Você está na página 1de 16

SEGURANA E AUDITORIA DE SISTEMAS

Auditoria:
- exame comprobatrio relativo s atividades contbeis e financeiras de uma empresa ou
instituio; auditagem.
Auditor:
- que ou aquele que ouve; ouvinte;
- tcnico ou pessoa com con!ecimento suficiente para emitir parecer sobre assunto de sua
especialidade;
- perito de contabilidade a quem se d a incumb"ncia de examinar minuciosamente e dar
parecer sobre as opera#es contbeis de uma empresa ou instituio$ atestando a correo ou
incorreo das mesmas e a veracidade do balano geral;
- magistrado$ %ui& togado com %urisdio privativa ou cumulativa na 'ustia (ilitar
Conceitos de bsicos
A auditoria uma atividade que engloba o exame das opera#es$ processos$ sistemas e
responsabilidades gerenciais de uma determinada entidade$ com intuito de verificar sua
conformidade com certos ob%etivos e pol)ticas institucionais$ oramentos$ regras$ normas ou
padr#es.
Campo, mbito e rea!
* campo da auditoria comp#e-se de aspectos como: ob%eto a ser fiscali&ado$ per)odo e nature&a da
auditoria.
*b%eto: entidade a ser auditada +completa ou parcialmente$ rgo ou funo,.
-er)odo: espao de tempo sobre o qual a auditoria ir atuar.
.ature&a: o tipo de auditoria executada numa entidade.
* mbito da auditoria constitui-se da amplitude e exausto dos processos de auditoria$ incluindo
uma limitao racional dos trabal!os a serem executados$ n)vel de aprofundamento e grau de
abrang"ncia.
A rea de verificao o con%unto formado p campo e /mbito de auditoria.
Contro"es, ob#eti$os de contro"e, procedimentos, ac%ados de auditoria, pap&is de traba"%o e
recomenda'(es de auditoria!
* contro"e a monitorao$ fiscali&ao ou exame minucioso$ que obedece a determinadas
expectativas$ normas$ conven#es sobre as atividades de pessoas$ rgos$ ou sobre produtos a fim
de no !aver se desviarem das normas preestabelecidas.
-odemos classificar o controle em tr"s tipos:
0ontrole preventivo: preveno de erros$ omiss#es ou fraudes +previne$ evita$ antes da
ocorr"ncia,.
0ontrole detectivo: deteco de erros$ omiss#es ou fraudes.
0ontrole corretivo: usado para redu&ir impacto ou corrigir erros$ uma ve& detectados
+planos de conting"ncia,.
*s ob#eti$os de contro"e so metas de controle a serem alcanadas$ ou efeitos negativos a serem
evitados$ para atingirmos esses ob%etivos$ so tradu&idos em procedimentos de auditoria.
*s procedimentos de auditoria formam um con%unto de a#es +verifica#es e averigua#es, que
permitem obter e analisar as informa#es necessrias formulao do parecer do auditor.
1
2 recomendado$ que$ antes de iniciar a auditoria$ se%a definida a lista de procedimento$ ou se%a$ a
relao dos pontos a serem verificados. 3ntidades fiscali&adoras +45$ 607, costumam ter manuais
de auditoria contendo ob%etivos de controle e procedimentos de auditoria preestabelecidos para cada
rea de verificao ou nature&a de auditoria.
*s ac%ados de auditoria so fatos significativos observados pelo auditor durante a execuo da
auditoria. 3sses fatos$ no necessariamente$ erros$ fal!as ou fraudes$ podem ser pontos fortes da
instituio$ rgo$ funo ou produto devem ser relevantes e baseados em dados e evid"ncias
incontestveis.
*s pap&is de traba"%o so registros que evidenciam atos e fatos observados pelo auditor
+documentos$ tabelas$ planil!as$ listas de verifica#es$ arquivos informati&ados$ etc.,. 3sses papis
do suporte ao relatrio de auditoria$ neles esto o registro da metodologia adotada$ procedimentos$
verifica#es$ fontes de informa#es$ testes e outras informa#es relacionadas ao trabal!o executado
pelo auditor.
As recomenda'(es de auditoria so feitas nos relatrios$ so medidas corretivas poss)veis$ a fim
de corrigir defici"ncias detectadas durante a auditoria. 8ependendo da compet"ncia ou posio
!ierrquica do rgo de controle em relao entidade auditada$ as recomenda#es podem se
transformar em determina#es a serem cumpridas.
Nature)a da auditoria
.o existe padro classificatrio +tipologia, dos diversos tipos de auditoria existentes$ a seguir
apresentamos alguns tipos mais comuns$ classificados de acordo com os seguintes aspectos:
9rgo fiscali&ador
o Auditoria interna
4eali&ada por rgo interno da entidade$ tem como ob%etivo redu&ir as
probabilidades de fraudes$ erros$ prticas ineficientes ou inefica&es. 8eve
ser independente e prestar contas diretamente direo da instituio.
o Auditoria externa
4eali&ada por instituio externa e independente da entidade fiscali&ada$
com ob%etivo de emitir parecer sobre gesto de recursos$ situao
financeira$ a legalidade de suas opera#es.
o Auditoria articulada
6rabal!o con%unto de auditorias internas e externas$ caracteri&a-se pelo uso
de recursos e comunica#es rec)procas dos resultados
5orma de abordagem do tema
o Auditoria !ori&ontal
Aborda tema espec)fico$ reali&ada em vrias entidades ou servios
paralelamente.
o Auditoria orientada
5ocada em uma atividade espec)fica qualquer ou em atividade com fortes
ind)cios de erros ou fraudes.
