momentos distintos de
planejamento e execucao.
O proximo captulo apresenta a norma NBR ISO/IEC 27002 que sugere um conjunto de controles para serem implementados visando obter seguranca da informacao nas
instituicoes.
31
A norma NBR ISO/IEC 27002
A norma NBR ISO/IEC 27002 faz parte da serie de normas NBR ISO/IEC 27000, que
trata de padroes para a area de seguranca da informacao. Em especial, a NBR ISO/IEC
27002 apresenta um codigo de pratica para a gestao da seguranca da informacao.
Segundo a norma, a seguranca da informacao e obtida a partir da implementacao
de um conjunto de controles adequados, incluindo polticas, processos, procedimentos,
estruturas organizacionais e funcoes de software e hardware. Estes controles precisam ser
estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde
necessario, para garantir que os objetivos do negocio e de seguranca da organizacao sejam
atendidos. Convem que isto seja feito em conjunto com outros processos de gestao do
negocio (ANBT, 2007).
Dessa forma, a norma apresenta um conjunto de controles que pode ser implementado
para se atender aos requisitos de seguranca da organizacao. Em geral, esses requisitos
devem ser levantados em uma etapa previa por meio de tecnicas como a analise e avaliacao
de riscos.
O captulo esta organizado da seguinte maneira: a secao 5.1 descreve como a norma foi
concebida; a secao 5.2 detalha a estrutura do documento da norma; a secao 5.3 discute a
necessidade de se levantar os requisitos de seguranca da informacao e a secao 5.4 relaciona
o conjunto de controles da norma.
5.1
Hist
orico
Em 1987 o Departamento de Comercio e Ind

ustria do Reino Unido (DTI) cria um
centro de seguranca de informacoes, o CCSC (Commercial Computer Security Centre)
incumbido de criar normas de Seguranca da Informacao para o Reino Unido (FONTES,
2008).
Desde 1989 varios documentos preliminares foram publicados por esse centro, ate que
5.2 Estrutura da Norma
32
em 1995 surge a BS7799 (British Standard 7799), um codigo de boas praticas em seguranca
da informacao. Esse documento foi disponibilizado em duas partes para consulta p
ublica,
a primeira em 1995 e a segunda em 1998 (BSI, 1995; BSI, 1998).
A BS7799-1, primeira parte da norma, contem uma introducao, definicao de extensao
e condicoes principais de uso da norma. A BS7799-2, segunda parte da norma, tem por
objetivo proporcionar uma base para gerenciar a Seguranca da Informacao dos sistemas
das organizacoes.
Em dezembro de 2000, apos incorporar diversas sugestoes e alteracoes, a BS7799-1
ganha status internacional com sua publicacao na forma da ISO/IEC 17799:2000. Em
setembro de 2001, a ABNT homologa a versao brasileira da norma, denominada NBR
ISO/IEC 17799.
Em abril de 2003 uma nova versao da norma revisada e preparada e lancada em 2005.
Ainda em 2005 a ABNT publica a revisao da norma NBR ISO/IEC 17799:2005 (ABNT,
2005).
Em 2007 ocorre a renumeracao da norma para ISO/IEC 27002 sem mudanca significativa do conte
udo. A norma tambem e renumerada no Brasil e hoje vigora a NBR
ISO/IEC 27002 (ANBT, 2007).
5.2
Estrutura da Norma
A norma contem 11 secoes de controles de seguranca da informacao, que juntas totalizam 39 categorias principais de seguranca e uma secao introdutoria que aborda a
analise/avaliacao e o tratamento de riscos.
Cada secao contem um n
umero de categorias principais de seguranca da informacao.
As secoes classificam/dividem os controles em funcao da area tematica de atuacao. Cada
categoria principal de seguranca da informacao contem:
1. um objetivo de controle que define o que deve ser alcancado; e
2. um ou mais controles que podem ser aplicados para se alcancar o objetivo de controle.
A descricao de cada controle na norma esta acompanhada da definicao do controle
propriamente dito, das diretrizes para sua implementacao e, quando apropriado, de informacoes adicionais como, por exemplo, consideracoes legais e referencia a outras normas.
5.3 Requisitos de Seguranca da Informac

ao
5.3
33
Requisitos de Seguranca da Informac

ao
Antes da selecao de controles e de sua conseq

uente implementacao, e essencial que a
organizacao identifique os seus requisitos de seguranca da informacao. Esses requisitos
podem ser levantados de tres fontes principais (ANBT, 2007):
1. Analise e avaliacao de riscos para a organizacao, levando-se em conta os objetivos e
as estrategias globais de negocio da organizacao.
2. Legislacao vigente, estatutos, regulamentacao e clausulas contratuais que a organizacao, seus parceiros comerciais, contratados e provedores de servico tem que atender,
alem do seu ambiente sociocultural;
3. Conjunto particular de princpios, objetivos e requisitos do negocio para o processamento da informacao que uma organizacao tem que desenvolver para apoiar suas
operacoes.
Ressalte-se que a analise e avaliacao de riscos ocupa papel de destaque no processo de
levantamento dos requisitos de seguranca da informacao. Por meio dela sao identificadas
as ameacas aos ativos, suas vulnerabilidades e realizada uma estimativa da probabilidade
de ocorrencia e do impacto potencial ao negocio. Os resultados dessa analise e avaliacao,
em linha com os normativos e princpios da organizacao, direcionam as acoes gerenciais
apropriadas e as prioridades para o gerenciamento dos riscos de seguranca da informacao,
e para a implementacao dos controles selecionados para a protecao contra estes riscos.
A analise e avaliacao de riscos deve identificar, quantificar e priorizar os riscos com
base em criterios para aceitacao dos riscos e dos objetivos relevantes para a organizacao.
Significa dizer que antes de considerar o tratamento de um risco, a organizacao deve
definir os criterios para determinar se os riscos podem ser ou nao aceitos. Um risco pode
ser aceito se, por exemplo, for avaliado que e baixo ou que o custo do tratamento e inviavel
economicamente para a organizacao.
Para cada um dos riscos identificados, seguindo a analise e avaliacao de riscos, a
organizacao deve decidir como trata-los. As opcoes possveis para o tratamento dos riscos
inclui (ANBT, 2007):
1. Aplicar controles apropriados para reduzi-los;
5.4 Controles de Seguranca da Informac

