Você está na página 1de 57

>> Gesto da Segurana da Informao e Comunicaes >> 2009-2011

VERSO 1

AUDITORIA E CONFORMIDADE DE

GSIC345
SEGURANA DA INFORMAO

Roberto Wagner da Silva Rodrigues


Jorge Henrique Cabral Fernandes
Dilma Rousseff
Presidente da Repblica
Jos Elito Carvalho Siqueira Fernando Haddad
Ministro do Gabinete de Segurana Institucional Ministro da Educao
Antonio Sergio Geromel UNIVERSIDADE DE BRASLIA
Secretrio Executivo Jos Geraldo de Sousa Junior
Raphael Mandarino Junior Reitor
Diretor do Departamento de Segurana da Informao e Joo Batista de Sousa
Comunicaes Vice-Reitor
Reinaldo Silva Simio Pedro Murrieta Santos Neto
Coordenador Geral de Gesto da Segurana da Decanato de Administrao
Informao e Comunicaes
Rachel Nunes da Cunha
Decanato de Assuntos Comunitrios
Mrcia Abraho Moura
Decanato de Ensino de Graduao
Oviromar Flores
Decanato de Extenso
Denise Bomtempo Birche de Carvalho
Decanato de Pesquisa e Ps-graduao
Nora Romeu Rocco
Instituto de Cincias Exatas
Priscila Barreto
Departamento de Cincia da Computao

CEGSIC
Coordenao
Jorge Henrique Cabral Fernandes

Secretaria Pedaggica Equipe de Produo Multimdia


Andria Lac Alex Harlen
Eduardo Loureiro Jr. Lizane Leite
Lvia Souza Rodrigo Moraes
Odacyr Luiz Timm
Equipe de Tecnologia da Informao
Ricardo Sampaio
Douglas Ferlini
Assessoria Tcnica Osvaldo Corra
Gabriel Velasco

Secretaria Administrativa
Indiara Luna Ferreira Furtado
Jucilene Gomes
Martha Arajo

Texto e ilustraes: Roberto W. S. Rodrigues; Jorge H. C. F.ernandes | Capa, projeto grfico e diagramao: Alex Harlen

Desenvolvido em atendimento ao plano de trabalho do Programa de Formao de Especialistas para a Elaborao da


Metodologia Brasileira de Gesto de Segurana da Informao e Comunicaes CEGSIC 2009-2011.

Este material distribudo sob a licena creative commons


http://creativecommons.org/licenses/by-nc-nd/3.0/br/
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

Sumrio
[6] Currculo Resumido do Autor (Roberto Wagner da Silva Rodrigues)

[6] Currculo Resumido do Autor (Jorge Henrique Cabral Fernandes)

[7] 1. Introduo
1.1 Princpios Gerais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
1.2 Controle Interno . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
1.3 Auditoria e Controle, Interno e Externo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.4 Porque Necessria a Segurana da Informao? . . . . . . . . . . . . . . . . . . . 10
1.5 Porque Auditar a Segurana da Informao? . . . . . . . . . . . . . . . . . . . . . . . . 11

[13] 2. Processo de Auditoria de Segurana da Informao


2.1 Gesto do Projeto ou do Programa de Auditoria . . . . . . . . . . . . . . . . . . . . 13
2.2 Deciso sobre o Propsito da Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.3 Identificao de Objetos e Pontos de Controle . . . . . . . . . . . . . . . . . . . . . . 14
2.4 Definio de Tcnicas para Obter Evidncias e Procedimentos de
Controle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.4.1 Definio de Tcnicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
2.5 Montagem da Roteirizao Detalhada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
2.6 Coleta e Registro de Evidncias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2.6.1 Coleta de evidncias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2.6.2 Papis de trabalho . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2.6.3 Organizao da informao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2.7 Verificar, Validar e Avaliar Evidncias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2.8 Produo de Pareceres e outros Entregveis . . . . . . . . . . . . . . . . . . . . . . . . 16
2.9 Acompanhamento Ps-Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

[18] 3. Propsitos e Organizao da Auditoria


3.1 Auditoria de Gesto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
3.2 Auditoria de Desempenho Operacional ou Auditoria Operacional . . . 19
3.3 Auditoria de Conformidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
3.4 Qual Tipo de Auditoria Empregar? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

