RelatorioFinal TI PDF

RELATRIO DE
AUDITORIA INTERNA
N 06/2014
REA: TECNOLOGIA DA INFORMAO
DTIC
MINISTRIO DA EDUCAO
SECRETARIA DE EDUCAO PROFISSIONAL E TECNOLGICA
INSTITUTO FEDERAL DE EDUCAO, CINCIA E TECNOLOGIA DE SANTA CATARINA
UNIDADE DE AUDITORIA INTERNA AUDITORIA GERAL
Telefone (48) 3877-9006 e-mail: auditoria@ifsc.edu.br
RELATRIO DE AUDITORIA INTERNA

N 06/2014
Dirigentes
Magnfica Reitora Prof. Maria Clara Kaschny Schneider
Prof Andrei Zwetsch Cavalheiro (PRODIN)
Prof Emerson Ribeiro de Mello (DTIC).
rea:
Departamento de Tecnologia da Informao
Origem da Demanda: PAINT/2014
A.
Introduo
A Diretoria de Tecnologia da Informao e Comunicao (DTIC) est subordinada
Pr-reitoria de Desenvolvimento Institucional (PRODIN), e tem por objetivo,

desenvolver as atividades de gesto da Tecnologia de Informao e Comunicao da
instituio. Cabe a DTIC o planejamento, a coordenao, a organizao, em nvel
central, da tecnologia da informao e comunicao a fim de alinhar os objetivos, aes
e metas s estratgias denidas no Plano de Desenvolvimento Institucional (PDI). Dentre
as atribuies da DTIC, podemos destacar:
Planejar e viabilizar o desenvolvimento dos projetos relacionados ao PDTI;
MINISTRIO DA EDUCAO
Identificar as necessidades da instituio quanto a Tecnologia da Informao e

Comunicao e planejar o desenvolvimento de projetos para o atendimento
dessas necessidades;
Propor polticas de Tecnologia da Informao e Comunicao e de Segurana da

Informao e Comunicao para a instituio;
Avaliar os riscos nos projetos de Tecnologia da Informao e Comunicao;
Gerenciar os investimentos de Tecnologia da Informao e Comunicao e propor

recursos para aes de Segurana da Informao e Comunicao;
Acompanhar as investigaes e avaliaes dos danos decorrentes de quebras de

segurana da informao no mbito da instituio.
Por ser uma atividade estratgica e essencial organizao, de alta relevncia,
que nunca foi auditada em anos e trabalhos anteriores, que j foi demandada e solicitada
para trabalhos de auditoria pelo CONSUP do IFSC e pela CGU, a rea de TI passou a
incorporar a Matriz de Risco dos trabalhos de Auditoria, inseridos no PAINT 2014,
aprovado pelo Conselho Superior da Instituio e pela Controladoria Geral da Unio
CGU.
B.
Objetivo
A presente atividade de auditoria teve por objetivo aferir e avaliar as atuais
condies dos controles administrativos internos na rea da Tecnologia da Informao

em especial os controles relacionados Segurana da Informao. Os trabalhos
foram realizados durante o ms de dezembro de 2014 pela Auditoria Geral Reitoria.
Foram utilizados diversos procedimentos e tcnicas de auditoria para a consecuo dos
objetivos pretendidos, em especial: testes de observncia e testes substantivos,
englobando a conferncia de documentos e dados extrados dos sistemas operacionais
de informaes em uso pela unidade, especialmente SIAPE e DGP.
Em suma, o presente trabalho buscou avaliar os procedimentos, fluxos,
mecanismos e ferramentas de controle utilizados e em efetivo funcionamento no mbito
da Tecnologia da Informao, em especial da Segurana da Informao no IFSC.
MINISTRIO DA EDUCAO
C.
Da Metodologia
Encaminhamento de Solicitao Auditoria ao departamento envolvido; anlise do
material e seleo de amostras; registro das constataes e recomendaes; elaborao

do relatrio final que ficar disponvel para consulta pblica no endereo eletrnico:
http://www.ifsc.edu.br/menu-unai-raint em atendimento lei de acesso informao.
D.
Perodo de Realizao
a) Planejamento: 15/11 a 30/11/2014
b) Execuo: 01/12 a 15/12/2014
c) Encerramento Anlise dos Papis de Trabalho e Relatrios 15/12 a
18/12/2014
E.
Equipe e Horas/Atividades
AUDITORES
Patrick Barcelos Teixeira

