Auditoria de Sistemas Informatizados PDF

Universidade do Sul de Santa Catarina
Auditoria de Sistemas
Informatizados
Disciplina na modalidade a distncia
Palhoa
UnisulVirtual
2007
auditoria_de_sistemas_informatiz1 1
22/12/2006 12:17:00
22/12/2006 12:17:04
Apresentao
Parabns, voc est recebendo o livro didtico da disciplina
Auditoria de Sistemas Informatizados.
O processo de ensino e aprendizagem na UnisulVirtual leva
em conta instrumentos que se articulam e se complementam,
portanto, a construo de competncias se d sobre a articulao
de metodologias e por meio das diversas formas de ao/
mediao.
So elementos desse processo:
O livro didtico;
O EVA (Espao UnisulVirtual de Aprendizagem);
Atividades de avaliao (complementares, a distncia e

presenciais).
Os materiais didticos foram construdos especialmente para

este curso, levando em considerao o seu perl e as necessidades
da sua formao. Como os materiais estaro, a cada nova
verso, recebendo melhorias, pedimos que voc encaminhe suas
sugestes, sempre que achar oportuno, via professor tutor ou
monitor.
Recomendamos que antes de voc comear os seus estudos,
verique as datas-chave e elabore o seu plano de estudo pessoal,
garantindo assim a boa produtividade no curso. Lembre-se:
voc no est s nos seus estudos. Conte com o Sistema Tutorial
da UnisulVirtual sempre que precisar de ajuda ou alguma
orientao.
Desejamos que voc tenha xito neste curso!
Equipe UnisulVirtual
22/12/2006 12:17:04
22/12/2006 12:17:04
Ablio Bueno Neto

Davi Solonca
Auditoria de Sistemas
Informatizados
Livro didtico
Design instrucional
Dnia Falco de Bittencourt
Viviane Bastos
3 edio
Palhoa
UnisulVirtual
2007
22/12/2006 12:17:05
Copyright UnisulVirtual 2007

N enhum a parte desta publicao pode ser reproduzida por qualquer m eio sem a prvia autorizao desta instituio.
005.8
B94 Bueno Neto, Ablio
Auditoria de sistemas informatizados : livro didtico / Ablio Bueno Neto, Davi
Solonca ; design instrucional Dnia Falco de Bittencourt, Viviane Bastos. 3. ed.
Palhoa : UnisulVirtual, 2007.
190 p. : il. ; 28 cm.
Inclui bibliografia.
ISBN 978-85-60694-16-7
1. Sistemas de segurana. 2. Computadores Medidas de segurana. I. Solonca,

Davi. II. Bittencourt, Dnia Falco de. III. Bastos, Viviane. IV. Ttulo.
Ficha catalogrfica elaborada pela Biblioteca Universitria da Unisul
Crditos
Unisul- Universidade do Sulde Santa Catarina
UnisulVirtual- Educao Superiora Distncia
Cam pusUnisulVirtual
Rua Joo Pereira dos Santos, 303
Palhoa - SC- 88130-475
Fone/fax:(48)3279-1541 e
3279-1542
E-m ail:cursovirtual@unisul.br
Site:www.virtual.unisul.br
ReitorUnisul
Gerson LuizJoner da Silveira
Vice-Reitore Pr-Reitor
Acadm ico
Sebastio Salsio Heerdt
Chefe de gabinete da Reitoria
Fabian Martins de Castro
Pr-ReitorAdm inistrativo
Marcus Vincius Antoles da Silva
Ferreira
Cam pusSul
Diretor:Valter Alves Schm itzNeto
Diretora adjunta:Alexandra Orsoni
Cam pusNorte
Diretor:Ailton Nazareno Soares
Diretora adjunta:Cibele Schuelter
Cam pusUnisulVirtual
Diretor:Joo Vianney
Diretora adjunta:Jucim ara Roesler
Ctia Melissa S.Rodrigues (Auxiliar)

Charles Cesconetto
Diva M arlia Flem m ing
Itam ar Pedro Bevilaqua
Janete Elza Felisbino
Jucim ara Roesler
Lilian Cristina Pettres (Auxiliar)
Lauro JosBallock
LuizGuilherm e Buchm ann
Figueiredo
LuizOtvio Botelho Lento
M arcelo Cavalcanti
M auri LuizHeerdt
M auro Faccioni Filho
M ichelle Denise DurieuxLopes Destri
M oacir Heerdt
Nlio Herzm ann
Onei Tadeu Dutra
Patrcia Alberton
Patrcia Pozza
Raulino Jac Brning
Rose Clr E.Beche
Design Grfico
Cristiano Neri Gonalves Ribeiro
(coordenador)
Adriana Ferreira dos Santos
AlexSandro Xavier
Evandro Guedes M achado
Fernando Roberto Dias Zim m erm ann
Higor Ghisi Luciano
Pedro Paulo Alves Teixeira
RafaelPessi
Vilson Martins Filho
Adm inistrao
Renato AndrLuz
Valm ir Vencio Incio
Bibliotecria
Soraya Arruda W altrick
Cerim onialde Form atura
Jackson Schuelter W iggers
Coordenao dosCursos
Adriano Srgio da Cunha
Ana Luisa Mlbert
Ana Paula Reusing Pacheco
Equipe Didtico-Pedaggica
Angelita MaralFlores
Carm en M aria Cipriani Pandini
Caroline Batista
Carolina Hoeller da Silva Boeing
Cristina Klipp de Oliveira
Daniela Erani M onteiro W ill
Enzo de Oliveira Moreira
Flvia Lum i M atuzawa
Karla Leonora Dahse Nunes
Leandro Kingeski Pacheco
Ligia Maria Soufen Tum olo
M rcia Loch
Patrcia Meneghel
Silvana Denise Guim ares

Tade-Ane de Am orim
Vanessa de Andrade M anuel
Vanessa Francine Corra
Viviane Bastos
Viviani Poyer
Logstica de Encontros
Presenciais
Marcia Luzde Oliveira
(Coordenadora)
Aracelli Araldi
Graciele Marins Lindenm ayr
Guilherm e M .B.Pereira
JosCarlos Teixeira
Letcia Cristina Barbosa
Knia Alexandra Costa Herm ann
Priscila Santos Alves
Logstica de M ateriais
Jeferson Cassiano Alm eida da Costa
(coordenador)
Eduardo Kraus
M onitoria e Suporte
Rafaelda Cunha Lara (coordenador)
Adriana Silveira
Caroline M endona
Dyego Rachadel
Edison Rodrigo Valim
Francielle Arruda
Gabriela M alinverni Barbieri
Josiane Conceio Leal
Maria Eugnia Ferreira Celeghin
RachelLopes C.Pinto
Sim one Andra de Castilho
Tatiane Silva
Vincius Maycot Sera.m
Produo Industriale Suporte
Arthur Em m anuelF.Silveira
(coordenador)
Francisco Asp
ProjetosCorporativos
Diane DalM ago
Vanderlei Brasil
Secretaria de Ensino a Distncia
Karine Augusta Zanoni
(secretria de ensino)
Ana Lusa M ittelztatt
Ana Paula Pereira
Djeim e Sam m er Bortolotti
Carla Cristina Sbardella
Franciele da Silva Bruchado
Grasiela Martins
Jam es M arcelSilva Ribeiro
Lam uniSouza
Liana Pam plona
Marcelo Pereira
Marcos Alcides M edeiros Junior
Maria IsabelAragon
Olavo Lajs
Priscilla Geovana Pagani
Silvana Henrique Silva
Vilm ar Isaurino Vidal
Secretria Executiva
Viviane Schalata Martins
Tecnologia
Osm ar de Oliveira BrazJnior
(coordenador)
Ricardo Alexandre Bianchini
Rodrigo de Barcelos M artins
Edio --- Livro Didtico
ProfessoresConteudistas
Ablio Bueno Neto
Davi Solonca
Design Instrucional
Viviane Bastos
Projeto Grfico e Capa
Diagram ao
Vilson M artins Filho
Evandro Guedes Machado
(3edio)
Reviso Ortogrfica
Revisare
Sumrio
Palavras dos professores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 09
Plano de estudo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
UNIDADE
UNIDADE
UNIDADE
UNIDADE
1
2
3
4
Introduo auditoria de sistemas informatizados . . . . . 15

Organizao da auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Poltica de segurana de informaes . . . . . . . . . . . . . . . . . . 81
Plano de contingncia e de continuidade de
negcios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
UNIDADE 5 Auditoria de sistemas informao . . . . . . . . . . . . . . . . . . . . 141
Para concluir o estudo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
Referncias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Sobre os professores conteudistas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
Respostas e comentrios das atividades de auto-avaliao . . . . . . . . . . . . 187
22/12/2006 12:17:05
22/12/2006 12:17:06
Palavras dos professores

A prosso de auditor j existe h um bom tempo, mas
com o passar dos tempos muitas mudanas ocorreram
no mundo dos negcios, fazendo com que a prosso de
auditor tambm sofresse algumas alteraes. O auditor
de sistemas informatizados uma pessoa que acima de
tudo deve estar atenta s novidades de mercado, pois
todos os dias so descobertas novas formas de se invadir
os computadores e redes.
So vrios os desaos que devem ser ultrapassados por
um auditor, pois com os constantes avanos tecnolgicos,
auditar sistemas torna-se cada dia mais difcil.
Um dos objetivos deste livro minimizar de alguma
forma, parte da carncia de informao nesta rea, que
nova, mas desde seu incio muito promissora.
Um dos desaos de se escrever sobre este assunto que
os livros que tratam de segurana de informaes so
muito tcnicos, o que pode dicultar o aprendizado. De
outra parte, os livros que tratam sobre auditoria deixam,
muito a desejar no que diz respeito a atualizaes
tecnologicas. Este desao foi o principal motivador para
se escrever a respeito deste assunto.
Esperamos que este trabalho sirva de fonte de consulta
para auditores iniciantes, para analistas de sistemas
de informao que passaram a ser auditores e para
executivos que pretendem formar a sua equipe de
auditores.
Seja bem-vindo disciplina Auditoria de Sistemas
Informatizados.
22/12/2006 12:17:06
22/12/2006 12:17:06
Plano de estudo
O plano de estudo tem por objetivo orientar voc no
desenvolvimento da disciplina. Ele possui elementos que
o ajudaro a conhecer o seu contexto e a organizar o seu
tempo de estudo.
Ementa da disciplina
Fundamentos. Responsabilidades legais. Classicao
de servios. Procedimentos genricos e especcos
para exames e seus respectivos relatrios e certicados.
Aspectos de auditoria de controle geral, segurana,
aplicaes, desempenho, fraude, uso do sistema e
equipamentos. Pontos de controle e trilhas de auditoria.
Controle pr-operacional, operacional, de processamento
e documental. Relatrio de auditoria de sistemas.
Auditoria computadorizada: validao de valores,
programas especcos de auditoria, vericao lgica dos
programas, monitoria on-line do sistema.
Crditos: 4
Objetivo(s)
Geral
Desenvolver habilidades para realizao de auditoria de
sistemas nos diversos campos de atuao.
Especcos
Estudar os conceitos que envolvem a auditoria.
Conhecer a organizao de um trabalho de

auditoria.
22/12/2006 12:17:06
Conhecer os diversos componentes de uma poltica de

segurana.
Identicar a necessidade e as caractersticas de um plano

de continuidade de negcios.
Identicar os passos necessrios de um trabalho de

auditoria de sistemas de informao.
Agenda de atividades
Verique com ateno o cronograma no EVA e organize-se
para acessar periodicamente o espao das disciplinas cursadas.
Lembre-se que o sucesso nos seus estudos depende da priorizao
do tempo para a leitura, da realizao de anlises e snteses do
contedo e da interao com os seus colegas e professor tutor.
Antes de iniciar a realizao das atividades de avaliao, leia com
ateno os critrios de avaliao apresentados pelo professor tutor
no plano de ensino da disciplina no EVA.
No perca os prazos das atividades. Registre no espao, a seguir,
as datas-chave com base no cronograma disponibilizado no EVA.
12
22/12/2006 12:17:06
Atividades
Avaliao a distncia 1 (AD 1)
Avaliao presencial (AP)
Avaliao nal (AF)
Demais atividades (registro pessoal)
Habitue-se a usar o quadro para agendar e programar as

atividades relativas ao desenvolvimento da disciplina.
13
22/12/2006 12:17:06
14
22/12/2006 12:17:06
UNIDADE 1
Introduo auditoria de
sistemas informatizados
Objetivos de aprendizagem
Ao final desta unidade, voc ter subsdios para:
contextualizar a evoluo dos sistemas computacionais

e da necessidade da segurana da informao.
entender o conceito de auditoria e, mais

especificamente, da auditoria de sistemas
informatizados.
compreender a importncia da auditoria de sistemas
informatizados.
conhecer os desafios ticos e sociais da tecnologia da

informao.
Sees de estudo
Apresentamos, a seguir, as sees para voc estudar.
Seo 1 Evoluo dos sistemas computacionais e de

segurana da informao
Seo 2 Quais so os conceitos bsicos da auditoria?

Seo 3 Qual o tipo da auditoria objeto deste
estudo?
Seo 4 Por que auditar?

Seo 5 Quais so os desafios ticos da auditoria de
sistemas informatizados?
Aps a leitura dos contedos, realize as atividades de
auto-avaliao propostas no final da unidade e no EVA.
22/12/2006 12:17:06
Para incio de estudo

Para voc que est prestes a iniciar os estudos na rea de
auditoria, algumas consideraes so necessrias.
Esta unidade pretende conceituar a auditoria de sistemas
informatizados. Para que o seu conceito e importncia quem
claros, na primeira seo ser abordada a evoluo dos sistemas
de informao.
Nas terceira e quarta sees so enfocados os desaos ticos
que permeiam a tecnologia de informao e a importncia da
auditoria nos sistemas informatizados.
Bom estudo!
Seo 1 Evoluo dos sistemas computacionais e dos

de segurana da informao
Nem sempre o bem mais precioso de uma empresa se encontra no
nal da sua linha de produo, na forma de um produto acabado
ou de algum servio prestado Ele pode estar nas informaes
relacionadas a este produto ou servio.
A crescente utilizao de solues informatizadas nas diversas
reas de servios exige nveis de segurana adequados e maior
exposio dos valores e informaes. A evoluo da tecnologia
de informao, migrando de um ambiente centralizado para
um ambiente distribudo, interligando redes internas e externas,
somada revoluo da Internet, mudou a forma de se fazer
negcios. Isto fez com que as empresas se preocupassem mais
com o controle de acesso s suas informaes bem como a
proteo dos ataques, tanto internos quanto externos.
Na poca em que as informaes eram armazenadas apenas em
papel, a segurana era relativamente simples. Bastava trancar os
documentos em algum lugar e restringir o acesso fsico quele
local. Com as mudanas tecnolgicas e o uso de computadores
de grande porte, a estrutura de segurana j cou um pouco
16
22/12/2006 12:17:06
Auditoria de Sistemas Informatizados
mais sosticada, englobando controles lgicos, porm ainda

centralizados. (CRONIN, 1996)
Com a chegada dos computadores pessoais e das
redes de computadores que conectam o mundo
inteiro, os aspectos de segurana atingiram
tamanha complexidade que h a necessidade
de desenvolvimento de equipes cada vez mais
especializadas para a sua implementao e gerncia.
Paralelamente, os sistemas de informao tambm
adquiriram uma importncia vital para a sobrevivncia
da maioria das organizaes modernas, j que, sem
computadores e redes de comunicao, a prestao de
servios de informao pode se tornar invivel.
A esta constatao, voc pode adicionar o fato de que hoje em
dia no existem mais empresas que no dependam da tecnologia
da informao, num maior ou menor grau. Pelo fato de que
esta mesma tecnologia permitiu o armazenamento de grande
quantidade de informaes em um local restrito e centralizado,
criou-se a uma grande oportunidade ao acesso no autorizado.
A segurana da informao tornou-se estratgica,
pois interfere na capacidade das organizaes de
realizarem negcios e no valor de seus produtos no
mercado.
Em tempos de economia nervosa e racionalizao de

investimentos, a utilizao de recursos deve estar focada naquilo
que mais agrega ao valor do negcio.
Visando minimizar as ameaas, a ISO (International
Standardization Organization) e a ABNT (Associao Brasileira
de Normas Tcnicas), em sintonia com a ISO, publicaram uma
norma internacional para garantir a segurana das informaes
nas empresas, a ISO 17799:1. As normas ISO e ABNT so
resultantes de um esforo internacional que consumiu anos
de pesquisa e desenvolvimento para se obter um modelo de
segurana eciente e universal.
Unidade 1
17
22/12/2006 12:17:07
Quais so as ameaas?
Este modelo tem como caracterstica principal tentar preservar

a disponibilidade, a integridade e o carter condencial da
informao.
O comprometimento do sistema de informaes, por

problemas de segurana, pode causar grandes prejuzos
organizao. Diversos tipos de incidentes podem ocorrer
a qualquer momento, podendo atingir a informao
condencial, a integridade e disponibilidade.
Problemas de quebra de condncia, por vazamento

ou roubo de informaes sigilosas, podem expor para o
mercado ou concorrncia as estratgias ou tecnologias
da organizao, eliminando um diferencial competitivo,
comprometendo a sua eccia, podendo perder mercado
e at mesmo ir falncia.
Problemas de disponibilidade podem ter um impacto

direto sobre o faturamento, pois deixar uma organizao
sem matria-prima ou sem suprimentos importantes ou
mesmo, o impedimento de honrar compromissos com
clientes, prejudicam sua imagem perante os clientes,
gerando problemas com custos e levando a margem de
lucro a car bem comprometida.
Problemas de integridade, causados por invaso ou

fatores tcnicos em dados sensveis, sem uma imediata
percepo, iro impactar sobre as tomadas de decises.
Decises erradas fatalmente reduziro o faturamento ou
aumentaro os custos, afetando novamente a margem de
lucros.
A invaso da pgina de Internet de uma empresa,

com modicao de contedo, ou at mesmo a
indisponibilidade de servios on-line, revela a negligncia
com a segurana da informao e causa perdas
nanceiras a quem sofreu algum tipo de ataque.
18
22/12/2006 12:17:07
Contudo, voc pode inferir que elementos fundamentais para

a sobrevivncia das empresas esto relacionados com segurana
da informao, a qual contribui muito para a sua lucratividade e
sobrevivncia, ou seja, agrega valor ao negcio e garante o retorno
do investimento feito.
Agora que voc pode entender a importncia para uma
organizao de tomar medidas para salvaguardar suas
informaes, acompanhe, na prxima seo, conceitos bsicos
para quem comea a estudar auditoria.
Seo 2 Quais so os conceitos bsicos da auditoria?

Alguns conceitos bsicos relacionados com a auditoria so:
campo, mbito e rea de vericao.
O campo compe-se de aspectos como:

objeto, perodo e natureza da auditoria.
O objeto denido como o alvo

da auditoria, pode ser uma entidade
completa (corporaes pblicas ou
privadas, por exemplo).
Perodo a ser scalizado pode ser um

ms, um ano ou, em alguns casos, poder
corresponder ao perodo de gesto do administrador da
instituio.
A natureza da auditoria poder ser operacional,

nanceira ou de legalidade, por exemplo. Na seqncia,
voc estudar com mais detalhes a natureza (ou tipo) da
auditoria.
O mbito da auditoria pode ser denido como a

amplitude e exausto dos processos de auditoria, ou seja,
dene o limite de aprofundamento dos trabalhos e o seu
grau de abrangncia.
A rea de vericao pode ser conceituada como sendo

o conjunto formado pelo campo e mbito da auditoria.
Unidade 1
19
22/12/2006 12:17:07
A auditoria uma atividade que engloba o exame das

operaes, processos, sistemas e responsabilidades
gerenciais de uma determinada entidade, com o
objetivo de verificar sua conformidade com certos
objetivos e polticas institucionais, oramentos, regras,
normas ou padres.
Os procedimentos de auditoria formam um conjunto de

vericaes e averiguaes que permite obter e analisar as
informaes necessrias formulao da opinio do auditor.
Controle a scalizao exercida sobre as atividades

de pessoas, rgos, departamentos ou sobre produtos,
para que estes no se desviem das normas ou objetivos
previamente estabelecidos. Existem trs tipos de
controles.
Preventivos
usados para prevenir fraudes, erros ou vulnerabilidades. (senhas de acesso a algum

sistema informatizado, por exemplo)
Detectivos
usados para detectar fraudes, erros, vulnerabilidades (por exemplo: Log de eventos
de tentativas de acesso a um determinado recurso informatizado)
Corretivos
usados para corrigir erros ou reduzir impactos causados por algum sinistro (planos
de contingncia, por exemplo)
Um dos objetivos desses controles , primeiramente, a

manuteno do investimento feito pela corporao em sistemas
informatizados, tendo em vista que os sistemas de informao
interconectados de hoje desempenham um papel vital no sucesso
empresarial de um empreendimento.
A internet e as redes internas similares, ou intranets,
e as redes interorganizacionais externas, as chamadas
extranets, podem fornecer a infra-estrutura de
informao que uma empresa necessita para operaes
ecientes, administrao ecaz e vantagem competitiva.
Entretanto, os sistemas de informao tambm
precisam apoiar as estratgias de negcios, os processos
empresariais e as estruturas organizacionais e culturais de
um empreendimento.
20
22/12/2006 12:17:07
Esses controles tambm tm como objetivo evitar que algum

sinistro venha a ocorrer; no conseguindo evitar, tentar fazer
com que o impacto seja pequeno e, se mesmo assim, o impacto
for grande, ter em mos processos que auxiliem a reconstruo do
ambiente.
O que precisa ser controlado?
Em geral, um check-list que contempla os itens a serem

vericados durante a auditoria. A concepo desses
procedimentos antes do incio dos processos de auditoria
de suma importncia porque garantir um aumento da
produtividade e da qualidade do trabalho. Como exemplo, podese citar que, para o bom andamento de uma partida de futebol,
no aconselhvel mudar as regras do jogo enquanto o mesmo
estiver acontecendo; faz-se isto antes de comear a partida.
Os chamados achados de auditoria so fatos
importantes observados pelo auditor durante a
execuo dos trabalhos.
Apesar de que geralmente so associados a falhas ou

vulnerabilidades, os achados podem indicar pontos fortes da
corporao auditada. Para que eles faam parte do relatrio nal
de auditoria, os mesmos devem ser relevantes e baseados em fatos
e evidncias incontestveis.
Os papis de trabalho so registros que evidenciam

atos e fatos observados pelo auditor.
Esses registros podem estar em forma de documentos, tabelas,

listas de vericaes, planilhas, arquivos, entre outros. Estes
documentos so a base para o relatrio de auditoria, pois contm
registro da metodologia utilizada, procedimentos, fontes de
informao, enm, todas as informaes relacionadas ao trabalho
de auditoria.
Unidade 1
21
22/12/2006 12:17:07
J na fase da concepo do relatrio, so feitas as

recomendaes de auditoria.
Elas so medidas corretivas possveis, sugeridas pela instituio

scalizadora ou pelo auditor em seu relatrio, para corrigir as
decincias detectadas durante o trabalho de vericao de
vulnerabilidades ou decincias. Dependendo da competncia ou
posio hierrquica do rgo scalizador, essas recomendaes
podem se transformar em determinaes a serem cumpridas.
(DIAS, 2000)
Seo 3 Qual o tipo de auditoria objeto deste

estudo?
Vrios autores fazem uma classicao ou denominao formal
sobre a natureza ou sobre os diversos tipos de auditorias
existentes. Os tipos mais comuns so classicados quanto:
forma de abordagem, ao rgo scalizador e rea envolvida.
Acompanhe, a seguir, quais so elas:
Tabela 1 Classicao dos tipos de auditoria
Classicao
Quanto forma de
abordagem:
Tipos de auditoria
Descrio
Auditoria horizontal
auditoria com tema especco, realizada em vrias

entidades ou servios paralelamente.
Auditoria orientada
focaliza uma atividade especca qualquer ou atividades

com fortes indcios de fraudes ou erros.
Auditoria interna
auditoria realizada por um departamento interno,

responsvel pela vericao e avaliao dos sistemas e
procedimentos internos de uma entidade. Um de seus
objetivos reduzir a probabilidade de fraudes, erros,
prticas inecientes ou inecazes. Este servio deve ser
independente e prestar contas diretamente classe
executiva da corporao.
Auditoria externa
auditoria realizada por uma empresa externa e

independente da entidade que est sendo scalizada,
com o objetivo de emitir um parecer sobre a gesto
de recursos da entidade, sua situao nanceira, a
legalidade e regularidade de suas operaes.
Auditoria articulada
trabalho conjunto de auditorias internas e externas,

devido superposio de responsabilidades dos rgos
scalizadores, caracterizado pelo uso comum de recursos
e comunicao recproca dos resultados.
Quanto ao rgo
scalizador:
22
22/12/2006 12:17:08
Auditoria de programas de
governo
Acompanhamento, exame e avaliao da execuo de

programas e projetos governamentais.
Auditoria do planejamento estratgico verica se os
principais objetivos da entidade so atingidos e se as
polticas e estratgias so respeitadas.
Auditoria administrativa
engloba o plano da organizao, seus procedimentos,

diretrizes e documentos de suporte tomada de deciso.
Auditoria contbil
relativa dedignidade das contas da instituio. Esta

auditoria, consequentemente, tem como nalidade
fornecer alguma garantia de que as operaes e o
acesso aos ativos se efetuem de acordo com as devidas
autorizaes.
Auditoria nanceira
conhecida tambm como auditoria das contas. Consiste

na anlise das contas, da situao nanceira, da
legalidade e regularidade das operaes e aspectos
contbeis, nanceiros, oramentrios e patrimoniais,
vericando se todas as operaes foram corretamente
autorizadas, liquidadas, ordenadas, pagas e registradas.
Auditoria de legalidade conhecida como auditoria
de conformidade. Consiste na anlise da legalidade
e regularidade das atividades, funes, operaes
ou gesto de recursos, vericando se esto em
conformidade com a legislao em vigor.
Auditoria operacional
incide em todos os nveis de gesto, nas fases de

programao, execuo e superviso, sob a tica da
economia, ecincia e eccia. Analisa tambm a
execuo das decises tomadas e aprecia at que ponto
os resultados pretendidos foram atingidos.
Quanto rea
envolvida
Auditoria de sistemas
informatizados
tipo de auditoria essencialmente operacional, por

meio da qual os auditores analisam os sistemas de
informtica, o ambiente computacional, a segurana de
informaes e o controle interno da entidade scalizada,
identicando seus pontos fortes e decincias.
Destas auditorias, qual delas o seu objeto de estudo?
a auditoria de sistemas informatizados. E como j foi

conceituada, a auditoria de sistemas informatizados um tipo
de auditoria operacional, ou seja, analisa a gesto de recursos,
focalizando os aspectos de ecincia, eccia, economia e
efetividade.
Unidade 1
23
22/12/2006 12:17:08
Dependendo da rea de vericao escolhida, este tipo de

auditoria pode abranger:
todo o ambiente de informtica ou
a organizao do departamento de informtica. Alm

disso, pode ainda contemplar:
os controles sobre banco de dados, redes de comunicao

e de computadores e
controles sobre os aplicativos.
Deste modo, sob o ponto de vista dos tipos de controles citados, a

auditoria pode ser separada em duas grandes reas:
Auditoria de segurana de informaes - este tipo

de auditoria em ambientes informatizados determina
a postura ou situao da corporao em relao
segurana. Avalia a poltica de segurana e os controles
relacionados com aspectos de segurana, enm, controles
que inuenciam o bom funcionamento dos sistemas de
toda a organizao. So estes:
Avaliao da poltica de segurana.
Controles de acesso lgico.
Controles de acesso fsico.
Controles ambientais.
Plano de contingncia e continuidade de servios.
Controles organizacionais.
Controles de mudanas.
De operao dos sistemas.
Controles sobre o banco de dados.
Controles sobre computadores.
Controles sobre ambiente cliente-servidor.
24
22/12/2006 12:17:08
Auditoria de aplicativos - este tipo de auditoria est

voltado para a segurana e o controle de aplicativos
especcos, incluindo aspectos que fazem parte da rea
que o aplicativo atende, como: oramento, contabilidade,
estoque, marketing, RH, etc. A auditoria de aplicativos
compreende:
Controles sobre o desenvolvimento de sistemas

aplicativos.
Controles de entrada, processamento e sada de dados.
Controles sobre o contedo e funcionamento do

aplicativo com relao rea por ele atendida.
Esses tipos de auditoria so comumente usados para se

alcanarem altos padres de qualidade no desenvolvimento de
softwares: o mais famoso desses modelos o CMM. (DIAS,
2000)
Uma vez compreendida a abrangncia e o escopo da auditoria dos
sistemas informatizados, compreenda, na seo seguinte, por que
auditar.
Seo 4 Por que auditar?

Um ditado popular diz que nenhuma corrente mais forte que
seu elo mais fraco; da mesma forma, nenhuma parede
mais forte que a sua porta ou janela mais fraca, de
modo que voc precisa colocar as trancas mais
resistentes possveis nas portas e janelas. De
forma similar o que acontece quando voc
implementa segurana em um ambiente de
informaes. Na realidade, o que se procura
fazer eliminar o mximo possvel de
pontos fracos ou garantir o mximo de
segurana possvel para os mesmos.
Acima de tudo, o bem mais valioso de uma
empresa pode no ser o produzido pela sua
linha de produo ou o servio prestado, mas as
informaes relacionadas com este bem de consumo ou servio.
Ao longo da histria, o ser humano sempre buscou o controle das
Unidade 1
25
22/12/2006 12:17:08
informaes que lhe eram importantes de alguma forma; isto

verdadeiro mesmo na mais remota antiguidade. O que mudou
desde ento foram as formas de registros e armazenamento
das informaes; se na pr- histria e at mesmo nos primeiros
milnios da idade antiga o principal meio de armazenamento e
registro de informaes era a memria humana, com o advento
dos primeiros alfabetos isto comeou a mudar. Mas foi somente
nos ltimos dois sculos que as informaes passaram a ter
importncia crucial para as organizaes humanas.
Atualmente, no h organizao humana que no seja altamente
dependente da tecnologia de informaes, em maior ou menor
grau. E o grau de dependncia agravou-se muito em funo
da tecnologia de informtica, que permitiu acumular grandes
quantidades de informaes em espaos restritos. O meio de
registro , ao mesmo tempo, meio de armazenamento, meio de
acesso e meio de divulgao.
Esta caracterstica traz conseqncias graves para as
organizaes, por facilitar os ataques de pessoas no-autorizadas.
Por exemplo, um banco no trabalha exatamente
com dinheiro, mas com informaes financeiras
relacionadas com valores seus e de seus clientes. A
maior parte destes dados de natureza sigilosa, por
fora de determinao legal ou por se tratarem de
informaes de natureza pessoal, que controlam
ou mostram a vida econmica dos clientes, os quais
podem vir a sofrer danos, caso elas sejam levadas a
pblico.
Independente do setor da economia em que a empresa atue, as

informaes esto relacionadas com seu processo de produo
e de negcios, polticas estratgicas, de marketing, cadastro de
clientes, etc. No importa o meio fsico em que as informaes
esto armazenadas, elas so de valor inestimvel no s para a
empresa que as gerou, como tambm para seus concorrentes. Em
ltimo caso, mesmo que as informaes no sejam sigilosas, na
maioria das vezes elas esto relacionadas com atividades dirias
da empresa que, sem elas, poderia ter diculdades.
26
22/12/2006 12:17:09
Tradicionalmente, as empresas dedicam grande ateno de seus

ativos fsicos e nanceiros, mas pouca ou at mesmo nenhuma
ateno aos ativos de informao que possuem; esta proteo
tradicional pode nem mesmo visar um bem valioso. Da mesma
forma que seus ativos tangveis, as informaes envolvem trs
fatores de produo tradicionais: capital, mo-de-obra e processos.
Assim, ainda que as informaes no sejam passveis do mesmo
tratamento sco-contbil que os outros ativos, do ponto de vista
do negcio, elas so um ativo da empresa e, portanto, devem ser
protegidas. Isto vale tanto para as informaes como para seus
meios de suporte, ou seja, para todo o ambiente de informaes.
(O`BRIEN, 2002).
A gura 1.1 mostra os fatores econmicos de uma organizao,
onde o capital, a mo-de-obra e os processos geram os ativos
de uma empresa, ou seja, os produtos, os bens e a informaes.
Figura 1.1 Fatores econmicos de produo.