[20] 4. Arcabouo de Roteirizao de uma Auditoria

3
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

[23] 5. Auditoria de Gesto em Segurana da Informao


5.1 Estrutura Organizacional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
5.2 Poltica de segurana para a organizao . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
5.3 Documentao atualizada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
5.4 Cultura de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
5.5 Pesquisa sobre Incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
5.6 Sistema de Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
5.7 Registros de auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
5.8 Plano Diretor de Tecnologia da Informao (PDTI) . . . . . . . . . . . . . . . . . . 25

[27] 6. Auditoria de Desempenho Operacional de


Segurana da Informao
6.1 Segurana Fsica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
6.2 Segurana Lgica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
6.2.1 Sistemas de informao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
6.3 Acessos dos Usurios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
6.4 Segurana de dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
6.5 Eficincia da Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
6.6 Eficcia da Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
6.7 Segurana de redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

[33] 7. Auditoria de Conformidade


7.1 Normas da Administrao Pblica Federal . . . . . . . . . . . . . . . . . . . . . . . . . . 33
7.1.1 Normas do DSIC Departamento de Segurana da Informao e
Comunicaes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
7.1.2 Normas do Ministrio do Planejamento . . . . . . . . . . . . . . . . . . . . . . . . . . 34
7.1.3 Tribunal de Contas da Unio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
7.1.4 CGU Controladoria Geral da Unio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
7.1.5 Arquivos Pblicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
7.2 Propsitos e Limitaes da Auditoria de Conformidade . . . . . . . . . . . . . 35
7.3 Documentos de referncia e objetos de controle . . . . . . . . . . . . . . . . . . . 36
7.4 Classificao de Documentos e da Informao . . . . . . . . . . . . . . . . . . . . . . 38
7.5 Concluses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

[39] 8. Plano de Segurana da Informao


8.1 Gesto de riscos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
8.2 Critrios de auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

4
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

[42] 9. Instrumentos e Ferramentas


9.1 Instrumentos de coleta e registro de evidncias . . . . . . . . . . . . . . . . . . . . . 42
9.2 Automao de Auditoria Servios Tcnicos Especializados . . . . . . . . . . 44
9.2.1 Batimento de dados e CAATS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
9.2.2 Auditoria de ambientes computacionais e bancos de dados . . . . . . . 45
9.2.3 Redes de computadores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
9.2.4 Hacker tico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

[47] 10. Entregas da Auditoria

[48] 11. Programas de Auditoria


11.1 Um Modelo de Programa de Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
11.2 Gesto de Programa de Auditorias baseada na ISO 19011 . . . . . . . . . . 49
11.2.1 Obteno de autoridade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
11.2.2 Estabelecimento do programa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
11.2.3 Implementando o programa de auditorias . . . . . . . . . . . . . . . . . . . . . . . 50
11.2.4 Monitoramento e anlise crtica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
11.2.5 Melhoria do Programa de Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

