Escolar Documentos
Profissional Documentos
Cultura Documentos
Braslia
dezembro de 2008
Braslia
dezembro de 2008
ii
Dedicatoria
` pequena Yasmin, presente de Deus.
A
iii
Agradecimentos
` Deus,
A
pela oportunidade de vibrar com mais esta conquista.
Ao Prof. Edgard,
pela disposicao em direcionar este trabalho.
` Coordenacao,
A
que assumiu o compromisso de conduzir essa 1 turma e o fez de forma extremamente
competente.
` Controladoria-Geral da Uniao,
A
pela consideracao com que me distinguiu para participar deste projeto.
` minha famlia,
A
pelo apoio e compreensao.
iv
Resumo
As iniciativas em Seguranca da Informacao tem se destacado nos u
ltimos anos em
virtude de fatores que incluem o poder conquistado pela informacao nos processos de
negocio atuais, a grande exposicao dessas informacoes propiciada pelo desenvolvimento
tecnologico e o conseq
uente aumento dos registros de incidentes de seguranca. Entretanto,
a Administracao P
ublica Federal (APF) ainda nao absorveu totalmente essa cultura de
seguranca e nao protege adequadamente as suas informacoes de valor.
De outro lado, o Sistema de Controle Interno tem a incumbencia de assessorar os
gestores p
ublicos na implementacao dos controles internos responsaveis por garantir que
sejam alcancados os objetivos das instituicoes. E nesse contexto, a seguranca da informacao pode ajudar. O foco desta monografia e especificar meios de disseminar a cultura de
seguranca da informacao entre os orgaos da APF e apoia-los a implementar os controles
adequados para esse fim. A solucao proposta consiste na incorporacao de procedimentos
de verificacao, baseados em normas de seguranca da informacao amplamente utilizadas,
no processo de auditoria do Sistema de Controle Interno. A ideia e utilizar a estrutura ja
existente de auditorias periodicas como suporte tambem para conscientizar e orientar os
orgaos da importancia da seguranca da informacao para suas missoes.
As principais contribuicoes desta monografia sao: (1) Descrever o processo de auditoria
empregado pelo Sistema de Controle Interno do Governo Federal; (2) Descrever a norma
NBR ISO/IEC 270002 que apresenta codigo de pratica para a gestao da seguranca da
informacao; e (3) Propor cenario de aplicacao da norma NBR ISO/IEC 270002 no processo
de auditoria do Sistema de Controle Interno do Governo Federal.
Palavras-Chave
Controle Interno, Cultura de Seguranca, Procedimentos de Auditoria
Abstract
Initiatives on Information Security have been highlighted in recent years due to factors that include the importance acquired by information in the light of modern business
processes, the vast exposure of the information provided by the development of new technologies and the consequent growth of reported information security incidents. However,
the Federal Public Administration (FPA) has not yet fully absorbed the culture of information security and thus, does not adequately protect its important information.
Yet in this context, the Internal Control System of the Federal Government has the
duty of advising the public managers on the implementation of internal procedures that
ensure the institutions needs they represent are achieved. As will be discussed, information
security can play an important role in this process. The goal of this monograph is to specify
ways to disseminate the culture of information security among FPA departments and to
support them on the task of implementing the appropriate controls for that purpose. The
solution to be proposed includes the incorporation of verification procedures, especially
those based on widely used information security standards, in the audit process of the
Internal Control System. The idea is to make use of the existing periodic audit structure
as a mean of bringing the institutions orientation and awareness about the importance of
information security on their missions.
The main contributions of this monograph are: (1) To describe the audit process
employed by the Internal Control System, (2) To describe the standard NBR ISO/IEC
27002 which presents a code of practice for information security management, and (3) To
propose an implementation scenario for the NBR ISO/IEC 27002 in the context of the
Internal Control System audit process.
Keywords
Internal Control, Culture of Information Security, Auditing Procedures
vi
Sumario
Resumo
p. iv
Abstract
p. v
Lista de Tabelas
p. ix
Lista de Figuras
p. x
1 Introducao
p. 1
2 Requisitos Pre-pesquisa
p. 3
2.1
Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
p. 3
2.1.1
Objetivo geral . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
p. 3
2.1.2
Objetivos especficos . . . . . . . . . . . . . . . . . . . . . . . . .
p. 3
2.2
Justificativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
p. 4
2.3
Metodologia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
p. 5
2.3.1
p. 5
Caracterizacao da pesquisa . . . . . . . . . . . . . . . . . . . . . .
p. 7
O Controle na Administracao P
ublica . . . . . . . . . . . . . . . . . . . .
p. 7
3.1.1
A funcao Controle . . . . . . . . . . . . . . . . . . . . . . . . . .
p. 7
3.1.1.1
Classificacao . . . . . . . . . . . . . . . . . . . . . . . .
p. 8
3.1.1.2
Controle Interno . . . . . . . . . . . . . . . . . . . . . .
p. 8
3.1.2
Finalidades . . . . . . . . . . . . . . . . . . . . . . . . . p. 10
Sum
ario
vii
3.1.2.2
3.1.3
3.2
Controladoria-Geral da Uniao . . . . . . . . . . . . . . . p. 11
Fundamentacao Legal
. . . . . . . . . . . . . . . . . . . . . . . . p. 12
Informacao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 13
3.2.2
3.2.3
Seguranca da Informacao . . . . . . . . . . . . . . . . . . . . . . . p. 15
3.2.4
3.3
Trabalhos Correlatos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 18
3.4
Resumo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 20
p. 21
4.1
Acoes de Controle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 21
4.2
4.3
4.2.1
Hierarquizar Programas . . . . . . . . . . . . . . . . . . . . . . . p. 24
4.2.2
Detalhar Acoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 25
4.2.3
4.2.4
4.3.2
4.4
Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 27
4.3.1.1
Classificacao . . . . . . . . . . . . . . . . . . . . . . . . p. 27
4.3.1.2
Formas de Execucao . . . . . . . . . . . . . . . . . . . . p. 28
4.3.1.3
Procedimentos e tecnicas
Fiscalizacao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 29
Resumo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 30
. . . . . . . . . . . . . . . . . p. 29
p. 31
Historico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 31
Sum
ario
viii
5.2
Estrutura da Norma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 32
5.3
5.4
5.5
Resumo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 36
p. 37
6.1
Cenario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 37
6.2
6.3
6.4
Resumo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 43
7 Conclusoes e Extensoes
p. 45
7.1
Contribuicoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 45
7.2
Extensoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 46
Referencias
p. 48
ix
Lista de Tabelas
1
Comparativo entre um procedimento de auditoria e um objetivo de controle da norma NBR ISO/IEC 27002 . . . . . . . . . . . . . . . . . . . . p. 41
Sntese de procedimento de auditoria recomendado pelo Manual de Controle Interno para gestao patrimonial (CORREIA; SPINELLI, 2007) . . . . . p. 42
Lista de Figuras
1
Introducao
1 Introduc
ao
O restante desta monografia esta organizado da seguinte maneira: o captulo 2 descreve os objetivos desta pesquisa e apresenta os aspectos metodologicos de producao
deste trabalho; o captulo 3 apresenta os conceitos basicos necessarios para entendimento
do texto, englobando os conceitos de controle e de seguranca da informacao; o captulo 4
detalha os processos de verificacao executados pelos orgaos de controle; o captulo 5 apresenta o conte
udo da norma NBR ISO/IEC 27002 utilizada como insumo deste trabalho; o
captulo 6 apresenta o cenario proposto de insercao da norma no processo de auditoria dos
orgaos de controle visando complementa-lo com os conceitos de seguranca da informacao;
e, por fim, o captulo 7 apresenta as conclusoes desta pesquisa e relaciona um conjunto
de trabalhos futuros que podem ser derivados desta monografia.