Fonte: Caruso&Steen (1999)
Numa instituio nanceira, o ambiente de informaes no est

apenas restrito rea de informtica, ele chega a mais longnqua
localizao geogrca onde haja uma agncia ou representao
de qualquer tipo. Enquanto na rea de informtica os ativos de
informao esto armazenados, em sua maior parte, em meios
magnticos, nas reas fora deste ambiente eles ainda esto
representados em grande parte por papis, sendo muito tangveis e
de entendimento mais fcil por parte de seres humanos.
importante ressaltar que muitas empresas no
sobrevivem mais que poucos dias a um colapso do
fluxo de informaes, no importando o meio de
armazenamento das informaes.
Unidade 1
27
22/12/2006 12:17:09
E, dada caracterstica de tais empreendimentos, que no caso de

bancos essencialmente uma relao de conana, fcil prever
que isto acarretaria completo descontrole sobre os negcios e
at uma corrida ao caixa. A atual dependncia das instituies
nanceiras em relao informtica est se estendendo por toda
a economia, tornando aos poucos todas as empresas altamente
dependentes dos computadores e, conseqentemente, cada vez
mais sensveis aos riscos representados pelo eventual colapso do
uxo de informaes de controle gerencial.
Os riscos so agravados em progresso geomtrica medida
que informaes essenciais ao gerenciamento dos negcios
so centralizadas e, principalmente, com o aumento do grau
de centralizao. Ainda que estes riscos sejam srios, as
vantagens dessa centralizao so maiores, tanto sob aspectos
econmicos, quanto sob aspectos de agilizao de processos
de tomada de deciso em todos os nveis. Esta agilizao
tanto mais necessria, quanto maior for o uso de facilidades de
processamento de informao pelos concorrentes.
preciso, antes de qualquer coisa, cercar o ambiente de
informaes com medidas que garantam sua segurana efetiva
a um custo aceitvel, pois impossvel obter-se segurana total
j que, a partir de um determinado nvel, os custos envolvidos
tornam-se cada vez mais onerosos e superam os benefcios
obtidos. Estas medidas devem estar claramente descritas
na poltica global de segurana da organizao, delineando
as responsabilidades de cada grau da hierarquia e o grau de
delegao de autoridade e, muito importante, estarem claramente
sustentadas pela alta direo.
A segurana, mais que estrutura hierrquica, os homens e os
equipamentos envolvem uma postura gerencial, que ultrapassa a
tradicional abordagem da maioria das empresas.
Dado ao carter altamente dinmico que as atividades
relacionadas com o processamento de informaes
adquiriram ao longo do tempo, a poltica de
segurana de informaes deve ser a mais ampla e
mais simples possvel.
28
22/12/2006 12:17:09
Como conseqncia da informatizao, outros aspectos comeam

a ser levantados, o acmulo centralizado de informao, causando
um srio problema para a segurana.
Os riscos inerentes ao processo agravaram-se e um estudo mais
detalhado sobre eles teve que ser realizado.
Uma pesquisa realizada pela Mdulo Security Solutions aponta
os potenciais riscos aos quais a informao est sujeita. A gura
2 mostra que a principal ameaa s organizaes o vrus de
computador.
Figura 1.2 Principais ameaas s informaes nas organizaes

Fonte: 9 Pesquisa Nacional sobre Segurana da Informao Mdulo Security Solutions (2003)
As ameaas podem ser definidas como sendo agentes

ou condies incidentes que comprometem as
informaes e seus ativos, por meio da explorao de
vulnerabilidades.
Unidade 1
29
22/12/2006 12:17:09
O que caracteriza as vulnerabilidades?

As vulnerabilidades podem ser conceituadas como sendo
fragilidades presentes ou associadas a ativos que manipulam
e/ou processam informaes, que podem ser exploradas por
ameaas, permitem a ocorrncia de um incidente de segurana,
afetando negativamente um ou mais princpios da segurana da
informao: carter condencial, integridade e disponibilidade.
As vulnerabilidades por si s no provocam incidentes de
segurana, porque so elementos passivos. Porm, quando
possuem um agente causador, como ameaas, esta condio
favorvel causa danos ao ambiente.
As vulnerabilidades podem ser:
instalaes prediais fora do padro;
salas de CPD mal planejadas;
a falta de extintores, detectores de fumaa e outros para combate a incndio em sala com armrios
e chrios estratgicos;
risco de exploses, vazamentos ou incndio.
Fsicas
os computadores so suscetveis a desastres naturais, como incndios, enchentes, terremotos,

tempestades, e
outros, como falta de energia, o acmulo de poeira, o aumento de umidade e de temperatura, etc.
Naturais
Hardware
falha nos recursos tecnolgicos (desgaste, obsolescncia, m utilizao) ou erros durante a

instalao.
erros na aquisio de softwares sem proteo ou na congurao podem ter como conseqncia
uma maior quantidade de acessos indevidos, vazamentos de informaes, perda de dados ou
indisponibilidade do recurso quando necessrio.
discos, tas, relatrios e impressos podem ser perdidos ou danicados. A radiao eletromagntica
pode afetar diversos tipos de mdias magnticas.
acessos de intrusos ou perda de comunicao.
Software
Mdias
Comunicao
rotatividade de pessoal,
falta de treinamento,
compartilhamento de informaes condenciais na execuo de rotinas de segurana,
erros ou omisses;
ameaa de bomba, sabotagens, distrbios civis, greves, vandalismos, roubos, destruio da
propriedade ou dados, invases ou guerras.
Humanas
30
22/12/2006 12:17:09
O que ser Hacker?
O termo genrico para identicar quem realiza ataques em um

sistema de computadores hacker. Porm, esta generalizao
possui diversas ramicaes, pois cada ataque apresenta um
objetivo diferente.
Por denio, hacker so aqueles que utilizam seus conhecimentos
para invadir sistemas, sem a inteno de causar danos s vtimas,
mas como um desao s suas habilidades.
Os hackers possuem grande conhecimento de sistemas
operacionais e linguagens de programao.
Constantemente buscam mais conhecimento,
compartilham o que descobrem e jamais corrompem
dados intencionalmente.
O termo hacker tambm denido pela RFC2828 (2000) como sendo alguma pessoa com um
grande interesse e conhecimento em tecnologia,
no utilizando eventuais falhas de seguranas
descobertas em benefcio prprio.
Como se tornou um termo genrico para invasores de redes,
o termo hacker freqentemente usado para designar os
elementos que invadem sistemas para roubar informaes e
causar danos.
O termo correto para este tipo de invasor seria cracker ou intruder,
que tambm utilizado para designar queles que decifram
cdigos e destroem protees de softwares.
O termo cracker ou intruder denido pela RFC-2828 como
sendo algum que tenta quebrar a segurana ou ganhar acesso
a sistemas de outras pessoas sem ser convidado, no sendo,
obrigatoriamente, uma pessoa com grande conhecimento de
tecnologia como o hacker.
Unidade 1
31
22/12/2006 12:17:09
O termo hacker existe desde o ano de 1960. A palavra comeou

a ser usada pelos membros do Tech Model Rail Club, do Instituto
de Tecnologia de Massachusetts (MIT), e indicava pessoas com
capacidades tcnicas para proezas que ningum mais conseguia.
Na rea de informtica, este termo foi usado para designar
programadores prodigiosos, de tcnica apurada, visivelmente
superior.
Podemos classicar essas pessoas em vrias categorias:
Carders Aqueles que fazem compras com carto de

crdito alheio ou gerado, ou seja, os carders tm grande
facilidade em fazer compras via internet ou em outro
meio.
Hackers Pessoas com um grande interesse e

conhecimento em tecnologia, no utilizando eventuais
falhas de seguranas em benefcio prprio. Porm, no
destroem dados.
Crackers Os crackers so como os hackers, porm

gostam de ver a destruio. Eles invadem e destroem
s para ver o caos formado. Eles apagam todo o sistema
sempre deixando a sua marca registrada.
Phreacking So os piratas da telefonia. Eles fazem tudo

o que relativo aos telefones, convencionais ou celulares.
(SPYMAN, 2002).
Existem muitas maneiras de se atacar os sistemas de informao

de uma organizao. Na gura 3 est disponibilizada uma
pesquisa mostrando um balano dos tipos de ataques mais
usados nos cinco ltimos anos. Esta pesquisa foi realizada pelo
departamento de crimes de computador do FBI.
32
22/12/2006 12:17:10
Figura 3 Tipos de ataques mais utilizados

Fonte: CSI/FBI 2003 Computer Crime and Security Survey (2003)
As mais famosas tcnicas de ataques s redes corporativas so:
Quebra de Senha O quebrador de senha, ou cracker,

um programa usado pelo hacker para descobrir uma
senha do sistema. Uma das formas de quebra so os testes
de exausto de palavras, a decodicao criptogrca,
etc.
Denial of Service Tambm conhecido como DoS,

estes ataques de negao de servio so aborrecimentos
semelhantes aos mails bomba, porm muito mais
ameaadores porque eles podem incapacitar
temporariamente uma rede corporativa ou um provedor
de acesso. um ataque que consiste em sobrecarregar um
servidor com uma quantidade excessiva de solicitaes
de servios. Sua nalidade no o roubo de dados, mas
a indisponibilidade de servio. Existem variantes deste
ataque, como o DoS distribudo, chamado DDoS, ou
seja, a tentativa de sobrecarregar o I/O de algum servio
feita de vrios locais ao mesmo tempo.
Unidade 1
33
22/12/2006 12:17:10
Cavalo de tria um programa disfarado que executa

alguma tarefa maligna. Um exemplo, o usurio roda um
jogo qualquer que foi pego na internet. O jogo instala o
cavalo-de-tria, que abre uma porta TCP (Transmission
Control Protocol) no micro para a invaso. Este software
no propaga a si mesmo de um computador para outro.
H tambm o cavalo-de-tria dedicado a roubar senhas e
outros dados.
Mail Bomb considerado como dispositivo destrutivo.

Utiliza a tcnica de inundar um computador com
mensagens eletrnicas. Em geral, o agressor usa um
script para gerar um uxo contnuo de mensagens e
abarrotar a caixa postal de algum. A sobrecarga tende
a provocar uma negao de servio, ou um DoS no
servidor de correio eletrnico. No h perda de dados na
maioria dos casos.
Phreacking o uso indevido das linhas telefnicas,

xas e celulares. No passado, os phreackers empregavam
gravadores de ta e outros dispositivos para produzir
sinais de controle e enganar o sistema de telefonia.
Conforme as companhias telefnicas foram reforando
a segurana, as tcnicas foram cando cada vez mais
difceis. Hoje em dia uma atividade muito elaborada,
que poucos conhecem.
Scanners de Porta So programas que buscam portas

TCP abertas por onde pode ser feita uma invaso. Para
que a varredura no seja percebida pela vtima, alguns
scanners testam as portas de um computador durante
muitos dias, em horrios aleatrios.
Smurf outro tipo de ataque de negao de servio.

O agressor envia uma rpida seqncia de solicitaes de
ping (um teste para vericar se um servidor est acessvel)
para um endereo de brodcast. Usando spoong, o cracker
faz com que o servidor de broadcast encaminhe as
respostas no para o seu endereo, mas para o da vtima.
Assim o computador alvo inundado pelo Ping.
34
22/12/2006 12:17:11
Spoong a tcnica de se fazer passar por outro

computador da rede para conseguir acesso a um sistema.
H muitas variantes, como o spoong de IP. Para executlo, o invasor altera o cabealho dos pacotes IP, de
modo que parea estar vindo de uma outra mquina,
possivelmente, uma que tenha cesso liberado.
Snier um programa ou dispositivo que analisa o

trfego na rede. Sniers so teis e usados normalmente
para o gerenciamento de redes. Porm nas mos erradas,
uma ferramenta poderosa no roubo de informaes
sigilosas.
Vrus So programas desenvolvidos para alterar

softwares instalados em um computador, ou mesmo
apagar todas as informaes existentes no computador.
Possuem comportamento semelhante ao vrus biolgico,
multiplicam-se, precisam de hospedeiros, esperam o
momento certo para o ataque e tentam se esconder para
no serem exterminados. A internet e o correio eletrnico
so hoje os principais meios de propagao de vrus. A
RFC-2828 dene vrus como sendo um software com a
capacidade de se duplicar, infectando outros programas.
Um vrus no pode se auto-executar, requer que o
programa hospedeiro seja executado para ativ-lo.
Worm So programas auto-replicantes que no

alteram arquivos, mas residem na memria ativa e
se duplicam por meio de redes de computador. Os
worms utilizam recursos do sistema operacional para
ganhar acesso ao computador e, ao se replicarem,
usam recursos do sistema, tornando as mquinas
lentas e interrompendo outras funes. Um worm
um programa de computador que pode se autoexecutar, propagar-se pelos computadores de uma
rede, podendo consumir os recursos do computador
destrutivamente (RFC-2828, 2000).
Unidade 1
35
22/12/2006 12:17:11
Aps ter acompanhado esta srie de possveis vulnerabilidades,

acreditamos que voc esteja convencido de que auditar preciso, no
mesmo?
Auditar preciso porque o uso inadequado dos sistemas
informatizados pode impactar uma sociedade. Informao com
pouca preciso pode causar a alocao precipitada de recursos
dentro das corporaes e as fraudes podem ocorrer devido falta
de sistemas de controle.
Ento, para garantir que os investimentos feitos em tecnologia da
informao retornem para a empresa na forma de lucros, custos
menores e um menor custo total de propriedade que o auditor
de sistemas informatizados ir atuar. De posse dos objetivos,
normas ou padres da corporao o auditor ir vericar se tudo
est funcionando como deveria.
Ainda para ilustrar a importncia da atuao do auditor,
acompanhe, na seqncia, algumas estatsticas sobre os ataques
aos sistemas de informao.
A Tabela 2 mostra quais so as medidas tomadas pelas
organizaes no que diz respeito segurana no ano de 2003.
Tabela 2 As medidas de segurana mais utilizadas pelas empresas brasileiras no ano de 2003.
TOP 10 MEDIDAS DE SEGURANA MAIS IMPLEMENTADAS
Ranking 2003
Medidas de Segurana
Antivrus
90
Sistema de backup
76,5
Firewall
75,5
Poltica de segurana
72,5
Capacitao tcnica
70
Software de controle de acesso
64
Segurana fsica na sala de servidores
63
Proxy server
62
Criptograa
57
10
Anlise de riscos
56
36
22/12/2006 12:17:11
O maior investimento em TI por prossionais da rea foi em

antivirus, j que uma grande quantidade de empresas tem
sofrido ataques ou at mesmo deixou de car com seus servios
disponveis. Logo em seguida, a maior preocupao so os
sistemas de backup. E veja que a poltica de segurana est em
quarto lugar.
Nota-se pela pesquisa da gura 5 que o roubo de informaes
e a negao de servio, ou seja, parar de disponibilizar dados,
informaes e aplicaes so os ataques que mais do prejuzos
para as organizaes.
Figura 5 Perdas nanceiras relacionadas com os tipos de ataques realizados

Fonte: CSI/FBI 2003 Computer Crime and Security Survey (2003)
Unidade 1
37
22/12/2006 12:17:11
Apesar das vulnerabilidades, no so todas as empresas que

prontamente investem em sistemas de segurana de informaes,
porque os responsveis por manter o ambiente funcionando
enfrentam algumas diculdades para conseguir estes recursos.
Figura 6 Principais obstculos para a implementao da Segurana

Falta de conscincia dos executivos (23%), diculdade em

demonstrar o retorno (18%) e custo de implementao
(16%) foram considerados os trs principais obstculos para
implementao da segurana nas empresas, como ilustrado na
gura 7. (MDULO, 2003)
Quando questionados sobre a fonte de informaes para se
obter discernimento a respeito do que fazer quando se trata de
segurana, os entrevistados se mostraram bastante informados
a respeito, e apontaram as referncias, normas e legislaes que
falam sobre o assunto.
38
22/12/2006 12:17:47
Figura 7 Adequao a legislao / Normas e Regulamentao

Sobre as legislaes, normas e regulamentaes de segurana que

norteiam suas organizaes, 63,5% dos entrevistados apontaram
a ISO 17799; 37% as publicaes do Governo Federal (decreto
4553 e outros); 30% as publicaes do Banco Central (resoluo
2554 e outras); 27% a Regulamentao da ICP-Brasil; 20% o
COBIT e 20% as Publicaes da CVM (Resoluo 358 e outras).
Voc compreendeu a importncia de realizar auditoria de
sistemas informatizados, conheceu as principais vulnerabilidades
que ameaam estes sistemas, bem como entendeu as funes de
um auditor. A seo seguinte prope que voc estude e reita
sobre os desaos ticos da auditoria de sistemas informatizados.
Unidade 1
39
22/12/2006 12:17:47
Seo 5 Quais so os desaos ticos da auditoria de

sistemas informatizados?
Esta seo, convida voc a realizar uma leitura e uma reexo
sobre assuntos que lhe faro entender melhor os desaos ticos
do auditor de sistemas informatizados. Para iniciar, realize uma
breve reexo sobre o dito por Aristteles e a questo dos atos
justos:
Sendo os atos justos e injustos tais como os
descrevemos, um homem age de maneira justa ou
injusta sempre que pratica tais atos voluntariamente.
Quando os pratica involuntariamente, seus atos
no so justos nem injustos, salvo por acidente,
isto , porque ele fez muitas coisas que redundam
em justias ou injustias. o carter voluntrio ou
involuntrio do ato que determina se ele justo ou
injusto, pois, quando voluntrio, censurado, e
pela mesma razo torna-se um ato de injustia; de
forma que existem coisas que so injustas, sem que,
no entanto sejam atos de injustia, se no estiver
presente tambm a voluntariedade.
Pois , dentro das corporaes, questes ticas esto envolvidas

em muitas decises estratgicas, como por exemplo, no
desenvolvimento de novos produtos, em questes ambientais ou
at mesmo no salrio de seus funcionrios. Essas decises podem,
em alguns casos, afetar diretamente o desempenho da empresa.
Por conseqncia, essas oportunidades podem envolver um
verdadeiro desao tica, no mesmo?
S para direcion-lo mais no assunto em questo, considere
que estamos no meio de uma revoluo da informao, onde
nossa capacidade de adquirir, manipular, armazenar e transmitir
informaes foi fortemente ampliada. Com a tecnologia da
internet, atualmente possvel conseguir vrias informaes
dos mais variados cantos do mundo em uma frao de
segundos. Em contrapartida, graas a esta mesma tecnologia,
vrias oportunidades de prticas ticas ou no vieram tona,
no concorda? oportuno voltarmos nossa ateno para os
40
22/12/2006 12:17:47
fundamentos loscos das questes ticas. Segundo OBrien

(2002), quatro losoas ticas so bsicas:
Egosmo o que melhor para um determinado

indivduo o correto.
Lei natural os homens devem promover sua prpria

vida, propagar-se, buscar conhecimento do mundo,
buscar relaes ntimas com outras pessoas e submeter-se
autoridade legtima.
Utilitarismo so corretas as aes que produzem o

bem mximo para o maior nmero de pessoas.
Respeito pelas pessoas as pessoas devem ser tratadas

como m e no como meio para um m; e as aes so
corretas se todos adotarem a regra moral pressuposta pela
ao.
Afinal o que tica?
A tica uma caracterstica inerente a toda ao humana e,

por esta razo, um elemento vital na produo da realidade
social. Todo homem possui um senso tico, uma espcie de
conscincia moral, estando constantemente avaliando e
julgando suas aes para saber se so boas ou ms, certas
ou erradas, justas ou injustas.
A tica est relacionada opo, ao desejo
de realizar a vida, mantendo com os outros
relaes justas e aceitveis. Normalmente, est
fundamentada nos ideais de bem e virtude, que
so valores perseguidos por todo ser humano e
cujo alcance se traduz numa existncia plena e feliz.
Hoje, mais do nunca, a atitude dos prossionais em relao
s questes ticas pode ser a diferena entre o seu sucesso ou
fracasso. Ser tico nada mais do que agir direito, proceder
bem, sem prejudicar os outros. Ser tico , tambm, agir de
acordo com os valores morais de uma determinada sociedade.
Essas regras morais so o resultado da prpria cultura de
Unidade 1
41
22/12/2006 12:17:48
uma comunidade. Elas variam de acordo com o tempo e sua

localizao no mapa.
A regra tica uma questo de atitude, de escolha. J a regra
jurdica no prescinde de convico ntima - as leis tm que ser
cumpridas independentemente da vontade das pessoas. A tica
no algo superposto conduta humana, pois todas as nossas
atividades envolvem uma carga moral. A pessoa e a organizao
so mais ecientes quando h congruncia entre valores e
as crenas a respeito de como o trabalho deve ser feito e as
expectativas e exigncias da organizao em relao ao sucesso.
(JACOMINO, 2000)
A empresa que almeje ser tica deve divulgar declaraes
precisas, denindo as regras e deve criar procedimentos de
vericao para assegurar que todos na organizao as esto
cumprindo.
Por que importante saber a importncia das
dimenses ticas na utilizao da tecnologia da
informao?
Um ponto de vista quando voc percebe, por exemplo, que o

impacto causado pela tecnologia da informao sobre o emprego
uma preocupao tica muito importante e est diretamente
relacionada ao uso dos computadores para se conseguir um
determinado grau de automao. No h dvidas que ao advento
dos sistemas informatizados veio aumentar a produtividade,
ao mesmo tempo em que diminuiu a oferta de determinadas
oportunidades de trabalho. Aplicaes, computadores e
mquinas automatizadas realizam tarefas que antes eram
realizadas por vrios trabalhadores.
O que existe hoje uma procura por habilidades diferentes,
formando o grupo de usurios de computadores e o grupo de
administradores de computadores, de forma que, se voc no
tem uma ou outra habilidade, as chances de conseguir uma
oportunidade de trabalho diminuem bastante.
Esta questo um problema a ser superado no Brasil, onde
50% das vagas na rea de tecnologia da informao no so
preenchidas por falta de mo-de-obra qualicada. Apenas 11%
dos jovens na faixa etria entre 18 e 24 anos cursam o ensino
42
22/12/2006 12:17:48
superior e 64% da populao empregada nem sequer completou

o primeiro grau. Se o panorama nacional nos faz crer que a
demanda por recursos humanos no ser preenchida a curto
prazo, est mais do que na hora das empresas baseadas no Brasil
proporem solues que visem minimizar este cenrio e sejam
capazes de transformar bits e bytes em poderosa vantagem
competitiva para todos.
Nesta perspectiva, em contrapartida, surge a possibilidade da
gesto do conhecimento, a qual, com uma coleo de processos,
governa a criao, disseminao e utilizao do conhecimento
para atingir plenamente os objetivos da organizao. A gesto
do conhecimento lida principalmente com os aspectos que so
crticos para a adaptao e sobrevivncia da empresa diante de um
ambiente de mudana crescente e descontnua.
O conhecimento a chave para o poder nos negcios e as
empresas que se voltam para a gesto do conhecimento,
necessitam de uma abordagem que veja a organizao como uma
comunidade humana, cujo conhecimento coletivo representa um
diferencial competitivo em relao concorrncia.
no conhecimento coletivo que se baseiam as
competncias competitivas essenciais.
A Tecnologia da Informao tem um papel
fundamental que muitas vezes tem sido
negligenciado ou at mesmo tem passado
despercebido na maioria das empresas e rgos de
informtica.
As competncias essenciais e o conhecimento coletivo baseiamse em informaes de negcio: conhecimento e experincia.

O papel a ser desempenhado pela TI estratgico: ajudar o
desenvolvimento coletivo e o aprendizado contnuo, tornando
mais fcil para as pessoas na organizao compartilharem
problemas, expectativas, idias e solues. E em meio a este
ambiente competitivo do mundo contemporneo, o principal
desao das organizaes est em estabelecer os padres ticos nas
relaes entre pessoas e empresas.
Unidade 1
43
22/12/2006 12:17:48
Como aplicar a tica no campo de novas tecnologias?
No podemos ser inocentes e pensar que empresas so apenas

entidades jurdicas. Empresas so formadas por pessoas e s
existem por causa delas. Por trs de qualquer deciso, de qualquer
erro ou imprudncia esto seres de carne e osso. E so eles que
vo viver a glria ou o fracasso da organizao. Por isso, quando
falamos de empresa tica, estamos falando de pessoas ticas. Uma
poltica interna mal denida por um funcionrio de qualquer
nvel pode denegrir dois dos maiores patrimnios de uma
empresa: a marca e a imagem.
Alm de ser individual, qualquer deciso tica tem por trs
um conjunto de valores fundamentais. Muitas dessas virtudes
nasceram no mundo antigo e continuam vlidas at hoje. Eis
algumas das principais: ser honesto em qualquer situao, ter
coragem para assumir as decises, ser tolerante e exvel, ser
ntegro e ser humilde.
A internet tem modicado o comportamento humano,
incentivando a paixo pelo conhecimento, educao e cultura.
A sociedade contempornea valoriza comportamentos que
praticamente excluem qualquer possibilidade de cultivo de
relaes ticas. fcil vericar que o desejo obsessivo na
obteno, possesso e consumo da maior quantidade possvel de
bens materiais o valor central na nova ordem estabelecida no
mundo e que o prestgio social concedido para quem consegue
esses bens. Esse desejo se tornou mais voluptuoso e de acesso
mais fcil depois da ascenso do comrcio eletrnico na internet.
A pessoa que antes devia fazer um mnimo esforo para uma
compra ou aquisio, hoje se v diante de um mar de ofertas da
tela do seu computador. O sucesso material passou a ser sinnimo
de sucesso social e o xito pessoal deve ser adquirido a qualquer
custo.
44
22/12/2006 12:17:48
Um dos campos mais carentes, no que diz respeito

aplicao da tica, o das novas tecnologias e nisto
inclui-se a internet.
No existe uma legislao prevendo condutas ou regras e com

isso ca muito perto o limite da tica no trabalho e exerccio
prossional. Uma das principais e mais evidentes realidades da
internet o individualismo extremo. Este fator, muitas vezes
associado falta de tica pessoal, tem levado alguns prossionais
a defender seus interesses particulares acima dos interesses das
empresas em que trabalham, colocando-as em risco.
Este quadro nos remete diretamente questo da formao
de recursos humanos, pois as pessoas so a base de qualquer
tentativa de iniciar o resgate da tica nas empresas e nas relaes
de trabalho e gesto do conhecimento.
tica, alm de ser a cincia que estuda o comportamento moral
das pessoas na sociedade, um investimento. Um investimento
que traz bons frutos a longo prazo. importante entender que
o conceito de que estender benefcios sociedade um meio
concreto de abraar a tica e criar uma boa imagem para a
empresa. Na internet, por exemplo, extremamente necessrio se
ter credibilidade para que a empresa possa sobreviver no comrcio
eletrnico. (SROUR, R. H., 1998)
O ambiente organizacional sob a tica da tica na gesto do
conhecimento
O conhecimento antropolgico nos ensina que no se deve
confundir normas morais, socialmente praticadas, com pautas
abstratas, universais e anistricas, pois elas so padres sociais
convencionados que espelham condies histricas bem
determinadas.
Voc deve distinguir, entretanto, normas jurdicas (leis,

regulamentos) e normas morais.
Unidade 1
45
22/12/2006 12:17:48
Ambas as normas regulamentam as relaes sociais, postulam

condutas obrigatrias, assumem a forma de imperativos e visam a
garantir a coeso social.
A moral um discurso de justicao e se encontra no corao da
ideologia. um dos mais poderosos mecanismos de reproduo
social, porque dene o que permitido e proibido, justo e injusto,
lcito e ilcito, certo e errado.
H inmeras situaes carentes de normalizao que no
remetem s confortveis dicotomias do tipo branco e preto.
Diante delas, as opinies se dividem, exacerbadas porque os
interesses subjacentes convivem em frontal oposio.
Quem ser beneficiado e quem sair prejudicado?
Eis a justicativa de uma competente reexo tica. Vale a pena

distinguir entre: racionalizaes, que so situaes em que o
agente sabe o que certo fazer, mas deixa de fazer mediante
justicaes e dilemas, que so situaes em que o agente no
sabe o que certo fazer e patina na incerteza moral.
Como ser tico num mundo em que se confrontam
valores e fins que, por sua prpria pluralidade,
sustentam a irracionalidade tica do mundo?
Toda tomada de deciso processa-se num contexto em que

interesses contraditrios se movimentam, tenham ou no
conscincia os agentes envolvidos. Tal ou qual curso de ao
benecia quem? Quais interesses esto em jogo? Os interesses
gerais, nacionais, pblicos ou comunitrios? Os interesses
universais, coletivos, sociais ou os interesses paroquiais, familiares
e pessoais?
Qualquer sistema de normas morais pe em cena crenas e
valores, ns e meios, a partir de um conjunto de informaes
que procuram descrever uma situao.
46
22/12/2006 12:17:49
Ele supe tambm as conseqncias provveis das aes que

podero vir a ser adotadas e ainda sugere os interesses que
sustentam o edifcio todo. Ora, toda moral palpita no corao de
uma ideologia e, de maneira aparentemente paradoxal, reivindica
um carter universalista.
A chave da discusso contempornea gira em torno do egosmo
tico em choque com as morais socialmente orientadas. Assim
que nos pases latinos e, em particular no Brasil, rastreia-se
uma dupla moral social: uma moral da integridade, que a
moralidade ocial, edicante e convencional, compondo uma
retrica pblica que se difunde nas escolas, nas igrejas, nos
tribunais e na mdia; e uma moral do oportunismo, que a
moral ociosa, pragmtica e dissimulada, furtivamente praticada
como ao entre amigos e muitas vezes celebrada pela esperteza
de seus procedimentos.
Os valores da moral da integridade so a honestidade, a
lealdade, a idoneidade, o respeito verdade e legalidade, o
compromisso com a retido. Tais virtudes desenham o perl
do homem de carter, convel, decente e digno, cumpridor
de suas obrigaes e el palavra empenhada, sujeito
eminentemente virtuoso e inexvel na preservao dos valores
consagrados. Quaisquer decises e aes deveriam orientar-se
por princpios que, por denio, valem para todos os homens.
Em contrapartida, a moral do oportunismo funciona com base
em procedimentos cnicos como o jeitinho, o calote, a falta de
escrpulo, o desprezo irresponsvel pelas conseqncias dos
atos praticados, o vale-tudo, o engodo, a trapaa, a exaltao da
malandragem, o siologismo e a bajulice. Esta moral valoriza
o enriquecimento rpido e o egosmo, consagra a esperteza e
acredita que o proveito pessoal move o mundo. Assim, desde que
a nalidade seja alcanada, a ao se justica, no importam os
meios, lcitos ou no.
Ora, queiram ou no, as empresas convivem com os padres
morais que suas contrapartes partilham. Ferir tais padres
signica estimular a deslealdade individual aos interesses da
empresa. Em razo disto, preciso convencionar um cdigo de
honra que ligue as organizaes a seus funcionrios. Ademais,
as empresas tm uma imagem a resguardar, patrimnio essencial
para a continuidade do prprio negcio. A imagem da empresa
Unidade 1
47
22/12/2006 12:17:49
no pode ser desprezada impunemente, nem pode ser reduzida