6ipo ou rea envolvida
o Auditoria de programas do governo
Acompan!amento$ exame e avaliao da execuo de programas e pro%etos
governamentais espec)ficos +efetividade das medidas governamentais,.
o Auditoria do plane%amento estratgico
:erifica se os principais ob%etivos da entidade so atingidos e se as
pol)ticas e estratgias de aquisio$ utili&ao e alienao de recursos so
respeitadas.
;
o Auditoria administrativa
3ngloba o plano da organi&ao$ seus procedimentos e documentos de
suporte tomada de deciso.
o Auditoria contbil
Auditoria tem ob%etivo de garantir a correo das contas da instituio$
conforme as devidas autori&a#es.
o Auditoria financeira
*u auditoria das contas$ anlise das contas$ da situao financeira$ da
legalidade e regularidade das opera#es e aspectos contbeis financeiros$
oramentrios e patrimoniais$ verificando se todas as opera#es foram
corretamente autori&adas$ liquidadas$ ordenadas$ pagas e registradas.
o Auditoria de legalidade
Analise da legalidade ou regularidade das atividades$ fun#es$ opera#es
ou gesto de recursos$ verificando se esto em conformidade com a
legislao em vigor.
o Auditoria operacional
Analisa todos os n)veis de gesto$ nas fases de programao$ execuo e
superviso$ sob o ponto de vista da economia$ efici"ncia e eficcia.
6ambm con!ecida como auditoria de efici"ncia$ de gesto$ de resultados
ou de prticas de gesto. <o auditados todos os sistemas e mtodos
utili&ados pelo gestor pata a tomada de deciso$ analisa a execuo das
decis#es a aprecia at que ponto os resultados pretendidos foram atingidos.
o Auditoria integrada
=nclui auditoria financeira e a operacional.
o Auditoria da tecnologia da informao
Analisa os sistemas de informao$ o ambiente computacional$ a segurana
de informa#es$ e o controle interno da entidade$ identificando defici"ncias
e pontos fortes. 2 essencialmente operacional$ con!ecida como auditoria
informtica$ computacional ou de sistemas.
AUDITORIA DA TECNO*OGIA DA IN+ORMA,O
A Auditoria da 6= uma auditoria operacional$ analisa a gesto de recursos$ com o foco nos
aspectos de efici"ncia$ eficcia$ economia e efetividade. A abrang"ncia desse tipo de auditoria pode
ser o ambiente de informtica como um todo ou a organi&ao do departamento de informtica:
Ambiente de informtica:
o <egurana dos outros controles;
o <egurana f)sica;
o <egurana lgica;
o -lane%amento de conting"ncias;
o *perao do centro de processamento de dados.
*rgani&ao do departamento de informtica:
o Aspectos administrativos da organi&ao;
o -ol)ticas$ padr#es$ procedimentos$ responsabilidades organi&acionais$
ger"ncia pessoal e plane%amento de capacidade;
o >anco de dados;
o 4edes de comunicao e computadores;
o 0ontrole sobre aplicativos:
8esenvolvimento$
3ntradas$ processamento e sa)das.
3mbora no exista tipologia das sub-reas da Auditoria da 6=$ apresentamos:
Auditoria da tecno"o-ia da in.orma'/o
?
2 abrangente$ engloba todos os controles que podem influenciar a segurana de informao
e o correto funcionamento dos sistemas de toda a organi&ao:
0ontroles organi&acionais;
8e mudana;
8e operao de sistemas;
<obre >anco de 8ados;
<obre microcomputadores;
<obre ambiente cliente-servidor.
Auditoria da se-uran'a de in.orma'(es
8etermina a postura da organi&ao com relao segurana. Avalia a pol)tica de
segurana e controles relacionados com aspectos de segurana institucional mais globais$ fa& parte
da auditoria da 6=. <eu escopo envolve:
Avaliao da pol)tica de segurana;
0ontroles de acesso lgico;
0ontroles de acesso f)sicos;
0ontroles ambientais;
-lanos de conting"ncia e continuidade de servios.
Auditoria de ap"icati$os
<egurana e controle de aplicativos espec)ficos$ incluindo aspectos intr)nsecos rea a que
o aplicativo atende:
0ontroles sobre o desenvolvimento de sistemas aplicativos;
0ontroles de entradas$ processamento e sa)da de dados;
0ontrole sobre conte@do e funcionamento do aplicativo$ com relao rea por ele
atendida.