Requisitos Pre-pesquisa
Este captulo apresenta os requisitos desta pesquisa e esta dividido da seguinte maneira: a secao 2.1 apresenta os objetivos, geral e especficos, pretendidos desta pesquisa;
a secao 2.2 apresenta a justificativa de se estudar o tema proposto; e por fim, a secao 2.3
descreve a metodologia utilizada neste trabalho.
2.1
Objetivos
2.1.1
Objetivo geral
2.1.2
Objetivos especficos
2.2 Justificativa
2.2
Justificativa
2.3 Metodologia
da APF com as tecnicas mais modernas, o que e fator crtico de sucesso em um ambiente
que sofre mudancas com grande freq
uencia. Alem disso, a verificacao das competencias
dos orgaos de controle pode auxiliar na reformulacao dos normativos, que hoje nao contemplam explicitamente o conceito de seguranca da informacao, para reafirmar a posicao
do Controle como orgao fomentador das atividades de seguranca.
2.3
2.3.1
Metodologia
Caracterizac
ao da pesquisa
A metodologia utilizada neste trabalho e classificada como pesquisa qualitativa e exploratoria. Tem como objetivo proporcionar maior familiaridade com o problema, com
vistas a torna-lo mais explcito (GIL, 1999; SANTOS, 2004). Este trabalho tratou de explorar o processo de auditoria governamental com o objetivo de identificar pontos onde
as norma de seguranca da informacao podem atuar de forma complementar.
Esta pesquisa dividiu-se em tres etapas. A primeira mapeou e descreveu o processo
de auditoria governamental empregado pelo Sistema de Controle Interno (SCI). O metodo utilizado nessa etapa foi a pesquisa bibliografica aos normativos legais que regulam a
atuacao do SCI e aos manuais de auditoria da Controladoria-Geral da Uniao (CGU). Foram detalhadas as etapas do processo de auditoria, seus produtos decorrentes e as formas
de execucao dos procedimentos de verificacao. O processo de auditoria foi sistematizado
a partir do estudo das normas que o regulam e desenhado para evidenciar os fluxos de
informacao entre suas etapas.
A segunda etapa detalhou a norma NBR ISO/IEC 27002 que trata de codigo de
pratica para a gestao da seguranca da informacao. O metodo utilizado foi tambem a
pesquisa bibliografica, agora ao texto da norma e a outras referencias sobre a evolucao da
norma. Foram descritos a aplicacao da norma, os objetivos de controle e a diretrizes de
implementacao dos controles da norma.
A terceira etapa identificou oportunidades de insercao de conceitos de segurnaca da
informacao no processo de auditoria do SCI. Por meio da analise dos produtos elaborados
nas etapas anteriores, desenhou-se um cenario de complementacao do processo de auditoria
com os controles da norma NBR ISO/IEC 27002. O cenario identifica os momentos do
processo de auditoria em que a norma pode ser agregada e tambem quais elementos
da norma podem contribuir de forma mais efetiva. Nessa etapa houve a necessidade
2.3 Metodologia
3.1
3.1.1
O Controle na Administrac
ao P
ublica
A func
ao Controle
Por meio da funcao de controle as demais funcoes recebem informacoes de retroalimentacao para aumentar a probabilidade de que os resultados planejados sejam atingidos
da melhor maneira.
3.1.1.1
Classificac
ao
Controle Interno
O controle interno faz parte do plano de organizacao da administracao e tem os mesmos objetivos. Ocupa-se essencialmente do processamento de informacoes que retroalimentem a funcao de direcao, concorrendo para a correta tomada de decisoes; coexiste com
as demais funcoes da administracao e com elas, por vezes, se confunde, sendo cada qual
indispensavel para o funcionamento do sistema que formam, de tal maneira que a falha
em uma delas pode prejudicar o funcionamento de todo o conjunto.
Almeida (1996) define o conceito de Controle Interno para o universo privado, mas
que pode ser aplicado tambem, por analogia, `a Administracao P
ublica:
O controle interno representa em uma organizac
ao o conjunto de procedimentos, metodos ou rotinas com os objetivos de proteger os ativos,
produzir dados cont
abeis confi
aveis e ajudar a administrac
ao na conduca
o ordenada dos neg
ocios da empresa.
3.1.2
10
Finalidades
11
Controladoria-Geral da Uni
ao
3.2 Gest
ao da Seguranca da Informac
ao
12
3.1.3
Fundamentac
ao Legal
3.2
Gest
ao da Seguranca da Informac
ao
3.2 Gest
ao da Seguranca da Informac
ao
3.2.1
13
Informac
ao
A informacao e o dado com uma interpretacao logica ou natural dada a ele por seu
usuario (REZENDE; ABREU, 2000). Constitui um ativo que, como qualquer outro ativo
importante, e essencial para os negocios de uma organizacao. A sua importancia e o nvel
de interconectividade atuais expoem a informacao a um crescente n
umero e a uma grande
variedade de ameacas e vulnerabilidades.
A informacao pode existir em diversas formas. Impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletronicos, apresentada em
filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio atraves do
qual a informacao e compartilhada ou armazenada, e recomendado que ela seja sempre
protegida adequadamente.
Independentemente da forma como as informacoes sao representadas, elas percorrem
um ciclo de vida que pode ser definido por quatro fases (SEMOLA
, 2003):
lada a informacao deve seguir um caminho, por exemplo: gravacao em uma mdia,
preservacao em um armario de arquivo ou deposito em gaveta para eventos futuros.
Transporte: seguido do armazenamento esta fase representa o instante em que a
informacao e encaminhada, seja via e-mail, fax, ou mesmo uma informacao confidencial que deve ser remetida pelo telefone.
Descarte: este e o momento do destino que a informacao ir
a tomar, seja para a
lixeira (material impresso), ou entao um arquivo que vai ser excludo do computador,
alem de outros.
O controle da informacao e um fator de sucesso crtico para os negocios e sempre teve
fundamental importancia para as corporacoes do ponto de vista estrategico e empresarial (SYNNATT, 1987). Dispor da informacao correta, na hora adequada, significa tomar
uma decisao de forma agil e eficiente. Com a evolucao das tecnologias e dos sistemas, a
informacao ganhou mobilidade, exigiu estrategias de inteligencia competitiva e se incorporou definitivamente aos processos de gestao. Por essas razoes deve ser administrada em
seus particulares, diferenciada e salvaguardada (LAUREANO, 2007).
3.2 Gest
ao da Seguranca da Informac
ao
3.2.2
14
Classificac
ao das Informac
oes
qualquer que seja, ainda sera menor que o custo de nao dispor dela adequadamente. E
importante classificar a informacao em nveis de prioridade, respeitando a necessidade de
cada empresa assim como a importancia da classe de informacao para a manutencao das
atividades da empresa. Ferreira (FERREIRA; ARAuJO, 2006) apresenta uma classificacao
segundo o grau de importancia dividida em tres grupos:
Informa
co
es P
ublicas: sua divulgacao e livre. Nao exige controle. Por exemplo:
que sua divulgacao pode vir a causar prejuzos na empresa. Devem ser armazenadas
em locais de maxima protecao, trancado e com acesso restrito. Quando elas estiverem contidas em meios eletronicos, e imprescindvel que sejam utilizados meios
seguros para seu armazenamento, de preferencia equipados com programas criptograficos e senhas de acesso. Por exemplo: contratos, senhas, balancos, dados
cadastrais de clientes e funcionarios e informacoes que devem ser protegidas por
obrigatoriedade legal.