mera moeda publicitria, porque ela representa um ativo
econmico sensvel credibilidade que inspira.
A tica est amplamente constituda de regras de sobrevivncia,
regras de comportamento associadas prosso, regras de
relacionamento que possibilitem harmonia na convivncia social e
assim por diante.
As atitudes devem ser rpidas e certeiras, mas sempre seguindo
estratgias globais; estas sim, capazes de diferenciar as
empresas e garantir resultados consistentes no que diz respeito
sobrevivncia das organizaes. As empresas hoje buscam
prossionais com um perl diferenciado.
A era da informao implacvel: joga para escanteio
quem no tm instruo adequada e coloca no pice
os mais preparados.
Os sistemas formais da organizao correspondem aos

mtodos, s polticas e aos procedimentos que claramente
identicam qual o negcio, quando, como, onde e por que ele
se realiza.
Quando os sistemas formais contm um direcionamento
tico claro, os funcionrios tm uma compreenso correta
das expectativas e exigncias. Quando estes sistemas no
so claros ou quando a mensagem tica varia entre os
sistemas, os indivduos buscam outro ponto de referncia
para uma orientao denitiva, uma dimenso tipicamente de
liderana.
Quando os sistemas no se referem questo tica, a
mensagem transmitida de que no existe um padro tico.
Isto deixa os funcionrios totalmente dependentes de seus
valores pessoais e do comportamento observvel dos outros.
48
22/12/2006 12:17:49
O que fazer para andar com um pouco mais de

segurana nesse terreno nebuloso?
saiba exatamente quais so os seus limites ticos;
avalie detalhadamente os valores da sua empresa;
trabalhe sempre com base em fatos;
avalie os riscos de cada deciso que tomar saiba que,
mesmo ao optar pela soluo mais tica, poder se
envolver em situaes delicadas; ser tico significa,
muitas vezes, perder dinheiro, status e benefcios.
Falhas ticas arranham a imagem da empresa e as levam

a perder clientes e fornecedores importantes, dicultando o
estabelecimento de parcerias, pois na hora de se dar as mos,
alm de levantar as anidades culturais e comerciais, as empresas
tambm vericam se existe compatibilidade tica entre elas.
fundamental criar relacionamentos mais ticos
no mundo dos negcios para poder sobreviver e,
obviamente, obter vantagens competitivas.
E assim, com as ferramentas e o saber a postos, o quadro no

to ruim assim, pois sem sombra de dvida, a tecnologia criou
um verdadeiro mundo de oportunidades de emprego, para a
fabricao de computadores e perifricos, desenvolvimento de
softwares e outros sistemas de informao. E junto com isto,
criou uma gama maior ainda de servios para quem trabalha com
tecnologia.
Uma vez que voc nalizou a leitura criteriosa desta unidade, realize,
a seguir, as atividades propostas e pratique os novos conhecimentos.
Unidade 1
49
22/12/2006 12:17:49
Atividades de auto-avaliao
Efetue as atividades de auto-avaliao e acompanhe as respostas
e comentrios a respeito no final do livro didtico. Para melhor
aproveitamento do seu estudo, realize a conferncia de suas respostas
somente depois de fazer as atividades propostas.
Leia com ateno os enunciados e realize, a seguir, as atividades:
1) Basicamente, descreva quais ao os riscos que as informaes em meio
digital ou no correm dentro das empresas?
2) Por que auditar? Explique.
50
22/12/2006 12:17:49
3) Considerando os aspectos financeiros, sociais e tecnolgicos envolvidos

na gesto de TI, descreva a seguir qual o maior desafio tico na rea de
tecnologia?
Sntese
Com o estudo desta primeira unidade, voc conferiu os conceitos
que permeiam o assunto de auditoria de sistemas informatizados.
Constatou que o crescente uso de solues informatizadas dentro
das empresas cresceu muito nos ltimos anos. Um novo mundo
de oportunidades surgiu com o uso descontrolado dos sistemas
de informao, havendo a necessidade iminente de controle e as
empresas optaram por um plano de auditoria.
Esta auditoria tem como objetivo a manuteno do investimento
feito sobre as solues de tecnologia da informao, fazendo com
que o custo total de propriedade da soluo se mantenha baixo.
Deste modo, voc entendeu os motivos pelos quais a auditoria em
sistemas informatizados se faz necessria dentro das corporaes.
Por m, estudou tambm que essas lacunas abertas nos levam
a verdadeiros desaos em nossa prosso, pois tendo em mos
informaes, programas e dados de maneira to fcil e to rpida,
um verdadeiro desao tica surge e nos coloca em cheque na
hora de decidir como agir.
Unidade 1
51
22/12/2006 12:17:49
Saiba mais
Para aprofundar as questes abordadas nesta unidade, voc
poder pesquisar os seguintes materiais:
http://www.gocsi.com CSI/FBI 2003. Pesquisa do

FBI a respeito de crimes de internet.
http://www.modulo.com.br site da empresa Mdulo,

empresa lder de mercado em solues de segurana.
http://www.bsibrasil.com.br/ - site da organizao que

gerencia a norma BS 7799.
52
22/12/2006 12:17:50
UNIDADE 2
Organizao da auditoria
Ao final desta unidade, voc ter subsdios para:
compreender os atributos mais comuns das atividades

dos auditores e os aspectos relacionados as suas
responsabilidades;
conhecer os principais componentes de um

planejamento de auditoria;
conhecer o que uma concluso de auditoria.
Sees de estudo
A seguir, apresentamos as sees para voc estudar:
Seo 1 A origem da auditoria

Seo 2 O auditor e os sistemas informatizados
Seo 3 Quais so as responsabilidades do auditor?
Seo 4 Como ocorre o planejamento da auditoria?
Seo 5 ocorre a concluso da auditoria?
22/12/2006 12:17:50

A auditoria de suma importncia para os negcios,
independente de sua origem, seja ela contbil ou de tecnologia de
informao. O termo auditoria relacionado com diversas reas
de nossa sociedade.
Nesta unidade, voc vai estudar a organizao da auditoria em
seu mbito geral e resgatar a relao dela com as diversas reas
dos negcios. Bom estudo!
Seo 1 A origem da auditoria

A auditoria sempre foi muito relacionada com a contabilidade
e tambm surgiu numa poca bem remota. Este fato diculta
a pesquisa de matrias para estudos acadmicos que falam com
propriedade a respeito do assunto, j que a literatura disponvel,
em sua grande maioria, trata de eventos de auditorias nanceiras.
Porm, muitos dos conceitos utilizados so muito bem-vindos
pelo fato de que somente o objeto de auditoria est sendo
mudado.
No Egito antigo, autoridades providenciavam vericaes
independentes nos registros de arrecadaes de impostos. Na
Grcia, eram realizadas inspees nas contas de funcionrios
pblicos atravs da comparao de gastos com autorizaes
de pagamentos. J os nobres castelos medievais ingleses
indicavam auditores que revisavam os registros contbeis e
relatrios preparados pelos criados.
Como surgiu a auditoria de empresas?
A auditoria de empresas comeou com a legislao britnica

promulgada durante a revoluo industrial, em meados do
sculo XIX. Avanos na tecnologia industrial e de transporte
provocaram novas economias de escala, empresas maiores,
o advento de administradores prossionais e o crescimento
54
22/12/2006 12:17:50
da incidncia de situaes em que os donos de empresas no

estavam presentes nas aes dirias da corporao. No advento da
auditoria, este servio tinha que ser feito por acionistas que no
eram administradores das empresas e que recebiam a delegao
dos demais acionistas. (PURPURA, 1998)
Voc sabia?
Na Inglaterra encontram-se as empresas de auditorias
mais bem conceituadas, tais como: Deloitte & Co.,
Peat Marwick & Mitchell e Price Waterhouse & Co. Tanto
eles so pioneiros na rea, que foi de l, de estudos
acadmicos, que surgiu o padro de segurana
de informaes que os auditores de sistemas
informatizados utilizam: o padro BS 7799 que tem
suas variaes na ISO (ISO 27001) e na ABNT, onde se
encontra a NBR ISO/IEC 17799:1 (2005).
A inuncia britnica foi essencial para os Estados Unidos, no

nal do sculo XIX, na mesma proporo em que investidores
escoceses e ingleses enviavam seus prprios auditores para a
vericao na contas das empresas norte-americanas, nas quais
tinham investido muito dinheiro.
No nal do sculo XIX, Nova Iorque tornou-se o primeiro
estado norte-americano a aprovar uma legislao sobre a prosso
de auditor. Vinte anos mais tarde, todos os Estados Americanos
j tinham aprovado lei semelhante.
No incio do sculo XX, a demanda de servios na rea aumentou
exponencialmente, em razo, a princpio, da venda de ttulos ao
pblico. Esta situao deixou clara a necessidade de uma maior
linearidade na apresentao de demonstraes contbeis.
Voc sabia?
Para se ter uma noo do crescimento da profisso
de auditor, observe que em 1900 eram apenas 250
auditores autorizados a exercer a profisso nos
Estados Unidos e hoje so mais de 500.000. (Fonte:
Wise, 2002).
Unidade 2
55
22/12/2006 12:17:50
Continuando a trajetria histrica, voc vai perceber que a

complexidade dos negcios foi aumentando. Na dcada de 40,
j eram observadas trs importantes mudanas na prtica da
auditoria:
a vericao contbil passou a ser realizada por

amostragem, em sua maioria;
foi desenvolvida a prtica de vincular os testes realizados

avaliao dos controles internos da entidade auditada;
e, por m,
a nfase na deteco de fraudes com o objetivo de

uma auditoria foi reduzida. Esta ltima alterao gera
controvrsia at hoje, pois no mbito contbil de
interesse pblico que os auditores detectem fraudes e no
apenas no-conformidades. Esta alterao est prestes a
ser mudada.
Durante a dcada de 80 e 90, a tnica nos campos prossionais

era o conhecimento exigido e, assim, a prosso de auditor deu
um outro passo no sentido de assegurar a prestao de servios de
qualidade. Cursos de capacitao e reciclagem comearam a ser
exigidos, bem como a certicao, pois prossionais certicados
eram mais bem conceituados.
Seo 2 O auditor e os sistemas informatizados

Quando os sistemas de computadores surgiram, muitos auditores
estavam preocupados com a essncia da auditoria que poderia
mudar para poder lidar com a nova tecnologia. Agora est
claro que no este o caso. Os auditores devem prover uma
avaliao competente e independente indicando se um conjunto
de atividades econmicas tem sido registrado de acordo com os
padres e critrios estabelecidos.
Os sistemas informatizados tm afetado duas
funes bsicas dos auditores: coleta e avaliao das
evidncias.
56
22/12/2006 12:17:50
Coletar evidncias sobre a segurana em um sistema

informatizado muito mais complexo do que em um sistema
manual, sem automao, justamente devido diversidade e
complexidade da tecnologia de controle interno. Os auditores
devem entender estes controles e ter know-how para coletar
evidncias corretamente.
Tecnologias como hardware ou software evoluem muito
rapidamente, o que torna o entendimento sobre o controle muito
complicado e difcil, pois existem intervalos de surgimento de
tecnologias e entendimento da mesma.
Por exemplo, num equipamento de hardware, os
famosos appliances que fazem o papel de Firewall
so considerados somente bloqueadores de portas
lgicas. Uma nova verso deste equipamento possui
um software que permite, alm de bloquear portas
lgicas, fazer o servio de deteco de intrusos, o
que o torna mais eficaz no momento de avaliar a
segurana de dispositivos de rede que fazem este
papel.
Em alguns casos, no possvel detectar evidncias de forma

manual. Nesse caso, o auditor ter que recorrer outros recursos
como, por exemplo, sistemas informatizados que possibilitem
a coleta das evidncias necessrias. Novas ferramentas de
auditoria podem ser requeridas devido evoluo da tecnologia,
e infelizmente aqui tambm ocorre um intervalo entre as
necessidades da auditoria e as implantaes das mesmas.
Devido crescente complexidade dos sistemas informatizados,
tambm mais difcil avaliar as conseqncias das
vulnerabilidades existentes. Primeiramente, os auditores devem
entender quando um controle est agindo de forma segura ou
no.
Erros em programas de computador tendem a ser deterministas:
um programa errado sempre executar incorretamente. Alm
disto, erros so gerados em grande velocidade e corrigi-los
pode custar caro. Assim, controles internos que garantam que
sistemas de computadores de alta qualidade sejam projetados,
implementados, operados e mantidos so crticos.
Unidade 2
57
22/12/2006 12:17:50
O nus sobre os auditores garantir que estes

controles sejam suficientes para manter a proteo
dos ativos de informao da corporao, integridade
dos dados, efetividade e eficincia dos sistemas, alm
de disponibiliz-los para que eles sejam operados de
forma segura.
Os sistemas de informao passaram a disponibilizar mais

informaes para os que detm o poder decisrio das empresas.
Os auditores desenvolveram uma fama de entenderem tanto de
contabilidade quanto dos fatores que afetam a competitividade
de um negcio ou setor de atuao. Contudo, esta prosso tem
sido alvo de crticas por no utilizar o know-how adquirido para
agregar valor a seu servio. Pode-se, inclusive, comparar com a
rea de sistemas informatizados, pois um auditor pode, alm de
detectar uma no-conformidade, dar alguma sugesto imediata
para resolver esta no-conformidade.
Esta situao permite uma discusso bastante interessante:
Primeiro reflita sobre a questo, aps escreva suas
concluses:
O auditor deve simplesmente detectar as noconformidades e dar a nota ao objeto auditado ou,
alm disso, ele pode ajudar a corporao a aumentar o
nvel de segurana dos seus sistemas de informao?
Utilize o espao, a seguir, para registrar suas reflexes.
58
22/12/2006 12:17:51
Deste modo, servios de auditoria deslocam-se na cadeia de

valores na mesma proporo que o auditor traduz as informaes
obtidas com seu trabalho para informaes crticas camada
executiva da empresa.
Por exemplo, com seu conhecimento do negcio, o
auditor pode reconhecer que uma companhia no
est utilizando adequadamente os seus ativos de
informao e pode fazer recomendaes sobre como
outras empresas o fazem ou, at mesmo, como as
normas e padres de segurana mais conceituados no
mercado o fariam.
O auditor ocupa posio privilegiada em nossa sociedade por

entender o funcionamento de vrias organizaes e saber de que
forma elas utilizam os recursos de tecnologia para atingir seus
objetivos.
O desao desta prosso est em compartilhar o conhecimento
de maneira que ajude o cliente a atingir seus objetivos alm de
manter a independncia. interessante que este prossional
saiba a grande diferena entre fazer recomendaes e implantar
decises, respeitando a tica prossional.
Quais so os principais valores de um auditor?
possvel resumir, em trs caractersticas, os principais valores

de um auditor:
manter princpios ticos;
possuir integridade;
possuir objetividade.
Apesar de simples, encontra-se no mercado de auditoria, apesar

de vasto, poucas empresas prestadoras de servio de auditoria que
respeitam estas propriedades.
Unidade 2
59
22/12/2006 12:17:51
importante, na hora de contratar tais servios, procurar por

empresas com tenham sua reputao baseada nas caractersticas
acima mencionadas.
A incessante procura por atualizaes das normas e mtodos de
auditoria devem tambm fazer parte do dia-a-dia da prosso de
auditor, pois vulnerabilidades e ameaas so lanadas todos os
dias.
Nosso cenrio de muita crtica aos auditores pelo fato de
que esta prosso muitas vezes vista como a de relatores de
problemas e no como a de solucionadores de situaes de noconformidade.
Quais so as necessidades para ser um prossional auditor?

Auditores necessitam de grande capacidade de comunicao, pois
o servio pede que ao levantar-se questes relacionadas com o
objeto auditado, a discusso seja levada para a camada executiva
da empresa e os resultados deste trabalho tambm. Como a
tecnologia inuencia diretamente a forma como os auditores
se comunicam, deve-se recorrer a modelos padronizados que
possam passar a extenso, concluso e observaes do trabalho
realizado. A capacidade de pensar crtica e estrategicamente
essencial ao auditor.
Por exemplo, o auditor deve ser capaz de analisar e
avaliar o P.D.I. (Plano Diretor de Informtica) de um
cliente e avaliar se os recursos de TI que existem
na corporao manipulam as informaes de
forma concisa e coerente e atendem aos objetivos
previamente definidos para estes sistemas.
O auditor deve procurar fazer com que suas competncias no

somente sejam ditadas por normas, mas decorram de foco no
cliente e no mercado.
60
22/12/2006 12:17:51
Quais so os servios prestados pelo auditor?
Os principais servios prestados por auditores so:
assurance;
consultoria gerencial;
planejamento;
certicao de normas.
Assim, os servios de assurance so as tradues de informaes

provindas dos recursos encontrados no objeto auditado,
melhorando o contexto e a qualidade para que a camada
executiva possa tomar suas decises.
Os servios de consultoria gerencial abrangem as recomendaes
sobre como utilizar os sistemas de informao do cliente de uma
forma mais proveitosa e que atenda aos objetivos de negcio da
empresa auditada.
Os servios de certicao de normas so aqueles em que o
auditor ir prover um check-list apontando conformidades e
no-conformidades segundo determinada norma e ir emitir
uma parecer sobre a emisso ou no para uma empresa daquele
certicado. (CARUSO, 1999)
Com esta seo, voc conheceu um pouco mais sobre a
histria desta prosso e a interao do auditor com os
recursos informatizados, que ser melhor apresentado nas
prximas unidades. Continue seu estudo e conhea quais so as
responsabilidades de um auditor.
Unidade 2
61
22/12/2006 12:17:51
Seo 3 Quais so as responsabilidades do auditor?

O auditor , na maioria das vezes, visto como um detetive
justiceiro, que se insere no mago da organizao para
apontar erros, defeitos, problemas, sem a contrapartida
de contribuir para uma soluo. Isto torna complicado o
trabalho do auditor, pois sua presena pode incomodar os
administradores da informao da empresa.
Auditor: vilo incompreendido

ou recurso indispensvel para as
corporaes.
Um auditor pode incorrer em responsabilidade legal ao

prestar qualquer servio prossional. Se voc analisar o passado
desta prosso, o auditor tem tido um percentual extremamente
baixo de acusaes de falhas ou fraudes em seu servio, em
relao quantidade de auditorias realizadas.
Apesar de serem raros, os erros em servios de auditoria
acontecem, e quando ocorrem, tem conseqncias grandes. E essa
falha tem o seu respectivo lado jurdico.
Um exemplo disto que um erro de pouco menos
de um grau na programao de um vo de longa
distncia, apesar de raramente acontecer, suas
conseqncias so muito grandes, como a falta de
combustvel para o pouso do avio com segurana.
Quais so as responsabilidades do auditor em relao aos

seus clientes?
Um auditor tem uma relao contratual direta com seus clientes.
Quando concorda em prestar servios, algumas coisas devem
ser lembradas pela empresa contratante para que o processo de
auditoria, j aprovado pela camada executiva, siga de acordo com
os objetivos esperados.
62
22/12/2006 12:17:51
Quais cuidados tomar durante o processo de

fechamento de contrato?
Assim, alguns cuidados so importantes no processo de

fechamento do contrato:
Antes da assinatura do contrato, uma proposta

comercial deve ser apresentada empresa
contratante, a m de se conhecer o escopo de
trabalho, ou seja, todas as responsabilidades
da empresa contratada e da contratante. Isto
favorvel para que, no nal dos servios, possase fazer um processo de Quality Assurance da
auditoria em si, isto , uma medio do que foi proposto
e do que foi realizado.
A empresa que contratar os servios de auditoria de

terceiros deve ter o cuidado de escolher a empresa
contratada seguindo algumas caractersticas como: tempo
que a empresa est no mercado, se a empresa possui
um plano de atualizao permanente dos auditores, se
a empresa no possui muitas queixas ou processos de
clientes, vericar a carteira de clientes da empresa, entre
outras caractersticas.
Na hora da assinatura do contrato, importante observar

a parte sobre o sigilo de contrato, que imprescindvel
para um contrato de servios de auditoria. Se a empresa
contratada no for de boa ndole, pode acontecer de o
auditor repassar informaes para concorrentes, j que ele
tambm presta servio para outras empresas.
Vericar se a norma ou padro adotado pela empresa

contratada tem grande aceitao no mercado; vericar se
a mesma est atualizada quanto s ltimas mudanas do
mundo contbil, nanceiro ou tecnolgico.
Unidade 2
63
22/12/2006 12:17:52
Que situaes o auditor pode ser responsabilizado por

quebra de contrato?
H trs situaes tpicas onde o auditor pode ser responsabilizado

por quebra de contrato, a considerar:
na emisso de um parecer-padro de auditoria sem ter

aplicado as normas de auditoria geralmente aceitas;
na entrega do relatrio fora do prazo estipulado;
na violao da relao condencial acordada no contrato.
importante ressaltar que na quebra de um contrato pelas

situaes anteriormente citadas ou outras, o queixoso geralmente
busca uma ou mais das seguintes alternativas: prestao dos
servios pelo ru; indenizao monetria por prejuzos ocorridos
durante a quebra de contrato; ou uma indenizao por prejuzos
indiretos causados pela no realizao dos servios contratados.
1136 TenantsCorp versus Max Rothenberg & Co.

(1971)
Responsabilidade por negligncia
O queixoso, uma corporao que possui um conjunto
de apartamentos, acionou o ru, uma firma de
auditores contbeis, pleiteando indenizao porque
ru no descobriu um desfalque de quantia superior
a US$ 110.000,00 (cento e dez mil dlares), que Riker, o
administrador do queixoso, tinha realizado. Riker tinha
contratado Rothenberg verbalmente por honorrios anuais
de US$ 600,00 (Seiscentos dlares).
O queixoso argumentou que Rothenberg tinha sido
contratado para realizar todos os servios de contabilidade
e auditoria. O ru, por sua vez, rebateu que tinha sido
contratado para realizar apenas servios de escriturao e
preparao das demonstraes contbeis e da declarao
de imposto de renda. Como evidncia de seus argumentos,
o queixoso mostrou que contabilizou os honorrios do ru
como despesa de auditoria, e o ru mostrou que, em todas
folhas das demonstraes, tinha registrado que elas no
tinham sido auditadas.
64
22/12/2006 12:17:52
Alm disso, em uma carta de encaminhamento das

demonstraes contbeis, o contabilista afirmou que as
demonstraes tinham sido preparadas com base nos
livros e registros da empresa e no tinham sido objeto de
verificao independente.
O tribunal decidiu que acusado tinha sido contratado
para realizar uma auditoria porque Rothenberg admitiu
que havia realizado alguns procedimentos, como exame
de extratos bancrios, faturas e contas. Na realidade,
os papis de trabalho do auditor continham um mapa
intitulado Faturas no encontradas, que mostrava que
no havia comprovantes para pagamentos da ordem de
US$ 40.000,00(quarenta mil dlares). O contabilista no
informou ao queixoso sobre a falta desses comprovantes
e no se empenhou em encontr-los. O tribunal decidiu
que o auditor contbil foi negligente e determinou que
ele pagasse indenizaes que totalizaram US$ 237.000
(duzentos e trinta e sete mil dlares) afirmando que:
Independente de o Auditor contbil ter sido contratado
para realizar uma auditoria ou simplesmente preparar
demonstraes contbeis, ele tinha o dever de informar
o cliente qualquer conduta errada ou suspeita de seus
empregados, da qual chegasse a ter conhecimento.
Papis de trabalho do ru indicavam que ele tinha realizado
alguns procedimentos de auditoria contbil.
Os registros mostravam que o ru tinha sido contratado
para realizar uma auditoria dos livros e registros do cliente
e que os procedimentos utilizados pelo ru tinham sido
incompletos, inadequados e realizados de forma no
apropriada.
1136 TenantsCorp vs Max Rothenberg & Co. (1971)
(36 A2d 30 NY2d 804), 319 NYS2d 1007 (1971).
Unidade 2
65
22/12/2006 12:17:52
Por que importante documentar por escrito a

execuo dos trabalhos?
Para obter tal resposta, acompanhe a seguir, a descrio de um

caso interessante. Ele cou conhecido como o Caso 1136 Tenants
e utilizado, freqentemente, para demonstrar a importncia do
processo de execuo dos trabalhos ser documentado por escrito.
A existncia de um contrato por escrito foi boa, porm no foi a
nica questo que o caso levantou. A questo crtica aqui que o
auditor contbil no informou ao cliente que um empregado seu
estava cometendo atos errados, independente do tipo de servio
que estava sendo prestado.
Apesar de antigo, esse caso acontece muito em nosso pas:

contratos so assinados e muitas informaes so acertadas
verbalmente. Por isto, muita ateno!
At aqui, voc estudou sobre as responsabilidades do auditor
no que diz respeito aos procedimentos a serem adotados com os
clientes e, com isso, a importncia do contrato de trabalho.
Veja, a seguir ento, quais so as responsabilidades quando o
trabalho feito sem a existncia de um contrato, ou seja, com
terceiros.
Um terceiro pode ser definido como um indivduo
que no tem relao contratual com as partes de um
contrato.
De acordo com a lei de perdas e danos, o auditor tem

responsabilidade para com todos os terceiros, por negligncia
grave e fraude. Por negligncia normal, contudo, sua
responsabilidade para com as duas classes de terceiros tem sido
diferente.
66
22/12/2006 12:17:52
O conceito de responsabilidade evoluiu

signicativamente, passando a abranger proteo ao
consumidor contra atos errados, tanto para fabricantes
como para os prestadores de servios.
O tamanho das empresas, de uma maneira geral,
aumentou, para suportar novos nveis de responsabilidade
perante o cliente. Pode-se dizer que hoje em dia as
empresas, tecnicamente falando, alm de procurarem
um bom prossional para prestar servios, procuram
tambm quelas empresas em que possam conar. Anal,
o auditor de sistemas de informao ir lidar com dados e
informaes que so, em sua grande maioria, sigilosos.
Seo 4 Como ocorre o planejamento da auditoria?

A atividade de auditoria pode ser dividida em trs fases:
planejamento, execuo (superviso) e relatrio.
O que ocorre na fase de planejamento?
Uma fase vital para qualquer contrato de auditoria o seu

planejamento. Ele desempenha o mesmo papel que em outras
reas, na vida pessoal, no desenvolvimento de um novo produto,
entre outros. Dele resulta um arranjo ordenado dos passos
necessrios conduo de determinado objetivo. Tudo que feito
de forma organizada est fadado ao sucesso.
Planejamento da auditoria envolve vrios passos importantes.
Obteno de conhecimento do negcio e da organizao
representa a etapa crtica neste processo, pois estabelece a base
para a realizao de muitos outros procedimentos de auditoria.
Ao planejar o seu trabalho, o auditor toma importantes decises
sobre a relevncia e risco de auditoria. Um produto importante do
planejamento envolve a tomada de decises preliminares sobre a
estratgia a ser seguida.
Unidade 2
67
22/12/2006 12:17:52
Por exemplo, num parecer tcnico de um auditor de

sistemas de informao, uma constatao de que
determinado sistema no de misso crtica influencia
e muito na deciso do auditor de recomendar alguma
mudana. Isso na relao com a conformidade ou
no-conformidade, mas com trabalho prativo do
auditor em dizer que, apesar da no-conformidade,
esta vulnerabilidade no causar muitos danos, pois o
sistema no de misso crtica.
Um aspecto muito importante na obteno das informaes

relacionadas com o negcio do cliente o ciclo de vida das
informaes. baseado nestes uxos que se avalia a segurana
envolvida.
Sendo mais especco, deve ser feito um inventrio do ambiente
computacional do cliente, com informaes sobre hardware,
sistemas operacionais, arquitetura computacional, metodologia
usada no desenvolvimento de software, quais so ou no os
sistemas crticos.
Com estas informaes, o auditor ir traar o seu

plano de auditoria e definir o escopo do servio.
Estes conceitos j foram explorados

na unidade anterior.
Um dos motivos do auditor denir o escopo aps o inventrio

a necessidade de se saber dos recursos tcnicos a serem alocados.
No caso de auditoria de software, por exemplo, necessrio um
auditor que conhea as normas e procedimentos para a fabricao
de alguma aplicao, j que elas diferem das que aplicam
diretrizes e procedimentos, para garantir a alta disponibilidade
de um ambiente computacional.
Saber previamente a complexidade do ambiente
de tecnologia que ser auditado uma grande
vantagem, pois a empresa ter mais tempo na hora de
procurar algum recurso humano em especial.
68
22/12/2006 12:17:53
Lembre-se sempre que as informaes que so anexadas ao

processo de auditoria devem ser coletadas em primeira mo, ou
seja, com a certeza de que o dado coletado de fonte segura.
Considerar o pessoal que administra o ambiente pode ser uma
boa estratgia e lgico, que como prestador de servio, uma
certa poltica e jogo de cintura so importantes nestes casos.
Tendo em mos as informaes pertinentes ao ambiente
computacional do cliente, a equipe de auditores pode, neste
momento, denir o campo, o mbito e as sub reas a serem
auditadas. A denio do escopo, ou seja, o campo, o mbito e
as sub reas um passo importante no planejamento da auditoria
porque desta forma que o cliente ca sabendo at aonde vai o
trabalho realizado pelo auditor, ou seja, evita falsas expectativas,
at no que diz respeito ao prazo. Existe uma tendncia muito
forte da classe executiva em pensar que auditoria uma simples
anlise supercial e leva-se pouco tempo para execut-la. Este
aspecto deve ser discutido ainda na fase de contratao dos
servios para evitar problemas futuros.
Uma das situaes mais corriqueiras durante o planejamento
sem dvida a que diz respeito ao conhecimento tcnico necessrio
para a realizao do servio. Isto implicar diculdades para
formar a equipe de auditoria e causar problemas como: alocar
um recurso muito especializado para uma auditoria simples ou
perceber, em cima da hora, que se precisa de um suporte muito
especializado e, este recurso no estar disponvel no momento
desejado.
Tais como os recursos humanos, as previses nanceiras devem
estar na lista das vericaes, pois podem ocorrer situaes
como uma viagem s redes remotas do cliente, envolvendo custos
com hotel, despesas de alimentao e deslocamento. Outro caso
a contratao de um recurso tcnico para compor a equipe
de auditoria, se este recurso no existir no quadro atual de
funcionrios da empresa. (DIAS, 2000).
To importante como a equipe de auditoria e suas previses
nanceiras, so os recursos tcnicos, ou seja, as ferramentas de
trabalho do auditor. So elas: manuais de sistemas operacionais,
laptops, computadores, software especialista em auditoria, entre
outros.
Unidade 2
69
22/12/2006 12:17:53
Este planejamento envolve o desenvolvimento de uma estratgia

global para a conduo da auditoria, dada a sua extenso.
O auditor deve planej-la considerando a tica prossional
sobre questes como: integridade da administrao, erros
e irregularidades e atos ilegais. O volume de planejamento
exigido em um contrato varia de acordo com o tamanho e
complexidade do cliente, se ele j conhecido do auditor e
em experincias passadas que tenha tido com ele. Como se
esperaria, o planejamento de uma auditoria inicial requer esforo
consideravelmente maior que o de uma auditoria recorrente.
Um dos principais motivos dessa preocupao, a princpio
aparentemente exagerada, a de que na maioria das organizaes
dedicadas auditoria, controle e segurana, os auditores de
sistemas so recursos humanos escassos e, com isso, o seu tempo
deve ser administrado com muito critrio. Sua presena para
execuo de alguma tarefa s denida nos casos em que sua
atuao seja realmente necessria.
O que ocorre aps o planejamento?
Aps a etapa do planejamento, vem a superviso. Esta envolve

o direcionamento dos trabalhos dos assistentes para atingir os
objetivos de auditoria e vericar se os objetivos foram de fato
atingidos.
A extenso da superviso necessria em um contrato depende da
qualicao das pessoas que realizam os trabalhos, entre outros
fatores. Com isto, ao planejar uma auditoria e sua superviso,
tambm deve ser previsto quantos membros da equipe so
inexperientes e quantos so experientes.
70
22/12/2006 12:17:53
Seo 5 Como ocorre a concluso da auditoria?