E0UI1E DE AUDITORIA
Aerente da equipe:
Babilidade para recrutar ou formar profissionais com n)vel adequado de capacitao tcnica
em auditoria e 6=; determinar forma de atingir a capacitao e os mtodos de treinamento mais
efica&es.
Con%ecimento necessrios
0on!ecimento na rea +se poss)vel experi"ncia anterior,
0pd$ desenvolvimento de sistemas$ pesquisa aplicada$ fornecedor de !ardCare$ softCare ou
servios de consultoria tcnica de informtica.
0on!ecimentos computacionais para plane%ar$ dirigir$ supervisionar e revisar o trabal!o executado.
Avaliao da necessidade de um n)vel de con!ecimento mais especiali&ado e aprofundado pra a
reali&ao da auditoria.
8ependendo do /mbito +abrang"ncia$ profundidade, diferentes n)veis de con!ecimento podem ser
exigidos$ supridos pela equipe bsica +interna, com treinamentos ou contratao de mo-de-obra
especiali&ada.
0on!ecimentos tcnicos:
<istemas operacionais$
<oftCare bsico$
D
>anco de dados$
-rocessamento distribu)do$
<oftCare de controle de acesso$
<egurana de informa#es$
-lano e conting"ncia$ e de recuperao e
(etodologias de desenvolvimento de sistemas.
0on!ecimentos em auditoria:
6cnicas de auditoria$
<oftCare de auditoria e extrao de dados$
*utras capacidades relevantes:
-rinc)pios 2ticos$
>om relacionamento$
0omunicao oral e escrita$
<enso cr)tico$
0on!ecimento espec)fico na rea +finanas$ pessoal$ estoque...,
Composi'/o da e2uipe
*p#es para a formao da equipe:
0onsultoria externa
8esenvolver a capacidade tcnica de 6= nos auditores
8esenvolver tcnicas de auditagem no pessoal de 6=
8ependendo do taman!o da organi&ao$ capacidade dos profissionais$ pra&os$ ob%etivos e relao
custo - beneficio uma das alternativas ser eleita.
Consu"toria e3terna
Analise +custo$ alta capacidade$ independ"ncia$ durao$ investimento pessoal$ extenso do
trabal!o,
0onsultores externos somente para tarefas espec)ficas +con!ecimento especiali&ado,.
-ontos cr)ticos: custos$ contrato e controle sobre atividades.
8efinio de ob%etivos precisos e pontos de controle.
4ecomendvel: bom relacionamento$ transfer"ncia de con!ecimentos.
Ao trmino da auditoria: avaliao dos servios +opini#es dos consultores$ dos membros da
equipe e da gerencia da organi&ao,$ com o ob%etivo de evitar as mesmas fal!as no futuro.

AUDITORIA 4 1*ANE5AMENTO E E6ECU,O
Etapas da atua'/o do auditor de sistemas
1. 0ompreenso do ambiente
;. Anlise do ambiente e determinao das situa#es mais sens)veis
?. 3laborao de uma massa de testes
D. Aplicao da massa de testes
E. Anlise das situa#es
F. 3misso da opinio quanto ao ambiente auditado
G. 8ebate com os profissionais da rea auditada para discusso das alternativas recomendadas
H. Acompan!amento da implantao da soluo proposta
E
I. Auditoria da soluo implantada
1J. .ovas auditorias no ambiente
1"ane#amento de ati$idades
-lano estratgico de longo pra&o
-lano estratgico de mdio pra&o
-lano operacional
1"ano estrat&-ico de "on-o pra)o
-er)odo de ? a E anos$ ob%etivos amplos$ abrange toda a instituio$ aprovado pela alta
ger"ncia.
8efine metas de gerencia de auditoria da 6=:
(odo de atuao$
4ecursos +pessoal$ equipamento$ recursos financeiros,$
.ecessidade de treinamento.
2 aconsel!vel revisar e atuali&ar o plano anualmente.
1"ano estrat&-ico de m&dio pra)o
-rograma das atividades anuais gerados pelo plano de longo pra&o$ aprovado pela
ger"ncia intermediaria.
8efine os ob%etivos macros das auditorias do ano seguinte$ deve ser flex)vel para aceitar
altera#es necessrias.
Metodo"o-ias
3ntrevistas
o 3ntrevistas de apresentao
- Apresentao da equipe$ cronograma das atividades$ ob%etivos$ reas$ per)odo$
metodologias. 3strutura do relatrio +resultado da auditoria,.
o 3ntrevistas de coleta de dados
- 0oleta de dados sobrre os sistemas ou ambiente de informtica. .essa entrevista
podem ser identificados os pontos fortes e fracos de controle$ fal!as e poss)veis
irregularidades. * entrevistado deve saber de antemo como sero usados esses
dados e con!ecer o relatrios a certa da entrevista.
o 3ntrevistas de discusso de defici"ncias encontradas
- Ao trmino das investiga#es so apresentadas as defici"ncias encontradas. Ao
discuti-las podem ser apresentadas %ustificativas para essas defici"ncias$ podendo
ser desconsiderada as fal!as ou relatadas as %ustificativas.
o 3ntrevista de encerramento
- 2 apresentado o resumo dos resultados +pontos fortes$ fal!as mais relevantes$
comentrios$ recomenda#es,.