ao
34
2. Conhecer e objetivamente aceita-los, sabendo que atendem claramente à poltica da

organizacao e aos criterios para a aceitacao de risco;
3. Evita-los, nao permitindo acoes que poderiam causar a sua ocorrencia;
4. Transferi-los para outras partes como seguradoras ou fornecedores.
Para os casos em que a decisao de tratar os riscos seja a de aplicar controles apropriados, a norma apresenta um conjunto de controles passveis de serem implementados
de onde pode ser realizada a selecao dos mais adequados para a reducao dos riscos levantados. A depender das necessidades especficas da organizacao, os controles podem ser
selecionados mesmo de outros conjuntos de controles.
Conclui-se, portanto, que o conjunto de controles apresentados pela norma nao sao
de adocao obrigatoria pela organizacao. O processo de analise/avaliacao de riscos e que
trara subsdios para selecionar apenas os controles necessarios ao tratamento dos riscos
levantados e para atender os requisitos de seguranca da informacao exigidos pela organizacao.
5.4
Controles de Seguranca da Informac

ao
Os controles sao apresentados na norma por area tematica. Essas areas representam
as secoes do documento. Abaixo estao relacionadas as secoes que compoem a norma
com a respectiva quantidade de categorias de controle, o assunto correspondente e um
exemplo de controle para cada secao. Esta tabela e uma adaptacao daquela apresentada
no trabalho de Hanashiro (2007).
Tabela 1: Categorias de controles da norma NBR
ISO/IEC 27002
Se
c
ao
Poltica de Seguranca
(1)
Assunto
Descreve a estrutura do documento de Poltica de Seguranca,
analise crtica e avaliacao
Seguranca Organizaci- Aborda a infra-estrutura de seonal (2)
guranca, o controle de acesso dos
prestadores de servico e o estabelecimento de responsabilidades e caso de terceirizacao
Exemplo de Controle
Documentar poltica de
seguranca da informacao
aprovado pela direcao
Inserir em acordos com terceiros clausulas que garantam os requisitos de seguranca da informacao relevantes
continua na proxima p
agina
5.4 Controles de Seguranca da Informac

ao
35

ISO/IEC 27002 (continuacao)
Se
c
ao
Classificacao e Controle de Ativos de Informacao (2)
Seguranca de Pessoas
(3)
Seguranca Fsica
Ambiental (2)
Gerenciamento
Operacoes (10)
das
Controle de Acesso (7)
Desenvolvimento
e Manutencao
Sistemas (6)
de
Assunto
Detalha a contabilizacao e o registro de ativos e a classificacao
de informacao
Foca o risco decorrente de atos
intencionais ou acidentais realizados por pessoas. Alem disso,
aborda a inclusao de responsabilidades relativas à seguranca da
informacao na descricao de cargos, a forma de contratacao e o
treinamento em seguranca
Define areas de seguranca, seguranca dos equipamentos e controles gerais
Aborda procedimentos e responsabilidades operacionais, planejamento e aceitacao dos sistemas, protecao contra softwares
maliciosos, salvamento e recuperacao de dados, gerenciamento
de rede, seguranca e tratamento
de mdias, troca de informacoes
e software
Aborda requisitos do negocio
para controle de acesso, gerenciamento de acessos de usuarios, responsabilidade do usuario, controle de acesso à rede,
controle de acesso ao sistema
operacional, controle de acesso
às aplicacoes, monitoracao do
uso e acesso aos sistemas, computacao movel e acesso remoto
Aborda requisitos de seguranca
de sistemas, seguranca de sistemas de aplicacao, controles de
criptografia, seguranca de arquivos do sistema.
Exemplo de Controle
Inventariar ativos importantes
Documentar papeis e responsabilidades pela seguranca da informacao de
funcionarios, fornecedores e
terceiros de acordo com a
poltica de seguranca da informacao
Demarcar permetros de seguranca para proteger areas
que contenham informacoes
e instalacoes de processamento da informacao
Segregar funcoes e areas de
responsabilidades para reduzir oportunidades de modificacao ou uso indevido
nao autorizado ou nao intencional dos ativos da organizacao
Estabelecer e documentar
poltica de controle de
acesso
Restringir acesso ao codigofonte de programa
continua na proxima p
agina
5.5 Resumo
36

ISO/IEC 27002 (continuacao)
Se
c
ao
Gestao de Incidentes
de Seguranca (2)
Gestao de Continuidade do Negocio (1)
Conformidade (3)
5.5
Assunto
Aborda a notificacao de fragilidades e eventos de seguranca da
informacao e a gestao de incidentes de seguranca da informacao e
melhorias.
Aborda processo de gestao, continuidade de negocio e analise
de impacto, documentacao e implementacao do plano de continuidade, estrutura do plano de
continuidade dos negocios, testes, manutencao e reavaliacao
dos planos de continuidade.
Aborda a necessidade de conformidade com requisitos legais,
analise crtica da poltica de seguranca e da conformidade tecnica, consideracoes quanto à auditoria de sistemas.
Exemplo de Controle
Relatar os eventos de seguranca da informacao atraves dos canais apropriados o
mais rapidamente possvel
Desenvolver planos para a
manutencao ou recuperacao
das operacoes apos a ocorrencia de interrupcoes ou falhas dos processos crticos
do negocio
Verificar periodicamente os
sistemas de informacao em
sua conformidade com as
normas de seguranca da informacao implementadas
Resumo
Este captulo apresentou a norma NBR ISO/IEC 27002. Essa norma descreve um
conjunto de controles para serem implementados visando obter seguranca da informacao
nas instituicoes.
O proximo captulo apresenta proposta de cenario para incorporacao da norma NBR
ISO/IEC 27002 ao processo de auditoria governamental utilizado pelo Sistema de Controle
Interno.
37
Cenario de aplicacao da norma NBR