Na fase de concluso da auditoria, o auditor freqentemente ir
trabalhar sob rgidas condies de prazo, pois os clientes querem
obter o parecer o mais cedo possvel. Nada mais justo, porm
importante lembrar que no se pode sucumbir s presses
decorrentes do trabalho sob pena de emitir um relatrio simples
demais, de pouca qualidade ou at mesmo com poucos detalhes.
Quais so as responsabilidades do auditor na
concluso dos trabalhos?
As responsabilidades do auditor na concluso dos trabalhos

podem ser divididas em trs categorias: concluso do trabalho de
campo; avaliao das descobertas; comunicao com o cliente.
A seguir acompanhe em detalhes, as caractersticas de cada
responsabilidade referente s fases do processo de concluso da
auditoria.
a) Concluso do trabalho de campo

Na concluso do trabalho de campo, o auditor deve ter certeza
de que j fez todas as entrevistas necessrias, coletou todos os
dados necessrios para analisar as evidncias e tecer um parecer
correto, que auxilie o cliente a melhorar o seu ambiente de TI
aumentando a sua disponibilidade, o seu carter condencial e a
sua integridade de dados.
Uma boa estratgia revisar as entrevistas com as pessoas
envolvidas na administrao da informtica, relendo-as e
conrmando os dados com as pessoas envolvidas para garantir a
integridade de tais informaes. Tambm e importante revisar
atas de possveis reunies passadas, a m de se fazer a mesma
conrmao.
A concluso da auditoria deve conter as dificuldades

para a obteno de informaes, que possam ter
atrapalhado o trabalho.
Unidade 2
71
22/12/2006 12:17:53
Este um fator importante, pois um parecer pouco detalhado

deve ter como justicativa a escassez de informaes ou
diculdades em obt-las.
Outro ponto a ser lembrado a reviso dos histricos de eventos,
os logs, para garantir a integridade dos mesmos, analisar a
procura de falhas nas seqncias de datas, que demonstra algum
tipo de fraude.
b) Avaliao das descobertas

Ao avaliar o que foi vericado na auditoria, o auditor tem por
objetivos determinar o tipo de parecer a ser emitido e determinar
se a auditoria seguiu as normas geralmente aceitas.
Para formar opinio sobre as demonstraes contbeis, o
auditor deve assimilar todas as evidncias que constatou
durante a auditoria, da mesma forma que o auditor de sistemas
informatizados deve reunir todo tipo de informao coletada
do ambiente de TI do cliente. O primeiro passo identicar as
distores que foram encontradas e no foram corrigidas pelo
administrador de TI Em casos de pouca severidade, o auditor
pode ressaltar o fato de que a alterao pode ser feita mais tarde.
Porm, em casos graves, ele tambm pode pedir que a alterao
seja feita imediatamente.
Como exemplo temos: a correo de algum

sistema operacional que influencie diretamente na
vulnerabilidade do sistema, deve ser feita o quanto
antes, sob pena de perda de disponibilidade da
mquina.
Durante a realizao de uma auditoria, vrios testes so

realizados. Muitas vezes, estes testes so executados por auditores
cuja participao na auditoria pode limitar-se a poucas reas.
medida em que os testes correspondentes em cada rea (por
exemplo: redes, sistemas operacionais, softwares) vo sendo
concludos, um auditor snior vai resumindo o que neles foi
constatado.
72
22/12/2006 12:17:53
Na concluso da auditoria, necessrio que todas as constataes

sejam resumidas e avaliadas. Aqui tambm constatada a noconformidade com a norma aceita pelo cliente como sendo
padro de segurana de informao.
Antes da deciso nal sobre a opinio a ser emitida, geralmente
o cliente chamado para uma reunio, na qual a empresa
responsvel pela auditoria relata as descobertas, inicialmente
de forma oral, e justica, conceitualmente, eventuais ajustes e
mudanas que esteja recomendando. (SEGURANA, 2000)
A administrao do ambiente de informtica, por sua vez, pode
tentar defender a sua posio, porm isto no deve interferir
na avaliao de conformidade da norma de segurana, caso
contrrio, incorrer no erro de ser complacente com muitas
inconformidades e acabar sem ajudar o cliente como proposto.
Nesta situao imprescindvel que haja uma formalizao para
no haver dvidas sobre o caso. Isto gera segurana para todos os
envolvidos, tanto no lado do cliente quanto no lado do auditor.
No nal, geralmente se chega a um acordo a respeito das
alteraes que devem ser feitas e o auditor pode ento ter que
emitir um parecer explicando a situao. A comunicao da
opinio do auditor feita por meio de seu parecer.
c) Comunicao com o cliente

Durante uma auditoria, o auditor pode vir a tomar conhecimento
de questes relacionadas com controles internos, que sejam
de interesse do comit corporativo de segurana ou de outros
envolvidos dentro da corporao - que tenham autoridade e
responsabilidade equivalente e que normalmente a classe
executiva da empresa.
Unidade 2
73
22/12/2006 12:17:53
Figura 2.1 Diagrama do modelo de implementao e gesto de segurana

Fonte: Elaborado pelo autor
Na gura 2.1 voc pode perceber a posio do comit corporativo

de segurana dentro de um diagrama. Nela, voc pode visualizar
o ambiente de segurana de informao de uma organizao.
O comit um grupo formado por vrios gerentes
de diversas reas da empresa e que tem influncia e
responsabilidade sobre os ativos de informao da
corporao.
74
22/12/2006 12:17:54
A comunicao em qualquer perodo da auditoria, seja durante ou

na concluso dos trabalhos, deve ser feita por um canal escolhido
pelas partes envolvidas, ou seja, tanto pelo cliente, quanto pela
empresa de auditoria. Tal prtica evita distores de fatos e atos,
pois deve ser feita formalmente por escrito, com cpia para todas
as pessoas envolvidas no trabalho dos dois lados e com cpia para
o comit de segurana da empresa, se for o caso.
No caso de apresentar o parecer de maneira formal, a m de
encerrar os trabalhos de auditorias, interessante marcar com
antecedncia uma reunio para que todas as pessoas envolvidas
estejam presentes, porque nesta reunio que ser conrmada a
auditoria.
As normas de auditorias geralmente aceitas no exigem que
vulnerabilidades relevantes sejam identicadas separadamente.
Porm muito interessante, para um maior entendimento e
at programao de investimentos por parte do cliente, que
as vulnerabilidades sejam divididas em nveis de severidade,
acusando suas conseqncias caso no sejam remediadas e a
medida do risco das mesmas, para se prever em que momento
esta fraqueza pode ser explorada por uma ameaa.
importante ter cuidado na hora de comunicar toda
e qualquer dificuldade em obter informaes, ou
barreiras encontradas para se chegar ao relatrio de
concluso da auditoria.
Normalmente, o parecer de auditoria aponta alguma falha

humana, ou seja, voc estar apontando algum e para que isto
no vire motivo de uma guerra, necessrio ter cautela na forma
de passar estas informaes para o cliente.
Aqui bom lembrar que, em muitos casos, o auditor de sistemas
de informao visto como dedo-duro e bom acostumar-se
com isto e saber agir de acordo com esta fama.
medida que a auditoria progride, o auditor deve registrar
em seus papis de trabalho questes que pretenda incluir no
seu relatrio nal para posterior entrega classe executiva da
empresa.
Unidade 2
75
22/12/2006 12:17:54
Resumindo: O relatrio entregue administrao da empresa

deve ser cuidadosamente elaborado, bem organizado e escrito
em tom de crticas construtivas. A entrega rpida deste
relatrio pode ter uma reao imediata e positiva.
Uma vez que voc nalizou a leitura da unidade 2, para praticar
seus novos conhecimentos, realize as atividades propostas a
seguir.
Leia com ateno os enunciados e realize as atividades.
1) A profisso de auditor mudou muito nos ltimos anos, porm eles tm

uma tendncia que j existe a algum tempo, qual ?
76
22/12/2006 12:17:54
2) Quando falamos das responsabilidades da profisso de auditor, quais

so elas perante os clientes?
Unidade 2
77
22/12/2006 12:17:54
3) Cite um dos principais motivos de se dar importncia ao planejamento

da auditoria?
78
22/12/2006 12:17:54
Realize tambm as atividades propostas no EVA.

Interaja com a sua comunidade de aprendizagem e
amplie seu ponto de vista.
Sntese
Nesta unidade, voc estudou que uma auditoria tradicional
envolve a reviso do histrico nanceiro da empresa com o
intuito de validar a exatido e a integridade das declaraes
nanceiras. O controle interno representa uma metodologia
primria usada pela classe executiva da organizao para
assegurar a proteo dos ativos e a disponibilidade da informao.
No advento dos sistemas de informao, o computador j
demonstrou impacto em muitas reas distintas dos negcios e
de vrias prosses. Com esta nova tecnologia, os processos de
revises destes controles ou o processo de auditoria mudaram
e os auditores atualmente, tambm devem saber a respeito da
tecnologia do processamento eletrnico de dados.
Como voc pde perceber, vrios desaos devem ser vencidos na
prosso de auditor, pois ela envolve muitas responsabilidades
alm de muita organizao.
Muitos sistemas no foram projetados para serem seguros. A
segurana que pode ser alcanada por meios tcnicos limitada e
convm ser apoiada por gesto e procedimentos apropriados.
Na prxima unidade voc ir estudar maneiras, mtodos e
procedimentos que podem ser utilizados para suprir a decincia
tecnolgica encontrada nos sistemas de segurana. At l!
Unidade 2
79
22/12/2006 12:17:54
Saiba mais
Para aprofundar as questes abordadas nesta unidade, realize
pesquisa nos seguintes livros:
PINKERTON CONSULTING and

INVESTIGATIONS. Top Security Threatsand
Management Issues Facing Corporate America 2002
Survey of Fortune 1000 Companies, Pinkerton Service
Corporation, 2002.
PURPURA, Philiph. Security and Loss Prevention :

An Introduction. Boston: Butterworth Heinemann, 3
edio, 1998.
SENNEWALD, Charles A. Eective Security

Management. Boston: Butterworth Heinemann. 3.
edio, 1998.
ROPER, Carl A. Risk Management for Security

Professionals.Boston: Butterworth Heinemann, 1999.
22/12/2006 12:17:54
UNIDADE 3
Poltica de segurana de
informaes
Ao final desta unidade voc ter subsdios para:
conhecer o impacto de ataques externos ao ambiente

corporativo da tecnologia da informao.
compreender a importncia do inventrio de recursos

para uma entidade.
conhecer e diferenciar os tipos de controles de acesso

lgico.
conhecer e diferenciar os tipos de controles de acesso
fsico.
conhecer e diferenciar os tipos de controles ambientais.
Sees de estudo
Seo 1
Qual o papel da poltica de segurana da

informao?
Seo 2 Como realizar a anlise de riscos?

Seo 3 Inventrio e recursos
Seo 4 Como efetuar os controles de acesso lgico?
Seo 5
Como executar os controles de acesso

fsico?
Seo 6 Como realizar os controles ambientais?

22/12/2006 12:17:54

Na vida das pessoas dentro das organizaes, tudo gira em
torno de decises polticas, no importando quem as tome e
que nome elas tenham. Qualquer organizao sempre estabelece
diretrizes polticas para serem seguidas pelas pessoas que fazem
parte direta ou indiretamente da corporao. Com o propsito
de fornecer orientao e apoio s aes de gesto de segurana, a
poltica de segurana da informao tem um papel fundamental
e, guardadas as devidas propores, tem importncia similar
constituio federal para um pas.
Aps o entendimento inicial da relevncia deste contedo, siga
em frente! Bom estudo!
Seo 1 Qual o papel da poltica de segurana da

informao?
Tendo como propsito fornecer orientao e apoio s aes de
gesto de segurana, a poltica de segurana da informao
assume uma grande abrangncia e, por conta disto, subdividida
em trs blocos: procedimentos/instrues, diretrizes e normas,
que so destinados, respectivamente, s camadas operacional,
ttica e estratgica.
a) Procedimentos/instrues: estabelecem padres,
responsabilidades e critrios para o manuseio, armazenamento,
transporte e descarte das informaes dentro do nvel de
segurana estabelecido sob medida pela e para a empresa.
Portanto, a poltica das empresas deve ser sempre personalizada.
b) Diretrizes: por si s tem papel estratgico, pois precisam
expressar a importncia que a empresa d informao, alm de
comunicar aos funcionrios seus valores e seu comprometimento
em incrementar a segurana a sua cultura organizacional.
c) Normas: notria a necessidade do envolvimento da alta
direo, que ter a responsabilidade de fazer reetir o carter
ocial da poltica da empresa atravs de comunicao e
compartilhamento com seus funcionrios.
82
22/12/2006 12:17:55
Este instrumento deve expressar as preocupaes dos executivos

e denir as linhas de ao que orientaro as atividades tticas e
operacionais.
Responsabilidades dos proprietrios e custodiantes das
informaes, mtricas, ndices e indicadores do nvel de
segurana, controles de conformidade legal, requisitos de
educao e capacitao de usurios, mecanismos de controle de
acesso fsico e lgico, responsabilizaes, auditoria do uso de
recursos, registros de incidentes e gesto da continuidade do
negcio so algumas das dimenses a serem tratadas pela poltica
de segurana.
Critrios normatizados para admisso e demisso
de funcionrios; criao e manuteno de senhas;
descarte de informao em mdia magntica;
desenvolvimento e manuteno de sistemas; uso da
internet; acesso remoto; uso de notebook; contratao
de servios de terceirizados; e classificaes da
informao so bons exemplos de normas de uma
tpica poltica de segurana.
Em especial, a norma de classicao da informao fator

crtico de sucesso, pois descreve os critrios necessrios para
sinalizar a importncia e o valor das informaes, premissa
importante para a elaborao de praticamente todas as demais
normas. No h regra preconcebida para estabelecer esta
classicao; mas preciso entender o perl do negcio e as
caractersticas das informaes que alimentam os processos e
circulam no ambiente corporativo para que os critrios sejam
personalizados. Esta relao entre a classicao e o tratamento
est ilustrada na gura 3.1.
Unidade 3
83
22/12/2006 12:17:55
Figura 3.1 Relao entre a classicao e o tratamento da informao.

Fonte: Smola (2003).
Por seu perl operacional, procedimentos e instrues devero

estar presentes na poltica da empresa em maior quantidade.
necessrio descrever meticulosamente cada ao e atividade
associada a cada situao distinta de uso das informaes.
Por exemplo: enquanto a diretriz orienta
estrategicamente para a necessidade de salvaguardar
as informaes classificadas como confidenciais e a
norma define que estas devero ser criptografadas
em tempo e enviadas por e-mail, o procedimento e a
instruo especfica para esta ao tm de descrever
os passos necessrios para executar a criptografia
e enviar o e-mail. A natureza detalhista deste
componente da poltica pressupe a necessidade de
manuteno ainda mais freqente.
Diante disso, voc j pode perceber o quo complexo

desenvolver e, principalmente, manter atualizada a poltica de
segurana da informao com todos os seus componentes.
84
22/12/2006 12:17:55
Esta percepo torna-se ainda mais latente ao considerarmos

o dinamismo do parque tecnolgico de uma empresa e, ainda,
as mudanas previsveis e imprevisveis que o negcio poder
sofrer. Desta forma, o importante comear e formar um grupo
de trabalho com representantes das reas e departamentos mais
representativos, integrando vises, percepes e necessidades
mltiplas que tendero a convergir e gerar os instrumentos da
poltica. A conformidade com requisitos legais, envolvendo
obrigaes contratuais, direitos de propriedade intelectual,
direitos autorais de software e todas as possveis regulamentaes
que incidam no negcio da empresa, deve ser respeitada e ser a
linha de conduta da construo da poltica de segurana.
Qual o objetivo da poltica de segurana?
A poltica de segurana tem como objetivo prover direo da

organizao orientao e apoio para a segurana da informao,
preservando:
Carter condencial Garantia de que o acesso

informao seja obtido somente por pessoas autorizadas;
Integridade salvaguardar a exatido e completeza da

informao e dos mtodos de processamento.
Disponibilidade Garantia de que os usurios

autorizados obtenham acesso informao e aos ativos
correspondentes sempre que necessrio.
Como efetivar o documento da poltica da segurana da

informao?
conveniente que este documento expresse as preocupaes da
direo e estabelea as linhas-mestras para a gesto de segurana
da informao.
aconselhvel, segundo a ABNT (NBR ISO/IEC
17799:1), que o documento da poltica seja aprovado
pela classe executiva da empresa, publicado e
comunicado de forma adequada para todos os
funcionrios.
Unidade 3
85
22/12/2006 12:17:55
No mnimo, interessante que as seguintes orientaes sejam

includas:
Denio de segurana da informao resumo das

metas e escopo, e a importncia da segurana como
um mecanismo, habilitam o compartilhamento da
informao;
Declarao do comprometimento feita pela alta

direo, apoiando as metas e princpios da segurana da
informao;
Explanao breve explanao das polticas, princpio,

padres e requisitos de conformidade com a importncia
especca para a organizao.
Por exemplo:
Conformidade com a legislao e clusulas
contratuais.
Requisitos na educao de segurana.
Preveno e deteco de vrus e softwares
maliciosos.
Gesto de continuidade do negcio.
Conseqncias das violaes na poltica de
segurana da informao.
Definio das responsabilidades definio em
linhas gerais e especificas gesto da segurana da
informao, incluindo o registro dos incidentes de
segurana.
Documentao referncias documentaes que
possam apoiar a poltica da empresa. Por exemplo,
polticas e procedimentos de segurana com
detalhes dos sistemas de informao especficos ou
regras de segurana a serem seguidas.
Em qualquer atividade organizacional, a primeira tarefa

a ser realizada a denio do que se deseja, xando-se
os objetivos a serem atendidos, denindo-se os meios
e recursos necessrios, estabelecendo-se as etapas a
cumprir e os prazos das mesmas.
86
22/12/2006 12:17:55
Somente aps uma anlise do que se que deseja que se inicia

a execuo do plano de ao para a implantao da poltica
de segurana. Este plano no xo. Ele deve ser malevel o
suciente para permitir que algumas modicaes inesperadas
ocorram.
Que diretrizes se inserem na poltica de segurana?
Uma tpica poltica de segurana ou uma poltica de uso aceitvel

de recursos computacionais deve abranger diretrizes claras a
respeito, pelo menos, dos seguintes aspectos:
Aspecto
Caractersticas
Objetivo da segurana
Deve explicar de forma rpida e sucinta a nalidade da poltica de

segurana
Alvo
Deve denir em quais estruturas organizacionais elas sero aplicadas.
Propriedades dos recursos
Devem explicar e denir as regras que iro contemplar a poltica no

que diz respeito propriedade de ativos de informaes.
Responsabilidades
Devem denir de forma detalhada qual o tipo de responsabilidades

envolvidas com a manipulao de ativos de informaes, a quem
devem ser atribudas e os mecanismos de transferncia.
Requisitos de acesso
Contero a indicao de quais os requisitos a serem atendidos para o

acesso a ativos de informaes.
Responsabilizao
Indicaro as medidas a serem tomadas nos casos de infringncia s

normas.
Generalidades
Aqui colocam-se todos os itens e aspectos que no cabem nas demais.
Para ficar mais claro, acompanhe o exemplo de

um Modelo de Poltica de segurana de acesso ao
Datacenter da Xpto Corp. por parte de empresas
terceirizadas
Objetivo - Assegurar um mtodo seguro de
conectividade entre Xpto Corp. e as empresas
terceirizadas, bem como prover diretrizes para o uso
de recursos computacionais e de rede associados com
a conexo feita por essas empresas.
Unidade 3
87
22/12/2006 12:17:56
Escopo - Esta poltica se aplica a todas as empresas

terceirizadas que acessam o CPD da Xpto Corp. ,
fisicamente, ou logicamente, de forma a controlar esse
acesso e auditar responsabilidades quando necessrio.
Descrio - Convm que seja controlado o acesso de
prestadores de servio aos recursos de processamento
da organizao.
Onde existir uma necessidade para este acesso de
prestadores de servio, convm que seja feita uma
avaliao dos riscos envolvidos para determinar as
possveis implicaes na segurana e os controles
necessrios. Convm que os controles sejam acordados
e definidos atravs de contrato assinado com os
prestadores de servio.
O acesso de prestadores de servio pode tambm
envolver outros participantes. Convm que os contratos
liberando o acesso de prestadores de servio incluam
a permisso para designao de outros participantes
qualificados, assim como as condies de seus acessos.
Esta norma pode ser utilizada como base para tais
contratos e levada em considerao na terceirizao do
processamento da informao.
Tipos de Acesso - O tipo de acesso dado a prestadores
de servio de especial importncia. Por exemplo,
os riscos no acesso atravs de uma conexo de rede
so diferentes dos riscos resultantes do acesso fsico.
Convm que os seguintes tipos de acesso sejam
considerados:
a)Acesso fsico: por exemplo, a escritrios, sala de
computadores, gabinetes de cabeamento;
b)Acesso lgico: por exemplo, aos banco de dados da
organizao, sistemas de informao.
Razes para o acesso - Acessos a prestadores de
servios podem ser concedidos por diversas razes.
Por exemplo, existem prestadores de servios que
fornecem servios para uma organizao e no esto
localizados no mesmo ambiente, mas necessitam de
acessos fsicos e lgicos, tais como:
Equipes de suporte de hardware e software, que
necessitam ter acesso em nvel de sistema ou acesso s
funcionalidades de baixo nvel das aplicaes;
88
22/12/2006 12:17:56
Parceiros comerciais ou Joint ventures, que podem

trocar informaes, acessar sistemas de informao ou
compartilhar base de dados.
As informaes podem ser colocadas em risco
pelo acesso de prestadores de servios com uma
administrao inadequada de segurana. Existindo a
necessidade de negcios de conexo com prestadores
de servios, convm que uma avaliao de riscos seja
feita a fim de identificar quaisquer necessidades de
implementao de controles de segurana. Convm
que sejam levados em conta o tipo de acesso requerido,
o valor da informao, os controles empregados por
prestadores de servios e as implicaes deste acesso
segurana da informao da organizao.
Contratados para servios internos - Prestadores de
servio que, por contrato, devem permanecer dentro da
organizao por um perodo de tempo tambm podem
aumentar a fragilidade na segurana.
Convm que o acesso de prestadores de servios
informao e aos recursos de processamento da
informao no seja permitido, at que os controles
apropriados sejam implementados e um contrato
definindo os termos para a conexo ou acesso seja
assinado.
Generalidades - Todo acesso que seja necessrio
ao CPD da Xpto Corp e no est contemplado neste
documento deve ser analisado pelo Departamento de
T.I. antes de ser liberado, se for o caso.
Todas as empresas que, por ventura precisarem acessar
de qualquer forma o CPD da Xpto, mesmo que por uma
nica vez, ser faz necessria a assinatura do Contrato
de sigilo entre empresas, como segue o anexo 3 desta
poltica.
A gura 3.2 mostra um diagrama que apresenta o esquema do

desao que a implantao de uma poltica de segurana de
informaes, com a informao no centro do diagrama, e, ao
redor, todos os aspectos envolvidos. Observe!
Unidade 3
89
22/12/2006 12:17:56
Figura 3.2 Diagrama que representa uma poltica de segurana de informao agindo sobre o
principal ativo de uma empresa, a informao.
Fonte: Smola (2003)
Voc viu que um crculo central est dividido em trs partes,

representando os trs principais aspectos envolvidos na
segurana de informaes: a disponibilidade, a integridade e o
carter condencial. Numa camada mais externa, encontramos
os aspectos que esto relacionados com os citados anteriormente,
que so a autenticidade e a legalidade.
Na prxima camada, encontra-se o ciclo de vida da informao,
que contempla o manuseio, o armazenamento, o transporte
e o descarte. Os processos e ativos, que so elementos que
manipulam direta ou indiretamente uma informao, esto na
camada superior. Todo este aparato voltado estrategicamente
para atender demanda de negcios da organizao.
90
22/12/2006 12:17:56
Como em todo sistema de informaes existem vulnerabilidades,

podemos citar trs grandes reas que dividem estes tipos: as
fsicas, as humanas e as tecnolgicas.
Na penltima camada esto ilustradas as medidas de segurana.
A soluo que uma organizao deve adotar para diminuir a
possibilidade de eventuais ocorrncias, pode ter um princpio de
cunho preventivo, visando manter a segurana j implementada
por meios de mecanismos que estabeleam a conduta e a tica
da segurana na instituio. uma atuao nas seguintes reas:
humanas, tecnolgicas e fsicas.
Essa estrutura montada deve conter agentes ou condies que
causam incidentes que comprometam as informaes e seus ativos
por meio da explorao de vulnerabilidades, que so as ameaas,
esboadas na camada mais externa.
Uma vez que voc estudou uma introduo ao estudo da poltica
de segurana de informao, veja a prxima seo.
Seo 2 Como realizar a anlise de riscos?

bastante interessante que a poltica de segurana de
informaes tenha uma pessoa responsvel por sua manuteno e
anlise crtica, e que esteja de acordo com um processo denido.
Quando realizar as anlises?
Convm que este processo ocorra na decorrncia de qualquer

mudana que venha a afetar a avaliao de risco original,
como, por exemplo, um incidente de segurana signicativo,
novas vulnerabilidades ou, at mesmo, mudanas organizacionais
ou na infra-estrutura tcnica.
Unidade 3
91
22/12/2006 12:17:56
interessante, tambm, que sejam agendadas as seguintes

anlises peridicas:
1. Efetividade da poltica: demonstrada pelo tipo, volume e
impacto dos incidentes de segurana registrados;
2. Custo e impacto dos controles na ecincia do negcio;
3. Efeitos das mudanas na tecnologia.
A nalidade desta anlise obter uma medida da segurana
existente em determinado ambiente.
A primeira considerao relacionada com segurana de ativos de
informaes, como qualquer outra modalidade de segurana,
a relao custo-benefcio. No se gastam recursos em segurana
que no tenham retorno altura, isto , no se gasta mais
dinheiro em proteo do que o valor do ativo a ser protegido.
Outro ponto a ser considerado que a anlise deve contemplar
todos os momentos do ciclo de vida da informao:
Qual o ciclo de vida da informao?
O ciclo de vida da informao pode ser denido nas seguintes

etapas:
Manuseio - momento em que a informao criada ou

manipulada, seja ao digitar um documento eletrnico,
preencher um formulrio de colaborao ou ainda,
folhear um mao de papis.
Armazenamento - momento em que a informao

gerada ou manipulada armazenada, seja em um papel
post-it ou ainda em mdia eletrnica, como um disquete,
CD-ROM ou disco rgido.
Transporte - momento em que a informao

transportada, seja ao mandar uma carta pelo correio,
enviar informaes via correio eletrnico, falar ao
telefone ou, at mesmo, mandar informaes via fax.
92
22/12/2006 12:17:57
Descarte - Momento em que a informao descartada,

seja ao depositar na lixeira da empresa um material
impresso, seja ao eliminar um arquivo eletrnico do
computador, ou at mesmo ao descartar um CD-ROM
usado que apresentou falha na leitura.
Observe que a gura 3.3 ilustra o ciclo de vida da informao

e destaca que a segurana deve englobar todos os quatro
momentos, pois no seria possvel alcanar um bom nvel de
segurana protegendo apenas um ou outro momento da vida da
informao. Da a importncia de se avaliar todo o processo.
Em recurso, se o objetivo dar segurana s informaes de uma
organizao, essa segurana dever abranger todo o ciclo de vida
da informao.
Figura 3.3 Quatro momentos do ciclo de vida da informao.

