Escolar Documentos
Profissional Documentos
Cultura Documentos
AUDITORIA INTERNA
N 06/2014
DTIC
MINISTRIO DA EDUCAO
SECRETARIA DE EDUCAO PROFISSIONAL E TECNOLGICA
INSTITUTO FEDERAL DE EDUCAO, CINCIA E TECNOLOGIA DE SANTA CATARINA
UNIDADE DE AUDITORIA INTERNA AUDITORIA GERAL
Telefone (48) 3877-9006 e-mail: auditoria@ifsc.edu.br
Dirigentes
Magnfica Reitora Prof. Maria Clara Kaschny Schneider
Prof Andrei Zwetsch Cavalheiro (PRODIN)
Prof Emerson Ribeiro de Mello (DTIC).
rea:
Departamento de Tecnologia da Informao
A.
Introduo
A Diretoria de Tecnologia da Informao e Comunicao (DTIC) est subordinada
MINISTRIO DA EDUCAO
SECRETARIA DE EDUCAO PROFISSIONAL E TECNOLGICA
INSTITUTO FEDERAL DE EDUCAO, CINCIA E TECNOLOGIA DE SANTA CATARINA
UNIDADE DE AUDITORIA INTERNA AUDITORIA GERAL
Telefone (48) 3877-9006 e-mail: auditoria@ifsc.edu.br
que nunca foi auditada em anos e trabalhos anteriores, que j foi demandada e solicitada
para trabalhos de auditoria pelo CONSUP do IFSC e pela CGU, a rea de TI passou a
incorporar a Matriz de Risco dos trabalhos de Auditoria, inseridos no PAINT 2014,
aprovado pelo Conselho Superior da Instituio e pela Controladoria Geral da Unio
CGU.
B.
Objetivo
A presente atividade de auditoria teve por objetivo aferir e avaliar as atuais
MINISTRIO DA EDUCAO
SECRETARIA DE EDUCAO PROFISSIONAL E TECNOLGICA
INSTITUTO FEDERAL DE EDUCAO, CINCIA E TECNOLOGIA DE SANTA CATARINA
UNIDADE DE AUDITORIA INTERNA AUDITORIA GERAL
Telefone (48) 3877-9006 e-mail: auditoria@ifsc.edu.br
C.
Da Metodologia
Encaminhamento de Solicitao Auditoria ao departamento envolvido; anlise do
D.
Perodo de Realizao
a) Planejamento: 15/11 a 30/11/2014
b) Execuo: 01/12 a 15/12/2014
c) Encerramento Anlise dos Papis de Trabalho e Relatrios 15/12 a
18/12/2014
E.
Equipe e Horas/Atividades
AUDITORES
ATIVIDADE
Coordenao de Campo / Planejamento /
Anlise de Processos /Relatrio Prvio
Planejamento / Coordenao Geral /
Anlise Final / Reviso
HORA/ATIVIDADE
80h
80h
1. CONSIDERAES INICIAIS
Os trabalhos foram realizados dentro dos prazos previstos, sendo que nenhuma
restrio foi imposta aos nossos trabalhos. Abaixo seguem as informaes e
constataes verificadas no decorrer dos trabalhos de auditoria, bem como as
respectivas recomendaes desta Unidade de Auditoria Interna, para a avaliao,
conhecimento e providncias que a gesto porventura julgar oportunas, convenientes e
cabveis.
MINISTRIO DA EDUCAO
SECRETARIA DE EDUCAO PROFISSIONAL E TECNOLGICA
INSTITUTO FEDERAL DE EDUCAO, CINCIA E TECNOLOGIA DE SANTA CATARINA
UNIDADE DE AUDITORIA INTERNA AUDITORIA GERAL
Telefone (48) 3877-9006 e-mail: auditoria@ifsc.edu.br
MINISTRIO DA EDUCAO
SECRETARIA DE EDUCAO PROFISSIONAL E TECNOLGICA
INSTITUTO FEDERAL DE EDUCAO, CINCIA E TECNOLOGIA DE SANTA CATARINA
UNIDADE DE AUDITORIA INTERNA AUDITORIA GERAL
Telefone (48) 3877-9006 e-mail: auditoria@ifsc.edu.br
armazenamento das cpias chegou a ser realizado atravs do RSNAPSHOT, porm tal
procedimento passou por um processo de descontinuidade quando da mudana da
administrao e gesto dos indigitados equipamentos.