Entretanto, independentemente da relevancia ou tipo da informacao, a gestao dos
dados organizacionais e estrategica, pois possibilita o apoio para a tomada de decisoes
em qualquer ambito institucional. Algumas informacoes sao centrais para organizacao
e a divulgacao parcial ou total destas pode alavancar um n
umero de repercussoes cuja
complexidade pode ser pouco ou nada administravel pela organizacao com conseq
uencias
possivelmente nefastas.
O conceito de engenharia da informacao - que e um conjunto empresarial de disciplinas
automatizadas, dirigido ao fornecimento da informacao correta para a pessoa certa no
3.2 Gest
ao da Seguranca da Informac
ao
15
tempo exato (MARTIN, 1991; FELICIANO NETO; FURLAN; HIGO, 1988) - ja demonstrava a
importancia da seguranca da informacao para as instituicoes.
Conforme Crosby (1992), a qualidade dos processos custa dinheiro, mas a falta dela
custa muito mais. Estabelecendo uma analogia, a seguranca custa dinheiro mas a sua
ausencia podera custar muito mais.
3.2.3
Seguranca da Informac
ao
3.2 Gest
ao da Seguranca da Informac
ao
16
operacao ou servico que modificou ou criou uma informacao; Nao e possvel negar
o envio ou recepcao de uma informacao ou dado;
Legalidade - Garante a legalidade (jurdica) da informacao; Aderencia de um sis-
tema `a legislacao; Caracterstica das informacoes que possuem valor legal dentro de
um processo de comunicacao, onde todos os ativos estao de acordo com as clausulas
contratuais pactuadas ou a legislacao poltica institucional, nacional ou internacional
vigentes.
Privacidade - Foge do aspecto de confidencialidade, pois uma informacao pode
ser considerada confidencial, mas nao privada. Uma informacao privada deve ser
vista / lida / alterada somente pelo seu dono. Garante ainda, que a informacao
nao sera disponibilizada para outras pessoas (neste caso e atribudo o carater de
a capacidade de um usuario realizar acoes em
confidencialidade a informacao); E
um sistema sem que seja identificado.
Auditoria - Rastreabilidade dos diversos passos que um neg
ocio ou processo reali-
3.2.4
Seguranca da Informac
ao na Administrac
ao P
ublica Federal
A seguranca da informacao vem ganhando espaco nas agendas das organizacoes. Apesar disso, o cenario ainda e tmido na Administracao P
ublica Federal como revela pesquisa recente do Tribunal de Contas da Uniao (TCU). Cerca de 330 orgaos/entidades
3.2 Gest
ao da Seguranca da Informac
ao
17
18
tinuidade do negocio (PCN). Esse dado aponta para a falta de cultura acerca de
continuidade de negocios. Isso constitui um alto risco para a seguranca das informacoes tratadas por essas instituicoes governamentais, ao deixa-las vulneraveis `a
perda ou ao comprometimento de informacoes em caso de interrupcao de servicos
por causas naturais ou intencionais.
Apesar das diversas praticas e projetos de seguranca da informacao adotados no ambito do governo, percebe-se que a Administracao P
ublica Federal ainda nao criou uma
cultura de seguranca da informacao em seus processos de trabalho. Mesmo os controles
mais basicos de seguranca nao sao implementados pelos orgaos. Em razao disso, uma serie de medidas, desde iniciativas de conscientizacao e treinamento ate mesmo auditorias,
devem ser empreendidas ou reforcadas para reverter esse quadro.
A pesquisa conclui dizendo que esses resultados delineiam um cenario no qual o auditor
de TI tem papel fundamental no incentivo `a governanca da seguranca de informacao
por meio da indicacao de controles para apoiar estruturas e processos organizacionais
com vistas `a protecao das informacoes, tendo como referencia modelos apropriados (TCU,
2008).
Nesse contexto, como forma de encaminhamento, o trabalho do TCU finaliza com
recomendacao ao Gabinete de Seguranca Institucional da Presidencia da Rep
ublica, ao
Conselho Nacional de Justica e ao Conselho Nacional do Ministerio P
ublico que promovam
acoes com objetivo de disseminar a importancia do gerenciamento da seguranca da informacao e induzir, mediante orientacao normativa, os orgaos/entidades da Administracao
P
ublica Federal a realizarem acoes para implantacao e/ou aperfeicoamento dos controles
mencionados no questionario.
3.3
Trabalhos Correlatos
19
Existem varias normas internacionais tratando do assunto. Dentre elas, destacase a famlia de normas ISO/IEC 27000 que trata do tema especfico de seguranca da
informacao. Para citar as mais utilizadas, a ISO/IEC 27001:2005 define os requisitos para
um Sistema de Gestao de Seguranca da Informacao e a ISO/IEC 27002 expoe o codigo
de pratica para a gestao da seguranca da informacao (ABNT, 2005). Esta prevista para o
ano de 2009 a publicacao da norma ISO/IEC 27007 que especificara os requisitos e o guia
para auditoria e certificacao de um sistema de gestao da seguranca da informacao.
A quase totalidade dos trabalhos em gestao da seguranca da informacao baseia-se
nessas normas ISO/IEC, especialmente na ISO/IEC 27002. Souto, Silva e Lima (2006)
apresentam um estudo da norma e propoem maneiras de se aplica-la no ambiente empresarial. Entretanto o foco e bastante direcionado para os aspectos tecnicos. Mota (2006)
faz um trabalho similar dando enfase apenas `a parte de seguranca fsica. Varios outros
trabalhos seguem essa linha, sugerindo adaptar os procedimentos e modelos da norma
para simplificar a tarefa de desenvolver um sistema de seguranca (HOLT, 2006; SALEH;
ALRABIAH; BAKRY, 2007; BERGHEL, 2007).
Alem disso, varios orgaos, do Brasil e exterior, publicam documentos com recomendacoes para a gestao da seguranca da informacao. O Tribunal da Contas da Uniao (TCU)
disponibiliza em seu site manual com boas praticas (TCU, 2007), relacionando acordaos e
decisoes do Tribunal sobre seguranca de tecnologia da informacao. O National Institute
of Standards and Technology (NIST), orgao de tecnologia do governo americano, mantem
publicacao que agrega um conjunto de informacoes relacionadas `a seguranca (NIST, 1995),
inclusive contemplando conceitos de trilhas de auditoria. Entretanto, a auditoria nesse
contexto e focada no sentido de atividade forense - de percia, investigacao e elaboracao
de prova legal, diferentemente do objetivo das auditorias realizadas pela CGU, que e de
assessoramento ao gestor p
ublico.
Existem tambem na literatura, algumas normas e guias que tratam da gestao de
tecnologia da informacao de forma ampla. Apesar de nao serem especficos quanto `a
questao da seguranca, trazem recomendacoes de que e necessario proteger a integridade
o caso do Cobit -Control Objectives for Information
das informacoes das organizacoes. E
and related Technology, editado pelo ISACA - Information Systems Audit and Control
Foundation (ISACA, 2007); do ITIL - Information Technology Infrastructure Library, sob
custodia da OGC (Office for Government Commerce) da Inglaterra (OGC, 2007); e tambem
do Guidance on Monitoring Internal Control Systems, publicado pelo COSO - Committee
of Sponsoring Organizations of the Treadway Commission (COSO, 2007).