Fonte: Smola (2003).
Unidade 3
93
22/12/2006 12:17:57
Dentro de uma anlise de riscos, deve-se ter a noo de

dois fatores que inuenciam na determinao da medida de
segurana: o grau de impacto que a ocorrncia ter e o nvel de
exposio causado por este sinistro.
O grau de impacto ocorre quanto cada rea ou a empresa inteira
sofre as conseqncias da falta de disponibilidade, da integridade
ou do carter condencial da informao.
O nvel de exposio est relacionado com o grau de
risco inerente a cada processo ou produto, ou seja,
est diretamente relacionado com a probabilidade
de ocorrncia de um evento danoso para um
determinado ativo.
Nesta anlise, tambm, deve constar uma classicao da

informao quanto ao sigilo e preservao, para que possa ser
planejada uma poltica de segurana que atenda demanda
crescente de segurana.
Seo 3 Inventrio e recursos

A tarefa mais trabalhosa na implantao de segurana em uma
organizao , com certeza, o inventrio de usurios e recursos.
Empresas com grande preocupao em segurana investem na
compra ou no desenvolvimento de ferramentas que auxiliem
no inventrio de hardware e software. O volume de trabalho
envolvido depender em grande parte do grau de padronizao
encontrado na organizao e da ordem j existente.
Outro aspecto que inuir no trabalho o grau de dinamismo
da organizao. Uma empresa com uma estrutura dinmica ter
menos trabalho do que uma organizao com baixo grau de
dinamismo ao inventariar os seus recursos.
O que se deve levar em conta na hora de realizar um
banco de dados de segurana?
94
22/12/2006 12:17:57
Em um banco de dados de segurana,

deve-se levar em conta as seguintes
premissas bsicas:
Dados de usurios o banco

de dados de segurana deve
identicar claramente o usurio,
seu cdigo de identicao ou
chave de acesso, o domnio
de usurios a que pertence, o
domnio de recursos que ele
pode acessar e a rea onde est alocado, sua matrcula na
organizao, ramal de telefone, correio eletrnico da rede
interna e as aplicaes que est autorizado a acessar.
As funes dos usurios o banco de dados de

segurana deve indicar claramente a funo de cada
usurio cadastrado. Isto se prende ao fato de se conceder
direito de acesso somente em funo da necessidade de
se executar tarefas que envolvam acesso a determinados
recursos.
Por exemplo, a rea de produo de um CPD de
grande porte ou que cuida dos equipamentos
centralizados de uma rede de micros, precisa ter
acesso total a ativos de informaes, devido
necessidade de processamento destes ativos dos
usurios e de garantir a integridade de recursos sobre
os quais a mesma tenha custdia. Porm, este acesso
deve ser estritamente controlado e, sempre que
possvel, as tarefas devem ser divididas entre diversas
pessoas, de modo que nenhuma delas, isoladamente,
acesse mais recursos do que o necessrio para a
execuo de suas tarefas.
Propriedade dos recursos a administrao de

segurana de acesso a recursos deve levar em conta o
perl da propriedade dos recursos. Esta deve car bem
clara, de modo que no restem dvidas acerca de quem
tem o direito de conceder acesso.
Unidade 3
95
22/12/2006 12:17:57
Nvel de acesso permitido o banco de dados de

segurana tambm deve indicar de forma clara o nvel de
acesso que cada usurio pode ter sobre cada recurso para
o qual obtenha a permisso de acesso. Isto importante,
para se controlar o acesso dado em funo da necessidade
de executar operaes relacionadas com o recurso
acessado. O ideal que o banco de dados de segurana
seja integrado com o sistema de recursos humanos da
organizao. Desta forma, qualquer mudana feita no
RH reetir automaticamente no banco de dados de
segurana.
Uma vez que voc estudou e reetiu sobre a importncia de

realizar o inventrio de usurios e recursos, na prxima seo
ver como se realiza o controle de acesso lgico.
Seo 4 Como efetuar os controles de acesso lgico?

Os controles de acesso, fsicos ou lgicos, tm como objetivo
proteger os recursos computacionais (equipamentos, softwares,
aplicativos e arquivos de dados) contra perda, danos, modicaes
ou divulgao no-autorizada.
Os sistemas computacionais, bem diferentes de outros tipos
de recursos de uma organizao, no podem ser facilmente
controlados apenas com dispositivos fsicos, como cadeado,
alarmes, guarda de segurana, etc., principalmente se os
computadores estiverem conectados a redes locais ou de maior
abrangncia.
preciso controlar o acesso lgico a estes recursos por meio de
medidas preventivas e procedimentos adequados a cada tipo de
ambiente computacional.
96
22/12/2006 12:17:57
O que acesso lgico?
O acesso lgico nada mais do que um processo em que

um sujeito ativo deseja acessar um objeto passivo. O sujeito
normalmente um usurio ou um processo e o objeto pode ser
um arquivo ou outro recurso como memria ou impressora.
Os controles de acesso lgico so, ento, um conjunto de medidas
e procedimentos adotados pela organizao ou intrnsecos aos
softwares utilizados, cujo objetivo proteger dados, programas
e sistemas contra tentativas de acesso no-autorizadas feitas por
usurios ou outros programas.
Vale a pena ressaltar que, mesmo que os controles de acesso sejam
ultra-sosticados seu ponto fraco ser sempre o usurio.
O compartilhamento de senhas, o descuido na
proteo de informaes confidenciais ou a escolha
de senhas facilmente descobertas, por exemplo, pode
comprometer a segurana de informaes.
A conscientizao dos usurios fundamental para que a

estratgia de controle de acesso seja ecaz.
O compartilhamento de senhas, o descuido na
proteo de informaes confidenciais ou a escolha
de senhas facilmente descobertas, por exemplo, pode
comprometer a segurana de informaes.
Devido variedade e complexidade dos ambientes

informatizados hoje em dia, cujo processamento centralizado
ou distribudo em diversas plataformas de hardware e software,
a tarefa da equipe de segurana e auditoria no nada fcil. Nos
casos de auditoria, dependendo da complexidade dos controles
de acesso lgico implementados pelo sistema operacional ou
por outros softwares especializados em segurana, talvez seja
necessrio suporte adicional de especialistas com o discernimento
e experincia prtica mais detalhada sobre o ambiente especco
a ser auditado.
Unidade 3
97
22/12/2006 12:17:57
Como controlar o acesso lgico?
A primeira coisa a fazer quando se trata de controles de acesso,

determinar o que se pretende proteger. A seguir, so apresentados
alguns recursos e informaes normalmente sujeitas aos controles
lgicos:
Recursos e informaes
Por que controlar?
Aplicativos
(Programas fonte objeto)
O acesso no-autorizado ao cdigo fonte dos aplicativos pode ser usado para alterar suas
funes e lgica do programa, como por exemplo, em um aplicativo bancrio, pode-se zerar os
centavos de todas as contas correntes e transferir o total dos centavos para uma determinada
conta, beneciando ilegalmente este correntista.
Arquivo de dados
Base de dados, arquivos ou transaes de bancos devem ser protegidos para evitar que os dados
sejam apagados ou alterados sem autorizao adequada, como por exemplo, arquivos contendo
congurao do sistema, dados da folha de pagamento, dados nanceiros da empresas, etc.
Utilitrios e sistema
operacional
O acesso a utilitrios, como editores, compiladores, softwares de manuteno, de monitorao

e diagnstico deve ser restrito, j que estas ferramentas podem ser usadas para alterar arquivos
de dados, aplicativos e arquivos de congurao do sistema operacional. Por exemplo: o sistema
operacional sempre um alvo bastante visado, pois a congurao o ponto-chave de todo o
esquema de segurana. A fragilidade do sistema operacional compromete a segurana de todo o
conjunto de aplicativos, utilitrios e arquivos.
Arquivos de senha
A falta de proteo adequada aos arquivos que armazenam as senhas pode comprometer todo
o sistema, pois uma pessoa no-autorizada, ao obter uma userid (identicao) e a senha de
um usurio privilegiado, pode, intencionalmente, causar danos ao sistema e dicilmente ser
barrado por qualquer controle de segurana instalado, j que se faz passar por um usurio
autorizado.
Arquivos de log
Os arquivos de log so usados para registrar as aes dos usurios, constituindo-se em timas
fontes de informao para auditorias futuras e anlise de quebras de segurana.
Os logs registram quem acessou os recursos computacionais, aplicativos, arquivos de dados e
utilitrios, quando foi feito o acesso e que tipo de operaes foram efetuadas.
Se os arquivos de log no forem devidamente protegidos, um invasor poder alterar seus
registros para encobrir aes por ele executadas, tais como, alterao ou destruio de dados,
acesso a aplicativos de alterao da congurao do sistema operacional para facilitar futuras
invases.
98
22/12/2006 12:17:58
Como visualizar o controle de acesso lgico?
O controle de acesso lgico pode ser visualizado a partir de dois

pontos diferentes:
do recurso computacional que se pretende proteger, e,
do usurio a quem se pretende dar certos privilgios e

acessos aos recursos.
A proteo aos recursos (arquivos, diretrios, equipamentos, etc.)

baseia-se nas necessidades de acesso de cada usurio, enquanto
que a identicao e autenticao do usurio (conrmao de que
o usurio realmente quem diz ser) so feitas normalmente por
um userid e uma senha durante o processo de logon.
Qual o objetivo do controle de acesso lgico?
Os controles de acesso lgico tm como objetivo garantir que:
apenas usurios autorizados tenham acesso aos recursos;
os usurios tenham acesso apenas aos recursos realmente

necessrios para a execuo de suas tarefas;
o acesso a recursos crticos seja bem monitorado e restrito

a poucas pessoas;
os usurios sejam impedidos de executar transaes

incompatveis com sua funo ou alm de suas
responsabilidades.
O controle de acesso pode ser traduzido, ento, em termos

de funes de identicao e autenticao de usurios;
alocao, gerncia e monitoramento de privilgios; limitao,
monitoramento e cancelamento de acessos; e preveno de
acessos no-autorizados.
Unidade 3
99
22/12/2006 12:17:58
Ao nalizar os estudo de como realizar o controle de acesso

lgico, veja na prxima seo como se procede com relao ao
controle de acesso fsico.
Seo 5 Como executar os controles de acesso fsico?

A segurana fsica pode ser abordada de duas formas: segurana
de acesso, que trata das medidas de proteo contra acesso fsico
no-autorizado e segurana ambiental, que trata da preveno de
danos por causas naturais.
Os controles de acesso fsico tm como objetivo
proteger equipamentos e informaes contra
usurios no-autorizados, prevenindo o acesso a estes
recursos.
Apenas as pessoas expressamente autorizadas pela gerncia

podem ter acesso fsico aos sistemas de computadores. A
segurana de acesso fsico deve basear-se em permetros
predenidos na vizinhana dos recursos computacionais,
podendo ser explcita, como uma sala-cofre ou implcita, como
reas de acesso restrito de acordo com a funo desempenhada na
organizao.
Quais recursos fsicos precisam ser protegidos?
Os recursos a serem protegidos diretamente pelo controle de

acesso fsico so:
os equipamentos - servidores, estaes de trabalho,

CPUS, placas, vdeos, mouses, teclados, unidades
de disco, impressoras, scanners, modem, linhas de
comunicao, roteadores, cabos eltricos, etc;
a documentao - sobre hardware e software, aplicativos,

poltica de segurana;
100
22/12/2006 12:17:58
os suprimentos - disquetes, tas, formulrios, papel; e
as prprias pessoas.
A proteo fsica destes recursos constitui-se em uma barreira

adicional e anterior s medidas de segurana de acesso lgico.
Portanto, pode-se at dizer que, indiretamente, os controles
de acesso fsico tambm protegem os recursos lgicos, como
programas e dados.
Quais so os controles fsicos?
Conhea, a seguir, quais so os controles fsicos mais comuns:
Um dos controles administrativos mais comuns so

os crachs de identicao, que podem distinguir um
funcionrio de um visitante ou at mesmo categorizar os
funcionrios a partir de cores ou nmeros diferentes.
O uso de crachs facilita o controle visual de circulao

feito pela equipe de vigilncia.
Uma outra prtica muito usada a exigncia da

devoluo dos bens de propriedade da instituio quando
o funcionrio demitido. Ao serem desligados da
organizao, os ex-funcionrios normalmente devolvem
equipamentos, documentos, livros e outros objetos
que estavam sob sua guarda, inclusive chaves, crachs
e outros meios de acesso fsico. recomendvel que
existam procedimentos para identicar os demissionrios
e garantir a restrio de acesso destes indivduos ao
prdio da organizao. A partir da demisso, eles
devero ser tratados como visitantes e no mais como
funcionrios.
Unidade 3
101
22/12/2006 12:17:58
A entrada e sada de visitantes devem ser controladas por

um documento de identicao diferenciado, registros
(com data, horrios de entrada e de sada) e, dependendo
do grau de segurana necessrio, acompanhamento at o
local de destino da visita.
Outro grupo de pessoas que merece uma ateno especial

a equipe de limpeza, manuteno e vigilncia. Como
este tipo de funcionrio ou prestador de servio trabalha
fora do horrio normal de expediente e geralmente tem
maior liberdade para transitar pelo prdio, deve haver
um controle especial sobre suas atividades ou reas de
acesso permitidas. H vrios casos de pessoas do servio
de limpeza ou vigias atuarem tambm como espies ou
ladres.
aconselhvel orientar os funcionrios, dependendo do

grau de segurana necessrio em seu setor de trabalho,
a no deixar os computadores sem qualquer superviso
de pessoa autorizada, por exemplo, durante o horrio de
almoo ou quando se ausentarem de sua sala por tempo
prolongado. Deve-se encorajar o bloqueio do teclado
de documentos condenciais, disquetes e laptops em
armrios com chave, como medida preventiva.
uma prtica instituir o princpio de mesa limpa, isto ,

o funcionrio instrudo a deixar seu local de trabalho
sempre limpo e organizado, guardando os documentos
condenciais to logo no precise mais deles. Em
algumas instituies, h uma equipe encarregada de
vericar, esporadicamente, ao nal do expediente, locais
de trabalho escolhidos de forma aleatria, em busca
de documentos classicados como condenciais. Se
encontrados, estes documentos so reunidos e levados ao
gerente do funcionrio, que tomar medidas, orientando,
advertindo ou punindo o funcionrio para que essa
prtica no volte a ocorrer.
Os controles explcitos so geralmente implementados

por meio de fechaduras ou cadeados, cujas chaves so
criteriosamente controladas. Estas chaves podem ser
algo que algum possui ou sabe, como chaves comuns
ou cdigos secretos. Os controles explcitos mais
encontrados so:
102
22/12/2006 12:17:58
fechaduras mecnicas ou cadeados comuns;
fechaduras codicadas acopladas a mecanismo eltrico

com teclado para entrada do cdigo secreto;
fechaduras eletrnicas cujas chaves so cartes com

tarja magntica contendo o cdigo secreto. Este tipo
de fechadura pode ser usado para registrar entrada e
sada de pessoas e restringir acesso de acordo com a
necessidade do usurio e o grau de segurana do local
acessado. Pode ainda ser conectada a alarme silencioso
que ativa um outro dispositivo na sala de segurana
para indicar acesso indevido;
fechaduras biomtricas programadas para reconhecer

caractersticas fsicas dos usurios autorizados. Elas
podem ser projetadas para identicar formatos das
mos, cabeas, impresses digitais, assinatura manual,
conformao da retina e voz. Devido ao seu alto
custo, so utilizadas somente em sistemas de alta
condncia;
cmeras de vdeo e alarmes, como controles

preventivos e de deteco;
guardas de segurana para vericar a identidade de

todos que entram nos locais de acesso controlado ou
patrulhar o prdio fora dos horrios de expediente
normal.
Terminado o estudo a respeito do controle de acesso lgico

e fsico, veja na prxima seo como se executa os controles
ambientais.
Unidade 3
103
22/12/2006 12:17:58
Seo 6 Como realizar os controles ambientais?

Voc que est estudando auditoria de sistemas de informao,
talvez esteja se perguntando se aqui cabe estudar controles
ambientais, no mesmo? Pois saiba que os controles ambientais
devem constar da poltica de segurana da informao, pois esto
diretamente relacionados com a disponibilidade e integridade dos
sistemas computacionais.
Os controles ambientais visam a proteger os recursos
computacionais contra danos provocados por desastres naturais
(incndios, enchentes), por falhas na rede de fornecimento de
energia, ou no sistema de ar condicionado, por exemplo.
Os controles associados a incndios podem ser
preventivos ou supressivos, isto , procedimentos para
evitar incndio ou combat-lo de forma eficiente, caso
j tenha ocorrido.
As medidas preventivas muitas vezes so implementadas logo na

construo do prdio, com o uso de material resistente ao do
fogo, dispositivos de deteco de fumaa ou calor e a instalao
de pra-raios. Aps a construo, durante o funcionamento
normal da organizao, aconselhvel adotar polticas contra o
fumo e de limpeza e conservao, mantendo as salas limpas, sem
acmulo de papis ou outros materiais de fcil combusto.
A instituio deve estar preparada para suprimir ou minimizar os
efeitos de um incndio, caso ele acontea. Para tanto, deve possuir
mangueiras e/ou extintores de incndio em nmero suciente
e do tipo adequado, de acordo com as especicaes tcnicas
e instalar sistemas de combate ao fogo, segmentando as suas
atuaes por rea ou zona. imprescindvel o treinamento dos
funcionrios para utilizarem, de forma adequada, os dispositivos
manuais de combate a incndios e a vistoria freqente destes
dispositivos para garantir seu perfeito funcionamento quando for
necessrio.
As equipes de bombeiros normalmente promovem treinamentos
de combate e preveno de acidentes, com demonstraes do
104
22/12/2006 12:17:59
uso correto dos dispositivos contra incndios e simulaes com a

participao dos treinados.
Os controles associados a incndios podem ser
preventivos ou supressivos, isto , procedimentos para
evitar incndio ou combat-lo de forma eficiente, caso
j tenha ocorrido.
Falhas ou utuaes no fornecimento de energia eltrica podem

afetar consideravelmente a disponibilidade e a integridade dos
sistemas da organizao. necessrio estabelecer controles que
minimizem os efeitos de cortes, picos e utuaes de energia
atravs da instalao de dispositivos, tais como estabilizadores,
no-breaks (equipamentos que mantm as mquinas ligadas
at que seja restabelecido o fornecimento normal de energia),
geradores alternativos (a diesel ou a gs) ou conexo a mais de
uma subestao de distribuio de energia eltrica.
Para evitar danificao dos equipamentos e
instalaes prediais por descargas eltricas naturais,
instale pra-raios estabilizadores de energia e tenha
como hbito desligar os equipamentos em caso de
fortes tempestades.
Como os equipamentos eletrnicos no combinam com gua,

a primeira medida para prevenir danos instal-los em locais
pouco suscetveis e a este tipo de ameaa ambiental ou em locais
em que a presena de gua seja facilmente detectada e contida.
Para se defenderem contra danos provocados pela gua, algumas
empresas costumam instalar seus equipamentos nos andares
mais altos ou sobre suportes elevados. No entanto, esta medida
preventiva no suciente no caso de goteiras ou estouro do
encanamento.
Unidade 3
105
22/12/2006 12:17:59
A maioria dos computadores necessita de um

ambiente controlado em termos de temperatura,
umidade e ventilao para que possa operar
adequadamente.
Assim como as pessoas, os computadores preferem operar dentro

de uma determinada faixa de temperatura (tipicamente entre 10 e
32 C). Um ambiente seco demais pode gerar eletricidade esttica
e danicar os equipamentos. Por outro lado, em um ambiente
mido demais, pode ocorrer condensao nos circuitos dos
equipamentos, provocando curtos.
Para promover a ventilao necessria ao funcionamento
adequado dos equipamentos, no se deve vedar suas canaletas de
ventilao, nem disp-los em ambientes muito apertados, que
dicultem a circulao de ar. J existem dispositivos que podem
auxiliar no monitoramento do ambiente, registrando nveis de
umidade e temperatura.
As salas onde se encontram os computadores devem ser mantidas
limpas, livres de poeira ou fumaa e sem acmulo de matrias de
fcil combusto, tais como papis e copos plsticos.
Agora que voc nalizou a leitura desta unidade, para praticar os
novos conhecimentos, realize as atividades propostas a seguir.
106
22/12/2006 12:17:59
Leia com ateno os enunciados e realize as atividades:
1) Qual a funo de uma anlise de riscos?
2) Basicamente, quais so os objetivos de uma poltica de segurana?
Unidade 3
107
22/12/2006 12:17:59
3) O que so os controles aplicados em sistemas informatizados?

Que tipos de controles podem ser aplicados em um ambiente
informatizado? Cite exemplos.
Realize tambm as atividades propostas no EVA.

Interaja com a sua comunidade de aprendizagem e
amplie o seu ponto de vista.
108
22/12/2006 12:17:59
Sntese
Voc estudou que a informao e os processos de apoio, sistemas
e redes so importantes ativos para os negcios. O carter
condencial, a integridade e a disponibilidade da informao
podem ser essenciais para preservar a competitividade, o
faturamento, a lucratividade, o atendimento aos requisitos legais e
a imagem da organizao no mercado.
Cada vez mais as organizaes, seus sistemas de informao e
redes de computadores so colocados prova por diversos tipos
de ameaas segurana da informao de uma variedade de
fontes, incluindo fraudes eletrnicas, espionagem, sabotagem,
vandalismo, fogo ou inundao. Problemas causados por vrus,
hackers e ataques de denial of service esto se tornando cada vez
mais comuns, mais ambiciosos e incrivelmente mais sosticados.
A dependncia dos sistemas de informao e servios signica
que as organizaes esto mais vulnerveis s ameaas de
segurana. A interconexo de redes pblicas e privadas e o
compartilhamento de recursos de informao aumentam a
diculdade de se controlar o acesso. A tendncia da computao
distribuda diculta a implementao de um controle de acesso
centralizado realmente eciente.
Muitos sistemas no foram projetados para serem seguros. A
segurana que pode ser alcanada por meios tcnicos limitada e
convm que seja apoiada por gesto e procedimentos apropriados.
A identicao de controles convenientes para implantao
requer planejamento cuidadoso e ateno aos detalhes. A
gesto da segurana de informao necessita, pelo menos, da
participao de todos os funcionrios da organizao. Pode
ser que seja necessria tambm a participao de fornecedores,
clientes e acionistas, ou uma consultoria externa especializada.
Na prxima unidade voc estudar que alm de uma poltica de
segurana bem concisa, necessrio tambm que a corporao
possua um meio de garantir a continuidade de processos e
informaes vitais sobrevivncia da empresa atravs de um
plano de contingncia e continuidade de negcios.
At l!
Unidade 3
109
22/12/2006 12:17:59
Saiba mais
Para aprofundar as questes abordadas nesta unidade, realize
pesquisa nos seguintes livros:
BOSWORTH, Seymor. E KABAY, M. E. Computer

Security Handbook. Wiley. 2002
NBR ISO/IEC 17799. Cdigo de prticas para a gesto

da segurana da informao. ABNT, 2005.
ICOVE, David; Seger, Karl; VonStorch, William.

Computer Crime. O`Reilly & Associates.
110
22/12/2006 12:17:59
UNIDADE 4
Plano de contingncia e de
continuidade de negcios
conceituar planos de contingncia e de continuidade de

servios.
analisar qual o impacto causado por alguma ocorrncia

inesperada.
conhecer e escolher corretamente os tipos mais usados

de contingncia.
desenvolver um plano de contingncia.
Sees de estudo
Seo 1 O que plano de contingncia e de

Seo 2
continuidade de negcios?
Como realizar a anlise de impacto?
Seo 3 Quais so as estratgias de contingncia?

Seo 4 Como desenvolver um plano de
contingncia?
22/12/2006 12:18:00

O ataque ao World Trade Center em Nova Iorque, em setembro
de 2001, exps crticas uma atividade que pode determinar o
futuro de muitas organizaes.
Independente das conseqncias locais, a economia mundial
foi afetada pelo ataque, determinando uma mudana no
comportamento empresarial, destacando a possibilidade de
minimizar impactos decorrentes de desastres que impossibilitem
suas instalaes, afetando suas atividades, seu per l econmico e
seu mercado de atuao.
A questo conseqente foi o levantamento/identicao de
planos, quando existiam, para preveno e recuperao das
atividades, bem como a reavaliao quanto exposio a riscos e
seus impactos.
Em decorrncia destes fatos, foi observada uma busca por
ferramentas, prossionais, instalaes, entre outros que,
teoricamente, proporcionariam uma garantia operacional
e a tranqilidade desejada. No to simples assim, mesmo
utilizando o exemplo do World Trade Center, vericamos que
muitas organizaes que planejaram mal sofreram conseqncias
indesejveis, permanecendo impossibilitadas de retomar a suas
operaes.
Da mesma forma que com nossos bens particulares buscamos
seguros conveis e reconhecidos, torna-se necessrio aplicar o
mesmo conceito para as organizaes. Utilizando metodologia,
recursos e instalaes adequadas ser possvel a continuidade
operacional em caso de desastre, proporcionando a continuidade
dos negcios.
Existem metodologias, ferramentas e procedimentos que devem
ser observados nas atividades relativas recuperao de desastres,
onde, entidades e institutos mantm programas de treinamento,
qualicao e certicao de prossionais, com normas tcnicas
descritas, instalaes e equipamentos providos de caractersticas
tcnicas favorecendo a misso de disaster recovery.
112
22/12/2006 12:18:00
Assim, nesta unidade, voc vai estudar como so estabelecidas

estas atividades, ou seja, como funciona um plano de
contingncia e de continuidade de negcios.
Seo 1 - O que plano de contingncia e de

continuidade de negcios?
Voc j sabe que muitas organizaes no
seriam capazes de sobreviver no atual mercado
competitivo sem seus sistemas de informaes,
que os ajudam a escolher estratgias.
O fato de uma empresa car refm dos
computadores deve ser discutido com a classe
executiva da empresa, pois se houver alguma falha
destes computadores ou dos dados que esto neles, pode
signicar perdas nanceiras ou at mesmo perda de participao
de mercado.
Devido s vulnerabilidades existentes no ambiente
computacional imprescindvel traar um plano de
recuperao em caso de desastres, como o famoso
quebre o vidro em caso de incndio!
Os bancos so as organizaes que h tempos se preocupam com

o contingenciamento de seu ambiente de TI, o que facilmente
explicado, porque se houver perda de informaes de cliente
ou at mesmo se o cliente no conseguir fazer uma operao
bancria, isto pode signicar perda de credibilidade e por
conseqncia, a perda do cliente.
As empresas europias e americanas, depois de vrios incidentes,
passaram a olhar com outros olhos a questo de planos de
contingncia.
Unidade 4
113
22/12/2006 12:18:00
Voc sabia?
O ataque terrorista ao World Trade Center em 11 de
setembro de 2001, teve impacto significativo nos
mercados dos Estados Unidos e mundial. A Bolsa de
Valores de Nova Iorque, o American Stock Exchange
e a NASDAQ no abriram em 11 de Setembro e
permaneceram fechadas at 17 de Setembro. As
instalaes e centros de processamento de dados
remotos da Bolsa de Valores de Nova Iorque (NYSE)
mais as empresas participantes, consumidores e
mercados, foram incapazes de se comunicarem
devido aos danos ocorridos instalao de
chaveamento telefnico prxima ao World Trade
Center. Quando os mercados de aes reabriram em
17 de setembro de 2001, aps o maior perodo de
fechamento desde a Grande Depresso em 1993,
o ndice do mercado de aes Dow Jones Industrial
Average (DJIA) caiu 684 pontos ou 7,1%, passando
para 8920 pontos, sua maior queda em um nico dia.
No fim da semana, o DJIA tinha cado 1369,7 pontos
(14,3%), sua maior queda em uma semana na histria.
O mercado de aes americano perdeu 1,2 trilho de
dlares em valor em uma semana (Fonte: Wikipedia).
As organizaes brasileiras precisam atentar para esses tipos

de situao. Apesar do nosso pas no sofrer com atentados
terroristas, sofremos com incndios, falta de luz, enchentes,
roubos, sabotagens, sistema de UPS com problemas de
fabricao, entre outros.
Por exemplo, numa companhia geradora de energia
eltrica, se um tranformador queimar, outro ir
assumir o seu papel. Isso na maior parte das vezes
transparente para o usurio final.
Da mesma forma, os sistemas de informaes das empresas

devem estar preparados para qualquer imprevisto, sem dano ou
perda para o usurio nal.
Normalmente quando se fala em planos de contingncia, o que
se encontra recuperao de desastres para situaes drsticas.
Outras falhas, como problemas de link, fontes redundantes, etc.
so esquecidos.
114
22/12/2006 12:18:00
A organizao deve listar todos os recursos de informtica

existentes, analisar qual ser a perda, caso os recursos estejam
fora do ar e investir de forma a garantir a disponibilidade dos
servios e a integridade das informaes.
Mas antes de voc conhecer a concepo do plano de
contingncia, importante denir alguns aspectos, tais como
oramento, prazos, recursos - sejam eles humanos ou materiais
- responsabilidades da equipe e a escolha de algum para ser o
coordenador do planejamento de contingncias.
O plano de continuidade de negcios de

responsabilidade da classe executiva da empresa.
Os auditores internos e externos podem auxiliar a escrever o

plano, porm cabe gerncia ou diretoria, garantir sua ecincia
para que no haja perdas nanceiras ou outras situaes
constrangedoras para a empresa, como interrupo de transaes
pela indisponibilidade de servios.
Antes de tudo, deve existir um estudo prvio onde sero
identicadas todas as funes crticas do negcio, os sistemas
envolvidos, pessoas responsveis e usurios. O resultado so
informaes que servem de base para que seja feita a anlise de
impacto que ser estudada na prxima seo.
A partir da, j se tem uma idia do que ser o plano inicial,
contendo a relao de funes, sistemas e recursos crticos,
estimativa de custos, prazos e recursos humanos necessrios para
a realizao da anlise de impacto.
Unidade 4
115
22/12/2006 12:18:00
Seo 2 Como realizar a anlise de impacto?

Existe um ditado popular que diz No existe almoo
grtis!. E se voc parar para pensar nesta frase, ir
perceber que ela tem um fundo de verdade porque
sempre tem algum que pagar a conta. Ento,
responda a seguinte pergunta: qual o valor da
conta da segurana da sua empresa?
Conhea, ento, as etapas de elaborao do plano de
continuidade.
Conhecido mundialmente pela sigla BIA Business Impact
Analysis, esta primeira etapa do plano de contingncias
fundamental, pois fornece informaes para o perfeito
dimensionamento das demais fases de sua construo.
Basicamente, o objetivo desta etapa levantar o grau de
relevncia entre os processos ou atividades que so inclusas no
escopo da contingncia para continuidade do negcio.
Tabela 4.1 Funo entre os processos de negcio versus escala de criticidade

Escala
Processo de negcio
No-considervel
Relevante
Importante
Crtico
Vital
PN1
PN2
PN3
PN4
PN5
x
x
x
x
x
De posse dos resultados desta anlise, j se possui condies de

denir prioridades no que diz respeito a alocar recursos conforme
o oramento, de saber os nveis de tolerncia e a probabilidade
de acontecerem algumas falhas , e desta forma, construir uma
fotograa de criticidade dos processos.
Continuando esta anlise, considere agora as possveis ameaas
e relacione-as com a tolerncia, adquirida atravs da relao do
processo de negcio com o seu senso crtico. Neste processo,
voc teria:
116
22/12/2006 12:18:00
Tabela 4.2 Relao entre processos de negcio / ameaas / tolerncia

Ameaas
Incndio
PN1
PN2
PN3
Tolerncia
Greve
Falta de luz
Ataque de D.O.S.
Sabotagem
5h
X
24h
PN4
PN5
48h
15 min
X
Com a Tabela 4.2, voc tem uma noo mais completa da

situao, do sinistro que se est esperando, ao passo que se sabe
o quanto preciso investir por causa da sua tolerncia.
O relatrio da anlise de impacto deve identicar os recursos,
sistemas e funes crticas para a organizao e classic-los em
ordem de importncia. Em seguida, deve descrever, em cada um,
que tipo de ameaa poder ocorrer e qual o dano que ela causa a
esta vulnerabilidade.
Seo 3 Quais so as estratgias de contingncia?