ISO/IEC 27002
A proposta desta pesquisa e apresentar cenario de insercao da norma NBR ISO/IEC

27002 nos processos de auditoria executados pelos orgaos de controle. A norma pode
aperfeicoar as atividades de verificacao que esses processos embutem com a visao de
robustecer a integridade das instituicoes auditadas e por conseq
uencia contribuir para a
governanca no setor p
ublico. Nesse cenario, os orgaos de controle podem colaborar como
indutores do processo de conscientizacao dos demais orgaos acerca da importancia da
seguranca da informacao para seus objetivos de negocio e/ou missao.
O captulo esta organizado da seguinte maneira: a secao 6.1 apresenta o cenario
proposto como principal produto desta pesquisa; a secao 6.2 demonstra como a norma
pode complementar os procedimentos de auditoria ja existentes; a secao 6.3 apresenta um
exemplo de utilizacao do cenario em um caso real; por fim, a secao 6.4 apresenta o resumo
do captulo.
6.1
Cen
ario
O cenario proposto neste captulo consiste em identificar no processo regular de auditoria governamental oportunidades para insercao dos conceitos de seguranca, especialmente
os controles da norma NBR ISO/IEC 27002. Para tanto, convem relembrar o processo
de uma acao de controle detalhado no captulo 4. Para privilegiar a didatica, as etapas
foram reunidas em tres grupos:
1. Levantar informa
co
es sobre as polticas p
ublicas de Governo - Visa subsidiar
estudo dos programas e acoes implementados pela Administracao P
ublica Federal
com o intuito de se priorizar aquelas que serao objeto de verificacao. Abrange as
etapas de i) Mapear Polticas P
ublicas; ii) Hieraquizar Programas; iii) Mapear Ac
oes
e iv) Hieraquizar Ac
oes
6.1 Cen
ario
38
2. Planejar as aco
es de verifica
c
ao - Representa o conjunto de etapas responsavel pela definicao da estrategia de verificacao dos programas e acoes selecionados/priorizados nas etapas anteriores. As seguintes etapas fazem parte desse grupo:
i) Identificar Pontos Crticos e ii) Elaborar Plano Operacional
3. Executar as verifica
c
oes - Significa selecionar a tecnica de controle mais adequada, auditoria ou fiscalizacao, para os propositos previstos no planejamento da
acao de controle e executar os trabalhos de verificacao propriamente ditos.
Importa salientar que os documentos gerados durante o planejamento - Relatorio de
Situacao, o Plano Estrategico e o(s) Planos Operacional(is) tratam, na ordem, de descrever
sumariamente o objeto de interesse, identificar os pontos crticos da Acao governamental enfocada e os seus pontos de controle mais adequados para verificacao. Destaque-se
que um Plano Operacional deve ser elaborado para cada divisao definida na abordagem
do Plano Estrategico de cada Acao e devera consignar os procedimentos definidos para
verificacao e as tecnicas de controle adequadas para realizacao dos exames.
O Plano Operacional sistematiza o trabalho do auditor vez que seleciona os controles
e apresenta o roteiro de como devem ser examinados. Como ja relatado nos captulos anteriores, a norma NBR ISO/IEC 27002 apresenta conte
udo estruturado de forma similar:
objetivos de controle, os controles propriamente ditos e as diretrizes para sua implementacao. Por essa razao, a norma tem a sua maior utilidade exatamente para subsidiar
a elaboracao dos Planos Operacionais das acoes de controle. Os controles apresentados
na norma e as diretrizes de implementacao podem compor, sem grandes adaptacoes, os
Planos Operacionais.
Entretanto, outras partes da norma tambem podem apoiar o processo de acao de
controle. A figura 3 apresenta o cenario proposto de aplicacao da norma ao processo de
acao de controle.
O diagrama da figura 3 apresenta quatro oportunidades de utilizacao da norma no
processo de acao de controle. Sao elas:
Nas etapas de hierarquiza
c
ao (1 e 2 na figura 3) - Os captulos introdu-
torios da norma apresentam conceitos relacionados à seguranca da informacao e

da necessidade da avaliacao de riscos para escolha adequada dos controles a serem
implementados. A avaliacao de riscos e o sumario de controles da norma podem
complementar os criterios de priorizacao utilizados nessa etapa da acao de controle
inserindo o vies da seguranca.
6.1 Cen
ario
39
Figura 3: Cenario de utilizacao da norma NBR ISO/IEC 27002 nas acoes de controle
Na etapa de identifica
c
ao dos pontos crticos (3 na figura 3) - De novo a
avaliacao de riscos preconizada pela norma e a relacao de controles mais utilizados

ajudam na identificacao dos pontos mais importantes para determinada Acao de
governo.
Na etapa de elabora
c
ao do Plano Operacional (4 na figura 3) - A maior
nesse momento
contribuicao que a norma pode dar ao processo ocorre nessa etapa. E
que os pontos de controle sao selecionados para verificacao e e definida a forma de

avaliacao. Nesse sentido, a correspondencia com a norma e bem proxima, ja que o
conte
udo principal da norma e apresentar um conjunto de controles, sua aplicacao
e diretrizes para sua implementacao. Ressalte-se que a consubstanciacao de qual
controle e de como efetivar a verificacao no Plano Operacional se da atraves de um
documento chamado Procedimento de Auditoria, apresentado tambem no captulo 4.
Na etapa de execu
c
ao da a
c
ao de controle (5 na figura 3) - No momento da
execucao da acao de controle, seja por meio de auditoria ou mesmo de fiscalizacao,
6.2 Complementando os Procedimentos de Auditoria
40
o auditor deve verificar os controles definidos no planejamento (existe um procedimento de auditoria adequado para cada situacao) e ao final emitir um relatorio
com as recomendacoes para o gestor do orgao auditado. As recomendacoes relacionadas aos controles de seguranca da informacao podem se basear nas diretrizes de
implementacao sugeridas pela norma.
6.2
Complementando os Procedimentos de Auditoria
Os procedimentos de auditoria agregam as informacoes de quais pontos de controle