Joo Clovis Schmitz
ATIVIDADE
Coordenao de Campo / Planejamento /
Anlise de Processos /Relatrio Prvio
Planejamento / Coordenao Geral /
Anlise Final / Reviso
HORA/ATIVIDADE
80h
80h
1. CONSIDERAES INICIAIS
Os trabalhos foram realizados dentro dos prazos previstos, sendo que nenhuma
restrio foi imposta aos nossos trabalhos. Abaixo seguem as informaes e
constataes verificadas no decorrer dos trabalhos de auditoria, bem como as
respectivas recomendaes desta Unidade de Auditoria Interna, para a avaliao,
conhecimento e providncias que a gesto porventura julgar oportunas, convenientes e
cabveis.
MINISTRIO DA EDUCAO
2. RESULTADOS DOS TRABALHOS
INFORMAO 1: Existncia de rotina de realizao de testes.

Foi verificado que existe uma rotina de realizao de testes semanais para
aferio do correto funcionamento do grupo gerador e no-break, bem como existe um
servidor designado para o acompanhamento das rotinas de verificaes. Foram
apresentadas informaes que buscaram evidenciar que os servidores blade, storage e
backup apresentam funcionamento correto.
Recomendao A: criar uma rotina ou procedimento de documentar e historizar
as verificaes peridicas de funcionamento dos servidores.
Recomendao B: aprimorar a rotina de realizao de testes, de forma que as
verificaes sejam efetivadas de maneira tempestiva e peridica, de acordo com as
necessidades tcnicas de cada equipamento.
INFORMAO 2: Realizao de backup na Reitoria e no CERFEAD.
Foi verificado que existe a rotina de realizao de cpias de segurana dos dados
armazenados nos servidores da Reitoria, atravs de software prprio, com backups
incrementais dirios e completos uma vez semana. Entretanto, com relao aos
equipamentos do CERFEAD foi verificado que ocorreu uma mudana na administrao e
gesto dos seus equipamentos, que at o ms de julho de 2014 ficavam a cargo de um
grupo de bolsistas contratados para tal finalidade e atualmente est sob a
responsabilidade da DTIC, o que ocasionou um hiato onde inexiste um procedimento
implementado e validado de realizao de cpias de segurana. Ademais, foi informado
que o CERFEAD possui uma tape library porm os backups no so realizados na fita
pois inexiste um software para tanto; igualmente foi informado que o procedimento de
MINISTRIO DA EDUCAO
armazenamento das cpias chegou a ser realizado atravs do RSNAPSHOT, porm tal
procedimento passou por um processo de descontinuidade quando da mudana da
administrao e gesto dos indigitados equipamentos.
Recomendao A: que seja implementado um procedimento de realizao e
armazenamento de cpias de segurana dos equipamentos do CERFEAD, seja atravs
da aquisio de software e registro na tape library prpria ou de qualquer outro meio
tecnicamente vivel e seguro que garanta a efetividade dos backups.
Recomendao B: que seja garantida a segurana e a eficincia dos backups
realizados, e que sejam de fato testados, conforme indicam as melhores prticas na rea
de segurana em TI, em especial que seja evitado o armazenamento e arquivamento
das cpias de segurana nos mesmos locais e espaos (prdios/campus) dos servidores
e equipamentos que foram copiados, evitando que em caso de sinistro tanto os dados e
informaes primrias e originais, quanto suas respectivas cpias, sejam perdidos.
CONSTATAO 1: Ausncia de gerenciamento de riscos de TI.
Inexiste a realizao de gerenciamento de riscos, de acordo com um processo
formalizado, de forma a mitigar e reduzir possveis e eventuais impactos negativos, em
especial o no atingimento de metas e necessidades, constantes no PDTI 2014-2015.
Recomendao 1.1:
Elaborar um procedimento formalizado de gerenciamento de riscos de TI, de
acordo com o PDTI binio 2014-2015, e execut-lo conforme as necessidades tcnicas
da rea e institucionais, visando a mitigao e reduo dos riscos residuais e inerentes
rea de TI.
CONSTATAO 2: Ausncia de ferramenta de revogao de acesso (e-mail).
MINISTRIO DA EDUCAO
Verificou-se que existem fluxos pr-definidos de incluso, manuteno e excluso