Usualmente as organizaes para garantir a continuidade dos
negcios utilizam as seguintes estratgias de contingncia :
Hot-site; Warm-site; Relocao de operao; Bureau de servios;
Acordo de reciprocidade; Cold-site; Auto-sucincia; Plano de
administrao de crise; Plano de continuidade operacional. A
seguir, veja do que trata cada uma. Acompanhe com ateno.
a) Hot-site
Recebe este nome por ser uma estratgia pronta para entrar em
ao assim que algum sinistro ocorrer. Mais uma vez, o tempo
de operacionalizao desta estratgia est diretamente ligado ao
tempo de tolerncia s falhas do objeto.
Unidade 4
117
22/12/2006 12:18:01
Por exemplo: no caso de um banco de dados,

consideram-se milsimos de segundos de tolerncia
para garantir a disponibilidade do servio mantido
pelo equipamento.
b) Warm-site
Esta estratgia se aplica a objetos com maior tolerncia
paralisao, os quais podem se sujeitar indisponibilidade por
mais tempo, ou seja, at o retorno operacional da atividade.
Como exemplo, temos o servio de e-mail dependente de
uma conexo de comunicao. Veja que o processo de envio
e recebimento de mensagens mais tolerante que o exemplo
usado na primeira estratgia, pois poderia car indisponvel
por minutos, sem, no entanto, comprometer o servio ou gerar
impactos signicativos, apesar de que para algumas empresas, o
e-mail considerado um servio altamente essencial.
c) Relocao de operao
Esta estratgia objetiva desviar a atividade atingida pelo sinistro
para outro ambiente fsico, equipamento ou link, pertencentes a
mesma empresa. Ela s possvel com a existncia de folgas de
recursos que podem ser alocados em situaes de desastre. Um
exemplo disto o redirecionamento do trfego de dados de um
roteador ou servidor com problemas para outro que possua mais
recursos.
d) Bureau de servios
Nesta estratgia, considera-se a possibilidade de transferir a
operacionalizao da atividade atingida para um ambiente
terceirizado, isto , fora dos domnios da empresa. O seu
uso restrito a poucas situaes por requerer um tempo de
tolerncia maior, em funo do tempo de reativao operacional
da atividade. Informaes manuseadas por terceiros requerem
uma ateno redobrada na adoo de procedimentos, critrios
e mecanismos de controle que garantam condies de
segurana adequadas relevncia e senso crtico da atividade de
contingncia.
118
22/12/2006 12:18:01
e) Acordo de reciprocidade
Esta estratgia bastante conveniente quando os investimentos
necessrios na falta de uma infra-estrutura de segurana
adequada, pois nada mais do que um acordo entre duas
empresas que possuem um ambiente de TI que exija a possvel
relocao de servios, mas que no disponham de recursos
nanceiros para contratar uma empresa especializada no assunto.
Da mesma forma do bureau de servios, preciso ter cuidado na
hora de expor as informaes da sua empresa para outra, pois
o risco existe e grande. Este tipo de acordo comum entre
empresas de reas diferentes e no concorrentes.
f) Cold-site
Seguindo os modelos de classicao citados anteriormente,
Hot-site e Warm-site, o Cold-site prope uma alternativa de
baixo custo para ambientes de TI, ou seja, pouco budget
para investimentos na rea de continuidade de negcios. No
entanto, exige uma tolerncia alta, pois o mesmo no suporta
alta disponibilidade. Um exemplo deste modelo um ghost
de um HD de um servidor de Active Directory. Supondo que o
HD do servidor principal queimou, coloca-se o HD cold para
funcionar, e ao invs de ler, faz-se a restaurao dos dados. Este
um procedimento de resultados duvidosos, porm, de baixo
custo.
g) Auto-sucincia
Este caso ocorre quando nenhuma outra estratgia aplicvel,
pois prev aproximadamente 100% de disponibilidade,
integridade e carter condencial dos dados. Seria o ideal para
qualquer empresa, porm necessrio se fazer o clculo para
medir o quanto se perde, caso a informao no esteja disponvel.
h) Plano de administrao de crise

Este plano um tutorial que dene todos os passos,
procedimentos, equipes responsveis que sero acionadas, como
este acionamento feito, o que se deve fazer para que a situao
volte a operao normal.
Unidade 4
119
22/12/2006 12:18:01
Comunicao impressa para classe operacional da empresa,

distribuda entre rgos e departamentos so aspectos de um
tpico plano de administrao de crise.
i) Plano de continuidade operacional

neste documento que voc ir relatar o passo-a-passo para o
contingenciamento das informaes com o intuito de reduzir o
down-time, isto , o tempo de parada. Ele deve conter aes a
serem executadas no caso de uma queda de energia, por exemplo.
Uma vez conhecidas as estratgias para elaborar um plano de
contingncia, acompanhe, na prxima seo, o desenvolvimento
deste plano.
Seo 4 Como desenvolver um plano de

contingncia?
A norma ISO 17799:1- 2005 recomenda que o plano seja
desenvolvido e implementado para a manuteno ou recuperao
das operaes e para assegurar a disponibilidade da informao
no nvel requerido e na escala de tempo requerida, aps a
ocorrncia de interrupes ou falhas dos processos crticos do
negcio.
O que recomendvel considerar em um plano de
contigncia?
recomendvel que o processo de planejamento da continuidade

dos negcios considere os seguintes itens:
a) identicao e concordncia de todas as

responsabilidades e procedimentos da continuidade do
negcio;
b) identicao da perda aceitvel de informaes e

servios;
120
22/12/2006 12:18:01
c) implementao dos procedimentos que permitam a

recuperao e restaurao das operaes do negcio e da
disponibilidade da informao nos prazos necessrios.
A avaliao de dependncias externas ao negcio e de
contratos existentes merece ateno especial;
d) procedimentos operacionais para seguir concluso

pendente de recuperao e restaurao;
e) documentao dos processos e procedimentos

acordados;
f) educao adequada de pessoas quanto aos

procedimentos e processos denidos, incluindo o
gerenciamento de crise;
g) teste e atualizao dos planos.
preciso identicar os servios e recursos que facilitam o

desenvolvimento do plano, prevendo a contemplao de pessoal,
recursos em geral, alm da tecnologia de informao, assim como
o procedimento de recuperao dos recursos de processamento
das informaes. Tais procedimentos de recuperao, podem
incluir procedimentos com terceiros na forma de um acordo de
reciprocidade ou um contrato de prestao de servios.
Que informaes devem ser contempladas no plano
de continuidade?
O plano de continuidade do negcio deve tratar das

vulnerabilidades da organizao, especicamente das
informaes sensveis que necessitem de proteo adequada.
Convm que cpias do plano de continuidade do negcio

sejam guardadas em um ambiente remoto, distante
sucientemente para escapar de qualquer dano no local
principal.
Unidade 4
121
22/12/2006 12:18:01
A administrao deve garantir que as cpias dos planos

de continuidade do negcio estejam atualizadas e
protegidas com o mesmo nvel de segurana do ambiente
principal.
A direo deve garantir que as cpias dos planos de

continuidade do negcio estejam atualizadas e protegidas
com o mesmo nvel de segurana do ambiente principal.
Outros materiais necessrios para a execuo do

plano de continuidade do negcio tambm devem ser
armazenados em local remoto.
Convm que uma estrutura bsica dos planos de

continuidade do negcio seja mantida para assegurar que
eles sejam consistentes, para contemplar os requisitos de
segurana da informao e para identicar prioridades
para testes e manuteno.
Cada plano de continuidade do negcio deve descrever

o enfoque para continuidade, por exemplo, assegurar a
disponibilidade e segurana do sistema de informao ou
da informao.
Cada plano de continuidade do negcio deve especicar

o plano de escalonamento e as condies para sua
ativao, assim como as responsabilidades individuais
para execuo de cada uma de suas atividades. Quando
novos requisitos so identicados, importante que
os procedimentos de emergncia relacionados sejam
ajustados de forma apropriada, por exemplo, o plano de
abandono ou o procedimento de recuperao.
Convm que os procedimentos do programa de gesto de

mudana da organizao sejam includos para assegurar
que os assuntos de continuidade de negcios estejam
sempre direcionados adequadamente.
Cada plano deve possuir uma pessoa responsvel em

separado. Procedimentos de emergncia, de recuperao,
manual de planejamento e planos de reativao deve
ser de responsabilidade dos gestores dos recursos de
negcios ou dos processos envolvidos. Procedimentos
de recuperao para servios tcnicos alternativos, como
122
22/12/2006 12:18:02
processamento de informao e meios de comunicao,

normalmente deveriam ser de responsabilidade dos
provedores de servios.
Basicamente, o desenvolvimento de um bom plano de
continuidade de negcios consiste em detalhar dez aspectos que
so primordiais: administrao do projeto, anlise de riscos,
anlise de impacto, estratgia de continuidade de negcios,
respostas e operaes de emergncia, desenvolvimento do plano,
treinamento, manuteno, administrao da crise e parcerias.
Acompanhe, no decorrer dos seus estudos, detalhes de cada um
dos aspectos citados para que quem claros todos os componentes
de um plano de contingncia e continuidade de negcios. Na
gura 4.1, voc encontra um diagrama que ilustra o que foi
abordado at aqui.
Unidade 4
123
22/12/2006 12:18:02
Figura 4.1 Diagrama de Fluxo de um projeto de plano de Contingncia

Fonte: Marinho (2003).
124
22/12/2006 12:18:02
Acompanhe agora, as descries de cada fase da elaborao do

plano de contingncia e continuidade de negcios.
a) Incio e administrao do projeto

Nesta primeira fase denido o escopo de atuao do plano
de continuidade de negcios. Isto inclui: procurar apoio, se
necessrio, denir o gerenciamento do projeto, e organizar
o plano de acordo com os limites de recursos temporais e
nanceiros.
A pessoa que recebe a incumbncia desta tarefa, deve atingir os
seguintes objetivos:
auxiliar o patrocinador do projeto, que normalmente

uma pessoa da camada executiva da empresa, na
denio de objetivos e polticas, analisar os fatores de
sucesso, os requisitos, casos que j ocorreram e aderncia
s normas;
coordenar e gerenciar o projeto do plano de continuidade

de negcios, atravs da convocao de uma equipe
operacional, esclarecendo alguns pontos como a
diferena entre recuperao de desastres e continuidade
de negcios, resposta a crises e o seu gerenciamento,
reduzir ao mximo possvel a ocorrncia de eventos;
supervisionar o projeto por meio de ferramentas de

controle e o gerenciamento de mudanas;
apresentar e defender o projeto junto aos funcionrios da

organizao;
desenvolver o plano do projeto e orar seus custos;
denir a equipe de projeto e a delegao de

responsabilidades, bem como o gerenciamento do
projeto.
Unidade 4
125
22/12/2006 12:18:02
b) Anlise e controle de riscos

As atividades relacionadas com a anlise de risco envolvem
as possibilidades de ocorrncia de qualquer sinistro dentro de
uma organizao. atravs delas que se sabe o quanto esto
vulnerveis os ativos de informao da corporao.
Nesta fase, so determinados os possveis danos relacionados com
cada evento e quais as aes a serem tomadas para prevenir e
reduzir os efeitos de algum desastre. Aqui, importante tambm
uma anlise sobre o retorno de investimento para ajudar na venda
do projeto para a camada executiva.
O responsvel por esta fase deve atingir as seguintes metas:
conceber a funo da reduo, atravs da organizao;
identicar potenciais riscos para a organizao;
identicar a exigncia de suporte tcnico;
identicar vulnerabilidades, ameaas e exposies;
identicar as alternativas de reduo dos riscos;
identicar a consistncia das fontes de informao

(trabalhar sempre com os dados mais precisos possveis);
interagir com a classe executiva da empresa para a

denio de nveis aceitveis de risco;
documentar todos os passos.
c) Anlise de impacto
Nesta etapa, tambm conhecida como B.I.A. - Business Impact
Analyisis, ou seja, Anlise de impacto aos negcios, onde sero
identicados, avaliados e relatados os impactos resultantes dos
sinistros ocorridos. Alm disto, ser denida o senso crtico
dos processos de negcios e as prioridades de recuperao
e relacionamento entre elas com a nalidade de vericar a
dependncia entre um servio e outro. Com isto, o prazo para
restabelecimento dos sistemas de informao se dar de acordo
com o planejado.
126
22/12/2006 12:18:02
As principais tarefas desta fase so:
identicao de eventos que podem

ocasionar a interrupo de servios;
avaliao de risco para determinao

do impacto;
plano estratgico para se determinar a

continuidade de negcios.
Para realizar tais tarefas, o responsvel por

ela dever atingir os seguintes objetivos
especcos:
identicar todos os processos de negcios da corporao;
identicar os responsveis por cada processo;
denir e vericar os critrios de senso crtico: criticidade;
auxiliar a camada executiva na denio de critrios para

a anlise;
identicar o relacionamento entre os processos;
denir objetivos, janelas para recuperao de desastres,

incluindo os tempos de recuperao, as perdas previstas e
as prioridades;
identicar os recursos necessrios para a anlise;
avaliar junto classe executiva da empresa os custos de

interrupo de negcios;
preparar e apresentar o relatrio de anlise de impacto.
Durante a etapa de anlise de impacto, voc precisa ter cuidado

na hora de vericar as vantagens e desvantagens qualitativas e
quantitativas.
Uma avaliao quantitativa fornece uma medida da magnitude
dos impactos, que poder ser utilizada para a avaliao do custobenefcio dos controles de segurana.
Lembre-se que, uma medida quantitativa mal formulada resulta
na falta de preciso no seu resultado.
Unidade 4
127
22/12/2006 12:18:02
Por sua vez, a avaliao qualitativa prioriza os riscos e identica

reas para melhorias imediatas. interessante ressaltar que
esta medida no fornece dados para mensurar a magnitude de
impactos.
A tabela 4.3 apresenta as categorias de impactos que podem ser
utilizadas para a medio quantitativa deles.
Tabela 4.3 - Nveis de impacto e sua descrio

Nvel
Descrio
Alto
Perda signicante dos principais ativos e recursos Perda da reputao, imagem e

credibilidade Impossibilidade de continuar com as atividades de negcio.
Mdio
Perda dos principais ativos e recursos Perda da reputao, imagem e credibilidade.
Baixo
Perda de alguns dos principais ativos e recursos Perda da reputao, imagem e credibilidade.
Fonte: Ferreira (2003).
d) Estratgias de continuidade de negcios

Esta a fase onde so denidas as estratgias operacionais para a
recuperao dos processos e dos componentes de negcios dentro
do prazo de recuperao estipulado.
Para que estas estratgias sejam realmente efetivas, uma boa
poltica dividi-las em dois planos distintos:
um plano de recuperao de desastres, que seria o

responsvel pelas atividades relacionadas recuperao
ou substituio de componentes que falharam; e,
um plano de contingncia, que seria o responsvel pelas

atividades dos processos de negcios.
A pessoa responsvel por estas atividades dever atingir os

seguintes objetivos especcos:
128
22/12/2006 12:18:02
identicar e analisar as possveis alternativas para a

continuidade de negcios disponveis - esta anlise deve
conter vantagens e desvantagens, custos e recursos para
auxiliar na tomada de deciso;
identicar estratgias de recuperao compatveis com

as reas funcionais do negcio porque cada processo de
negcios possui suas peculiaridades. Portanto, o plano
dever contemplar estas personalizaes;
consolidar estratgias, reduzindo o risco de congelar o

processo, pois na ocorrncia de um sinistro a agilidade
uma caracterstica a ser lembrada; e,
obter o comprometimento da classe executiva da

empresa.
Agora conhea um pouco mais cada um dos dois planos.
Plano de recuperao de desastres fornece maneiras

de restaurar de forma rpida os sistemas de informao,
nas situaes de interrupes no-programadas. Alm
disso, deve contemplar os impactos de uma paralisao
e o tempo mximo aceitvel de parada. Como exemplos,
voc pode considerar: backup, localidades alternativas, a
reposio de equipamentos e regras e responsabilidades a
serem seguidas pela equipe em situaes de emergncia.
Plano de contingncia consiste em procedimentos de

recuperao preestabelecidos para minimizar o impacto
sobre as atividades da organizao no caso de ocorrncia
de um dano ou desastre e que os procedimentos de
segurana no conseguiram evitar. Para que o plano
seja realmente efetivo, imprescindvel que as regras e
responsabilidades estejam bem explcitas e detalhadas
para as equipes, assim como os procedimentos
relacionados com a recuperao de um ambiente
informatizado vtima de um sinistro.
Unidade 4
129
22/12/2006 12:18:03
e) Respostas e operaes de emergncia

Nesta etapa, so desenvolvidos e implementados procedimentos
de resposta e estabilizao de situaes atingidas por um
incidente ou evento, incluindo a criao e a especicao de
normas para o gerenciamento de um centro operacional de
emergncia utilizado como central de comando durante uma
crise.
O prossional responsvel por esta etapa dever atingir os
seguintes objetivos especcos:
identicar os tipos potenciais de emergncias e as

respostas necessrias (por exemplo: incndio, inundao,
greves etc.);
vericar a existncia de procedimentos de resposta

apropriados s emergncias;
recomendar o desenvolvimento de procedimentos de

emergncia quando no existam;
identicar os requisitos de comando e controle para

gerenciamento de emergncias;
sugerir a elaborao de procedimentos de comando

e controle para denir o papel das autoridades e os
processos de comunicao para o gerenciamento das
emergncias;
assegurar que os procedimentos de resposta a

emergncias estejam integrados com os procedimentos de
rgos pblicos.
Por exemplo: assegurar que o tempo que voc relatou
para um link dedicado volte a funcionar possuindo
uma determinada proporo com o tempo que a
operadora telefnica passa para a resoluo desse
tipo de problema.
O Plano de resposta emergencial deve ter incio no momento

T-2 at o momento T+1, ou seja, o tempo disponvel para
a realizao dos procedimentos se dar em funo da
antecedncia do alarme de desastre at a durao do desastre
propriamente dito.
130
22/12/2006 12:18:03
A gura 4.2, a seguir, ilustra o uxograma da estratgia de um

plano de resposta emergencial.
Figura 4.2 - Fluxograma da estratgia de um plano de resposta emergencial

Fonte: Saldanha (2000).
Unidade 4
131
22/12/2006 12:18:03
f) Desenvolvimento do plano
Nesta fase, os componentes, at ento elaborados e planejados,
sero integrados em um plano de continuidade de negcios, a
m de permitir o atendimento s janelas de recuperao dos
componentes e dos processos da corporao.
De acordo com a norma ISO 17799:1, o PCN deve ser
desenvolvido para a manuteno ou recuperao das operaes
do negcio, na escala de tempo requerida, aps a ocorrncia
de interrupes ou falhas dos processos crticos. Para isto,
recomenda-se que o processo de planejamento da continuidade
do negcio considere os seguintes itens:
identicao e concordncia de todas as

responsabilidades e procedimentos de emergncia;
implementao dos procedimentos de emergncia

que permitam a recuperao e restaurao nos prazos
necessrios. Ateno especial deve ser dada avaliao
de dependncias externas ao negcio e de contratos
existentes;
documentao dos processos e procedimentos acordados;
treinamento adequado do pessoal nos procedimentos

e processos de emergncia denidos, incluindo o
gerenciamento da crise;
teste e atualizao dos planos.
O processo de planejamento deve focalizar os objetivos

requeridos do negcio, como por exemplo, a recuperao de
determinados servios especcos para os clientes, em um
perodo de tempo aceitvel.
importante que o plano especifique claramente
as condies de sua ativao, assim como as
responsabilidades individuais para a execuo de
cada uma das atividades.
132
22/12/2006 12:18:03
Quando novos requisitos so identicados, imprescindvel que

os procedimentos de emergncia relacionados sejam atualizados
de forma apropriada, permitindo, desta forma, sua execuo com
sucesso.
O responsvel por esta fase dever atingir os seguintes objetivos
especcos:
identicar os componentes de planejamento dos

processos;
planejar a metodologia;
organizar o plano;
dirigir as responsabilidades;
denir as pessoas envolvidas;
controlar o processo de planejamento e produzir o plano;
implementar o plano;
testar o plano;
denir a manuteno do plano.
g) Treinamento
O processo de treinamento das equipes comea com a
distribuio do plano para cada um dos seus componentes,
sendo que cada parte do plano deve ser encaminhada para o
responsvel por ela, acompanhada da viso geral do plano e da
viso geral da sua equipe. Telefones de emergncia, dos demais
membros da equipe e de fornecedores tambm devem fazer parte
do conjunto de instrues bsicas.
Durante a contingncia, os membros de cada equipe no estaro
necessariamente desempenhando os mesmos papis de seus
cotidianos. Desta forma, necessrio que os membros sejam
pessoas aptas e preparadas para desempenhar satisfatoriamente
as funes e executar a contento as atividades que lhes couberem.
O objetivo do treinamento, por sua vez, familiarizar os
participantes com o plano e suas atribuies.
Unidade 4
133
22/12/2006 12:18:03
Alm do treinamento, bastante interessante vender a idia

de continuidade de negcios para a equipe e colaboradores
da organizao, ou seja, a adoo de um programa de
conscientizao para ressaltar a importncia das medidas
preventivas e dos procedimentos de garantia de continuidade.
Este programa deve utilizar todas as mdias de comunicao
existentes na organizao e possuir como meta a manuteno do
nvel de conscientizao permanentemente elevado.
Algumas aes que podem ser utilizadas para manter a
conscientizao em alta so:
distribuir artigos sobre desastres operacionais, segurana

e planos de continuidade;
produzir e divulgar um vdeo apresentando o plano, sua

razo de existir e seu escopo;
publicar o material na intranet;
promover palestras;
mandar periodicamente matrias para as listas de e-mail;
incluir os fornecedores entre o pblico a ser

conscientizado;
cobrar dos fornecedores a implementao de um SLA

- Service Level Agreements (Acordo de garantia de nvel
de servios).
h) Manuteno
Nesta fase, como o prprio nome diz, faz-se um pr-plano para
gerenciar os exerccios do plano de continuidade de negcios,
avaliando os resultados obtidos. Alm disso, sero desenvolvidos
processos para a manuteno das variveis dos planos de acordo
com os objetivos estratgicos da empresa.
importante que o plano de continuidade de negcios seja
mantido por meio de anlises crticas regulares e atualizaes,
de forma a assegurar a sua contnua efetividade, pois um plano
sem atualizao anlogo a um administrador de redes que faz
134
22/12/2006 12:18:03
regularmente o backup de dados, porm no faz periodicamente

testes de restaurao destes mesmos dados. Segurana no
produto, nem um projeto, um processo.
Alguns exemplos que podem demandar atualizaes no plano
incluem a aquisio de um novo equipamento, atualizaes dos
sistemas operacionais ou ainda alteraes de pessoal ou nmeros
telefnicos, mudanas na estratgia de negcios, legislao, ou at
mesmo mudana de prestadores de servio.
O responsvel por esta fase dever atingir os seguintes objetivos
especcos:
preparar o planejamento dos exerccios;
gerenciar os exerccios;
implementar o exerccio das atividades dos planos;
documentar e avaliar os resultados;
atualizar e adequar os planos;
reportar os resultados e a avaliao dos exerccios aos

gestores;
assimilar as diretivas estratgicas do negcio.
i) Administrao da crise
Este documento tem o propsito de denir detalhadamente o
funcionamento das equipes envolvidas com o acionamento da
contingncia antes, durante e depois da ocorrncia do incidente.
Nesta etapa, encontra-se o desenvolvimento, coordenao,
avaliao e exerccio do manuseio de mdias e documentos
durante a ocorrncia de um desastre, bem como os possveis
meios de comunicao que minimizem atritos entre a
corporao, seus funcionrios e suas famlias, clientes-chave,
fornecedores, investidores e gestores corporativos.
Atravs dos procedimentos desta etapa, ser possvel assegurar o
fornecimento de informaes para todos os investidores, por meio
de uma fonte nica e constantemente atualizada.
Unidade 4
135
22/12/2006 12:18:03

estabelecer programas de relaes pblicas para o

gerenciamento proativo de crises;
estabelecer a necessria coordenao de crises com

agncias externas;
estabelecer a comunicao essencial de crise com grupos

de investidores relevantes, colaboradores, fornecedores
e clientes, ou seja, o que cada uma destas pessoas deve
saber.
j) Parcerias
Por m, esta a fase onde sero estabelecidos os procedimentos
e respostas necessrias para as atividades de continuidade e
restaurao de negcios, com o auxlio de parcerias, sejam elas
pblicas ou privadas.
Em caso de autoridades pblicas estes sero estabelecidos

para o atendimento de normas e leis;
no caso de entidades privadas, quando estas

compartilham interesses comuns; ou
de terceiros contratados para a execuo de tarefas

e servios devido especializao de sua estrutura e
objetivo de negcio para limitao de responsabilidades e
funes.

coordenar preparativos de emergncia, resposta,

recuperao, retomada e procedimentos de restaurao
com o apoio de rgos pblicos;
estabelecer procedimentos de acordos e contratos durante

situaes de crise, emergncia ou desastre;
manter atualizado o conhecimento entre parceiros.
136
22/12/2006 12:18:04
Finalizada a leitura dos contedos desta unidade, para praticar os

novos conhecimentos, realize as atividades propostas a seguir:
1) Qual a funo de uma anlise de impacto?
2) O que leva um C.I.O. a escolher uma estratgia de contingncia

chamada Cold Site ao invs da estratgia Hot Site?
Unidade 4
137
22/12/2006 12:18:04
3) Por que a manuteno de um plano de continuidade de negcios

importante?
Realize tambm as atividades propostas no EVA Espao UnisulVirtual de Aprendizagem. Interaja com a
sua comunidade de aprendizagem e amplie seu ponto
de vista.
138
22/12/2006 12:18:04
Sntese
O principal objetivo de um plano de continuidade de negcios
(BCP Business Continuity Plan) garantir a operao da
empresa em situaes de contingncia com o mnimo impacto
aos clientes. No atentado de 11 de setembro de 2001 s Torres
Gmeas do World Trade Center de Nova Iorque, as empresas
que tinham BCPs bem estruturados reiniciaram suas operaes
poucas horas depois do atentado terrorista.
Algumas empresas subestimam os riscos de um desastre e no
investem em BCPs. Os planos de continuidade de negcios
podem ser classicados em dois tipos: os planos de continuidade
das reas de negcios e os planos de recuperao de desastres
(DRP Disaster Recovery Plan) do Centro de Processamento de
Dados.
Em muitos casos, as reas de negcios das empresas dependem
fortemente do processamento de dados para suas atividades
e sua paralisao pra o negcio da empresa. Um exemplo
foi a paralisao do servio de e-mail do provedor de internet
Terra por dois dias devido a um problema no subsistema de
armazenamento de dados, em abril de 2003. O portal Terra teve
que abonar dois dias da mensalidade dos seus 800 mil assinantes
com um prejuzo de mais de R$400 mil.
Nesta unidade voc viu o que um plano de negcios, seus
componentes e suas caractersticas. Viu tambm, com detalhes,
os componentes que formam o desenvolvimento de um plano de
continuidade de negcios.
Na prxima unidade, voc ver que uma auditoria tradicional
envolve a reviso do histrico nanceiro da empresa com o
intuito de validar a exatido e a integridade das declaraes
nanceiras. O controle interno representa uma metodologia
primria usada pela classe executiva da organizao para
assegurar a proteo dos ativos e a disponibilidade da informao.
A prxima unidade ir abranger aspectos voltados para a
vericao de controles gerais da organizao, sua infra-estrutura
de informtica e segurana de informaes. At l!
Unidade 4
139
22/12/2006 12:18:04
Saiba mais
Para aprofundar as questes abordadas nesta unidade voc poder
pesquisar os seguintes livros:
CARUSO, Carlos A. A. e STEFFEN, Flavio Deny.

Segurana de Informtica e de Informaes. Senac.
1999.
SALDANHA, Fernando. Introduo a planos de

continuidade e contingncia operacional. Rio de
Janeiro: Papel Virtual, 2000.
MARINHO, Fernando. Como proteger e manter seus

negcios. Rio de Janeiro: Campus, 2003.
FERREIRA, Fernando N. F. Segurana da informao

em ambientes informatizados. Rio de Janeiro: Cincia
Moderna, 2003.
140
22/12/2006 12:18:04
UNIDADE 5
Auditoria em Sistemas de
Informao
conhecer as tcnicas de auditoria de sistemas de

informao mais usadas;
compreender os controles gerais envolvidos na

auditoria;
conhecer os tipos de auditoria de sistemas

informatizados;
estabelecer um plano de trabalho das verificaes que

devem ser realizados durante o trabalho de auditoria.
Sees de estudo
A seguir, conhea as sees para voc estudar:
Seo 1 Quais so as tcnicas de auditoria de SI?

Seo 2 Quais so os controles gerais?
Seo 3 Quais so os tipos de auditoria de SI?
Seo 4 Roteiro para avaliao dos controles internos
em auditoria de sistemas
Aps a leitura do contedo, realize as atividades de autoavaliao propostas no final da unidade e no EVA.
22/12/2006 12:18:04

Para esta ltima unidade, voc conhecer detalhadamente a
auditoria em sistemas informatizados. Alguns tpicos iro dar
a impresso de repetio de conceitos de unidades passadas, e
exatamente isso que o objetivo. O que vai diferir agora que
estes conceitos sero colocados dentro do contexto da unidade.
Com o objetivo de aperfeioar as atividades de auditoria
possivelmente desenvolvidas por voc aluno, esta unidade tem
como caracterstica a praticidade, facilitando assim a assimilao
do conhecimento de auditoria em sistemas informatizados.
Cabe aqui relembrar que um sistema de informao pode ser
conceituado como um conjunto de partes que se integram entre
si para atingir objetivos ou resultados informativos. Um sistema
de informao pode ser manual ou informatizado. No caso de
sistemas informatizados, as caractersticas predominantes so:
Manipulao de grandes volumes de dados e

informaes;
Complexidade de processamento;
Muitos usurios envolvidos;
Contexto abrangente, mutvel e dinmico;
Interligao de diversas tcnicas e tecnologias;
Auxlio qualidade, produtividade e competitividade

organizacional, e suporte tomada de decises
empresariais.
Uma auditoria de sistemas de informao pode abranger desde

o exame de dados registrados em sistemas informatizados, at a
avaliao do prprio sistema informtico aplicativos, sistemas
operacionais etc.; a avaliao do ambiente de desenvolvimento,
do ambiente de operao, do ambiente de gerenciamento da rede
e todos os demais elementos associados a um ou mais sistemas de
informao corporativos.
Antes de iniciar a auditoria de um sistema de informao,
o auditor deve determinar o tipo e o escopo (ou grau de
142
22/12/2006 12:18:04
abrangncia) da auditoria a ser realizada e solicitar unidade a ser

auditada os documentos adequados para planejar seu trabalho.
Em ambientes complexos de processamento de dados o auditor
ter uma grande variedade de objetos de controle a considerar. Os
documentos a serem solicitados e os procedimentos de auditoria
a serem aplicados iro variar de acordo com o tipo ou escopo da
auditoria.
E a proposta desta unidade e lev-lo a entender como os conceitos
apresentados at aqui, acontencem na prtica. Siga em frente com
determinao!
Seo 1 Quais so as tcnicas de auditoria de SI?