serao objetos de verificacao e de como se dara efetivamente essa verificacao. Os procedimentos utilizados pelos orgaos de controle interno em seus trabalhos de auditoria estao
sistematizados em banco de dados e classificados em areas tematicas, das quais se destacam (CORREIA; SPINELLI, 2007):
1. Controles da Gestao
2. Gestao Operacional
3. Gestao Financeira
4. Gestao Patrimonial
5. Gestao Contabil
6. Gestao de Suprimento de Bens e Servicos
7. Gestao de Recursos Humanos
8. Recursos Externos
Essas areas tematicas tambem podem servir de classificacao para os controles apresentados pela norma NBR ISO/IEC 27002. Uma correlacao natural pode ser tracada
entre as areas tematicas e as categorias de controles da norma. Significa dizer que existem procedimentos de alguma forma relacionados aos assuntos da norma, ainda que nao
haja correspondencia total. Logo, alem dos aspectos examinados atualmente por esses
procedimentos, a seguranca da informacao tambem pode ser includa no escopo de avaliacao se norma complementar os procedimentos de auditoria. Atualizar os procedimentos
ja existentes para dota-los de diretrizes que possibilitem a verificacao dos aspectos de
seguranca.
6.3 Aplicac
ao do cen
ario proposto em um caso real
41
Para esclarecer, considere a tabela 2 que compara um procedimento de auditoria e

um objetivo de controle da norma que tratam do mesmo assunto: terceirizacao.
Procedimento de auditoria
Catalogo de procedimentos
06.02.08.0001
Utilizacao da mao de obra contratada
Objetivo
Verificar contratos de servicos terceirizados em observancia às disposicoes estabelecidas nos normativos nacionais e dos organismos
internacionais de cooperacao tecnica
Operacionalizacao O exame recai sobre os aspectos
legais das licitacoes e dos contratos decorrentes, da execucao dos
servicos em conformidade com o
contratado, do ateste de execucao
desses servicos e do pagamento segundo as exigencias legais
Origem
Identificacao
Ttulo
Objetivo de Controle
Norma NBR ISO/IEC 27002
item 6.2.3
Identificando seguranca da informacao nos acordos com terceiros
Verificar se os acordos com terceiros envolvendo informacoes da organizacao cobrem todos os requisitos de seguranca da informacao
relevantes
Incluir nos acordos todos os riscos identificados e os requisitos de
seguranca da informacao. Cuidar para que nao haja descontinuidade na prestacao dos servicos e controlar as permissoes de
acesso às informacoes da organizacao por terceiros
Tabela 2: Comparativo entre um procedimento de auditoria e um objetivo de controle da

norma NBR ISO/IEC 27002
Percebe-se que no caso apresentado pela tabela, existe uma complementaridade entre
o Procedimento de Auditoria e o Objetivo de Controle da norma. Enquanto o primeiro
se concentra na verificacao dos aspectos legais dos contratos com terceiros, o segundo
realca as necessidades de seguranca desses mesmos contratos. Logo, atualizar o procedimento de auditoria com as recomendacoes da norma representa um grande avanco para
as verificacoes de controles sob a otica da seguranca. Sempre que um auditor utilizar esse
procedimento atualizado para verificar contratos de terceirizacao, alem de examinar os
criterios legais e de efetiva execucao tambem estara analisando os aspectos de seguranca
inerentes ao proprio contrato. Dessa forma se estabelece a conformidade entre o procedimento de auditoria e a norma e, por conseq
uencia, amplia-se o escopo das auditorias
executadas atualmente.
6.3
Aplicac
ao do cen
Tome-se o exemplo de auditoria operacional na gestao patrimonial de determinado