3.4 Resumo
20
Por fim, o Governo Federal tambem possui regulamentos proprios que versam sobre
seguranca da informacao. O mais importante deles e o Decreto 3.505/2000 que instituiu
a Poltica de Seguranca da Informacao nos orgaos e entidades da Administracao P
ublica
Federal (BRASIL, 2000). Corresponde `a definicao de seguranca da informacao, primeiro
passo para que o assunto fosse colocado em pauta e posto em discussao. Outras normas
a seguiram, como a Medida Provisoria n 2.200-2/2001 que instituiu a Infra-Estrutura de
Chaves P
ublicas Brasileira - ICP-Brasil e o Decreto n 4.553/2002 que dispoe sobre a salvaguarda de dados, informacoes, documentos e materiais sigilosos, entre outras (BRASIL,
2001b; BRASIL, 2002). Recentemente o Gabinete de Seguranca Institucional da Presidencia da Rep
ublica editou a IN GSI n 1/2008 disciplinando a Gestao da Seguranca da
Informacao e Comunicacoes na APF (BRASIL, 2008).
3.4
Resumo
Este captulo descreveu os conceitos basicos que serao utilizados no decorrer desta
monografia: o conceito de controle e a especificacao de controle interno, a organizacao do
Sistema de Controle Interno do Poder Executivo Federal e suas atribuicoes constitucionais;
os conceitos de informacao e de seguranca da informacao; um panorama do grau de
implementacao de controle de seguranca da informacao nos orgaos da Administracao
P
ublica Federal. Alem disso, o captulo ainda apresentou alguns trabalhos correlatos que
tratam de controle interno e normas de seguranca da informacao.
O proximo captulo descreve detalhadamente o processo de auditoria executado pelos
orgaos de controle. Entender esse processo e importante para se identificar as oportunidades de aplicacao da norma de seguranca da informacao como forma de complementa-lo.
21
4.1
Ac
oes de Controle
A atuacao da CGU esta baseada na execucao de acoes de controle. Por meio dessas
acoes a CGU, como orgao central do Sistema de Controle Interno, exerce o controle sobre
a atuacao dos orgaos do Poder Executivo Federal (BRASIL, 2001a).
Basicamente a atuacao de cada orgao de governo se concentra na execucao das polticas p
ublicas que estao sob sua responsabilidade. De forma simplificada o ciclo das polticas
p
ublicas se inicia pela aprovacao do Orcamento da Uniao o qual, por sua vez, apresenta
os recursos organizados segundo a classificacao orcamentaria em Programas, que serao
divididos em Acoes. Para as situacoes em que nao existam classificacoes orcamentarias
especficas, utiliza-se o artifcio de criar a figura das programacoes, analogas aos programas, e que, tambem de forma analoga `as Acoes, sao divididas em Modulos-Tipo. Essa
classificacao e importante, pois define a unidade sobre a qual se executa os procedimentos
4.1 Ac
oes de Controle
22
de controle.
Nesse contexto, as acoes de controle visam verificar os controles implementados pelos
orgaos que suportam a gestao de seus Programas e Acoes. Possibilita tambem que o orgao
central monitore a evolucao da gestao p
ublica e identifique oportunidades de melhoria e
recomende as modificacoes necessarias.
Toda acao de controle possui dois momentos distintos: o planejamento e a execucao.
A figura 2 ilustra os momentos de uma acao de controle e a correspondente seq
uencia de
etapas.
23
atividade de hieraquizacao.
O processo de uma acao de controle nao e apresentado dessa forma nos normativos,
restringindo-se apenas `a descricao textual esparsa das etapas e de alguns dos produtos
gerados. Entretanto, para favorecer a compreensao de como se processa uma acao de
controle, que e essencial para os propositos desta pesquisa, organizou-se o processo da
acao de controle no diagrama da figura 2 que evidencia o fluxo de etapas e sua associacao
com os produtos gerados. As proximas secoes detalharao todas as etapas da acao de
controle com a caracterizacao dos produtos desenvolvidos em cada uma delas.
4.2
Planejamento das Ac
oes de Controle
O planejamento das acoes de controle tem o objetivo de favorecer o estudo das Acoes
de cada Ministerio, a percepcao das principais areas de atuacao e pauta poltica especfica,
a compreensao sobre o funcionamento dos Programas e respectivas Acoes ou equivalentes,
bem como avaliar as unidades responsaveis pelas diferentes etapas do processo gerencial de
implementacao das Polticas P
ublicas. A partir desse conjunto de informacoes e possvel
tracar a estrategia mais adequada para avaliar os controles internos e sua efetividade no
alcance dos objetivos estipulados para os orgaos.
O planejamento das acoes de controle deve observar os procedimentos e seq
uencia
abaixo:
1. Mapear as polticas p
ublicas afetas a cada ministerio ou orgao equivalente, com
identificacao dos macro-objetivos, dos recursos previstos, dos agentes responsaveis
e interfaces, de modo a evidenciar a importancia estrategica, de cada uma delas,
inclusive em relacao ao projeto global de governo;
2. Hieraquizar programas/programacoes governamentais, baseado em criterios polticos e estrategicos definidos, bem como riscos baseados em materialidade, relevancia
e criticidade. Na conformacao atual da classificacao orcamentaria, esse exerccio de
hierarquizacao se faz em nvel de Programa por ser esse o que apresenta, em geral,
a definicao consistente de limites e abrangencia;
3. Mapear as A
c
oes que se vinculam aos Programas hierarquizados na etapa anterior;
4. Hierarquizar A
c
oes de cada Programa, segundo criterios definidos com bases
estrategicas;
24
5. Detalhar as Aco
es priorizadas elaborando o Relatorio de Situacao dessas Acoes
com as informacoes pertinentes `a sua execucao;
6. Para cada Acao selecionada identificar os pontos crticos e frageis capazes de
impactar a execucao e a definicao da abordagem de controle a ser adotada; e
7. Elaborar o Plano Operacional de cada divisao de trabalho definida na abordagem da Acao, com identificacao das acoes de controle a serem realizadas, definicao
de instrumentos e do perodo de realizacao dos trabalhos.
As secoes seguintes detalham as etapas mais relevantes do processo de planejamento
das acoes de controle.
4.2.1
Hierarquizar Programas
A hierarquizacao trata de classificar os Programas/Programacoes, segundo a percepcao do controle, em Essenciais, Relevantes e Coadjuvantes. A percepcao do controle resulta da aplicacao de criterios de importancia poltico-estrategica aos Progra ao, sendo ainda consideradas as variaveis
mas/Programacoes sob responsabilidade do Org
de materialidade e criticidade.
Devido `as suas proprias caractersticas, os Programas/Programacoes de classificacao
Essencial sao em geral objeto de controle sistematico, com a mais elevada concentracao
de atencao por parte do Controle. Embora sempre presente, face `as limitacoes de recursos
e menores taxas de impacto e/ou risco, as acoes do Controle serao menos intensas nos
Programas/Programacoes governamentais classificadas como Relevantes e Coadjuvantes.
O Controle Sistem
atico tem como premissa a existencia de um processo detalhado
de planejamento como base para deflagracao das acoes de controle. O planejamento adotado pressupoe obrigatoriamente o conhecimento amplo do problema, a definicao de uma
estrategia de atuacao focada nos pontos crticos do processo de execucao e o estabelecimento de cronologias, formas e instrumentos de atuacao capazes de garantir um padrao
de cobertura e seguranca compatveis com as caractersticas e especificidades do objeto
controlado.
O Controle Assistem
atico trata das excepcionalidades, caracterizadas como questoes pontuais e agudas, tpicas de den
uncias ou solicitacoes de autoridades, ou aspectos
que, por qualquer razao, o Sistema de Controle Interno entenda necessario averiguar, ou,
25
4.2.2
Detalhar Ac
oes
O detalhamento das Acoes deve ser documentado por meio de Relatorio de Situacao
que apresenta uma descricao sumaria do objeto de interesse e informes sobre o exerccio
anterior e o exerccio atual. Os elementos de informacao apresentados no Relatorio oferecem as condicoes para definir a estrategia de atuacao e, a partir dela, estabelecer as acoes
de controle que serao desenvolvidas.