Existem inmeras tcnicas de auditoria de sistemas de
informao. durante a fase de planejamento da auditoria,
dependendo dos objetivos, do escopo e das
limitaes inerentes ao trabalho, que a equipe de
auditoria seleciona as tcnicas de auditoria mais
adequadas para se chegar s concluses esperadas
do trabalho.
Algumas tcnicas usadas em auditorias de
sistemas so comuns a outros tipos de auditoria,
como:
entrevista (reunio realizada com os

envolvidos com o ponto auditado, que
deve ser documentada);
questionrio (conjunto de perguntas que podem ser

aplicadas a muitas pessoas simultaneamente, sem a
presena do auditor);
vericao in loco (observao direta de instalaes,

atividades ou produtos auditados).
Outras tcnicas so especcas para a avaliao de operaes,

transaes, rotinas e sistemas em operao ou desenvolvimento.
A seguir, acompanhe quais so elas:
Unidade 5
143
22/12/2006 12:18:05
Quadeo 5.1 - Tcnicas de auditoria de SI

Mtodo
Caractertisticas
Test-deck
consiste na aplicao do conceito de massa de teste para sistemas em operao, envolvendo testes
normais e corretos, com campos invlidos, com valores incompatveis, com dados incompletos, etc.
Simulao paralela
consiste na elaborao de programas de computador para simular as funes da rotina do sistema em

operao que est sendo auditado. Utiliza-se os mesmos dados da rotina em produo como input do
programa de simulao.
Teste de recuperao
avaliao de um sistema em operao quanto aos procedimentos manuais e/ou automticos para a
recuperao e retomada do processamento em situaes de falhas. Um exemplo tpico testar para ver
se o backup funciona.
Teste de desempenho
Vericao de um sistema em operao quanto ao consumo de recursos computacionais e ao tempo de

resposta de suas operaes (exige instrumentos de monitorao para hardware e software).
Teste de estresse
Avaliao do comportamento de um sistema em operao quando submetido a condies de

funcionamento envolvendo quantidades, volumes e freqncias acima do normal.
Teste de segurana
Avaliao dos mecanismos de segurana preventivos, detectveis e corretivos presentes no sistema.
Teste de caixa preta
Mtodo que se concentra nos requisitos funcionais dos programas em operao. Os casos de testes,
normalmente derivados de diferentes condies de entrada, avaliam funes, interfaces, acessos a
bancos de dados, inicializao e trmino do processamento.
Mapping, tracing e
snapshot
Mtodos que prevem a insero de rotinas especiais nos programas em operao, usadas para depurlos (debug) aps serem executados. So estes:
Mapping: lista as instrues no utilizadas que determina a freqncia daquelas executadas.
Tracing: possibilita seguir o caminho do processamento dentro de um programa, isto , visualizar
quais instrues de uma transao foram executadas e em que ordem.
Snapshot: fornece o contedo de determinadas variveis do programa durante sua execuo, de
acordo com condies preestabelecidas.
Teste de caixa branca
Concentra-se nas estruturas internas de programas em desenvolvimento. Os casos de testes avaliam

decises lgicas, loops, estruturas internas de dados e caminhos dentro dos mdulos.
ITF Integrated Test

Facility
Consiste na implementao de rotinas de auditoria especcas dentro dos programas de um sistema

em implantao, que podero ser acionadas com dados de teste, em paralelo com os dados reais de
produo, sem comprometer os dados de sada.
Ao auditor recomendado conhecer todos os mtodos para saber

fazer uso deles e melhor realizar seu trabalho. Conhecidas as
tcnicas de auditoria de SI, estude na prxima seo os controles
gerais.
144
22/12/2006 12:18:05
Seo 2 Quais so os controles gerais?

Controles gerais consistem na estrutura,
polticas e procedimentos que se aplicam s
operaes do sistema computacional de uma
organizao como um todo. Eles criam o
ambiente em que os sistemas aplicativos e os
controles iro operar.
Durante uma auditoria em que seja
necessrio avaliar algum sistema
informatizado, seja ele nanceiro, contbil,
de pagamento de pessoal etc., preciso
inicialmente avaliar os controles gerais que atuam sobre o
sistema computacional da organizao.
Controles gerais decientes acarretam uma diminuio da
conabilidade a ser atribuda aos controles das aplicaes
individuais. Por esta razo, os controles gerais so normalmente
avaliados separadamente e antes da avaliao dos controles dos
aplicativos que venham a ser examinados em uma auditoria de
sistemas informatizados.
Quais so as categorias de controles gerais a serem
consideradas em auditoria?
So identicadas cinco categorias de controles gerais que podem

ser consideradas em auditoria. Acompanhe, a seguir, quais so:
a) Controles organizacionais - polticas, procedimentos
e estrutura organizacional estabelecidos para organizar as
responsabilidades de todos os envolvidos nas atividades
relacionadas rea da informtica.
Os elementos crticos para a avaliao dos controles
organizacionais so:
unidades organizacionais bem denidas, com nveis

claros de autoridade, responsabilidades e habilidades
tcnicas necessrias para exercer os cargos;
Unidade 5
145
22/12/2006 12:18:05
atividades dos funcionrios controladas atravs de

procedimentos documentados de operao e superviso
e polticas claras de seleo, treinamento e avaliao de
desempenho;
poltica de segregao de funes e controles de acesso

para garantir na prtica a segregao de funes;
recursos computacionais gerenciados para as

necessidades de informao de forma eciente e
econmica.
Figura 5.1 - Exemplo de estrutura organizacional para o departamento de Tecnologia da Informao

(organizao de tamanho mdio).
b) Programa geral de segurana - oferece estrutura para: (1)

gerncia do risco, (2) desenvolvimento de polticas de segurana,
(3) atribuio das responsabilidades de segurana, e (3)
superviso da adequao dos controles gerais da entidade;
c) Plano de continuidade do negcio - controles que garantam
que, na ocorrncia de eventos inesperados, as operaes crticas
146
22/12/2006 12:18:05
no sero interrompidas., Elas devem ser imediatamente

retomadas e os dados crticos protegidos.
d) Controle de software de sistema - limita e supervisiona
o acesso aos programas e arquivos crticos para o sistema que
controla o hardware e protege as aplicaes presentes.
So exemplos de software de sistema:
Software de sistema operacional;
Utilitrios de sistema;
Sistemas de bibliotecas de programas;
Software de manuteno de arquivos;
Software de segurana;
Sistemas de comunicao de dados;
Sistemas de gerncia de base de dados (SGBD).
O controle sobre o acesso e a alterao do software de sistema

essencial para oferecer uma garantia razovel de que os
controles de segurana baseados no sistema operacional no esto
comprometidos, prejudicando o bom funcionamento do sistema
computacional como um todo.
Os controles de software de sistema so avaliados por meio dos
seguintes elementos crticos:
acesso limitado ao software de sistema;
acesso e uso supervisionado do software de sistema;
controle das alteraes do software de sistema.
e) Controles de acesso - limitam ou detectam o acesso a recursos

computacionais (dados, programas, equipamentos e instalaes),
protegendo estes recursos contra modicao no-autorizada,
perda e divulgao de informaes condenciais.
Os controles de acesso tm o propsito de oferecer uma garantia
razovel de que os recursos computacionais (arquivos de dados,
programas aplicativos, instalaes e equipamentos relacionados
Unidade 5
147
22/12/2006 12:18:05
aos computadores) esto protegidos contra modicao ou

divulgao no-autorizada, perda ou dano. Eles incluem
controles fsicos, tais como manuteno dos computadores em
salas trancadas para limitar o acesso fsico, e controles lgicos
(softwares de segurana projetados para prevenir ou detectar
acesso no autorizado a arquivos crticos).
Os elementos crticos que determinam a adequao dos controles
de acesso so:
classicao dos principais recursos de informao de

acordo com sua importncia e vulnerabilidade;
manuteno de lista atualizada de usurios autorizados e

seu nvel de acesso;
implantao de controles lgicos e fsicos para prevenir

ou detectar acesso no autorizado;
superviso do acesso, investigao de indcios de

violao da segurana e adoo das medidas corretivas
apropriadas.
Uma vez que voc conheceu quais so os controles gerais,

na prxima seo estude os tipos de auditoria de sistemas
informatizados.
Seo 3 Quais so os tipos de auditoria de SI?

Nesta seo voc ir estudar os tipos de auditoria de sistemas
de informao, os quais so: auditoria de software aplicativo,
auditoria do desenvolvimento de sistemas, auditoria de banco de
dados, auditoria de redes e de microcomputador.
3.1. Auditoria de software aplicativo

Software aplicativos so aqueles projetados para executar
determinado tipo de operao, a exemplo do clculo da folha de
pagamento ou de controle de estoque.
Veja, a seguir, quais so os controles que podem ser auditados:
148
22/12/2006 12:18:06
Controles de
aplicativos
So aqueles incorporados diretamente em programas aplicativos, nas trs reas de operao

(entrada, processamento e sada de dados), com o objetivo de garantir um processamento
convel e acurado.
Sem um controle de aplicativo apropriado, existe o risco de que caractersticas de segurana
possam se omitidas ou contornadas, intencionalmente ou no, e que processamentos errneos
ou cdigos fraudulentos sejam introduzidos. Por exemplo: um programador pode modicar
cdigos de programas para desviar dos controles e obter acesso a dados condenciais; a
verso errada de um programa pode ser implementada, causando processamentos errados ou
desatualizados; um vrus pode se introduzido, prejudicando o processamento.
Controles de entrada
de dados
So projetados para garantir que os dados sejam convertidos para um formato padro e
inseridos na aplicao de forma precisa, completa e tempestiva.
Os controles de entrada de dados devem detectar transaes no-autorizadas, incompletas,
duplicadas ou errneas, e assegurar que sejam controladas at serem corrigidas.
A autorizao para
entrada de dados
Nem sempre possvel ter procedimentos de autorizao antes da entrada de dados. Em

sistemas de entrada de dados on-line, so indispensveis as rotinas de validao de dados para
compensar a ausncia da autorizao. O sistema deve checar automaticamente se o usurio
est cadastrado para usar aquele aplicativo e se os dados por ele preenchidos satisfazem certas
condies.
A organizao deve estabelecer rotinas que impeam o uso no-autorizado ou indevido de
microcomputadores ou terminais durante a entrada de dados.
Controles do
processamento de
dados
Os controles de processamento devem assegurar que todos os dados de entrada sejam

processados e que o aplicativo seja executado com sucesso, usando os arquivos de dados, as
rotinas de operao e a lgica de processamento corretos.
Controles da sada so utilizados para garantir a integridade e a correta e tempestiva

distribuio dos dados de sadas.
Controles da sada de
A principal preocupao com a sada de dados consiste na restrio do acesso a informaes
dados
sigilosas s pessoas autorizadas. Os controles devem proteger cpias em papel ou meio
magntico, impresso local e remota, armazenagem, transmisso dos dados.
3.2. Auditoria do desenvolvimento de sistemas

A auditoria do desenvolvimento de sistemas objetiva avaliar
a adequao das metodologias e procedimentos de projeto,
desenvolvimento, implantao e reviso ps-implantao dos
sistemas produzidos dentro da organizao auditada.
Esta avaliao pode abranger apenas o ambiente de
desenvolvimento da organizao ou prever tambm a anlise do
processo de desenvolvimento de um sistema especco, ainda na
fase de planejamento, j em andamento ou aps sua concluso.
O desenvolvimento de um sistema de informao representa um
investimento que no pode ser assumido sem dados conveis
Unidade 5
149
22/12/2006 12:18:06
e precisos sobre o custo do projeto, seus benefcios e os riscos

envolvidos
Todos os projetos de desenvolvimento de sistemas precisam
ter sido avaliados em profundidade, devendo ser precedidos
de anlises de custo/benefcio, capacidade de satisfao dos
usurios e de atendimento aos objetivos da organizao,
custos de desenvolvimento, medidas de desempenho, planos
de implementao, previso de recursos humanos, etc. So
necessrios, tambm, mecanismos gerenciais que auxiliem a
denio de prioridade dos projetos e permitam sua avaliao e
controle durante todo o processo de desenvolvimento.
3.3. Auditoria de banco de dados

Tradicionalmente, o termo banco de dados foi usado para
descrever um arquivo contendo dados acessveis por um ou mais
programas ou usurios. Os arquivos de dados eram designados
para aplicaes especcas e o programa era projetado para
acess-los de uma forma predeterminada.
3.4. Auditoria de redes de computadores

Atualmente, bastante comum que os usurios de um sistema
estejam em um local diferente de onde se encontram os recursos
computacionais da organizao. Isto torna necessrio o uso
de mecanismos de transporte de informaes entre diferentes
computadores e entre computadores e seus perifricos.
Para o bom funcionamento da comunicao de dados so usados:
Arquivo log de comunicaes, onde cam registrados

todos os blocos transmitidos correta e incorretamente
para efeito estatstico e para tentativas de recuperao de
dados transmitidos;
Software de comunicao de dados para vericao de

protocolo de transmisso, gravao do arquivo log de
transaes e para codicao de sinais de comunicao;
Protocolo de transmisso que garante a recepo correta

do bloco de informaes transmitidas;
150
22/12/2006 12:18:06
Software ou hardware para a realizao de codicao e

decodicao das informaes transmitidas.
O principal risco oferecido pelas redes o de acesso no

autorizado a dados e programas da organizao, que pode resultar
em danos ou prejuzos intencionais ou acidentais.
Existe uma grande variedade de software e hardware
especializados em limitar o acesso de indivduos ou sistemas
externos a uma rede de comunicao.
Exemplos de componentes de rede que podem ser
usados para limitar o acesso incluem gateways ou
firewalls (dispositivos que restringem acesso entre
redes, importantes para reduzir o risco associado ao
uso da internet); monitores de teleprocessamento
(programas incorporados ao sistema operacional dos
computadores para limitar o acesso) e dispositivos de
proteo dos canais de comunicao.
Alm dos riscos associados facilidade de acesso a dados

e programas, a auditoria das redes de comunicao de
computadores deve contemplar os riscos relativos operao
incorreta do sistema, perda de informaes que podem causar
dano ou prejuzo organizao em funo do ambiente de rede.
Quais os elementos crticos que a auditoria de redes

de comunicao deve abranger?
A auditoria de redes de comunicao deve abranger os seguintes

elementos crticos:
Gerncia de rede - devem existir procedimentos e

polticas para auxiliar a gerncia do ambiente de rede e
padres denidos para controle do hardware envolvidos;
Segurana dos dados e da rede - devem existir

mecanismos de controle de hardware e software que
garantam a segurana e integridade dos dados mantidos
Unidade 5
151
22/12/2006 12:18:06
no ambiente de rede e dos recursos fsicos que a

compem; bem como limitem e controlem o acesso a
programas e dados;
Operao da rede - a organizao deve oferecer

condies para uma operao eciente da rede, incluindo
normas e procedimentos de treinamento de pessoal,
execuo de cpias de segurana, avaliao da ecincia
do servio e rotinas de recuperao da rede aps
interrupes inesperadas;
Software de rede - a gerncia de rede deve monitorar

e controlar o software de comunicao e o sistema
operacional instalado.
3.5. Auditoria de microcomputadores

Normalmente so chamados microcomputadores os
computadores de mesa que compreendem um processador, disco
rgido e exvel, monitor e teclado. Os microcomputadores
podem ser utilizados isoladamente ou estar conectados a uma
rede, com o propsito de compartilhar dados ou perifricos.
Exemplos dos riscos especficos associados aos
microcomputadores:
Familiaridade por causa da aparente simplicidade
e facilidade de utilizao, existe o risco de que o uso
inadequado seja subestimado por usurios e pela
gerncia;
O custo ainda que os microcomputadores possam
ser considerados de baixo custo, importante
levar em conta gastos com softwares, perifricos e
manuteno, que pode elevar significativamente o
custo de uma mquina;
Localizao microcomputadores normalmente
esto localizados em escritrios comuns, com pouca
proteo contra furto, acesso no-autorizado ou dano
acidental;
Software proprietrio apesar de ser mais
barato adquirir programas do que desenvolv-los
internamente, os softwares oferecidos pelo mercado
muitas vezes no apresentam mecanismos de
segurana adequados;
152
22/12/2006 12:18:06
Para que possa proteger-se contra estes riscos, a organizao

precisa adotar polticas e procedimentos especcos quanto ao uso
de microcomputadores pelos seus funcionrios, compreendendo
padres de hardware, software, aquisio,
treinamento e suporte, alm dos controles gerais e de
aplicativos.
Os microcomputadores precisam de controles
especcos destinados a proteg-los de furto ou
acidente, que podem ocasionar a perda de dados e
programas. Isto pode ser evitado atravs de restries
fsicas de acesso s mquinas, controles de software, tais
como: senhas de acesso e realizao peridica de cpias de
segurana. O furto de equipamentos pode ser evitado por meio
de mecanismos adequados de segurana no local de trabalho.
Quais so os elementos crticos para auditoria de
microcomputadores?
Os elementos crticos para a auditoria dos microcomputadores

so:
Controles do software em uso - destinados a garantir

consistncia da operao dos softwares instalados
nos microcomputadores, impedindo a instalao de
programas no-autorizados, sua alterao indevida, etc.,
Segurana - controla o acesso a recursos computacionais,

dados e programas, protegendo-os contra alteraes
indevidas, furtos, divulgao de documentos sigilosos,
etc.
Controles sobre a operao - protegem os recursos

de microinformtica contra prejuzos e danos causados
por falta de treinamento de pessoal e de manuteno
adequada.
Uma vez que voc estudou os tipos de auditoria, chega a vez

de entender como os conhecimentos estudados at agora nesta
disciplina, se aplicam a prtica do auditor.
Unidade 5
153
22/12/2006 12:18:07
Seo 4 Roteiro para avaliao dos controles internos

em auditoria de sistemas
A seguir, apresentado um roteiro para servir de
base avaliao dos controles internos em auditoria
de sistemas. Os tpicos a serem avaliados devem
ser escolhidos com base nos objetivos da auditoria.
Outros itens de avaliao podero ser necessrios
dependendo das circunstncias.
Avaliao dos controles gerais

O auditor deve avaliar se dentro do departamento
de tecnologia da informao (DTI) existem unidades
organizacionais bem denidas e com suas funes claras.
Como parmetro para o DTI, foram denidas:
Cada Unidade dentro do DTI deniu seus principais

objetivos e padres de desempenho.
Cada Unidade dentro do DTI deniu os diversos nveis

de autoridade, as responsabilidades de cada cargo e as
habilidades tcnicas necessrias para exerc-los.
Os funcionrios do DTI exercem atividades compatveis

com as estabelecidas formalmente pela organizao.
Os funcionrios do DTI possuem capacitao tcnica

compatvel com o previsto no respectivo plano de cargos.
Atividades dos funcionrios so controladas e a poltica

de seleo clara.
Treinamento e avaliao de desempenho so polticas na

rea de capacitao.
Existem instrues documentadas para o desempenho

das atividades dentro do DTI, que so seguidas pelos
funcionrios.
Existem manuais de instruo que indicam como operar

softwares de sistema e aplicativos.
O pessoal tcnico tem superviso adequada, inclusive nas

trocas de turno de operao de computadores.
154
22/12/2006 12:18:07
As atividades dos operadores do sistema computacional

so automaticamente armazenadas em registros
histricos de operao.
Supervisores revisam periodicamente os registros

histricos de operao e investigam qualquer
anormalidade.
H um planejamento das necessidades de pessoal

especializado e existem polticas denidas, mtodos e
critrios para o preenchimento de vagas que permitam
aferir as reais habilidades tcnicas dos pretendentes.
Existe um programa de treinamento de pessoal na rea

de tecnologia da informao, com recursos sucientes
para capacitar o pessoal tcnico.
Existe um programa de avaliao de desempenho ecaz.
a) Poltica de segregao de funes e controles de acesso

Funes distintas so desempenhadas por diferentes indivduos,
incluindo as seguintes:
Gerncia dos sistemas de informao;
Projetos de sistemas;
Programao de aplicativos;
Programao de sistemas;
Teste e garantia de qualidade;
Gerncia de biblioteca/gerncia de alterao;
Operao de computador;
Controle de dados;
Segurana de dados;
Administrao de dados.
Unidade 5
155
22/12/2006 12:18:07
b) Controles gerais: programa de segurana

Os riscos so periodicamente avaliados, de acordo com polticas
documentadas para esta avaliao.
As avaliaes do risco so realizadas por pessoal

sucientemente independente (no diretamente
responsvel pelas questes de segurana), sendo revistas
toda vez que algum sistema, instalao ou outra condio
se altere.
A avaliao do risco leva em conta a vulnerabilidade

inerente aos dados e o risco adicional, acrescentado pelos
diversos caminhos de acesso passveis de utilizao por
usurios e estranhos no-autorizados.
As avaliaes gerais de risco mais recentes esto de

acordo com as polticas estabelecidas e atendem aos
demais requisitos acima indicados.
c) Documentao do programa de segurana

O auditor, neste momento, deve questionar se o plano de
segurana:
Foi documentado e aprovado pela alta gerncia e pelos

setores afetados;
Cobre todas as instalaes e operaes essenciais;
mantido atualizado, com revises peridicas e ajustes

que reitam as mudanas nas condies de operao e
nos riscos;
Estabelece uma estrutura de gerncia de segurana com

independncia, autoridade e conhecimento sucientes;
Prev a existncia de gerentes de segurana dos sistemas

de informao tanto em nvel geral quanto nos nveis
subordinados;
Identica precisamente o proprietrio de cada recurso

computacional e os responsveis pela gerncia do acesso a
estes recursos;
156
22/12/2006 12:18:07
Dene as responsabilidades de segurana nos seguintes

nveis: (1) proprietrios e usurios dos recursos de
informao; (2) pessoal de processamento de dados; (3)
alta gerncia; e (4) administradores de segurana;
periodicamente revisto e atualizado, estando em dia

com as necessidades da entidade.
d) Poltica de segurana ecaz

Deve existir um programa de treinamento sobre as polticas
de segurana que inclua treinamento inicial de todos os novos
funcionrios e usurios a respeito das normas de segurana para
uso dos recursos computacionais.
Deve existir um treinamento peridico de atualizao!
Um treinamento que possa ser realizado, por exemplo, via

mensagens de correio eletrnico que alertem os usurios para os
procedimentos existentes, como necessidade de troca peridica de
senhas e de manuteno do sigilo das mesmas, etc. (Examinar os
registros das atividades de treinamento.).
Os processos de transferncia e demisso incluem procedimentos
de segurana, tais como:
devoluo de crachs, chaves, passes de identicao,

etc.;
noticao da gerncia de segurana para a pronta

desativao de senhas de acesso;
imediata retirada do funcionrio do local de trabalho;
denio do perodo em que o funcionrio afastado car

sujeito guarda do sigilo das informaes condenciais
s quais teve acesso.
Unidade 5
157
22/12/2006 12:18:07
e) Controles gerais: planejamento da continuidade do

negcio
Avaliao da vulnerabilidade das operaes computadorizadas e
identicao dos recursos que as apiam. A organizao preparou
uma lista de dados, operaes e sistemas crticos que:
informa a prioridade de cada item;
foi aprovada pelos gestores responsveis;
reete a situao atual dos recursos computacionais.
Adoo de medidas devem objetivar a preveno de

interrupes potenciais e minimizar danos causados.
So exemplos de medidas preventivas:

Por exemplo, cpias de segurana dos arquivos e da
documentao dos sistemas so providenciadas e
deslocadas para um local de armazenamento externo,
com freqncia suficiente para evitar problemas em
caso de perda ou dano dos arquivos em uso.
O local de armazenamento externo est localizado
geograficamente distante da sede da organizao e
protegido por controles ambientais e controles de
acesso fsico.
Dispositivos de supresso e preveno de incndio
foram instalados e esto em funcionamento
(detectores de fumaa, extintores de incndio, etc.).
Controles fsicos foram implementados para evitar
outros desastres, tais como inundao, elevao
excessiva da temperatura, etc. Os controles fsicos
so periodicamente testados.
Foi providenciada uma fonte substituta de
suprimento de energia eltrica que permita, em
caso de falha da fonte principal, a concluso segura
das operaes em andamento.
Os procedimentos de emergncia so
periodicamente testados junto ao pessoal
encarregado de implement-los.
158
22/12/2006 12:18:08
Os funcionrios do departamento de TI receberam

treinamento para os casos de emergncia, tendo
sido informados de suas responsabilidades na
ocorrncia de eventos do gnero. Verificar se
existem registros de treinamentos peridicos
previstos e efetuados para procedimentos de
emergncia envolvendo fogo, inundao e disparo
de alarmes.
O pessoal de todos os departamentos tem
conhecimento de suas atribuies em caso
de emergncia (telefone para notificao de
problemas, procedimentos de emergncia na
ocorrncia de desastres, etc.).
Existem polticas e procedimentos atualizados de
manuteno de hardware, gerncia de problemas
e gerncia de alterao de programas para prevenir
interrupes inesperadas da operao.
Existe um hardware de reserva que garanta, em
casos de problemas com o equipamento principal, a
disponibilidade do sistema para aplicaes crticas e
vulnerveis.
O que o auditor precisa documentar?

No caso do desenvolvimento e documentao do plano de
contingncia, o auditor tem que vericar se existe um
plano de contingncia devidamente documentado que:
reete as condies atuais da organizao;
foi aprovado pelos grupos mais afetados,

incluindo a alta administrao, DTI e gerentes
proprietrios dos sistemas;
atribui as responsabilidades de recuperao de forma

clara;
inclui instrues detalhadas para restaurar a operao,

tanto do sistema operacional quanto das aplicaes
crticas;
identica a instalao alternativa de processamento e o

local externo de armazenamento de cpias de segurana;
Unidade 5
159
22/12/2006 12:18:08
inclui procedimentos a serem seguidos quando o centro

de processamento de dados estiver impossibilitado de
receber ou transmitir dados;
identica os sistemas e os arquivos de dados crticos;
detalhado o suciente para ser compreendido por todos

os gerentes da organizao;
foi distribudo para todas as pessoas apropriadas;
o plano de contingncia foi testado em condies que

simulem um desastre.
Examinar as polticas de teste e os relatrios da sua

execuo;
os resultados dos testes foram documentados e um

relatrio com as lies aprendidas foi providenciado e
encaminhado para a alta administrao;
o plano de contingncia e os acordos relacionados foram

ajustados para corrigir quaisquer decincias constatadas
durante o teste.
f) Controles gerais: controle de acesso

Existem polticas e procedimentos documentados para a
classicao dos principais recursos de informao pelos critrios
de importncia e vulnerabilidade dos dados.
As autorizaes de acesso so:
documentadas e mantidas em arquivo organizado;
aprovadas pelo proprietrio do recurso computacional;
transmitidas para os gerentes de segurana de uma forma

protegida.
As autorizaes de acesso temporrias so:
documentadas e mantidas em arquivo;
aprovadas pela gerncia encarregada;
160
22/12/2006 12:18:08
comunicadas de uma forma protegida para o servio de

segurana;
automaticamente desativadas aps um perodo

determinado.
g) Controles lgicos sobre arquivos de dados e programas de

software
Aqui o auditor tem que vericar se:
softwares de segurana so usados para restringir o

acesso aos arquivos de dados e programas;
o acesso ao software de segurana restrito aos

administradores de segurana;
as sesses de acesso a sistemas, via terminais de

computadores, so terminadas automaticamente aps
um perodo de inatividade do operador;
os responsveis pela administrao da segurana

conguram o software de segurana para restringir
o acesso no-autorizado a arquivos de dados,
bibliotecas de dados, procedimentos de operao em
lote (batch), bibliotecas de cdigos fonte, arquivos de
segurana e arquivos de sistema operacional. Testar os
controles tentando obter acesso a arquivos restritos.
h) Controles lgicos sobre a base de dados

Controles sobre os gerenciadores de banco de dados (SGBD ou
DBMS) e dicionrios de dados foram implementados para:
restringir o acesso a arquivos de dados nos nveis de

leitura de dados, campos, etc.;
controlar o acesso ao dicionrio de dados usando pers

de segurana e senhas;
manter trilhas de auditoria que permitam supervisionar

mudanas nos dicionrios de dados;
Unidade 5
161
22/12/2006 12:18:08
prever formas de pesquisa e atualizao de funes de

aplicativos, funes de SGBD e dicionrio de dados.
i) Controles lgicos sobre acesso remoto

Um software de comunicao foi implementado para:
identicar o terminal/ponto de acesso que est em uso

pelo usurio;
checar IDs (cdigos de identicao do usurio) e senhas

para acesso a aplicativos especcos;
controlar o acesso atravs de conexes entre sistemas e

terminais;
restringir o uso de facilidades de rede em aplicaes

especcas;
interromper automaticamente a conexo ao nal de uma

sesso;
manter registros da atividade na rede;
restringir o acesso a tabelas que denem opes de rede,

recursos e pers de operador;
permitir que somente usurios autorizados desconectem

componentes da rede;
supervisionar o acesso discado, atravs do controle da

fonte de chamadas ou pela interrupo da chamada e
retorno da ligao para nmeros de telefone previamente
autorizados;
restringir o acesso interno aos softwares de

telecomunicaes;
controlar mudanas nesses softwares;
garantir que dados no sejam acessados ou modicados

por usurios no-autorizados durante sua transmisso ou
enquanto temporariamente armazenados;
restringir e supervisionar o acesso ao hardware de

telecomunicaes ou instalaes.
162
22/12/2006 12:18:08
j) Controles gerais: software de sistema

Quanto a restrio de acesso:
Existem polticas e procedimentos atualizados para a

restrio do acesso ao software de sistema?
O auditor tem que prestar ateno nestes aspectos:
o acesso ao software de sistema restrito a um nmero

limitado de pessoas, cujas responsabilidades exijam este
acesso. (programadores de aplicativos e usurios em geral
no devem possuir autorizao de acesso ao software de
sistema);
os documentos com justicativa e aprovao da gerncia

para o acesso ao software de sistema so mantidos em
arquivo;
o nvel de acesso permitido aos programadores de sistema

periodicamente reavaliado pelos gerentes para ver se
a permisso de acesso corresponde s necessidades de
servio. Vericar a ltima vez que o nvel de acesso foi
revisto.
Existem polticas e procedimentos documentados e
atualizados para o uso de utilitrios do software de
sistema?
Dentro do servio de auditoria, o auditor deve prestar ateno nos

seguintes pontos:
as responsabilidades no uso de utilitrios de sistema

foram claramente denidas e compreendidas pelos
programadores de sistema;
as responsabilidades pela superviso do uso de utilitrios

de sistema esto denidas e so exercidas pela gerncia
de informtica;
Unidade 5
163
22/12/2006 12:18:08
o uso de utilitrios de sistema registrado em relatrios

produzidos pelo software de controle de acesso ou outro
mecanismo de registro de acesso;
os registros de acesso ao software de sistema e aos seus

utilitrios so periodicamente examinados pela gerncia
de informtica e atividades suspeitas ou no usuais so
investigadas;
revises gerenciais so efetuadas para determinar se as

tcnicas de superviso do uso do software de sistemas
esto funcionando como previsto e mantendo os riscos
dentro de nveis aceitveis (avaliaes peridicas dos
riscos).
Existem polticas e procedimentos atualizados
para identificar, selecionar, instalar e modificar
o software de sistema, bem como identificar,
documentar e solucionar problemas com este
software?
A implantao de novas verses do software de sistema ou seus

utilitrios segue procedimentos de segurana, que incluem:
justicativa documentada para a alterao;
realizao de testes conduzidos num ambiente prprio e

no no ambiente de operao normal;
parecer tcnico sobre os resultados do teste;
reviso dos resultados dos testes e das opinies

documentadas, plo gerente de TI;
autorizao do gerente de TI para colocar a nova verso

do software de sistema em uso.
Como realizar controles de aplicativos?
164
22/12/2006 12:18:09
Acompanhe a lista de vericaes do auditor:
existem procedimentos documentados

para a insero de dados na aplicao;
os documentos ou telas de entrada

garantem a entrada de dados de
maneira exata e consistente;
os campos de dados de
preenchimento obrigatrio so
facilmente identicveis na tela;
existem padres para as telas de entrada, quando a sua

apresentao, disposio dos campos e acionamento de
teclas.
rotinas de preparao dos dados (batch)
existem rotinas para a preparao dos dados a serem

preenchidos em cada documento;
h pessoas claramente identicadas como responsveis

pela preparao, reviso e autorizao da entrada de
dado;
existem rotinas escritas para cada atividade do processo

de preparao de dados, com instrues claras e
adequadas;
no caso de aplicativos em que a entrada de dados ocorre

em terminais ou microcomputadores, h procedimentos
de segurana para o uso, manuteno e controle de
cdigos de identicao do operador e do terminal ou
estao de trabalho;
os cdigos de identicao do operador e do terminal so

checados no processo de autorizao de entrada de dados;
existem procedimentos documentados para que, em caso

de transmisso eletrnica de documentos, a rota utilizada
e os procedimentos de autorizao sejam registrados;
os microcomputadores e terminais usados pela

organizao para entrada de dados esto localizados em
salas sicamente seguras;
Unidade 5
165
22/12/2006 12:18:09
as rotinas de entrada de dados da organizao asseguram

que esta atividade s pode ser executada por funcionrios
com determinado nvel de acesso.
Como realizar verificaes para aplicaes com

entrada de dados batch?
Vericaes para aplicaes com entrada de dados batch:
a aprovao da entrada de dados est limitada aos

indivduos especicados pela organizao em documento
escrito;
pessoal responsvel pela autorizao da entrada de dados

no executa outras tarefas incompatveis pelo princpio
da segregao de funes (v. Segregao de Funes nos
Controles Gerais).
Como realizar verificaes na entrada de dados

on-line?
Na entrada de dados on-line deve-se vericar se:
existem controles lgicos e fsicos nos pontos de acesso