orgao do Poder Executivo Federal.
6.3 Aplicac
ao do cen
42
Freq
uentemente os orgaos de controle executam auditorias operacionais nos orgaos jurisdicionados (ver secao 4.3.1.1). Essas auditorias verificam os controles internos adotados
para fundamentar a opiniao do Sistema de Controle Interno sobre a gestao governamental
sob os aspectos de eficiencia, eficacia e economicidade.
Como explanado no captulo anterior, o processo se inicia pelo planejamento da Acao
de Controle correspondente. De acordo com o cenario proposto na secao 6.1, a primeira
modificacao nesse processo ocorre na etapa de hierarquizacao. No exemplo em estudo,
os captulos 3 e 4 da norma, que tratam respectivamente do sumario de controles e da
analise, avaliacao e tratamento de riscos, podem auxiliar no processo de priorizacao dos
Programas e Acoes. Por meio desses insumos e possvel acrescentar aos criterios de selecao
Programas e Acoes sensveis à protecao de informacoes.
O processo segue seu rito tradicional ate a etapa de elaboracao do Plano Operacional.
A segunda modificacao proposta pelo cenario sugere a utilizacao da norma para orientar a
escolha dos pontos de controle a serem verificados. Todos os objetivos de controle podem
ser utilizados para subsidiar essa escolha, o que dependera da meta de verificacao da
auditoria em curso. No exemplo abordado nesta secao, o da gestao patrimonial, a secao 7
da norma denominada Gestao de Ativos e aquela que pode mais contribuir. Dessa forma,
a auditoria pode ser ampliada para estar conforme as praticas de seguranca da informacao,
de acordo com a norma.
Abaixo estao relacionados os procedimentos recomendados tanto pelo Manual do Controle Interno (CORREIA; SPINELLI, 2007), quanto pela secao 7 da norma 27002 no que se
referem à gestao patrimonial e/ou de ativos.
Manual de Controle Interno
Verificar sistemas de controle patrimonial
Confirmar existencia de ativos inventariados
Verificar bens moveis e imoveis
Verificar meios de transporte
Verificar sistemas de telefonia
Verificar recursos de hardware e software
Verificar registros contabeis dos bens
Tabela 3: Sntese de procedimento de auditoria recomendado pelo Manual de Controle
Interno para gestao patrimonial (CORREIA; SPINELLI, 2007)
Como explicitado pelas tabelas 3 e 4, a norma apresenta tambem o controle de inventario de ativos tal como o Manual de Controle Interno. Entretanto a norma apresenta
adicionalmente a recomendacao de se registrar o proprietario dos ativos, inclusive do
ativo informacao e tambem identificar e documentar as regras para que sejam permitidos
6.4 Resumo
43
Norma 27002
Identificar e inventariar todos os ativos
Designar proprietario para todas as informacoes e ativos associados com os recursos
de processamento da informacao
Identificar, documentar e implementar regras de permissao de uso de informacoes e
ativos associados
Tabela 4: Controles recomendados pela norma NBR ISO/IEC 27002 para gestao de ativos (ANBT, 2007)
o uso de informacoes e de ativos associados aos recursos de processamento da informacao.
Trata-se de uma complementacao importante para estender o escopo da acao de controle
e incluir conceitos de seguranca.
Por fim, o cenario sugere a utilizacao da norma tambem durante a fase de execucao da
acao de controle, ou seja, na auditoria propriamente dita. A norma apresenta os detalhes
de implementacao de cada controle sugerido e dessa forma pode apoiar o auditor no trabalho de verificacao dos controles em campo e tambem na elaboracao das recomendacoes
ao gestor. Inclusive a auditoria operacional tem mesmo o objetivo de assessorar o gestor
p
ublico na implementacao de controles adequados para melhoria da gestao.
Para ilustrar, a tabela 5 demonstra o detalhamento do controle de Inventario de Ativos
que esta proposto na norma.
As diretrizes de implementacao apresentadas na norma constituem fundamento para
que o auditor elabore as recomendacoes ao gestor. Constitui avanco significativo que as
recomendacoes emitidas pelos orgaos de controle interno estejam alinhadas com as normas
amplamente utilizadas na area.
6.4
Resumo
Este captulo apresentou a proposta de cenario para insercao da norma NBR ISO/IEC
27002 no processo de acao de controle. Essa proposta baseou-se na identificacao de oportunidades no processo para utilizacao de elementos da norma que contribussem de forma
a complementar a visao atual de auditoria com os conceitos de seguranca da informacao.
O captulo apresentou ainda um exemplo de aplicacao do cenario proposto em um caso
real de auditoria.
O proximo captulo encerra esta pesquisa apresentando as conclusoes deste trabalho
e futuras extensoes.
6.4 Resumo
44
7.1.1. Invent
ario dos Ativos
Controle
Convem que todos os ativos sejam claramente identificados e um inventario de todos os ativos importantes seja
estruturado e mantido.
Diretrizes para implementa- Convem que a organizacao identifique todos os ativos e
cao
documente a importancia destes ativos. Convem que o
inventario do ativo inclua todas as informacoes necessarias que permitam recuperar de um desastre, incluindo
o tipo do ativo, formato, localizacao, informacoes sobre
copias de seguranca, informacoes sobre licencas e a importancia do ativo para o negocio. Convem que o inventario nao desnecessariamente, porem ele deve assegurar
que o seu conte
udo esta coerente.
Informacoes adicionais
Existem varios tipos de ativos, incluindo:
ativos de informacao: base de dados e arquivos,
contratos e acordos, documentacao de sistema, informacoes sobre pesquisa, manuais de usuario, material de treinamento, procedimentos de suporte
ou operacao, planos de continuidade do negocio,
procedimentos de recuperacao, trilhas de auditoria e informacoes armazenadas;
ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitarios;
ativos fsicos: equipamentos computacionais, equipamentos de comunicacao, mdias removveis e outros equipamentos;
servicos: servicos de computacao e comunicacoes,
utilidades gerais, por exemplo aquecimento, iluminacao, eletricidade e refrigeracao;
pessoas e suas qualificacoes, habilidades e experiencias;
intangveis, tais como a reputacao e a imagem da
organizacao.
Tabela 5: Controle de inventario de ativos proposto pela norma NBR ISO/IEC

27002 (ANBT, 2007)
45
Conclusoes e Extensoes
7.1
Contribuic
oes
Este trabalho se concentrou em apresentar uma proposta de cenario para incorporacao