Ob#eti$os de contro"e e procedimentos de auditoria
*s ob#eti$os de contro"e so metas de controle a serem alcanadas$ ou efeitos negativos a
serem evitados$ para atingirmos esses ob%etivos$ so tradu&idos em procedimentos de auditoria.
*s ob%etivos de controle norteiam a auditoria$ para reali&ar uma avaliao$ necessrio um
modelo normativo$ um con%unto de padr#es$ de como a atividade deveria estar sendo feita.
3ste modelo normativo tradu&ido em ob%etivos de controle a serem avaliados pelo auditor
em cada rea espec)fica.
F
*s ob%etivos de controle podem ter vrios enfoques e podem ser motivados por diversas
ra&#es:
<egurana K dados e sistemas importantes para a organi&ao$ onde a
confidencialidade$ integridade e a disponibilidade so essenciais.
Atendimento a solicita#es externas K verificao de ind)cios de irregularidade
motivados por den@ncia ou solicitao de rgo superior.
(aterialidade K alto valor econLmico-financeiro dos sistemas computacionais.
Altos custos de desenvolvimento K sistemas de alto custos envolvem altos riscos.
Arau de envolvimento dos usurios K o no envolvimento dos usurios no
desenvolvimento de sistemas$ acarreta sistemas que em geral no atendem
satisfatoriamente s suas necessidades.
6erceiri&ao K efeitos da terceiri&ao no ambiente de informtica.
*s procedimentos de auditoria formam um con%unto de a#es +verifica#es e averigua#es,
que permitem obter e analisar as informa#es necessrias formulao do parecer do auditor.
E3ecu'/o
.o transcurso da auditoria$ a equipe deve reunir evid"ncias confiveis$ relevantes e @teis
para a consecuo dos ob%etivos da auditoria. *s resultados da auditoria +ac!ados e conclus#es,
devem ser suportados pela correta interpretao e anlise dessas evid"ncias.
3vid"ncia f)sica K observa#es de atividades desenvolvidas pelos funcionrios e
gerentes$ sistemas em funcionamento$ local equipamentos$ etc.
3vid"ncia documentria K resultado da extrao de dados$ registro de transa#es$
listagens$ etc.
3vid"ncia fornecida pelo auditado - transcri#es de entrevistas$ cpias de
documentos cedidos$ fluxogramas$ pol)ticas internas$ e-mails trocados com a
ger"ncia$ %ustificativas$ relatrios$ etc.
3vid"ncia anal)tica - compara#es$ clculos e interpreta#es de documentos.
.em todas as evid"ncias podem ser investigadas detal!adamente e descritas no relatrio
final$ o auditor deve analisar cada caso segundo a sua import/ncia para a consecuo dos ob%etivos$
tempo e esforo necessrios para esclarecer todos seus pontos nebulosos.
7ma evid"ncia considerada incompat)vel com a auditoria em execuo$ pode servir como
indicativo para outra auditoria.
Re"at7rio
.os relatrios da auditoria$ a equipe$ apresenta seus ac!ados e conclus#es$ bem como os
fatos sobre a entidade auditada$ comprova#es recomenda#es e determina#es. A linguagem
utili&ada nos relatrios deve ser compat)vel com quem ir receb"-los.
Re"at7rios pre"iminares
G
Antes mesmo de iniciar os trabal!os de campo$ na fase do plane%amento da auditoria$ so
coletadas informa#es preliminares sobre a entidade$ seus sistemas$ os recursos necessrios$ a
composio da equipe$ metodologias$ ob%etivos de controle e procedimentos a serem adotados. 7ma
estrutura de relatrio deve ser definida e todas essas informa#es devem ser transcritas para o
relatrio.
8urante os trabal!os de campo$ importante documentar tudo que foi feito$ observado e
dito pelos entrevistados. *s textos referentes a cada entrevista podem ser utili&ados no relatrio. A
equipe deve confirmar os fatos relatados e apresentar ao entrevistado$ antes da reviso final do
relatrio os assuntos tratados durante a entrevista$ evitando mal-entendidos ou desvios de
interpretao.
Ao trmino das investiga#es de cada rea$ um relatrio parcial deve ser apresentado
contendo as defici"ncias encontradas +entrevista para discusso de defici"ncias encontradas,. As
%ustificativas apresentadas podem ser anexadas ao parecer.
Re"at7rio .ina"
* relatrio final deve se revisado por toda a equipe de auditores$ a fim de evitar
inconsist"ncias$ erros ou lacunas em relao aos padr#es e prticas da organi&ao auditada. 7ma
cr)tica externa$ tambm e conveniente nesse ponto.
Estrutura
8ados da entidade auditada - nome$ endereo$ nature&a %ur)dica$ relao de
responsveis$ etc.
<)ntese - um breve resumo do conte@do. 2 @til para a alta direo obter uma viso
geral e rpida dos principais pontos da auditoria.