de acessos aos sistemas DGP e SIG, contudo inexiste poltica e mecanismo
implementado para revogao de acessos s listas de e-mail, somente uma prtica de
concesso das listas de e-mail, alterao de senha de administrao da lista e registro,
arquivamento e armazenamento dos logs de trocas de senhas, no sistema
DGP/LDAP/Listas. Como exemplo cita-se o e-mail erico@ifsc.edu.br, que pertencia ao
servidor rico de vila Madruga, que no integra mais o quadro funcional do IFSC,
todavia ainda est no rol de e-mails das listas dam e todos.reitoria.
Recomendao 2.1:
Criar, implementar e manter sempre atualizado os procedimentos, ferramentas e
meios de revogao de acessos s listas de e-mail, bem como do prprio e-mail
institucional, daqueles servidores que no mais integrem ou laborem no IFSC,
independente do gnero do rompimento do vnculo, seja por exonerao, demisso,
cesso, etc, especialmente atravs de um fluxo e uma rotina que envolva a comunicao
tempestiva da DGP DTIC das alteraes das situaes funcionais dos servidores, para
que esta possa executar as alteraes e especialmente as revogaes de maneira
clere.
CONSTATAO 3: Ausncia de gesto de segurana da informao e TI.
Foi constatado que inexiste uma poltica de segurana da informao bem como a
gesto de continuidade de negcio relativa aos servios de TI. No foi criado e
implementado no IFSC um Comit de Segurana da Informao, que contemple, por
bvio, a segurana em tecnologia da informao.
Recomendao 3.1:
A segurana da informao obtida a partir da implementao de um conjunto de
controles
adequados,
incluindo
polticas,
processos,
procedimentos,
estruturas
MINISTRIO DA EDUCAO
organizacionais e funes de software e hardware. Estes controles precisam ser

estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde
necessrio, para garantir que os objetivos do negcio e de segurana da organizao
sejam atendidos.
Dessa forma, recomendamos a criao imediata do Comit de Segurana da
Informao no mbito da organizao, que contemple a rea de segurana em
tecnologia da informao, bem como as reas de segurana fsica, patrimonial, etc,
constitudo por uma equipe multidisciplinar de servidores. E que a partir da, se institua e
formalize uma poltica se segurana da informao e gesto de continuidade de negcio
relativos aos servios/processos de TI.
Na impossibilidade de atendimento total da recomendao, que ao menos se crie
um setor/coordenao, com objetivos e competncias definidas, que seja responsvel
por implementar e manter mecanismos de controle que visem mitigar as fragilidades
existente na segurana de informao dos processos de TI.
CONSTATAO 4: Ineficincia da gesto de revogao de acessos no SIG.
Constatou-se que, apesar da DTIC informar que existem procedimentos de rotina
para manuteno e excluso de direitos de acessos ao sistema SIG, diversos servidores
que j no mais integram o quadro funcional do IFSC continuam com cadastros ativos no
sistema, com diversos privilgios e direitos nos mdulos SIGRH, SIPAC, SIGAA e
SIGADMIN. Como exemplo se citam os ex-servidores Morgana Machado Jorge, Haroldo
Gomes Nogueira Jnior e Pierri Eduardo Batista Rodrigues, todos j exonerados e com
cadastros em atividade.
Recomendao 4.1:
Aplicar e manter sempre atualizado os procedimentos, ferramentas e meios de
revogao de acessos aos sistemas institucionais daqueles servidores que no mais
integrem ou laborem no IFSC, independente do gnero do rompimento do vnculo, seja
por exonerao, demisso, cesso, etc, especialmente atravs de um fluxo e uma rotina
que envolva a comunicao tempestiva da DGP DTIC das alteraes das situaes
MINISTRIO DA EDUCAO
funcionais dos servidores, para que esta possa executar as alteraes e especialmente
as revogaes de maneira clere.
Recomendao 4.2:
Evitar atribuir uma quantidade muito grande de direitos de acessos e privilgios a
um mesmo servidor, buscando atender e respeitar o Primado da Segregao de
Funes que mandamental e fundamental na Administrao Pblica.
CONSTATAO 5: Falta de atendimento a necessidades do PDTI 2014-2015.
Verificou-se que algumas necessidades constantes no item 4.2 do PDTI binio
2014-2015 ainda no foram totalmente cumpridas e atendidas, ou sequer iniciadas.
Foram selecionadas para auditoria as necessidades (ligadas rea de segurana de TI)
de nmeros 6 (aquisio de certificado digital), 9 (enlace redundante para a Reitoria), 14
(manual com procedimento para ocupao para espao fsico), 15 (polticas de uso para
os servios de TIC), 23 (poltica de segurana da informao), 26 (desenvolvimento de
stio web padro para eventos), 27 (polticas de TIC para guiar atividades das CTICs), 30
(construo de um novo datacenter DTIC adequado) e 33 (poltica para renovao do
parque computacional).
Da totalidade das necessidades escolhidas para anlise apenas a de nmero 6
encontra-se plenamente atendida, algumas esto em andamento e a maioria os
trabalhos para atendimento sequer foram iniciados ou se encontram sem previso de
concluso por falta de recursos humanos, financeiros, espao fsico, entre outros fatores.
Recomendao 5.1:
Iniciar as tratativas e trabalhos para atendimento das necessidades que ainda no
possuem qualquer encaminhamento, em especial as necessidades 15 e 27, com
brevidade e celeridade, e concluir os processos para atendimento daquelas
necessidades que j foram iniciadas e por algum motivo no finalizadas, especialmente
realizando as aquisies e contrataes necessrias para as necessidades 9 e 26,
MINISTRIO DA EDUCAO
dando encaminhamentos efetivos nos trabalhos dos GT e comisses das necessidades