O Relatorio de Situacao apresenta informacoes extradas em sua maior parte das Leis
de Orcamento Anual, de Diretrizes Orcamentarias, do Plano Plurianual de Investimento
e dos sistemas estruturadores do governo.
4.2.3
Os principais pontos crticos das Acoes governamentais sob enfoque sao registrados
no Plano Estrategico que deve ser elaborado a partir do conhecimento detalhado da Acao.
Pontos crticos sao os pontos cruciais da trajetoria de desenvolvimento da Acao,
indispensaveis e essenciais `a viabilizacao das atividades e objetivos colimados. Na identificacao dos pontos crticos, deve-se trabalhar com o fluxo de processos, os agentes e as
interacoes entre eles. Os pontos crticos nao sao necessariamente fragilidades no processo
de execucao da Acao. Caso apresentem fragilidades, essas devem ser observadas como
impacto negativo sobre o processo. Identificar os pontos crticos e desenvolver hipoteses
sobre as suas possveis fragilidades e riscos de ocorrencia sao atividades cruciais para a
definicao e o planejamento das acoes de controle.
O Plano Estrategico busca definir o que se considera ser a melhor opcao entre as varias
possibilidades diferentes de se controlar a Acao. Assim, devem-se identificar as particoes
em que se dividiu a estrategia de atuacao da Acao para facilitar o seu controle, e, se for
4.3 Execuc
ao das Aco
es de Controle
26
o caso, de que forma elas serao ou nao abordadas nesta fase dos trabalhos. Tais divisoes
podem corresponder a regioes geograficas, areas tematicas, fases do processo gerencial
de implementacao da acao, ou qualquer outra que seja considerada conveniente. Cada
divisao estabelecida gera um u
nico Plano Operacional especfico a ser detalhado.
4.2.4
4.3
Execuc
ao das Ac
oes de Controle
4.3 Execuc
ao das Aco
es de Controle
4.3.1
27
Auditoria
Classificac
ao
As auditorias realizadas no ambito do Sistema de Controle Interno podem ser classificadas nos seguintes grupos:
Auditoria de Avalia
c
ao da Gest
ao: objetiva emitir opiniao com vistas a certifi-
de gestao, com o objetivo de se atuar em tempo real sobre os atos efetivos e os efeitos
potenciais positivos e negativos de uma unidade ou entidade federal, evidenciando
melhorias e economias existentes no processo ou prevenindo gargalos ao desempenho
da sua missao institucional;
4.3 Execuc
ao das Aco
es de Controle
28
Auditoria Cont
abil: compreende o exame dos registros e documentos e na co-
tes, de natureza incomum ou extraordinaria, sendo realizadas para atender determinacao expressa de autoridade competente. Classificam-se nesse tipo os demais
trabalhos auditoriais nao inseridos em outras classes de atividades.
4.3.1.2
Formas de Execuc
ao
1. Direta - trata-se das atividades de auditoria executadas diretamente por servidores em exerccio nos orgaos e unidades do Sistema de Controle Interno do Poder
Executivo Federal
2. Indireta - trata-se das atividades de auditoria executadas com a participacao de
servidores nao lotados nos orgaos e unidades do Sistema de Controle Interno do
Poder Executivo Federal, que desempenham atividades de auditoria em quaisquer
instituicoes da Administracao P
ublica Federal ou entidade privada
3. Simplificada - trata-se das atividades de auditoria realizadas, por servidores em
aos Central, setoriais, unidades regionais ou setoriais do Sistema de
exerccio nos Org
Controle Interno do Poder Executivo Federal, sobre informacoes obtidas por meio
de exame de processos e por meio eletronico, especfico das unidades ou entidades
federais, cujo custo-benefcio nao justifica o deslocamento de uma equipe para o
orgao.
4.3 Execuc
ao das Aco
es de Controle
4.3.1.3
29
Procedimentos e t
ecnicas
4.3.2
Fiscalizac
ao
A fiscalizacao e uma tecnica de controle que visa a comprovar se o objeto dos programas de governo existe, corresponde `as especificacoes estabelecidas, atende `as necessidades
4.4 Resumo
30
para as quais foi definido e guarda coerencia com as condicoes e caractersticas pretendidas
e se os mecanismos de controle administrativo sao eficientes.
O ato de fiscalizar e a aplicacao do conjunto de procedimentos que permitam o exame
dos atos da Administracao P
ublica, visando avaliar a execucao de polticas p
ublicas,
atuando sobre os resultados efetivos dos programas do Governo Federal.
A finalidade basica da fiscalizacao e avaliar a execucao dos programas de governo
elencados ou nao nos orcamentos da Uniao e no Plano Plurianual.
Os procedimentos, tecnicas e as formas de execucao empregadas na fiscalizacao se
assemelham `aquelas aplicadas para a auditoria. A diferenca substancial entre auditoria
e fiscalizacao se concentra na questao do objetivo. Enquanto a auditoria se concentra no
exame dos controles e no aperfeicoamento da gestao, a fiscalizacao se incumbe de verificar
os produtos gerados quando da execucao das polticas p
ublicas.
4.4
Resumo
31
A norma NBR ISO/IEC 27002 faz parte da serie de normas NBR ISO/IEC 27000, que
trata de padroes para a area de seguranca da informacao. Em especial, a NBR ISO/IEC
27002 apresenta um codigo de pratica para a gestao da seguranca da informacao.
Segundo a norma, a seguranca da informacao e obtida a partir da implementacao
de um conjunto de controles adequados, incluindo polticas, processos, procedimentos,
estruturas organizacionais e funcoes de software e hardware. Estes controles precisam ser
estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde
necessario, para garantir que os objetivos do negocio e de seguranca da organizacao sejam
atendidos. Convem que isto seja feito em conjunto com outros processos de gestao do
negocio (ANBT, 2007).
Dessa forma, a norma apresenta um conjunto de controles que pode ser implementado
para se atender aos requisitos de seguranca da organizacao. Em geral, esses requisitos
devem ser levantados em uma etapa previa por meio de tecnicas como a analise e avaliacao
de riscos.
O captulo esta organizado da seguinte maneira: a secao 5.1 descreve como a norma foi
concebida; a secao 5.2 detalha a estrutura do documento da norma; a secao 5.3 discute a
necessidade de se levantar os requisitos de seguranca da informacao e a secao 5.4 relaciona
o conjunto de controles da norma.
5.1
Hist
orico
32
em 1995 surge a BS7799 (British Standard 7799), um codigo de boas praticas em seguranca
da informacao. Esse documento foi disponibilizado em duas partes para consulta p
ublica,
a primeira em 1995 e a segunda em 1998 (BSI, 1995; BSI, 1998).
A BS7799-1, primeira parte da norma, contem uma introducao, definicao de extensao
e condicoes principais de uso da norma. A BS7799-2, segunda parte da norma, tem por
objetivo proporcionar uma base para gerenciar a Seguranca da Informacao dos sistemas
das organizacoes.
Em dezembro de 2000, apos incorporar diversas sugestoes e alteracoes, a BS7799-1
ganha status internacional com sua publicacao na forma da ISO/IEC 17799:2000. Em
setembro de 2001, a ABNT homologa a versao brasileira da norma, denominada NBR
ISO/IEC 17799.
Em abril de 2003 uma nova versao da norma revisada e preparada e lancada em 2005.