8ados da auditoria - ob%etivos$ per)odo de fiscali&ao$ composio da equipe$
metodologia adotada$ nature&a da auditoria$ e ob%eto +controles gerais$
desenvolvimento de sistemas$ aplicativo espec)fico$ etc.,.
=ntroduo - !istrico da entidade$ conclus#es de auditorias anteriores$ estrutura
!ierrquica do departamento de informtica$ sua relao com outros departamentos$
descrio do ambiente computacional$ evoluo tecnolgica$ principais sistemas e
pro%etos.
5al!as detectadas - apresenta em detal!es$ as fal!as e irregularidades detectadas
durante a auditoria. Alm das descri#es$ so apresentados comentrios iniciais$
%ustificativa do auditado e o parecer final da equipe para cada fal!a +prefer"ncias e
recomenda#es,.
0oncluso - s)ntese dos pontos principais do relatrio e as recomenda#es ou
determina#es finais da equipe para a correo das fal!as ou irregularidades
encontradas.
-arecer da ger"ncia superior - as ger"ncias superiores podem dar seu parecer a
respeito dos ac!ados e recomenda#es da equipe de auditores$ concordando
integralmente ou em partes com os pontos de vista da auditoria$ ou ainda
discordando inteiramente.
Or-ani)a'/o do traba"%o da auditoria
H
1"ane#amento
1. -asso - con!ecer o ambiente: levantamento de dados do ambiente$ fluxos de
processamento$ recursos !umanos$ materiais$ arquivos$ relatrios$ telas$ etc.
;. -asso - determinar pontos de controle +processos cr)ticos,
?. -asso - definir ob%etivos da auditoria: tcnicas$ pra&os$ custos$ n)vel de tecnologia a ser
utili&ada.
D. -asso - estabelecer critrios para a anlise de risco.
E. -asso - anlise de risco.
F. -asso - !ierarqui&ao dos pontos de controle.
De.ini'/o da e2uipe
1. -asso - escol!er equipe: perfil e !istrico profissional$ experi"ncia na atividade$
con!ecimentos espec)ficos$ formao acad"mica$ l)nguas estrangeiras$ disponibilidade
para viagem$ etc.
;. -asso - programar a equipe: gerar programas de trabal!o$ selecionar procedimentos
apropriados$ incluir novos procedimentos$ classificar trabal!o por visita$ orar tempo e
registrar o reali&ado.
?. -asso - executar trabal!o - dividir as tarefas de acordo com a formao$ experi"ncia e
treinamento dos auditores$ efetuar superviso para garantir a qualidade do trabal!o e
certificar que as tarefas foram feitas corretamente.
D. -asso - revisar papis: verificar pend"ncias e rever o papel de cada auditor para suprir
as fal!as encontradas.
E. -asso - avaliao da equipe: avaliar o desempen!o$ elogiando os pontos fortes e
auxiliando no recon!ecimento e superao de fraque&as do auditor$ ter um sistema de
avaliao de desempen!o automati&ado.
Documenta'/o do traba"%o
1. 4elatrio de fraque&as de controle interno
*b%etivo do pro%eto de auditoria$ pontos de controle auditados$ concluso alcanada
a cada ponto de controle$ alternativas de soluo propostas.
;. 0ertificado de controle interno
=ndica se o ambiente est em boa$ ra&ovel ou m condio em relao aos
par/metros de controle interno. Apresenta a opinio da auditoria em termos globais
e sintticos.
?. 4elatrio de reduo de custos
3xplicita as economias financeiras a serem feitas coma a aplicao das
recomenda#es efetuadas. >ase para a reali&ao das anlises de retorno de
investimento e do custoMbenef)cio da auditoria de sistemas.
D. (anual da auditoria do ambiente auditado
Arma&ena o plane%amento da auditoria$ os pontos de controle testados e serve como
refer"ncia para futuras auditorias. 0omp#e-se de toda a documentao anterior %
citada.
E. -astas contendo a documentao da auditoria de sistemas
0ontem toda a documentao do ambiente e dos trabal!os reali&ados como: relao
de programas$ relao de arquivos do sistema$ relao de relatrios e telas$ fluxos$
atas de reuni#es$ etc.
Apresenta'/o dos resu"tados
*b%etividade na transmisso dos resultados
3sclarecimento das discuss#es reali&adas entre a auditoria e os auditados
0lare&a nas recomenda#es das alternativas de soluo
0oer"ncia da atuao da auditoria
I
Apresentao da documentao gerada
3xplicao do conte@do de cada documento
8! SEGURANA DA IN+ORMA,O
8!9 INTRODU,O
=mport/ncia da informao na vida atual
-atrimLnio das organi&a#es
8ados informa#es con!ecimento
?N. *nda de 6offler
Agr)cola$ industrial e informao.
:ulnerabilidade da informao devido aos modernos meios de disponibili&ao da mesma.
Antigamente +meio papel, cofre garantia as informa#es
Atualmente +computadores e redes,
8!: 1rinc;pios bsicos de se-uran'a
0onfidencialidade
=ntegridade
8isponibilidade
Con.idencia"idade
Apenas as pessoas autori&adas podem ter acesso informao. 0aso uma pessoa acesse
informa#es no-autori&adas +intencionalmente ou no, considerado um incidente de segurana.