(terminais ou microcomputadores) para preveno e
deteco de entrada de dados no-autorizados;
foram instalados mecanismos de segurana para

gerenciar a autorizao de acesso s transaes on-line e
aos registros histricos associados;
os mecanismos de segurana da organizao garantem

que todas as tentativas de acesso, com ou sem sucesso,
so gravadas em logs que registram data e hora do evento
de acesso e identicam o usurio e o ponto de acesso.
166
22/12/2006 12:18:09
Na reteno de documentos de entrada (sistema batch) deve ser

vericado se:
os documentos originais so retidos pela organizao

por um determinado perodo de tempo com intuito de
facilitar a recuperao ou reconstruo de dados;
existem procedimentos documentados para reteno de

documentos na organizao;
os documentos cam retidos por tempo suciente para

permitir a reconstruo de dados, caso sejam perdidos
durante a fase de processamento;
os documentos so mantidos em arquivos organizados,

para fcil recuperao;
o departamento que originou os documentos mantm

cpias dos mesmos;
somente as pessoas devidamente autorizadas tm acesso

aos documentos arquivados;
existem procedimentos documentados para remover e

destruir os documentos quando expirado o tempo de
tenso e se estes so obedecidos.
A organizao deve estabelecer rotinas que
assegurem que os dados de entrada so validados
e editados de forma a espelharem corretamente os
documentos originais.
Nesse interim, vericar se:
existem procedimentos documentados que denem o

formato dos dados para assegurar a entrada deles no
campo correto e com o formato adequado;
nas rotinas de entrada de dados existem informaes de

ajuda (help) para facilitar a entrada de dados e reduzir o
numero de erros;
Unidade 5
167
22/12/2006 12:18:09
existem mecanismos para a validao, edio e controle

da entrada de dados (terminais inteligentes ou software
dedicado a esta funo);
os campos essenciais para o correto processamento

posterior dos dados so de preenchimento obrigatrio;
existem rotinas para detectar, rejeitar e impedir a entrada

de dados incorretos no sistema;
a validao dos dados executada em todos os campos

relevantes do registro ou tela de entrada;
As rotinas de validao de dados testam a presena de:
Cdigo de aprovao e autorizao;
Dgitos de vericao em todas as chaves de

identicao;
Dgitos de vericao ao nal de uma seqncia

(string) de dados numricos;
Cdigos vlidos;
Valores alfanumricos ou numricos vlidos;
Tamanhos vlidos de campo;
Campos combinados;
Limites vlidos, razoabilidade dos valores ou faixa de

valores vlidos;
Campos obrigatrios preenchidos;
Smbolos;
Registros de entrada completes;
Campos repetitivos, eliminando a necessidade da

entrada dos mesmos dados mais de uma vez.
A organizao utiliza totais de controle de processamento

em lote (batch), gerados pelos terminais de entrada de
dados ou pelo software dos microcomputadores, para
assegurar que todos os dados enviados em lote foram
recebidos corretamente.
168
22/12/2006 12:18:09
A rotina de entrada de dados da organizao estabelece

um registro histrico dos dados, proporcionando uma
trilha de auditoria.
A organizao deve estabelecer rotinas para correo
e re-submisso de dados de entrada incorretos.
Para tal necessrio vericar se:
existem rotinas para identicao, correo e resubmisso de dados incorretos.
a rotina de entrada de dados possui procedimentos

automticos ou manuais que permitem que dados
errneos sejam prontamente corrigidos e re-submetidos;
existe controle sobre os erros ocorridos na entrada de

dados, sendo possvel identic-los justamente com as
medidas que foram tomadas para corrigi-los e qual o
tempo transcorrido entre a sua ocorrncia e sua correo;
as mensagens de erro geradas pela rotina de entrada

de dados so sucientemente claras e fceis de
serem entendidas pelo usurio do terminal ou
microcomputador, facilitando a correo e a submisso
dos dados.
A organizao possui um grupo de controle responsvel pelas

seguintes atividades:
investigar e corrigir qualquer problema operacional no

terminal, microcomputador ou outro dispositivo de
entrada de dados;
assegurar que os procedimentos de reinicializaro so

executados de maneira apropriada;
monitorar as atividades de entrada de dados no terminal,

microcomputador ou outro dispositivo similar;
investigar qualquer desvio dos procedimentos de entrada

de dados preestabelecidos;
Unidade 5
169
22/12/2006 12:18:09
os recursos computacionais e humanos disponveis para

a entrada de dados garantem que estes sejam inseridos
tempestivamente.
Como realizar controle do desenvolvimento de
sistemas?
Uma questo importante a auditar se foi desenvolvida uma

metodologia de desenvolvimento de sistemas que:
fornece uma abordagem estruturada de desenvolvimento,

compatvel com os conceitos e prticas geralmente
aceitos, incluindo o envolvimento ativo dos usurios
durante o processo;
sucientemente documentada, sendo capaz de oferecer

orientao a funcionrios com diversos nveis de
conhecimento e experincia;
oferece meios de controlar mudanas nos requisitos de

projeto que ocorram durante a vida do sistema;
inclui requisitos de documentao;
o pessoal envolvido no desenvolvimento e teste de

software foi treinado para utilizar a metodologia de
desenvolvimento adotada pela entidade;
solicitaes de alterao de sistemas so documentadas

e submetidas aprovao tanto dos usurios do sistema
quanto do DTI;
os softwares de domnio pblico ou de uso pessoal

so objetos de polticas restritivas ( importante que a
entidade tenha polticas claras com respeito ao uso de
softwares de domnio publico ou de propriedade pessoal
do funcionrio do trabalho). Permitir aos funcionrios
que utilizem seus prprios softwares ou mesmo disquetes
para armazenamento de dados que foram usados em
outro lugar, aumenta os riscos de introduo de vrus, de
violao de patentes e de processamento errado de dados,
causado pela utilizao de programas inadequados.
170
22/12/2006 12:18:09
O auditor deve verificar a existncia de procedimentos

de alteraes de emergncia documentados.
As alteraes de emergncia so:
documentadas e aprovadas pelo supervisor de operao;
formalmente relatadas gerncia de operao para as

providncias necessrias;
aprovadas, ainda que depois de realizadas pelos gerentes

de desenvolvimento proprietrio do sistema.
No que diz respeito ao banco de dados, analisar e vericar se

foram claramente denidas e documentadas as responsabilidades
relacionadas administrao de dados, tais como:
coordenao da manuteno dos dados (denio,

criao, excluso e propriedade dos dados);
estabelecimento de polticas de acesso, condencialidade

e integridade de dados;
manuteno da documentao;
coordenao entre administrao de dados, usurios e

programao de sistemas;
desenvolvimento e manuteno de padres.
O pessoal responsvel pelas atividades de administrao

de dados possui as habilidades e conhecimentos tcnicos
necessrios para execut-las.
Verificar se foram claramente definidas e
documentadas as responsabilidades relacionadas
administrao de banco de dados.
Unidade 5
171
22/12/2006 12:18:10
Tais como:
projeto e manuteno da estrutura da base de dados;
reviso e avaliao da conabilidade do sistema

gerenciador de banco de dados;
avaliao do pessoal encarregado das funes de banco

de dados;
treinamento do pessoal responsvel pela administrao

de banco de dados;
segurana de dados;
o pessoal responsvel pelas atividades de administrao

de banco de dados possui as habilidades e conhecimentos
tcnicos necessrios para execut-las;
as atividades de administrao de banco de dados so

armazenadas em registros histricos e periodicamente
analisadas por um supervisor;
o plano de treinamento em linguagens de acesso a banco

de dados adequado.
Como realizar Controle das redes de computadores?
A escolha da plataforma de rede para a organizao foi precedida

de uma anlise de custo/benefcio fundamentada em elementos
sucientes para justicar a alternativa adotada. O plano de
implantao de processamento em rede contempla:
participao dos usurios;
riscos da converso dos sistemas;
as diferentes necessidades de processamento dos usurios

das diversas localidades;
testes de aceitao a serem executados pelo DTI

(Departamento de Tecnologia da Informao), pelo
controle de qualidade e por usurios selecionados.
172
22/12/2006 12:18:10
Ao auditor, cabe vericar se:
os procedimentos de controle do processamento em rede

so testados e avaliados periodicamente;
existem procedimentos documentados que denem as

atividades permitidas no ambiente de rede;
os procedimentos de operao da rede foram distribudos

aos usurios de cada departamento;
foi estabelecido um mecanismo para garantir a

compatibilidade de arquivos entre as aplicaes, na
medida do tamanho e complexidade da rede;
foi estabelecida uma poltica de auditoria e de backup para

a rede.
existem procedimentos documentados e

responsabilidades atribudas para as atividades de
inicializao (start-up), superviso e uso da rede e
recuperao de defeitos de funcionamento do hardware.
Vericar se o DTI possui polticas, procedimentos e padres

documentados, atualizados e divulgados para o pessoal
responsvel, cobrindo as seguintes reas:
descrio resumida de cada aplicativo rodando na rede;
procedimentos de operao (tais como startup e

shutdown);
gerncia de tas e discos;
cpias de segurana (backup);
procedimentos de emergncia;
planejamento de contingncia.
Os departamentos de usurios devem manter um inventrio

atualizado dos equipamentos de rede que se encontrem em seu
local de trabalho e revisar periodicamente a eccia das prticas
de segurana adotada.
Unidade 5
173
22/12/2006 12:18:10
Os procedimentos de segurana devem estar adequados para

proteger os recursos fsicos da rede e a integridade do software do
aplicativo e dos dados armazenados, e devem ser periodicamente
revisados (v. tambm Programa Geral de Segurana e Controles
Gerais: Controles de Acesso).
O grupo responsvel pela segurana da rede confere
periodicamente se a documentao de segurana est
devidamente atualizada e reavalia, com a freqncia suciente, a
adequao dos controles de segurana:
do hardware de comunicao e estaes de trabalho;
do sistema operacional;
dos aplicativos relevantes.

Um ponto interessante de se verificar se existe
segregao de funes adequada entre gerncia
de funes, entre gerncia de rede e gerncia de
segurana, pois isto denota uma rede organizada e
segura.
Na existncia da gerncia de segurana, vericar a existncia de

trilhas de auditoria, informando atividades tais como:
login/out (local, hora e data, identicao do usurio);
tipo de acesso (discado, por estao de trabalho, etc.);
tentativas de acesso invlidas (local, hora e data, ID).
E, por m, no esquea que usurios devem conseguir acesso

aos discos, volumes, diretrios e arquivos somente para os
quais possuem autorizao. As tentativas de acesso devem ser
contabilizadas de forma que aps um determinado nmero de
tentavias falhas, exista o travamento da conta do usurio. Ainda
restam a conta de usurio, que dever ser pessoal e intransfervel,
e a senha dessa conta.
Uma tima dica estabelecer pers de acesso para os usurios,
que denam os recursos, dados, aplicaes, transaes e
174
22/12/2006 12:18:10
comandos autorizados, de acordo com as responsabilidades dos

respectivos cargos.
Uma vez que voc nalizou a leitura criteriosa desta
unidade, realize as atividades propostas e pratique os novos
conhecimentos.
1) Das inmeras tcnicas de auditoria, quais delas so utilizadas
em ambientes de produo, rodando em paralelo e que no
comprometem a sada de dados ou informaes?
2) O que determina o controle de sofware de sistemas?
Unidade 5
175
22/12/2006 12:18:10
3) Que cuidados a organizao deve ter no que diz respeito demisso de

um funcionrio?
Sntese
Nesta ltima unidade, voc conheceu algumas das mais usadas
tcnicas de auditorias, como test-deck, ITF, entre outras. Tambm
conheceu os parmetros necessrios para uma rede segura.
Voc viu que a utilizao da tecnologia da informao para a
manipulao e armazenamento de dados introduz novos riscos
para o controle, acrescentando outras variveis s questes
relacionadas segurana e por conseqncia ao trabalho de
auditoria.
Muitas vezes, redes corporativas bem estruturadas acabam
esbarrando em falhas internas, de usurios no preparados
para utilizar os sistemas ali instalados. Um bom comeo de
estruturao de uma poltica de segurana a conscientizao
dos usurios por parte do pessoal responsvel pela segurana
de dados. Educar a melhor poltica que pode ser aplicada
organizao, principalmente se apoiada pela classe executiva da
empresa.
A segurana no um projeto e sim um processo, portanto deve
ser revista constantemente. Deve-se ter na equipe pessoas alertas
e informadas de falhas de sistemas operacionais, gerenciadores de
bancos de dados, dispositivos de redes locais e de longa distncia
(LAN / WAN) que sejam sempre proativos em possveis
incidentes.
176
22/12/2006 12:18:10
Poltica de segurana a linha de defesa contra qualquer ataque,

um documento importantssimo na organizao e deve ser
conhecido por todos os funcionrios. Utilizando esta mesma
analogia, a auditoria ser o procedimento para que esta linha
de defesa que sempre rme, sem causar danos ao cliente. E
tambm, por este motivo ela deve ser realizada periodicamente.
Saiba mais
Para aprofundar as questes abordadas nesta unidade voc poder
pesquisar os seguintes livros:
MARCIAL, Elaine Coutinho. GRUMBACH, Raul

Jos dos Santos. Cenrios Prospectivos: como construir
um futuro melhor. Rio de Janeiro: Editora FGV, 2002.
MARCY, Jos de Campos Verde. Foco na Gesto da

Segurana Empresarial. Revista Proteger, S.Paulo,
nmero 31, pg. 41 at 43, 2000.
PINKERTON CONSULTING and

INVESTIGATIONS. Top Security Threats and
Management Issues Facing Corporate America 2002
Survey of Fortune 1000 Companies. Pinkerton Service
Corporation, 2002.
Unidade 5
177
22/12/2006 12:18:10
22/12/2006 12:18:11
Para concluir o estudo

Parabns! Voc acaba de concluir os estudos da disciplina
de auditoria em sistemas informatizados.
O conhecimento adquirido por voc de suma
importncia para sua carreira prossional, pois os
ltimos anos provocaram uma grande mudana no
papel do auditor. De mero scalizador de processos, ele
tornou-se um prossional com participao estratgica
no desenvolvimento da competitividade da empresa.
Hoje o papel do auditor vai muito alm de simplesmente
identicar problemas. Ele tem que conhecer a empresa e
atuar, no sentido de corrigir as falhas existentes dentro
do processo de gesto da informao. Com isso, ele ajuda
no desenvolvimento da organizao e contribui para o
aperfeioamento de sua competitividade.
O Conhecimento de auditoria em sistema de informao
garante a qualidade dos servios prestados pelo DTI,
ajuda no aprimoramento dos controles internos, permite
a deteco de fraudes, cada vez mais comuns no
ambiente corporativo e aprimora o desenvolvimento das
pessoas. Enm, um servio que contribui muito para o
desenvolvimento da empresa.
Por m, esperamos que o perodo dedicado a estudar esta
disciplina tenha despertado o interesse em prosseguir
na busca de novos conhecimentos sobre a auditoria em
sistemas de informao. Voc ver que novos horizontes
se abriro em seu futuro acadmico e prossional.
Bom estudo e um grande abrao.
Davi e Ablio
22/12/2006 12:18:11
22/12/2006 12:18:11
Referncias
BOSWORTH, Seymor. E KABAY, M. E. Computer Security
Handbook. Wiley, 2002
BREHMER, Larcio. Poltica de Segurana da Informao
no CIASC. 2003. Dissertao (Ps-graduao em Cincia da
Computao), Universidade do Vale do Itaja, So Jos.
CARISSIMI, Leonardo. Segurana da Informao agrega
valor? Modulo E-Security Magazine. Agosto 2001.
CARUSO, Carlos A. A. e STEFFEN, Flavio Deny. Segurana de
Informtica e de Informaes. SENAC. 1999.
CRONIN, Mary. Global Advantage on the Internet. New
York. Nostrand Reynholdsm, 1996.
CASANAS, Alex D. G. e MACHADO, Csar de S. O impacto da
implementao da Norma NBR ISO/IEC 17799 Cdigo
de prtica para a gesto da Segurana da Informao nas
Empresas. UFSC. 2000.
CETEC. Comit Estadual de Tecnologia da Informao.
Disponvel em www.cetec.sc.gov.br.
CSI/FBI 2005. Computer Crime and Security Survey.
Disponvel em http://www.gocsi.com .
DIAS, Claudia. Segurana e Auditoria da Tecnologia da
Informao. Axel Books. 2000.
FERREIRA, Fernando N. F. Segurana da informao
em ambientes informatizados. Rio de Janeiro: Cincia
Moderna, 2003.
JACOMINO. D. Voc um profissional tico? Voc S.A., So
Paulo, v.3, n.25, p.28-37, jul. 2000.
MARCIAL, Elaine Coutinho e GRUMBACH, Raul Jos dos
Santos. Cenrios Prospectivos: Como Construir um Futuro
Melhor. Rio de Janeiro: Editora FGV, 2002.
22/12/2006 12:18:11
MARCY, Jos de Campos Verde. Foco na Gesto da Segurana

Empresarial. Revista Proteger, S.Paulo, nmero 31, pg. 41 43, 2000.
MARTINELLI. Noes de Auditoria de Sistemas. Unicamp. 2002.
MARINHO, Fernando. Como proteger e manter seus negcios. 1.
ed. Rio de Janeiro: Campus, 2003.
MDULO SECURITY SOLUTIONS. 9 Pesquisa Nacional sobre
Segurana da Informao. Disponvel em http://www.modulo.com.
br.
NAVARRO, P. L. tica na informtica. [on line] Disponvel em http://
www.pr.gov.br/celepar/celepar/batebyte/edicoes/1996/bb60/etica.
htm.
NBR ISO/IEC 17799. Tecnologia da Informao. Cdigo de Prtica
para a gesto de segurana de informao. ABNT. 2001.
NEUMANN, Seev. Strategic Information Systems: Competition
through Information Technologies. New York: Macmillan College
Publishing Co., 1994.
O`BRIEN, James A. Sistemas de Informao e as Decises
Gerenciais na era da Internet. Saraiva, 2002.
PINKERTON CONSULTING and INVESTIGATIONS. Top Security Threats
and Management Issues Facing Corporate America 2002 Survey of
Fortune 1000 Companies, Pinkerton Service Corporation, 2002.
PURPURA, Philiph. Security and Loss Prevention : An Introduction.
Boston: Butterworth Heinemann, 3 edio, 1998.
RFC-2828. Request for Coment: Internet Security Glossary. Disponvel
em http://www.ietf.org/rfc/rfc2828.txt.
ROPER, Carl A. Risk Management for Security Professionals. Boston:
Butterworth Heinemann, 1999.
ROSENTAL, M. Pequeno dicionrio filosfico. So Paulo: Editora
Poltica do Estado,1959. 602p.
SALDANHA, Fernando. Introduo a planos de continuidade e
contingncia operacional. 1. ed. Rio de Janeiro: Papel Virtual, 2000.
SENNEWALD, Charles A. Effective Security Management Boston:
182
22/12/2006 12:18:11
Butterworth Heinemann, 3 edio, 1998.

SEGURANA. Segurana Mxima: O Guia Completo de um Hacker
para proteger o seu site na Internet e sua rede. Rio de janeiro. Campus.
2000.
SPYMAN. Manual Completo do Hacker. Book Express. 2000.
SROUR, R. H. Poder, cultura e tica nas organizaes. Rio de Janeiro:
Campus, 1998. 340p.
TOP 10: Os vrus que mais atacaram. Security Magazine. So Paulo.
n. 25, Julho de 2004. Disponvel em http://www.securitymagazine.
com.br.
183
22/12/2006 12:18:11
22/12/2006 12:18:11
Sobre os professores conteudistas

Abilio Bueno de Oliveira Neto bacharel em Cincia
da Computao, formado pela Universidade do Sul de
Santa Catarina UNISUL. Atualmente mestrando
em Engenharia do Conhecimento na Universidade
Federal de Santa Catarina UFSC. engenheiro de
sistemas operacionais certicado pela Microsoft e pela
IBM. tambm certicado LPI e Citrix. Possui 12 anos
de experincia na rea tecnologia, 8 deles dedicados
rea de segurana de informao Atualmente, trabalha
como Arquiteto de Solues e Auditor de Sistemas de
Informao em uma IBM Business Premier Partner
chamada POWERSolutions, em Florianpolis.
Davi Solonca bacharel em Administrao de Empresas

pela Universidade Federal de Santa Catarina em 1987.
Defendeu sua dissertao de Mestrado em 1994, com
o ttulo Valores e crenas dos dirigentes patrimoniais
e prossionais que inuenciam a prossionalizao
de empresas familiares. Natural de So Paulo SP,
radicado em Santa Catarina desde 1978. Concursado em
1984 no Tribunal de Contas de Santa Catarina. Exerceu
Cheas do Controle Externo no Tribunal de Contas.
Fez parte de vrias Comisses: Anlise das Prestaes de
Contas do Governo do Estado por mais de 10 anos (1992
a 2004); Comisso que analisou as Letras Financeiras do
Tesouro do Estado de SC; Auditoria da Dvida Pblica
de 1992 a 2002; Realizou diversas auditorias externas nos
rgos pblicos como Secretaria de Estado da Fazenda,
Procuradoria Geral do Estado, Secretaria de Estado
da Administrao referente ao controle e cobrana da
Dvida Ativa do Estado; Auditorias de Gesto; Auditoria
no oramento pblico estadual, nanas pblicas, LRF.
Auditoria dos Convnios efetuados pelo Estado com
Prefeituras Municipais; Analisou a antecipao de
22/12/2006 12:18:11
recursos atravs das Subvenes e Auxlios a Entidades Civis e

rgos Estaduais. Professor da Unisul desde 1998, do curso de
Cincia da Computao e de Sistemas de Informao, ministra as
disciplinas de Auditoria de Sistemas e Administrao e Sistemas,
respectivamente; na Ps-graduao curso de Especializao
de Auditoria Governamental e Responsabilidade Fiscal e nas
Faculdades Energia: Finanas Pblicas e Oramento Pblico e
matrias ans de Administrao.
22/12/2006 12:18:12
Respostas e comentrios das

atividades de auto-avaliao
A seguir, acompanhe as respostas sobre as atividades de autoavaliao apresentadas ao longo de cada uma das unidades
desta disciplina. Para o melhor aproveitamento do seu
estudo, confira suas respostas somente depois de realizar as
atividades propostas.
Unidade 1
Respostas:
1) Basicamente, problemas com a integridade, o carter
confidencial e a disponibilidade das informaes.
2) Palavras-chaves para esta resposta so: proteo de
investimento de TI, aumento dos nveis de segurana de
informaes, aderncia a alguma norma de segurana,
exigncia de parceiros de negcio, garantir a continuidade
dos negcios.
3) Palavras-chaves que contm a resposta correta so:
facilidade de acesso a informaes confidenciais dentro
de uma corporao, a fraude simples pelo motivo de
dinheiro, a insubordinao perante superiores ditos como
incompetentes, o prazer de ter burlado a segurana de algum
alvo desprotegido, insatisfao com o emprego.
Unidade 2
Respostas:
1) A tendncia de sempre se aprimorar, pois com o advento da
informtica, coletar dados, mesmo no caso de uma auditoria
de finanas muito mais complexo do que antigamente,
forando o auditor a sempre se atualizar no que diz respeito a
softwares financeiros, sistemas informatizados de auditorias,
entre outras tecnologias.
2) Antes da assinatura do contrato, uma proposta comercial deve
ser apresentada empresa contratante de forma que se saiba
do escopo de trabalho, ou seja, todas as responsabilidades da
22/12/2006 12:18:12
empresa contratada e da contratante, para que, no final dos servios,

possa se fazer um processo de Quality Assurance da auditoria em si, ou
seja, uma medio do que foi proposto e do que foi realizado.
A empresa que contratar os servios de auditoria de terceiros deve
ter o cuidado de escolher a empresa contratada seguindo algumas
caractersticas como: tempo que a empresa est no mercado, se a
empresa possui um plano de atualizao permanente dos auditores,
se a empresa no possui muitas queixas ou processos de clientes,
verificar a carteira de clientes da empresa, entre outras caractersticas.
Na hora da assinatura do contrato, lembrar de ler a parte que fala sobre
o sigilo de contrato, que imprescindvel para um contrato de servios
de auditoria, pois se a empresa contratada no for de boa ndole, o
auditor pode vazar informaes para concorrentes, especialmente se
ele presta servios para ambas as empresas. Verificar se a norma ou
padro adotado pela empresa uma norma de grande aceitao no
mercado. Verificar se a empresa est atualizada no que concerne s
ltimas mudanas do mundo contbil, financeiro ou tecnolgico. OBS:
So 4 itens que devem ser cuidados no que se refere ao cliente, porm
se voc se lembrar de pelo menos trs, j est valendo!
3) Um dos principais motivos de se dar importncia organizao desse
projeto, que as empresas de auditorias possuem recursos humanos
escassos o que faz com que seu tempo seja gerenciado com muito
critrio. Sua presena para execuo de alguma tarefa s definida nos
caso em que sua atuao seja realmente necessria
Unidade 3
Respostas:
1) A funo dessa anlise obter uma medida da segurana existente
em determinado ambiente informatizado. A primeira considerao
relacionada com segurana de ativos de informaes, como qualquer
outra modalidade de segurana, a relao custo-benefcio. No
se gasta dinheiro em sistemas de segurana ou servios que no
tenham retorno ou que ao menos no garantam algum retorno de
investimento, isto , no se gasta mais dinheiro em proteo do que o
valor do ativo a ser protegido.
2) Basicamente, uma poltica de segurana tem como objetivos
preservar os ativos de informao da corporao, garantindo o
carter confidencial, integridade e disponibilidade da informao. O
carter confidencial garante que a informao ser acessada somente
pelo grupo de pessoas autorizadas. Integridade para garantir que a
informao estar intacta, sem distores ou possveis corrupes de
dados. Disponibilidade para garantir que a informao estar sempre
disponvel ao usurio.
188
22/12/2006 12:18:12
3) Os controles so formas de proteger a informao contra desastres,

sinistros ou at mesmo ataques externos ou internos. Eles podem ser
lgicos, fsicos ou ambientais. Um bom exemplo de um controle de
acesso lgico, so os programas de antivrus. Quanto aos controles
de acessos fsicos, temos as salas-cofre, autenticao biomtrica para
acesso ao datacenter, entre outros. Por sua vez, como exemplo de
controles ambientais, temos os equipamentos de condicionador de ar,
sistemas de preveno a incndios, amortecedores contra terremotos,
entre outros.
Unidade 4
Respostas:
1) A Anlise de Impacto no Negcio permite quantificar o valor das perdas
que podem ser causadas por incidentes de segurana da informao,
considerando os aspectos de carter confidencial, integridade e
disponibilidade. Os resultados da Anlise de Impacto no Negcio
do suporte ao planejamento estratgico de segurana, permitindo
priorizar os investimentos nos pontos mais crticos, ou seja, aqueles que
podem gerar as maiores perdas para a empresa.
2) Elas so bem distintas, basicamente a estratgia Hot Site muito
mais eficiente e eficaz, porm muito mais cara. O que vai diferenciar
a escolha basicamente a anlise de impacto e a anlise de riscos que
vo apontar a medida de segurana do ambiente e onde se encontra o
calo da estrutura.
3) Em um ambiente informatizado, as formas de ameaas mudam todos
os dias, cada vez mais aprimoradas. Da mesma forma, o plano de
continuidade de negcios deve estar sempre atualizado para ser
til. Outro fato que a manuteno do plano pode acusar falha de
processo, que podem ser corrigidas para aumentar a eficcia do plano.
Unidade 5
Respostas:
1) ITF Integrated Test Facility
2) Essa categoria de controle tem como parmetro limitar e supervisionar
o acesso aos programas e arquivos crticos do ambiente computacional
do cliente, com o objetivo de proteger as aplicaes presentes.
3) Procedimentos como a devoluo de crachs, chaves, excluso do login
do usurio, definio de perodo de sigilo que um ex-funcionrio deve
cumprir, entre outros.
189
22/12/2006 12:18:12
22/12/2006 12:18:12

Auditoria de Sistemas Informatizados PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Auditoria de Sistemas Informatizados PDF

Enviado por

Direitos autorais:

Formatos disponíveis

Universidade do Sul de Santa Catarina

O EVA (Espao UnisulVirtual de Aprendizagem);

Atividades de avaliao (complementares, a distncia e

Os materiais didticos foram construdos especialmente para

Ablio Bueno Neto

Copyright UnisulVirtual 2007

1. Sistemas de segurana. 2. Computadores Medidas de segurana. I. Solonca,

Ctia Melissa S.Rodrigues (Auxiliar)

Silvana Denise Guim ares

Introduo auditoria de sistemas informatizados . . . . . 15

Palavras dos professores

Estudar os conceitos que envolvem a auditoria.

Conhecer a organizao de um trabalho de

Conhecer os diversos componentes de uma poltica de

Identicar a necessidade e as caractersticas de um plano

Identicar os passos necessrios de um trabalho de

Habitue-se a usar o quadro para agendar e programar as

contextualizar a evoluo dos sistemas computacionais

entender o conceito de auditoria e, mais

conhecer os desafios ticos e sociais da tecnologia da

Seo 1 Evoluo dos sistemas computacionais e de

Seo 2 Quais so os conceitos bsicos da auditoria?

Seo 4 Por que auditar?

Universidade do Sul de Santa Catarina

Para incio de estudo

Seo 1 Evoluo dos sistemas computacionais e dos