Ainda em 2005 a ABNT publica a revisao da norma NBR ISO/IEC 17799:2005 (ABNT,
2005).
Em 2007 ocorre a renumeracao da norma para ISO/IEC 27002 sem mudanca significativa do conte
udo. A norma tambem e renumerada no Brasil e hoje vigora a NBR
ISO/IEC 27002 (ANBT, 2007).
5.2
Estrutura da Norma
A norma contem 11 secoes de controles de seguranca da informacao, que juntas totalizam 39 categorias principais de seguranca e uma secao introdutoria que aborda a
analise/avaliacao e o tratamento de riscos.
Cada secao contem um n
umero de categorias principais de seguranca da informacao.
As secoes classificam/dividem os controles em funcao da area tematica de atuacao. Cada
categoria principal de seguranca da informacao contem:
1. um objetivo de controle que define o que deve ser alcancado; e
2. um ou mais controles que podem ser aplicados para se alcancar o objetivo de controle.
A descricao de cada controle na norma esta acompanhada da definicao do controle
propriamente dito, das diretrizes para sua implementacao e, quando apropriado, de informacoes adicionais como, por exemplo, consideracoes legais e referencia a outras normas.
5.3
33
34
5.4
Os controles sao apresentados na norma por area tematica. Essas areas representam
as secoes do documento. Abaixo estao relacionadas as secoes que compoem a norma
com a respectiva quantidade de categorias de controle, o assunto correspondente e um
exemplo de controle para cada secao. Esta tabela e uma adaptacao daquela apresentada
no trabalho de Hanashiro (2007).
Tabela 1: Categorias de controles da norma NBR
ISO/IEC 27002
Se
c
ao
Poltica de Seguranca
(1)
Assunto
Descreve a estrutura do documento de Poltica de Seguranca,
analise crtica e avaliacao
Seguranca Organizaci- Aborda a infra-estrutura de seonal (2)
guranca, o controle de acesso dos
prestadores de servico e o estabelecimento de responsabilidades e caso de terceirizacao
Exemplo de Controle
Documentar poltica de
seguranca da informacao
aprovado pela direcao
Inserir em acordos com terceiros clausulas que garantam os requisitos de seguranca da informacao relevantes
continua na proxima p
agina
35
Seguranca Fsica
Ambiental (2)
Gerenciamento
Operacoes (10)
das
Desenvolvimento
e Manutencao
Sistemas (6)
de
Assunto
Detalha a contabilizacao e o registro de ativos e a classificacao
de informacao
Foca o risco decorrente de atos
intencionais ou acidentais realizados por pessoas. Alem disso,
aborda a inclusao de responsabilidades relativas `a seguranca da
informacao na descricao de cargos, a forma de contratacao e o
treinamento em seguranca
Define areas de seguranca, seguranca dos equipamentos e controles gerais
Aborda procedimentos e responsabilidades operacionais, planejamento e aceitacao dos sistemas, protecao contra softwares
maliciosos, salvamento e recuperacao de dados, gerenciamento
de rede, seguranca e tratamento
de mdias, troca de informacoes
e software
Aborda requisitos do negocio
para controle de acesso, gerenciamento de acessos de usuarios, responsabilidade do usuario, controle de acesso `a rede,
controle de acesso ao sistema
operacional, controle de acesso
`as aplicacoes, monitoracao do
uso e acesso aos sistemas, computacao movel e acesso remoto
Aborda requisitos de seguranca
de sistemas, seguranca de sistemas de aplicacao, controles de
criptografia, seguranca de arquivos do sistema.
Exemplo de Controle
Inventariar ativos importantes
Documentar papeis e responsabilidades pela seguranca da informacao de
funcionarios, fornecedores e
terceiros de acordo com a
poltica de seguranca da informacao
Demarcar permetros de seguranca para proteger areas
que contenham informacoes
e instalacoes de processamento da informacao
Segregar funcoes e areas de
responsabilidades para reduzir oportunidades de modificacao ou uso indevido
nao autorizado ou nao intencional dos ativos da organizacao
Estabelecer e documentar
poltica de controle de
acesso
continua na proxima p
agina
5.5 Resumo
36
Conformidade (3)
5.5
Assunto
Aborda a notificacao de fragilidades e eventos de seguranca da
informacao e a gestao de incidentes de seguranca da informacao e
melhorias.
Aborda processo de gestao, continuidade de negocio e analise
de impacto, documentacao e implementacao do plano de continuidade, estrutura do plano de
continuidade dos negocios, testes, manutencao e reavaliacao
dos planos de continuidade.
Aborda a necessidade de conformidade com requisitos legais,
analise crtica da poltica de seguranca e da conformidade tecnica, consideracoes quanto `a auditoria de sistemas.
Exemplo de Controle
Relatar os eventos de seguranca da informacao atraves dos canais apropriados o
mais rapidamente possvel
Desenvolver planos para a
manutencao ou recuperacao
das operacoes apos a ocorrencia de interrupcoes ou falhas dos processos crticos
do negocio
Verificar periodicamente os
sistemas de informacao em
sua conformidade com as
normas de seguranca da informacao implementadas
Resumo
Este captulo apresentou a norma NBR ISO/IEC 27002. Essa norma descreve um
conjunto de controles para serem implementados visando obter seguranca da informacao
nas instituicoes.
O proximo captulo apresenta proposta de cenario para incorporacao da norma NBR
ISO/IEC 27002 ao processo de auditoria governamental utilizado pelo Sistema de Controle
Interno.
37
6.1
Cen
ario
O cenario proposto neste captulo consiste em identificar no processo regular de auditoria governamental oportunidades para insercao dos conceitos de seguranca, especialmente
os controles da norma NBR ISO/IEC 27002. Para tanto, convem relembrar o processo
de uma acao de controle detalhado no captulo 4. Para privilegiar a didatica, as etapas
foram reunidas em tres grupos:
1. Levantar informa
co
es sobre as polticas p
ublicas de Governo - Visa subsidiar
estudo dos programas e acoes implementados pela Administracao P
ublica Federal
com o intuito de se priorizar aquelas que serao objeto de verificacao. Abrange as
etapas de i) Mapear Polticas P
ublicas; ii) Hieraquizar Programas; iii) Mapear Ac
oes
e iv) Hieraquizar Ac
oes
6.1 Cen
ario
38
2. Planejar as aco
es de verifica
c
ao - Representa o conjunto de etapas responsavel pela definicao da estrategia de verificacao dos programas e acoes selecionados/priorizados nas etapas anteriores. As seguintes etapas fazem parte desse grupo:
i) Identificar Pontos Crticos e ii) Elaborar Plano Operacional
3. Executar as verifica
c
oes - Significa selecionar a tecnica de controle mais adequada, auditoria ou fiscalizacao, para os propositos previstos no planejamento da
acao de controle e executar os trabalhos de verificacao propriamente ditos.
Importa salientar que os documentos gerados durante o planejamento - Relatorio de
Situacao, o Plano Estrategico e o(s) Planos Operacional(is) tratam, na ordem, de descrever
sumariamente o objeto de interesse, identificar os pontos crticos da Acao governamental enfocada e os seus pontos de controle mais adequados para verificacao. Destaque-se
que um Plano Operacional deve ser elaborado para cada divisao definida na abordagem
do Plano Estrategico de cada Acao e devera consignar os procedimentos definidos para
verificacao e as tecnicas de controle adequadas para realizacao dos exames.