de normas de seguranca da informacao, neste caso a NBR ISO/IEC 27002, ao processo
de auditoria empreendido pelo Sistema de Controle Interno Federal.
Os controles internos dos orgaos da Administracao P
ublica tem a funcao precpua
de garantir a eficiencia da gestao no alcance dos objetivos da instituicao. Esse conceito tem sido ampliado para abarcar tambem a necessidade de se atingir os objetivos de
forma segura, ntegra. Significa dizer que os controles internos tambem tem incorporado
a componente seguranca da informacao no rol de requisitos indispensaveis para a boa
governanca.
Essa nova concepcao obriga a adequacao das praticas de verificacao de controles por
parte dos orgaos com essa incumbencia. O Sistema de Controle Interno deve acompanhar
essa evolucao reproduzindo-a em seus mecanismos de controle, quais sejam auditorias e
fiscalizacoes.
O cenario apresentado no captulo 6 associa os procedimentos utilizados pelo Sistema
de Controle Interno - compilados nesta pesquisa no captulo 4, ao conte
udo da norma NBR
ISO/IEC 27002 que trata de seguranca da informacao, descrita no captulo 5. A analise
desse cenario conclui que a norma pode colaborar de forma efetiva em varios pontos do
processo, auxiliando a: priorizar os programas e acoes de governo a serem acompanhados;
identificar os pontos a serem verificados nos programas e acoes selecionados; definir a forma
de verificacao e ate fornecer arcabouco para que o auditor elabore suas recomendacoes ao
orgao auditado.
Em outras palavras, o cenario proposto demonstra a viabilidade de se integrar praticas
de verificacao de controles segundo normas de seguranca da informacao aos procedimentos hoje executados pelo Sistema de Controle Interno. Alem disso, evidencia tambem a
7.2 Extens
oes
46
estreita correlacao entre procedimentos existentes e aqueles propostos pela norma NBR
ISO/IEC 27002 o que permite observar que o Sistema de Controle Interno, mesmo sem
referencia explcita à norma em estudo, executa auditorias tambem sobre controles apresentados por ela.
Atraves de estudo minucioso dos processos de acoes de controle, foi possvel identificar
as etapas onde a norma consegue agregar conhecimento de forma mais efetiva. Os controles
sugeridos pela norma podem se adequar sem maiores adaptacoes ao conjunto de controles
recomendados atualmente nas atividades de auditoria.
A auditoria representa instrumento extremamente u
til para diagnosticar e aperfeicoar
os atos de gestao. As recomendacoes expedidas como resultado de auditorias tem um papel
importante para o fortalecimento da governanca na Administracao P
ublica, sobretudo pelo
carater didatico e de orientacao ao gestor p
ublico. Atraves delas, os gestores recebem a
retroalimentacao essencial para o processo de administracao das polticas p
ublicas.
Importa consignar tambem o papel do Sistema de Controle Interno como apoiador do
controle externo. Os casos crticos de ineficiencia dos controles internos por negligencia ou
mesmo de forma intencional fazem parte de selecao que deve ser encaminhada aos orgaos
de controle externo, instancia com competencia para responsabilizar os atos de descaso no
trato do patrimonio p
ublico. O gestor e obrigado a gerir de forma adequada os recursos
provenientes dos cofres p
ublicos e isso inclui a necessidade de implementar controles de
igual forma adequados para garantir a boa gestao.
As principais contribuicoes deste trabalho foram:
1. Descrever o processo de auditoria empregado pelo Sistema de Controle Interno do
Governo Federal;
2. Descrever a norma NBR ISO/IEC 27002 que apresenta codigo de pratica para a
gestao da seguranca da informacao;
3. Propor cenario de aplicacao da norma NBR ISO/IEC 27002 no processo de auditoria
do Sistema de Controle Interno do Governo Federal.
7.2
Extens
oes
Diversas extensoes podem ser proposta a partir desta pesquisa. Dentre elas, podemos
citar:
7.2 Extens
oes
47
Elaborar analise comparativa dos procedimentos de auditoria com os controles da
norma - Um estudo preliminar efetuado nesta pesquisa levantou a existencia de

uma base de mais de 1.500 procedimentos de auditoria da Controladoria-Geral da
Uniao. Uma extensao natural deste trabalho e comparar os controles referenciados
na base de procedimentos de auditoria com os controles relacionados na norma NBR
ISO/IEC 27002 para identificar os pontos de interseccao e complementaridade;
Atualizar a base de procedimentos de auditoria - Consiste em atualizar os procedi-
mentos de auditoria ampliando o escopo para os controles da norma. E criar novos

procedimentos para controles que nao estejam cobertos pela base de procedimentos
atual;
Ampliar o conjunto de normas de interesse na an
alise - Esta pesquisa se atem a
norma NBR ISO/IEC 27002. Existem varias outras normas que tratam de seguranca
da informacao e de frameworks de governanca. Seria u
til tambem incorpora-las ao
processo de analise dos sistemas de controle interno;
Desenvolver ferramentas de auxlio à aplicacao da norma em trabalhos de auditoria
- Representa o esforco de se criar ferramentas que apoiem o auditor em seu trabalho

de verificar os controles propostos pela norma.
48
Referencias
ALBUQUERQUE, R.; RIBEIRO, B. Seguranca no Desenvolvimento de Software
Como desenvolver sistemas seguros e avaliar a seguranca de aplicac
oes desenvolvidas
com base na ISO 15.408. Rio de Janeiro: Editora Campus, 2002.
ALMEIDA, M. C. Auditoria um curso moderno e completo. Sao Paulo: Atlas, 1996.
BRASILEIRA DE NORMAS TECNICAS
ASSOCIAC
AO
(ABNT). Tecnologia da
Informac
ao - Codigo de pratica para a gest
ao da seguranca da informac
ao: NBR
ISO/IEC 17799:2005. Rio de Janeiro, 2005.
BRASILEIRA DE NORMAS TECNICAS
ASSOCIAC
AO
(ABNT). Tecnologia da
Informac
ao - Codigo de pratica para a gest
ao: NBR
ISO/IEC 27002. Rio de Janeiro, 2007.
BERGHEL, H. Better-than-nothing security practices. Communications of ACM, 2007.
BRASIL. Constituic
ao da Rep
ublica Federativa do Brasil. Brasil, 1988.
BRASIL. Decreto n 3.505, de 13 de junho de 2000 : Institui a poltica de seguranca da
informacao nos orgaos e entidades da administracao p
ublica federal. Brasil, 2000.
BRASIL. Instruc
ao Normativa SFC n 1, de 6 de abril de 2001 : Define diretrizes,
princpios, conceitos e aprova normas tecnicas para a atuacao do sistema de controle
interno do poder executivo federal. Brasil, 2001.
BRASIL. Medida Provis
oria n 2.200-2, de 24 de agosto de 2001 : Institui a infraestrutura de chaves p
ublicas brasileira ICP-Brasil, transforma o Instituto Nacional de
Tecnologia da Informacao em autarquia, e da outras providencias. Brasil, 2001.
BRASIL. Decreto n 4.553, de 27 de dezembro de 2002 : Dispoe sobre a salvaguarda
de dados, informacoes, documentos e materiais sigilosos de interesse da seguranca
da sociedade e do estado, no ambito da administracao p
ublica federal, e da outras
providencias. Brasil, 2002.
BRASIL. Instruc
ao Normativa GSI n 1, de 13 de junho de 2008 : Disciplina a gestao
de seguranca da informacao e comunicacoes na administracao p
ublica federal, direta e
indireta, e da outras providencias. Brasil, 2008.
BRITISH STANDARDS INSTITUTION (BSI). Information security management. Code
of practice for information security management systems: BS 7799-1:1995. Inglaterra,
1995.
BRITISH STANDARDS INSTITUTION (BSI). Information security management. Code
of practice for information security management systems: BS 7799-2:1998. Inglaterra,
1998.
Referencias
49
CHIAVENATO, I. Teoria Geral da Administrac