0asos t)picos de quebra de confidencialidade so as invas#es de sistemas de computadores.
0asos corriqueiros e menos notados de quebra de confidencialidade ocorrem quando pessoas
de determinada organi&ao conversam sobre assuntos de trabal!o$ muitas ve&es confidenciais$ em
locais p@blicos$ disponibili&ando a informao para aqueles sua volta.
7ma tcnica muito utili&ada para obter informa#es confidenciais a engen!aria social$ onde
um indiv)duo utili&a-se de mtodos de sugesto e convencimento para indu&ir uma pessoa a quebrar
um protocolo ou procedimento de segurana.
Inte-ridade
8i& respeito das caracter)sticas da informao: completa$ sem altera#es$ confivel.
Ouando intencionalmente ou no uma informao alterada$ por falsificao$ alterao de
registro de banco de dados$ configura-se num incidente de segurana da informao por quebra de
integridade.
(igrao de dados em base de dados$ arquivo sem c!ave$ salas no trancadas$ l)quido sobre
papis ou meios magnticos podem alterar informa#es.
Disponibi"idade
* princ)pio da disponibilidade respeitado quando a informao est acess)vel$ por pessoas
autori&adas$ sempre que necessrio.
-erda de documentos$ computadores Pfora do arQ$ servidores inoperantes em funo de
ataques e invas#es$ isso um incidente de segurana por quebra de disponibilidade.
=nc"ndio$ enc!entes$ tempestades$ terremotos$ ataques f)sicos$ bombas$ vandalismo tambm
so motivos para tornar informa#es indispon)veis.
1J
8!8 ATI<O DE IN+ORMA,O
1. A in.orma'/o =conceitua"mente>? mensagens$ textos$ dados de um sistema$ informa#es de
funcionrios$ programas de rdio e 6:$ etc.
;. As tecno"o-ias 2ue suportam a in.orma'/o? papel$ correio eletrLnico$ editor de texto$
sistemas de informao$ rdio$ 6:$ telefone$ arquivos de ao$ computadores$ etc.
?. As pessoas e processos 2ue uti"i)am as in.orma'(es? vendedores$ gerentes$ fornecedores$
clientes$ processo de compra$ processo de venda$ etc.
D. Os ambientes? 0-8s$ salas de arquivos$ depsitos de m)dias e equipamentos$ etc.
A informao abstrata$ depende de meios para suport-la$ tal quais os processos que a
manipulam.
-rocesso de comunicao
1. =nformao
;. 3missor: pessoas$ processos$ equipamentos;
?. (eio de transmisso: cabo$ onda de rdio$ etc.;
D. 4eceptor: pessoas$ processos$ equipamentos.
8!@! <u"nerabi"idade dos ati$os da in.orma'/o
1. 6ecnologias:
a, computadores sem proteo contra v)rus;
b, arquivos de ao sem controle de acesso;
c, equipamentos em locais p@blicos +impressoras$ fax,
d, cabos de redes expostos;
e, celulares sem sen!a;
f, redes locais com sen!a padro ou p@blica;
g, sistemas sem controle de acesso lgico;
!, falta de controle a reas cr)ticas;
i, problemas de manuteno em equipamentos;
%, problemas com energia eltrica.
;. -essoas e processos:
a, aus"ncia de pol)tica institucional de segurana na organi&ao;
b, inexist"ncia de especialistas em segurana na organi&ao;
c, inexist"ncia de regulamentao para acesso s informa#es da organi&ao;
d, procedimentos ineficientes pata anlise e conferencia das informa#es;
e, colaboradores no-treinados em segurana;
f, aus"ncia de procedimentos disciplinares para o tratamento das viola#es da pol)tica de
segurana;
g, aus"ncia de planos de conting"ncia;
?. Ambiente:
a, aus"ncia de mecanismos contra inc"ndio;
b, inexist"ncia de mecanismos de preveno enc!ente;
c, inexist"ncia de proteo contra poluentes diversos que possam pre%udicar m)dias e
equipamentos;
8!A! Amea'a
A ameaa um agente externo ao ativo de informao$ que$ aproveitando-se das
vulnerabilidades desse ativo$ poder quebrar a confidencialidade$ integridade ou disponibilidade da
informao suportada ou utili&ada pelo agente.
11
5raudes
3spi#es
<abotadores
:/ndalos
<obrecargas no sistema eltrico
6empestades
:)rus$ etc.
-robabilidade e impacto de um incidente
A probabilidade a c!ance de uma fal!a de segurana ocorrer levando-se em conta o grau de
vulnerabilidade presente nos ativos que sustentam o negcio e o grau das ameaas que possam
explorar essas vulnerabilidades.
* impacto de um incidente so as potenciais conseqR"ncias que este incidente possa causar ao
negcio da organi&ao.
* impacto de um mesmo incidente pode repercutir de maneira diferente em organi&a#es
distintas.