Recomendao A: que seja implementado um procedimento de realizao e
armazenamento de cpias de segurana dos equipamentos do CERFEAD, seja atravs
da aquisio de software e registro na tape library prpria ou de qualquer outro meio
tecnicamente vivel e seguro que garanta a efetividade dos backups.
Recomendao B: que seja garantida a segurana e a eficincia dos backups
realizados, e que sejam de fato testados, conforme indicam as melhores prticas na rea
de segurana em TI, em especial que seja evitado o armazenamento e arquivamento
das cpias de segurana nos mesmos locais e espaos (prdios/campus) dos servidores
e equipamentos que foram copiados, evitando que em caso de sinistro tanto os dados e
informaes primrias e originais, quanto suas respectivas cpias, sejam perdidos.
CONSTATAO 1: Ausncia de gerenciamento de riscos de TI.
Inexiste a realizao de gerenciamento de riscos, de acordo com um processo
formalizado, de forma a mitigar e reduzir possveis e eventuais impactos negativos, em
especial o no atingimento de metas e necessidades, constantes no PDTI 2014-2015.
Recomendao 1.1:
Elaborar um procedimento formalizado de gerenciamento de riscos de TI, de
acordo com o PDTI binio 2014-2015, e execut-lo conforme as necessidades tcnicas
da rea e institucionais, visando a mitigao e reduo dos riscos residuais e inerentes
rea de TI.
CONSTATAO 2: Ausncia de ferramenta de revogao de acesso (e-mail).
MINISTRIO DA EDUCAO
SECRETARIA DE EDUCAO PROFISSIONAL E TECNOLGICA
INSTITUTO FEDERAL DE EDUCAO, CINCIA E TECNOLOGIA DE SANTA CATARINA
UNIDADE DE AUDITORIA INTERNA AUDITORIA GERAL
Telefone (48) 3877-9006 e-mail: auditoria@ifsc.edu.br
Recomendao 3.1:
A segurana da informao obtida a partir da implementao de um conjunto de
controles
adequados,
incluindo
polticas,
processos,
procedimentos,
estruturas
MINISTRIO DA EDUCAO
SECRETARIA DE EDUCAO PROFISSIONAL E TECNOLGICA
INSTITUTO FEDERAL DE EDUCAO, CINCIA E TECNOLOGIA DE SANTA CATARINA
UNIDADE DE AUDITORIA INTERNA AUDITORIA GERAL
Telefone (48) 3877-9006 e-mail: auditoria@ifsc.edu.br
MINISTRIO DA EDUCAO
SECRETARIA DE EDUCAO PROFISSIONAL E TECNOLGICA
INSTITUTO FEDERAL DE EDUCAO, CINCIA E TECNOLOGIA DE SANTA CATARINA
UNIDADE DE AUDITORIA INTERNA AUDITORIA GERAL
Telefone (48) 3877-9006 e-mail: auditoria@ifsc.edu.br
funcionais dos servidores, para que esta possa executar as alteraes e especialmente
as revogaes de maneira clere.
Recomendao 4.2:
Evitar atribuir uma quantidade muito grande de direitos de acessos e privilgios a
um mesmo servidor, buscando atender e respeitar o Primado da Segregao de
Funes que mandamental e fundamental na Administrao Pblica.
CONSTATAO 5: Falta de atendimento a necessidades do PDTI 2014-2015.
Verificou-se que algumas necessidades constantes no item 4.2 do PDTI binio
2014-2015 ainda no foram totalmente cumpridas e atendidas, ou sequer iniciadas.
Foram selecionadas para auditoria as necessidades (ligadas rea de segurana de TI)
de nmeros 6 (aquisio de certificado digital), 9 (enlace redundante para a Reitoria), 14
(manual com procedimento para ocupao para espao fsico), 15 (polticas de uso para
os servios de TIC), 23 (poltica de segurana da informao), 26 (desenvolvimento de
stio web padro para eventos), 27 (polticas de TIC para guiar atividades das CTICs), 30
(construo de um novo datacenter DTIC adequado) e 33 (poltica para renovao do
parque computacional).
Da totalidade das necessidades escolhidas para anlise apenas a de nmero 6
encontra-se plenamente atendida, algumas esto em andamento e a maioria os
trabalhos para atendimento sequer foram iniciados ou se encontram sem previso de
concluso por falta de recursos humanos, financeiros, espao fsico, entre outros fatores.