ao. 6. ed. [S.l.]: Campus, 2001.
COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY
COMMISSION (COSO). Guidance on Monitoring Internal Control Systems (Draft).
[S.l.], 2007. Disponvel em: <http://www.coso.org>. Acesso em: janeiro de 2008.
CONSELHO FEDERAL DE CONTABILIDADE (CFC). NBC T 12 - Da Auditoria
Interna. Braslia, 2003. Disponvel em: <http://www.cfc.org.br/sisweb/sre/docs%
-/RES 986.doc>. Acesso em: novembro de 2008.
CORREIA, C. P.; SPINELLI, M. V. C. Manual de Controle Interno: Um guia para
a implementacao e operacionalizacao de unidades de controle interno governamentais.
CGU, 2007.
CROSBY, P. B. Qualidade e Investimento. 5. ed. Rio de Janeiro: Jose Olympio Editora,
1992.
De Placido e Silva. Vocabul
ario Jurdico. 27. ed. Rio de Janeiro: Forense, 2006.
DIAS, C. Seguranca e Auditoria da Tecnologia da Informac
ao. Rio de Janeiro: Axcel
Books, 2000.
FAYOL, H. Administrac
ao Industrial e Geral. Sao Paulo: Atlas, 1994.
FELICIANO NETO, A.; FURLAN, J. D.; HIGO, W. Engenharia da Informac
ao
Metodologia, Tecnicas e Ferramentas. Sao Paulo: Editora McGraw-Hill, 1988.
FERREIRA, F. N. F.; ARA
uJO, M. T. Poltica de Seguranca da Informac
ao - Guia
Pr
atico para Elaborac
ao e Implementac
ao. Rio de Janeiro: Editora Ciencia Moderna,
2006.
FONTES, E. Praticando a Seguranca da Informac
ao. Rio de Janeiro: Brasport, 2008.
GIL, A. C. Metodos e tecnicas de pesquisa social. 5. ed. Sao Paulo: Atlas, 1999.
HANASHIRO, M. Metodologia para desenvolvimento de procedimentos e planejamento
de auditorias de TI aplicada à Administrac
ao P
ublica Federal. Dissertacao (Dissertacao
de Mestrado) Universidade de Braslia, Braslia, 2007.
HOLT, L. A. A year affair with security: the development of a security program and
manager. 3rd Annual Conference on information Security Curriculum Development, New
York, 2006.
INFORMATION SYSTEMS AUDIT AND CONTROL FUNDATION (ISACA). Cobit
4.1. Estados Unidos, 2007.
INTERNATIONAL ORGANIZATION OF SUPREME AUDIT INSTITUTIONS
(INTOSAI). Guidelines for Internal Control Standards for the Public Sector. Belgica,
2004.
Dinheiro. George, o golpista do INSS. IstoE
Dinheiro, Sao Paulo, 2005. Disponvel
IstoE
em: <http://www.terra.com.br/istoedinheiro/432/negocios/george inss.htm>. Acesso
em: janeiro de 2008.
Referencias
50
LAUREANO, M. Redes e Seguranca Notas de aula. Parana, 2007. Disponvel em:

<http://www.mlaureano.org/ensino/gestao-da-seguranca/>. Acesso em: novembro de
2008.
MARTIN, J. Engenharia da Informac
ao Introduc
ao. Rio de Janeiro: Editora Campus,
1991.
MOTA, L. G. S. Implementac
ao de Procedimentos de Seguranca Fsica em conformidade
com a Norma ABNT NBR ISO/IEC 17799:2005. Dissertacao (Dissertacao de Mestrado)
UPIS Faculdades Integradas, Braslia, 2006.
NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST). An
Introduction to Computer Security: The NIST Handbook. Estados Unidos, 1995.
Disponvel em: <http://csrc.nist.gov/publications/nistpubs/800-12/handbook.pdf>.
Acesso em: janeiro de 2008.
OFFICE OF GOVERNMENT AND COMMERCE (OGC). Introduction to the ITIL
Service Lifecycle (ITIL Version 3). Inglaterra, 2007.
PISCITELLI, R. O controle interno na administracao p
ublica federal brasileira. ESAF,
1998.
REZENDE, D. A.; ABREU, A. F. Tecnologia da Informac
ao Aplicada a Sistemas de
Informac
ao Empresariais. Sao Paulo: Atlas, 2000.
SALEH, M. S.; ALRABIAH, A.; BAKRY, H. S. Using iso 17799: 2005 information
security management: a stope view with six sigma approach. International Journal of
Network Management, 2007.
SANCHEZ, O. A. Bureaucratic power and information control. Lua Nova, 2003.
SANTOS, A. R. Metodologia Cientfica: a Construc
ao do Conhecimento. [S.l.]: DP&A
Editora, 2004.
SEMOLA,
M. Gest
ao: uma visao executiva. Rio de Janeiro:
Elsevier, 2003.
SILVA, L. M. Contabilidade Governamental: um Enfoque Administrativo. Sao Paulo:
Atlas, 2004.
SOUTO, C. C.; SILVA, M. A.; LIMA, W. D. Estudo e Aplicac
ao da Norma NBR
ISO/IEC 17799:2005 em Seguranca da Informac
ao. Dissertacao (Trabalho Final de
Curso) UNIEURO Centro Universitario, Braslia, 2006.
SYNNATT, W. R. The Information Weapon Winning Customers and Markets with
Technology. Estados Unidos: Editora John Wiley Sons, 1987.
TAYLOR, F. W. Princpios de Administrac
ao Cientfica. Sao Paulo: Atlas, 1995.
TIPTON, H. F.; KRAUSE, M. Information Security Management Handbook. 5. ed.
Estados Unidos: Auerbach Publications, 2005.
(TCU). Boas praticas em seguranca da
TRIBUNAL DE CONTAS DA UNIAO
informac
ao. 2. ed. Braslia, 2007.
Referencias
51
(TCU). Situac
TRIBUNAL DE CONTAS DA UNIAO
ao da Governanca de Tecnologia
da Informac
ao - TI na Administrac
ao P
ublica Federal : Acordao n 1603/2008 TCU
plenario. Braslia, 2008.
VIEIRA, C. O controle interno nas camaras municipais, segundo a lei de responsabilidade
fiscal. BNDES, 2008. Disponvel em: <http://www.bndes.gov.br/clientes/federativo/bf bancos/e0001565.pdf>. Acesso em: 08/09/2008.
WADLOW, T. Seguranca de Redes. Rio de Janeiro: Editora Campus, 2000.