14, 23 e 33, e reforando com a alta administrao a importncia e relevncia do
atendimento da necessidade 30.
CONSTATAO 6: Vulnerabilidade na segurana fsica e ambiental.
Constatou-se que o datacenter do IFSC apresenta algumas vulnerabilidades e
carncias com relao aos aspectos atinentes segurana fsica e ambiental do local.
Em suma, foi verificado que o controle de acesso sala precisa ser aprimorado, haja
vista que a fechadura da porta (Coord de Redes e Sistemas) que antecede a sala
principal do datacenter est estragada e a porta do prprio datacenter contm apenas
uma fechadura simples. Ademais, a chave da fechadura do datacenter fica de
propriedade de alguns servidores, de mais de uma rea inclusive (redes, suporte, etc),
que tm absoluto controle e carga da chave.
Outro aspecto que merece destaque a poltica e a rotina de procedimentos de
controle de acesso ao datacenter. Foi esclarecido que a sala permanece sempre
fechada e s aberta quando existe a necessidade da realizao de algum servio em
seu interior, e, ainda, quando tal servio executado por algum agente externo/estranho
organizao sempre acompanhada a execuo por algum servidor da DTIC.
Todavia, esta UNAI identificou ao longo dos trabalhos de campo alguns dias e perodos
em que a sala do datacenter permaneceu destrancada e aberta, sem qualquer servidor
ou movimento na sala e ante sala, o que nos parece uma fragilidade importante e que
merece ateno.
Com relao a segurana ambiental do local no foram identificados extintores de
incndio apropriados e adequados para algum controle de sinistro em equipamentos de
informtica e eletrnicos. Igualmente, no foi esclarecida se existe uma rotina de limpeza
especfica dos materiais e da sala, ficou entendido que tais atividades so executadas
esporadicamente.
Por fim, foi tambm percebido que o espao fsico destinado ao datacenter
encontra-se no limite, sendo essencial o atendimento da necessidade de nmero 30 do
PDTI 2014-2015.
MINISTRIO DA EDUCAO
Recomendao 6.1:
Fortalecer e aprimorar os mecanismos e ferramentas atinentes segurana fsica
e ambiental do datacenter da instituio, em especial aqueles que dizem respeito aos
controles de acesso (portas com fechaduras seguras, controle por senha, utilizao e
distribuio criteriosa de chaves, etc) de forma que o datacenter jamais permanea
destrancado e aberto seno durante a realizao de alguma atividade em seu interior e
sob a superviso de um servidor responsvel.
Recomendao 6.2:
Com relao a segurana ambiental do local recomenda-se adquirir extintores de
incndio apropriados e adequados, para controle de sinistros em equipamentos de
informtica e eletrnicos, bem como estabelecer uma rotina de limpeza especfica dos
materiais e da sala, de maneira que a vida til dos equipamentos possa ser prolongada e
o ambiente apresente condies adequadas para o melhor funcionamento dos
servidores.
Recomendao 6.3:
Priorizar o atendimento da necessidade 30 do PDTI, haja vista que o espao fsico
destinado ao datacenter da organizao encontra-se prximo do seu limite de ocupao.
MINISTRIO DA EDUCAO
3. REFERNCIAS
ABNT NBR ISO/IEC 27001:2006. Sistemas de gesto de segurana da informao.
ABNT NBR ISO/IEC 27002:2005. Cdigo de prtica para a gesto da segurana da
informao.
Decreto n 3.505/2000. Institui Poltica de Segurana da Informao na Administrao
Federal.
COBIT 4.1.
Manual de Boas Prticas em Segurana da Informao do Tribunal de Contas da Unio
2012.
PDTI IFSC 2014-2015.
4. CONSIDERAES FINAIS
Aps a finalizao dos trabalhos de anlises em campo, na rea da Tecnologia
da
Informao
Segurana
da
Informao,
esta
Unidade
de
Auditoria
Interna/UNAI/IFSC, encaminha o presente relatrio para a PRODIN-DTIC, indicando as