O Plano Operacional sistematiza o trabalho do auditor vez que seleciona os controles
e apresenta o roteiro de como devem ser examinados. Como ja relatado nos captulos anteriores, a norma NBR ISO/IEC 27002 apresenta conte
udo estruturado de forma similar:
objetivos de controle, os controles propriamente ditos e as diretrizes para sua implementacao. Por essa razao, a norma tem a sua maior utilidade exatamente para subsidiar
a elaboracao dos Planos Operacionais das acoes de controle. Os controles apresentados
na norma e as diretrizes de implementacao podem compor, sem grandes adaptacoes, os
Planos Operacionais.
Entretanto, outras partes da norma tambem podem apoiar o processo de acao de
controle. A figura 3 apresenta o cenario proposto de aplicacao da norma ao processo de
acao de controle.
O diagrama da figura 3 apresenta quatro oportunidades de utilizacao da norma no
processo de acao de controle. Sao elas:
Nas etapas de hierarquiza
c
ao (1 e 2 na figura 3) - Os captulos introdu-
6.1 Cen
ario
39
Figura 3: Cenario de utilizacao da norma NBR ISO/IEC 27002 nas acoes de controle
Na etapa de identifica
c
ao dos pontos crticos (3 na figura 3) - De novo a
40
o auditor deve verificar os controles definidos no planejamento (existe um procedimento de auditoria adequado para cada situacao) e ao final emitir um relatorio
com as recomendacoes para o gestor do orgao auditado. As recomendacoes relacionadas aos controles de seguranca da informacao podem se basear nas diretrizes de
implementacao sugeridas pela norma.
6.2
6.3 Aplicac
ao do cen
ario proposto em um caso real
41
Objetivo de Controle
Norma NBR ISO/IEC 27002
item 6.2.3
Identificando seguranca da informacao nos acordos com terceiros
Verificar se os acordos com terceiros envolvendo informacoes da organizacao cobrem todos os requisitos de seguranca da informacao
relevantes
Incluir nos acordos todos os riscos identificados e os requisitos de
seguranca da informacao. Cuidar para que nao haja descontinuidade na prestacao dos servicos e controlar as permissoes de
acesso `as informacoes da organizacao por terceiros
6.3
Aplicac
ao do cen
ario proposto em um caso real
6.3 Aplicac
ao do cen
ario proposto em um caso real
42
Freq
uentemente os orgaos de controle executam auditorias operacionais nos orgaos jurisdicionados (ver secao 4.3.1.1). Essas auditorias verificam os controles internos adotados
para fundamentar a opiniao do Sistema de Controle Interno sobre a gestao governamental
sob os aspectos de eficiencia, eficacia e economicidade.
Como explanado no captulo anterior, o processo se inicia pelo planejamento da Acao
de Controle correspondente. De acordo com o cenario proposto na secao 6.1, a primeira
modificacao nesse processo ocorre na etapa de hierarquizacao. No exemplo em estudo,
os captulos 3 e 4 da norma, que tratam respectivamente do sumario de controles e da
analise, avaliacao e tratamento de riscos, podem auxiliar no processo de priorizacao dos
Programas e Acoes. Por meio desses insumos e possvel acrescentar aos criterios de selecao
Programas e Acoes sensveis `a protecao de informacoes.
O processo segue seu rito tradicional ate a etapa de elaboracao do Plano Operacional.
A segunda modificacao proposta pelo cenario sugere a utilizacao da norma para orientar a
escolha dos pontos de controle a serem verificados. Todos os objetivos de controle podem
ser utilizados para subsidiar essa escolha, o que dependera da meta de verificacao da
auditoria em curso. No exemplo abordado nesta secao, o da gestao patrimonial, a secao 7
da norma denominada Gestao de Ativos e aquela que pode mais contribuir. Dessa forma,
a auditoria pode ser ampliada para estar conforme as praticas de seguranca da informacao,
de acordo com a norma.
Abaixo estao relacionados os procedimentos recomendados tanto pelo Manual do Controle Interno (CORREIA; SPINELLI, 2007), quanto pela secao 7 da norma 27002 no que se
referem `a gestao patrimonial e/ou de ativos.
Manual de Controle Interno
Verificar sistemas de controle patrimonial
Confirmar existencia de ativos inventariados
Verificar bens moveis e imoveis
Verificar meios de transporte
Verificar sistemas de telefonia
Verificar recursos de hardware e software
Verificar registros contabeis dos bens
Tabela 3: Sntese de procedimento de auditoria recomendado pelo Manual de Controle
Interno para gestao patrimonial (CORREIA; SPINELLI, 2007)
Como explicitado pelas tabelas 3 e 4, a norma apresenta tambem o controle de inventario de ativos tal como o Manual de Controle Interno. Entretanto a norma apresenta
adicionalmente a recomendacao de se registrar o proprietario dos ativos, inclusive do
ativo informacao e tambem identificar e documentar as regras para que sejam permitidos
6.4 Resumo
43
Norma 27002
Identificar e inventariar todos os ativos
Designar proprietario para todas as informacoes e ativos associados com os recursos
de processamento da informacao
Identificar, documentar e implementar regras de permissao de uso de informacoes e
ativos associados
Tabela 4: Controles recomendados pela norma NBR ISO/IEC 27002 para gestao de ativos (ANBT, 2007)
o uso de informacoes e de ativos associados aos recursos de processamento da informacao.
Trata-se de uma complementacao importante para estender o escopo da acao de controle
e incluir conceitos de seguranca.
Por fim, o cenario sugere a utilizacao da norma tambem durante a fase de execucao da
acao de controle, ou seja, na auditoria propriamente dita. A norma apresenta os detalhes
de implementacao de cada controle sugerido e dessa forma pode apoiar o auditor no trabalho de verificacao dos controles em campo e tambem na elaboracao das recomendacoes
ao gestor. Inclusive a auditoria operacional tem mesmo o objetivo de assessorar o gestor
p
ublico na implementacao de controles adequados para melhoria da gestao.
Para ilustrar, a tabela 5 demonstra o detalhamento do controle de Inventario de Ativos
que esta proposto na norma.
As diretrizes de implementacao apresentadas na norma constituem fundamento para
que o auditor elabore as recomendacoes ao gestor. Constitui avanco significativo que as
recomendacoes emitidas pelos orgaos de controle interno estejam alinhadas com as normas
amplamente utilizadas na area.
6.4
Resumo
Este captulo apresentou a proposta de cenario para insercao da norma NBR ISO/IEC
27002 no processo de acao de controle. Essa proposta baseou-se na identificacao de oportunidades no processo para utilizacao de elementos da norma que contribussem de forma
a complementar a visao atual de auditoria com os conceitos de seguranca da informacao.
O captulo apresentou ainda um exemplo de aplicacao do cenario proposto em um caso
real de auditoria.
O proximo captulo encerra esta pesquisa apresentando as conclusoes deste trabalho
e futuras extensoes.
6.4 Resumo
44
7.1.1. Invent
ario dos Ativos
Controle
Convem que todos os ativos sejam claramente identificados e um inventario de todos os ativos importantes seja
estruturado e mantido.
Diretrizes para implementa- Convem que a organizacao identifique todos os ativos e
cao
documente a importancia destes ativos. Convem que o
inventario do ativo inclua todas as informacoes necessarias que permitam recuperar de um desastre, incluindo
o tipo do ativo, formato, localizacao, informacoes sobre
copias de seguranca, informacoes sobre licencas e a importancia do ativo para o negocio. Convem que o inventario nao desnecessariamente, porem ele deve assegurar
que o seu conte
udo esta coerente.