Henrique Aparecido

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Henrique Aparecido

Enviado por

Direitos autorais:

Formatos disponíveis

Henrique Aparecido da Rocha

Proposta de Cenario para aplicacao da norma NBR

Henrique Aparecido da Rocha

Proposta de Cenario para aplicacao da norma NBR

Orientador: Prof. Dr. Edgard Costa Oliveira

Universidade de Braslia UnB

Monografia de Especializacao defendida sob o ttulo Proposta de Cenario para aplicac

Prof. Dr. Edgard Costa Oliveira

Prof. Dr. Jose Carlos Loureiro Ralha

Prof. Dr. Jorge H. C. Fernandes

Ao Gabinete de Seguranca Institucional,

Aos colegas de curso,

3 Revisao de Literatura e Fundamentos

Sistema de Controle Interno . . . . . . . . . . . . . . . . . . . . . p. 10

Gestao da Seguranca da Informacao . . . . . . . . . . . . . . . . . . . . . p. 12

Classificacao das Informacoes . . . . . . . . . . . . . . . . . . . . p. 14

Seguranca da Informacao na Administracao P

4 Auditoria Governamental no Sistema de Controle Interno

Planejamento das Acoes de Controle . . . . . . . . . . . . . . . . . . . . p. 23

Identificar pontos crticos . . . . . . . . . . . . . . . . . . . . . . . p. 25

Elaborar Plano Operacional . . . . . . . . . . . . . . . . . . . . . p. 26

Execucao das Acoes de Controle . . . . . . . . . . . . . . . . . . . . . . . p. 26

5 A norma NBR ISO/IEC 27002

Requisitos de Seguranca da Informacao . . . . . . . . . . . . . . . . . . . p. 33

Controles de Seguranca da Informacao . . . . . . . . . . . . . . . . . . . p. 34

6 Cenario de aplicacao da norma NBR ISO/IEC 27002

Complementando os Procedimentos de Auditoria . . . . . . . . . . . . . p. 40

Aplicacao do cenario proposto em um caso real . . . . . . . . . . . . . . p. 41

Categorias de controles da norma NBR ISO/IEC 27002 . . . . . . . . . . p. 34

Controles recomendados pela norma NBR ISO/IEC 27002 para gestao

Controle de inventario de ativos proposto pela norma NBR ISO/IEC

Principais deficiencias de Seguranca da Informacao na Administracao

Etapas de uma acao de controle . . . . . . . . . . . . . . . . . . . . . . . p. 22

Cenario de utilizacao da norma NBR ISO/IEC 27002 nas acoes de controle p. 39

Em 2005, um estagiario de 18 anos que trabalhava no INSS conseguiu fraudar o sistema

Esta pesquisa se concentra em propor melhoria no Sistema de Controle Interno (SCI)

Os objetivos especficos deste trabalho sao:

3. Propor cenario de aplicacao da norma NBR ISO/IEC 27002 no processo de auditoria

A seguranca da informacao apesar de disciplina relativamente nova, tomou um espaco

de pesquisa documental a procedimentos de auditoria utilizados pela CGU e tambem a

Revisao de Literatura e Fundamentos

Este captulo apresenta os conceitos basicos para a compreensao desta monografia e

Segundo De Placido e Silva (2006) o vocabulo controle, derivado do frances contr

3.1 O Controle na Administrac

Existem varias formas de classificar a funcao de controle. As mais importantes estao

3.1 O Controle na Administrac

A Organizacao Internacional de Entidades de Fiscalizacao Superiores (INTOSAI), em

A garantia e razoavel porque os controles dependem de uma vantajosa relacao de

3.1 O Controle na Administrac

Sistema de Controle Interno

Vieira (2008), ao citar que sistema e o conjunto de partes coordenadas (articuladas

Segundo a Constituicao Federal (BRASIL, 1988), o Sistema de Controle Interno do

3.1 O Controle na Administrac

gestao orcamentaria, financeira e patrimonial nos orgaos e entidades da Administracao P

A Controladoria-Geral da Uniao (CGU) e o orgao do Governo Federal responsavel

controle, correicao, prevencao e ouvidoria, consolidando-as em uma u

O princpio de controle da Administracao P

Tradicionalmente, as organizacoes dedicam grande atencao aos seus ativos tangveis

Manuseio: e a fase na qual a informacao e originada e manejada, seja na digitacao,

folheamento de papeis, ou ate mesmo na utilizacao de uma senha, por exemplo.

Nem toda informacao e crucial ou essencial a ponto de merecer cuidados especiais.

folhetos comerciais para o p

ser armazenadas em locais que nao permitam o acesso p

Seguranca da informacao e a protecao da informacao de varios tipos de ameacas para