7m site fora do arS <7>(A4=.* T 754A<
Ouanto maior for a relev/ncia do ativo maior ser o impacto de um incidente de segurana.
0ontrole
-ara diminuirmos as ameaas ou a vulnerabilidade
1o";tica de Se-uran'a da In.orma'/o
A -ol)tica de <egurana da =nformao serve como base ao estabelecimento de normas e
procedimentos que garantem a segurana da informao$ bem como determina as responsabilidades
relativas segurana dentro da empresa.
A elaborao de uma -ol)tica de <egurana da =nformao deve ser o ponto de partida para
o gerenciamento dos riscos associados aos sistemas de informao.
-ara atender as principais necessidades da empresa$ uma -ol)tica de <egurana da
=nformao deve ser:
0lara e concisa
8e fcil compreenso
0oerente com as a#es da empresa
Amplamente divulgada
4evisada periodicamente
Descri'/o do Ser$i'o
A -ol)tica de <egurana da =nformao visa preservar a confidencialidade$ integridade e
disponibilidade das informa#es. 8escrevendo a conduta adequada para o seu manuseio$ controle$
proteo e descarte.
1rodutos +inais
8iretri&es de <egurana da =nformao
.ormas de segurana
1;
-rocedimentos *peracionais
=nstru#es 6cnicas
6ermo de <igilo e 4esponsabilidade
Bene.;cios
0omprometimento da alta direo$ com a continuidade dos negcios;
Aumento da conscienti&ao da empresa quanto a segurana das informa#es;
-adroni&ao nos processos organi&acionais;
8efinio das responsabilidades pelos ativos da empresa;
0onformidade com a Uegislao e obriga#es contratuais.
Contro"es
A -ol)tica de <egurana da =nformao deve prover controles nos ambientes corporativos$ quais
se%am:
<oftCare de deteco de v)rus e outros invasores;
<oftCare de controle de acesso lgico;
(ecanismos de controle de acesso f)sico.
4equisitos:
Agentes envolvidos na <egurana da =nformao
o A3<6*4 8A =.5*4(AVW*: * indiv)duo responsvel para fa&er decis#es em
nome da organi&ao no que di& respeito ao uso$ identificao$ classificao$ e
proteo de um recurso espec)fico da informao.
o 07<6*8=A.63:Agente responsvel pelo processamento$ organi&ao e guarda da
informao.
o 7<7X4=*: Alguma pessoa que interage diretamente com o sistema
computadori&ado. 7m usurio autori&ado com poderes de adicionar ou atuali&ar a
informao. 3m alguns ambientes$ o usurio pode ser o proprietrio da informao.
0lassificao de =nforma#es
o 0lassificar todas as informa#es cr)ticas segundo o seu grau de criticidade e teor
cr)tico:
=nforma#es 0onfidenciais: 8evem ser disseminadas somente para
empregados nomeados
=nforma#es 0orporativas: 8evem ser disseminadas somente dentro da
3mpresa
=nforma#es -@blicas: -odem ser disseminadas dentro e fora da 3mpresa
-ol)tica de acessos externos =nstituio
o 8efinio de 0onv"nios para acesso s bases corporativas
o 0riptografia
o 0ertificao
o Uog de acessos
o 0onfigurao de 5ireCall
-ol)tica de uso da =ntranet
o -adro de Bome--age
o -adro de Aerenciamento de 4ede
o -adro de distribuio de vers#es de softCare
o (odelo de identificao de pirataria
o 8eteco e inatividade de (odens ligados a rede
o -adro de atuali&ao de anti-v)rus
1?
-ol)tica de uso da =nternet
o Acesso de 3mpregados ao -rovedor 0orporativo
o -adroni&ao da Bome--age =nstitucional
o -adroni&ao da Bome--age 0omercial
o 0riptografia
o 0ertificao
o 0onfigurao do 5ireCall
o 4oteamento
o 3ventos m)nimos a serem logados nos <istemas 0orporativos
o 6ril!as de auditoria
o -ol)tica de >acYup
-ol)tica de uso de softCare
o 0ontrole anti-pirataria
o 8efinio da lin!a mestra dos softCares utili&ados por ambiente computacional
-ol)tica de Acesso f)sico
o 0ontrole de acesso f)sico
o 8efinio de ambientes f)sicos de alta criticidade
o (onitorao de ambientes
-ol)tica de Acesso Ugico
o -ol)tica de <en!as e 7serid
o 8efinio de perfis de acesso aos ambientes e aplicativos
o Uog de 3ventos ()nimos nas transa#es
8ia e !ora do acesso
3ndereo eletrLnico de quem acessou
A#es executadas
1"ano de Contin-Cncia
8e acordo com a Anlise de 4isco poss)vel elaborar o -lano de 0ontinuidade para sua
3mpresa. 3ste tem como ob%etivo minimi&ar ou levar a &ero as interrup#es das atividades de seus
colaboradores$ protegendo tambm a perda das informa#es causadas por poss)veis ameaas.