Informacoes adicionais
Existem varios tipos de ativos, incluindo:
ativos de informacao: base de dados e arquivos,
contratos e acordos, documentacao de sistema, informacoes sobre pesquisa, manuais de usuario, material de treinamento, procedimentos de suporte
ou operacao, planos de continuidade do negocio,
procedimentos de recuperacao, trilhas de auditoria e informacoes armazenadas;
ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitarios;
ativos fsicos: equipamentos computacionais, equipamentos de comunicacao, mdias removveis e outros equipamentos;
servicos: servicos de computacao e comunicacoes,
utilidades gerais, por exemplo aquecimento, iluminacao, eletricidade e refrigeracao;
pessoas e suas qualificacoes, habilidades e experiencias;
intangveis, tais como a reputacao e a imagem da
organizacao.
45
Conclusoes e Extensoes
7.1
Contribuic
oes
7.2 Extens
oes
46
estreita correlacao entre procedimentos existentes e aqueles propostos pela norma NBR
ISO/IEC 27002 o que permite observar que o Sistema de Controle Interno, mesmo sem
referencia explcita `a norma em estudo, executa auditorias tambem sobre controles apresentados por ela.
Atraves de estudo minucioso dos processos de acoes de controle, foi possvel identificar
as etapas onde a norma consegue agregar conhecimento de forma mais efetiva. Os controles
sugeridos pela norma podem se adequar sem maiores adaptacoes ao conjunto de controles
recomendados atualmente nas atividades de auditoria.
A auditoria representa instrumento extremamente u
til para diagnosticar e aperfeicoar
os atos de gestao. As recomendacoes expedidas como resultado de auditorias tem um papel
importante para o fortalecimento da governanca na Administracao P
ublica, sobretudo pelo
carater didatico e de orientacao ao gestor p
ublico. Atraves delas, os gestores recebem a
retroalimentacao essencial para o processo de administracao das polticas p
ublicas.
Importa consignar tambem o papel do Sistema de Controle Interno como apoiador do
controle externo. Os casos crticos de ineficiencia dos controles internos por negligencia ou
mesmo de forma intencional fazem parte de selecao que deve ser encaminhada aos orgaos
de controle externo, instancia com competencia para responsabilizar os atos de descaso no
trato do patrimonio p
ublico. O gestor e obrigado a gerir de forma adequada os recursos
provenientes dos cofres p
ublicos e isso inclui a necessidade de implementar controles de
igual forma adequados para garantir a boa gestao.
As principais contribuicoes deste trabalho foram:
1. Descrever o processo de auditoria empregado pelo Sistema de Controle Interno do
Governo Federal;
2. Descrever a norma NBR ISO/IEC 27002 que apresenta codigo de pratica para a
gestao da seguranca da informacao;
3. Propor cenario de aplicacao da norma NBR ISO/IEC 27002 no processo de auditoria
do Sistema de Controle Interno do Governo Federal.
7.2
Extens
oes
Diversas extensoes podem ser proposta a partir desta pesquisa. Dentre elas, podemos
citar:
7.2 Extens
oes
47
norma NBR ISO/IEC 27002. Existem varias outras normas que tratam de seguranca
da informacao e de frameworks de governanca. Seria u
til tambem incorpora-las ao
processo de analise dos sistemas de controle interno;
Desenvolver ferramentas de auxlio `a aplicacao da norma em trabalhos de auditoria
48
Referencias
ALBUQUERQUE, R.; RIBEIRO, B. Seguranca no Desenvolvimento de Software
Como desenvolver sistemas seguros e avaliar a seguranca de aplicac
oes desenvolvidas
com base na ISO 15.408. Rio de Janeiro: Editora Campus, 2002.
ALMEIDA, M. C. Auditoria um curso moderno e completo. Sao Paulo: Atlas, 1996.
BRASILEIRA DE NORMAS TECNICAS
ASSOCIAC
AO
(ABNT). Tecnologia da
Informac
ao - Codigo de pratica para a gest
ao da seguranca da informac
ao: NBR
ISO/IEC 17799:2005. Rio de Janeiro, 2005.
BRASILEIRA DE NORMAS TECNICAS
ASSOCIAC
AO
(ABNT). Tecnologia da
Informac
ao - Codigo de pratica para a gest
ao da seguranca da informac
ao: NBR
ISO/IEC 27002. Rio de Janeiro, 2007.
BERGHEL, H. Better-than-nothing security practices. Communications of ACM, 2007.
BRASIL. Constituic
ao da Rep
ublica Federativa do Brasil. Brasil, 1988.
BRASIL. Decreto n 3.505, de 13 de junho de 2000 : Institui a poltica de seguranca da
informacao nos orgaos e entidades da administracao p
ublica federal. Brasil, 2000.
BRASIL. Instruc
ao Normativa SFC n 1, de 6 de abril de 2001 : Define diretrizes,
princpios, conceitos e aprova normas tecnicas para a atuacao do sistema de controle
interno do poder executivo federal. Brasil, 2001.
BRASIL. Medida Provis
oria n 2.200-2, de 24 de agosto de 2001 : Institui a infraestrutura de chaves p
ublicas brasileira ICP-Brasil, transforma o Instituto Nacional de
Tecnologia da Informacao em autarquia, e da outras providencias. Brasil, 2001.
BRASIL. Decreto n 4.553, de 27 de dezembro de 2002 : Dispoe sobre a salvaguarda
de dados, informacoes, documentos e materiais sigilosos de interesse da seguranca
da sociedade e do estado, no ambito da administracao p
ublica federal, e da outras
providencias. Brasil, 2002.
BRASIL. Instruc
ao Normativa GSI n 1, de 13 de junho de 2008 : Disciplina a gestao
de seguranca da informacao e comunicacoes na administracao p
ublica federal, direta e
indireta, e da outras providencias. Brasil, 2008.
BRITISH STANDARDS INSTITUTION (BSI). Information security management. Code
of practice for information security management systems: BS 7799-1:1995. Inglaterra,
1995.
BRITISH STANDARDS INSTITUTION (BSI). Information security management. Code
of practice for information security management systems: BS 7799-2:1998. Inglaterra,
1998.
Referencias
49
Referencias
50
SEMOLA,
M. Gest
ao da seguranca da informac
ao: uma visao executiva. Rio de Janeiro:
Elsevier, 2003.
SILVA, L. M. Contabilidade Governamental: um Enfoque Administrativo. Sao Paulo:
Atlas, 2004.
SOUTO, C. C.; SILVA, M. A.; LIMA, W. D. Estudo e Aplicac
ao da Norma NBR
ISO/IEC 17799:2005 em Seguranca da Informac
ao. Dissertacao (Trabalho Final de
Curso) UNIEURO Centro Universitario, Braslia, 2006.
SYNNATT, W. R. The Information Weapon Winning Customers and Markets with
Technology. Estados Unidos: Editora John Wiley Sons, 1987.
TAYLOR, F. W. Princpios de Administrac
ao Cientfica. Sao Paulo: Atlas, 1995.
TIPTON, H. F.; KRAUSE, M. Information Security Management Handbook. 5. ed.
Estados Unidos: Auerbach Publications, 2005.
(TCU). Boas praticas em seguranca da
TRIBUNAL DE CONTAS DA UNIAO
informac
ao. 2. ed. Braslia, 2007.
Referencias
51
(TCU). Situac
TRIBUNAL DE CONTAS DA UNIAO
ao da Governanca de Tecnologia
da Informac
ao - TI na Administrac
ao P
ublica Federal : Acordao n 1603/2008 TCU
plenario. Braslia, 2008.
VIEIRA, C. O controle interno nas camaras municipais, segundo a lei de responsabilidade
fiscal. BNDES, 2008. Disponvel em: <http://www.bndes.gov.br/clientes/federativo/bf bancos/e0001565.pdf>. Acesso em: 08/09/2008.
WADLOW, T. Seguranca de Redes. Rio de Janeiro: Editora Campus, 2000.