principais inconsistncias encontradas.
A Unidade de Auditoria Interna ir acompanhar e monitorar as recomendaes
propostas durante o ano de 2015 visando ampliar e melhorar os controles
administrativos internos na rea da Tecnologia da Informao.
Em geral, os controles internos ora auditados merecem uma ateno especial
por parte da equipe diretiva da PRODIN e DTIC, principalmente os relacionados
segurana da informao que carecem de uma poltica efetivamente aprovada e
implantada.
Independente das recomendaes que sero objeto de monitoramento pela UNAI,
cabe equipe de gestores a anlise de cada item destacado neste Relatrio, sendo que
MINISTRIO DA EDUCAO
o acatamento das sugestes contidas neste Relatrio constitui interesse exclusivo dos
gestores.
Por fim, a equipe de auditores, abaixo identificada, agradece PRODIN e a
DTIC pela disponibilidade das informaes e materiais requisitados e acolhida da
equipe, e se coloca a disposio para elucidar quaisquer inconsistncias ou
inconformidades relatadas, visando, sobretudo, o fortalecimento dos controles internos
do IFSC.
Florianpolis-SC, 16/12/2014.
Patrick Barcelos Teixeira

Auditor Interno da Reitoria
Auditoria Geral UNAI/IFSC
Matrcula SIAPE: 2032943
De acordo,
Joo Clovis Schmitz

Auditor-Chefe
Matrcula SIAPE 1742259
*OBS: O documento original encontra-se assinado.

RelatorioFinal TI PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

RelatorioFinal TI PDF

Enviado por

Direitos autorais:

Formatos disponíveis

RELATRIO DE

REA: TECNOLOGIA DA INFORMAO

RELATRIO DE AUDITORIA INTERNA

Origem da Demanda: PAINT/2014

Pr-reitoria de Desenvolvimento Institucional (PRODIN), e tem por objetivo,

Planejar e viabilizar o desenvolvimento dos projetos relacionados ao PDTI;

Identificar as necessidades da instituio quanto a Tecnologia da Informao e

Propor polticas de Tecnologia da Informao e Comunicao e de Segurana da

Avaliar os riscos nos projetos de Tecnologia da Informao e Comunicao;

Gerenciar os investimentos de Tecnologia da Informao e Comunicao e propor

Acompanhar as investigaes e avaliaes dos danos decorrentes de quebras de

condies dos controles administrativos internos na rea da Tecnologia da Informao

material e seleo de amostras; registro das constataes e recomendaes; elaborao

Patrick Barcelos Teixeira

2. RESULTADOS DOS TRABALHOS

INFORMAO 1: Existncia de rotina de realizao de testes.

Verificou-se que existem fluxos pr-definidos de incluso, manuteno e excluso

organizacionais e funes de software e hardware. Estes controles precisam ser

dando encaminhamentos efetivos nos trabalhos dos GT e comisses das necessidades

Interna/UNAI/IFSC, encaminha o presente relatrio para a PRODIN-DTIC, indicando as

Patrick Barcelos Teixeira

Joo Clovis Schmitz

Você também pode gostar