Plano de Continuidade Operacional
Plano de Recuperao de Desastres
Plano de Administrao de Crise
Plano para realizao de Teste
* -lano de 0ontinuidade deve ser testado periodicamente a fim de garantir que sua
informao se%a recuperada dentro de um tempo mximo permitido.
Contin-Cncia
8efine-se conting"ncia como a possibilidade de um fato acontecer ou no. 2 uma situao de
risco existente$ mas que envolve um grau de incerte&a quanto sua efetiva ocorr"ncia. As a#es de
contingenciamento so encadeadas$ e por ve&es sobrepostas$ de acordo com procedimentos
previamente acordados no pro%eto da rede. * seqRenciamento das a#es depende dos
acontecimentos que precederam o evento +conting"ncia, bem como das condi#es contextuais que
vo sendo constru)das no prprio processo$ ou se%a$ o processo de contingenciamento constru)do e
negociado medida que a interao se processa.
<ucintamente$ as condi#es necessrias para a exist"ncia de uma conting"ncia so:
possibilidade de um acontecimento futuro resultante de uma condio existente$ incerte&a sobre as
condi#es operacionais envolvidas e a resoluo destas condi#es dependerem de eventos futuros.
1D
Ob#eti$os da Contin-Cncia
* pro%eto do contingenciamento da rede deve estar baseado em pol)ticas que visem alta
disponibilidade de informa#es e sistemas$ atravs de suporte tcnico$ sistemas de segurana$
esquemas de bacYup$ planos de conting"ncia$ redund/ncia de equipamentos e canais de
comunicao e gerenciamento pr-ativo. * ob%etivo implantar$ conectado estrutura de rede de
computadores$ um plano de acesso seguro$ eficiente e gerenciado$ capa& de restabelecer as fun#es
cr)ticas numa situao excepcional.
1"anos de contin-Cncia
6rata-se do con%unto de procedimentos e medidas de segurana preventivas$ previamente
plane%adas$ a serem adotados aps a ocorr"ncia de uma fal!a$ que permitem o restabelecimento da
rede de comunicao em caso de situa#es anormais +fal!a de !ardCare$ base de dados corrompida$
perda de linY de comunicao$ destruio de prdios$ entre outras,$ com o ob%etivo de minimi&ar os
impactos da mesma.
*s planos de conting"ncia so desenvolvidos para cada ameaa considerada em cada um dos
processos do negcio pertencentes ao escopo$ definindo em detal!es os procedimentos a serem
executados em estado de conting"ncia. .a implementao do plano devem ser avaliados os
principais riscos que podem fa&er o sistema parar. -ara isso$ deve-se proceder ao levantamento dos
impactos dessa parada em cada rea de negcio e estimar quanto tempo levaria para restabelecer o
processamento para cada risco e para cada rea.
*s planos de conting"ncia esto subdivididos em tr"s mdulos distintos e complementares
que tratam especificamente de cada momento vivido pela empresa:
1"ano de Administra'/o de Crise K 6em o propsito de definir passo-a-passo
o funcionamento das equipes envolvidas com o acionamento da conting"ncia antes$
durante e depois da ocorr"ncia do incidente. Alm disso$ tem que definir os
procedimentos a serem executados pela mesma equipe no per)odo de retorno
normalidade. * comportamento da empresa na comunicao do fato imprensa um
exemplo t)pico de tratamento dado pelo plano;
1"ano de Continuidade Operaciona" K 6em o propsito de definir os
procedimentos para contingenciamento dos ativos que suportam cada processo de
negcio$ ob%etivando redu&ir o tempo de indisponibilidade e$ conseqRentemente$ os
impactos potenciais ao negcio. *rientar as a#es diante da queda de uma conexo
=nternet$ exemplificam os desafios organi&ados pelo plano;
1"ano de Recupera'/o de Desastres K 6em o propsito de definir um plano
de recuperao e restaurao das funcionalidades dos ativos afetados que suportam
os processo de negcio$ a fim de restabelecer o ambiente e as condi#es originais de
operao. 8escreve as medidas que uma empresa deve tomar$ incluindo a ativao de
processos manuais ou o recurso a contratos$ para assegurar a continuidade dos
processos do negcio no caso de fal!a no sistema de informa#es.
Ob#eti$os do p"ano de contin-Cncia
* principal ob%etivo de um plano de conting"ncia dar provid"ncia imediata invocando os
procedimentos de recuperao dos sistemas corporativos$ considerando o tempo de espera previsto
para restabelecimento da atividade definido pelos gestores do sistema. -ara cada sistema
corporativo$ !ierarquicamente definido segundo o grau de criticidade e processamento$ so
previstos o tempo de paralisao poss)vel e a#es subseqRentes para seu restabelecimento.
8e forma global$ as ocorr"ncias de fal!a mais comuns so: :)rus$ perda de disco r)gido$ perda
de um servidor da rede ou de uma ligao de rede$ alteraoMatuali&ao de softCare$ fal!a de
1E
sistema de suporte +ar condicionado eMou de energia$ por exemplo,$ avarias mec/nicas do !ardCare$
etc.
1F

Você também pode gostar