Recomendao 5.1:
Iniciar as tratativas e trabalhos para atendimento das necessidades que ainda no
possuem qualquer encaminhamento, em especial as necessidades 15 e 27, com
brevidade e celeridade, e concluir os processos para atendimento daquelas
necessidades que j foram iniciadas e por algum motivo no finalizadas, especialmente
realizando as aquisies e contrataes necessrias para as necessidades 9 e 26,
MINISTRIO DA EDUCAO
SECRETARIA DE EDUCAO PROFISSIONAL E TECNOLGICA
INSTITUTO FEDERAL DE EDUCAO, CINCIA E TECNOLOGIA DE SANTA CATARINA
UNIDADE DE AUDITORIA INTERNA AUDITORIA GERAL
Telefone (48) 3877-9006 e-mail: auditoria@ifsc.edu.br
MINISTRIO DA EDUCAO
SECRETARIA DE EDUCAO PROFISSIONAL E TECNOLGICA
INSTITUTO FEDERAL DE EDUCAO, CINCIA E TECNOLOGIA DE SANTA CATARINA
UNIDADE DE AUDITORIA INTERNA AUDITORIA GERAL
Telefone (48) 3877-9006 e-mail: auditoria@ifsc.edu.br
Recomendao 6.1:
Fortalecer e aprimorar os mecanismos e ferramentas atinentes segurana fsica
e ambiental do datacenter da instituio, em especial aqueles que dizem respeito aos
controles de acesso (portas com fechaduras seguras, controle por senha, utilizao e
distribuio criteriosa de chaves, etc) de forma que o datacenter jamais permanea
destrancado e aberto seno durante a realizao de alguma atividade em seu interior e
sob a superviso de um servidor responsvel.
Recomendao 6.2:
Com relao a segurana ambiental do local recomenda-se adquirir extintores de
incndio apropriados e adequados, para controle de sinistros em equipamentos de
informtica e eletrnicos, bem como estabelecer uma rotina de limpeza especfica dos
materiais e da sala, de maneira que a vida til dos equipamentos possa ser prolongada e
o ambiente apresente condies adequadas para o melhor funcionamento dos
servidores.
Recomendao 6.3:
Priorizar o atendimento da necessidade 30 do PDTI, haja vista que o espao fsico
destinado ao datacenter da organizao encontra-se prximo do seu limite de ocupao.
MINISTRIO DA EDUCAO
SECRETARIA DE EDUCAO PROFISSIONAL E TECNOLGICA
INSTITUTO FEDERAL DE EDUCAO, CINCIA E TECNOLOGIA DE SANTA CATARINA
UNIDADE DE AUDITORIA INTERNA AUDITORIA GERAL
Telefone (48) 3877-9006 e-mail: auditoria@ifsc.edu.br
3. REFERNCIAS
ABNT NBR ISO/IEC 27001:2006. Sistemas de gesto de segurana da informao.
ABNT NBR ISO/IEC 27002:2005. Cdigo de prtica para a gesto da segurana da
informao.
Decreto n 3.505/2000. Institui Poltica de Segurana da Informao na Administrao
Federal.
COBIT 4.1.
Manual de Boas Prticas em Segurana da Informao do Tribunal de Contas da Unio
2012.
PDTI IFSC 2014-2015.
4. CONSIDERAES FINAIS
Aps a finalizao dos trabalhos de anlises em campo, na rea da Tecnologia
da
Informao
Segurana
da
Informao,
esta
Unidade
de
Auditoria
MINISTRIO DA EDUCAO
SECRETARIA DE EDUCAO PROFISSIONAL E TECNOLGICA
INSTITUTO FEDERAL DE EDUCAO, CINCIA E TECNOLOGIA DE SANTA CATARINA
UNIDADE DE AUDITORIA INTERNA AUDITORIA GERAL
Telefone (48) 3877-9006 e-mail: auditoria@ifsc.edu.br
o acatamento das sugestes contidas neste Relatrio constitui interesse exclusivo dos
gestores.
Por fim, a equipe de auditores, abaixo identificada, agradece PRODIN e a
DTIC pela disponibilidade das informaes e materiais requisitados e acolhida da
equipe, e se coloca a disposio para elucidar quaisquer inconsistncias ou
inconformidades relatadas, visando, sobretudo, o fortalecimento dos controles internos
do IFSC.
Florianpolis-SC, 16/12/2014.
De acordo,