[52] 12. Consideraes Finais

[53] Referncias

5
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

CURRCULO RESUMIDO DO AUTOR

Roberto Wagner da Silva Rodrigues


PhD em Computao pelo Imperial College of Science Technology and Medicine (2001)-
Inglaterra; Mestre em Cincia da Computao pela Universidade Federal de Pernambuco (1996);
Especialista em Informtica pela Universidade de Fortaleza (1992); e obteve as seguintes gradu-
aes: Licenciatura Plena - Eletrnica & Desenho Industrial pelo Centro Federao de Educao
Tecnolgica de Minas Gerais (1991) e Bacharelado em Cincia da Computao pela Universidade
Estadual do Cear (1988); Cursou Bacharelado em Matemtica (incompleto) pela Universidade
Federal do Cear (1988-89); e Bacharelado em Administrao de Empresas (incompleto) pela
UECE (1988-1990); Tcnico em Telecomunicaes pela ETFCE (1984). EXPERINCIA PROFISSIO-
NAL: atualmente professor do Instituto Federal de Braslia. Foi professor adjunto da Universida-
de de Braslia at 2009 - Departamento de Cincia da Computao. Foi Professor do Centro Fede-
ral de Educao Tecnolgica do Cear; foi Secretrio Interino e Diretor de Gesto da Informao
da Secretaria de Avaliao e Gesto da Informao, no Ministrio do Desenvolvimento Social
e Combate Fome - MDS. Foi Diretor de Tecnologia da Informao do CEFET-CE, professor do
Mestrado da Universidade Estadual do Cear e professor substituto da Universidade Federal do
Cear no Departamento de Engenharia Eltrica. Tem experincia profissional em organizaes
pblicas nas seguintes reas: gesto pblica, monitoramento e avaliao de politicas e progra-
mas sociais, sistemas de informao e bases de dados sociais. Na iniciativa privada trabalhou em
Teleprocessamento, Computao (analista de sistemas programador) e Telecomunicaes. Foi
Pesquisador associado da British Telecomm. So temas de interesse: avaliao, meta-avaliao
e monitoramento de polticas pblicas (tecnologia e informao), gesto da informao e do
conhecimento, auditoria de segurana da informao, arquitetura de sistemas, sistemas distribu-
dos, workflow e gesto de processos de negcio (BPM).

CURRCULO RESUMIDO DO AUTOR

Jorge Henrique Cabral Fernandes


doutor (2000) e mestre (1992) em Cincia da Computao pela Universidade Federal
de Pernambuco. Especialista em Engenharia de Sistemas (1988) e graduado em Cincias Bio-
lgicas (1986) pela Universidade Federal do Rio Grande do Norte. Professor Adjunto do De-
partamento de Cincia da Computao (CIC), professor e representante da coordenao na
Ps-Graduao em Cincia da Informao da Faculdade de Cincia da Informao e Documen-
tao (PPGCINF/FCI), na Universidade de Braslia. scio da Sociedade Brasileira de Computa-
o (SBC) e da Associao Nacional de Pesquisa e Ps-Graduao em Cincia da Informao
(ANCIB). Tem experincia nas reas de Cincia da Computao e Cincia da Informao, com
nfase em engenharia de software, segurana ciberntica, segurana da informao, lingua-
gens de programao, bancos de dados e tecnologias educacionais.

6
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

1. Introduo
A sempre crescente demanda por prestao de mais e melhores servios pblicos tornou
necessrio disponibilizar meios de processamento de dados e de comunicao para troca de
informaes, bem como para permitir interao entre as organizaes pblicas e os cidados.
Essa interao tem sido mediada cada vez mais pela Internet e por meio de servios de e-gov
apoiados em sistemas de informao computadorizados. Consequentemente, a segurana (es-
pecialmente a disponibilidade, a integridade, a confidencialidade ou sigilo e a autenticidade)
dessas informaes passou a ser uma preocupao do poder pblico e um tema crtico da
gesto moderna, seja ela pblica ou privada. Uma forma de gerenciar essa criticidade criar
normas, formular polticas, padronizar procedimentos e prticas, estabelecer medies e m-
tricas, alm de automatizar controles, de modo a no s aumentar previsibilidade dos resulta-
dos dessa prestao de servio, mas principalmente melhorar a capacidade de lidar com riscos
decorrentes das vulnerabilidades dos sistemas sejam eles manuais ou automatizados - e das
ameaas existentes (sobretudo as originadas da Internet).
Essas normas, polticas, procedimentos, prticas, mtricas e mecanismos automatizados
so controles, e podem ser analisadas atravs de sua vinculao com os objeto de controle
que so decompostos em pontos de controle. A auditoria de segurana de informao uma
atividade devidamente estruturada para examinar criteriosamente a situao desses controles
que se aplicam segurana da informao, especialmente por meio da anlise de objetos e
seus pontos de controle, vis-a-vis a probabilidade de ameaas s informaes crticas sobre as
quais atuam esses controles. Isto necessrio porque os controles ou a ausncia deles podem
se constituir em vulnerabilidades explorveis ou portas de entrada para produzir incidentes
de segurana da informao. A auditoria cria condies tcnicas para investigar e emitir um
juzo sobre as evidncias encontradas, de modo a se antecipar ante a possveis riscos de viola-
o de um patrimnio precioso: os ativos de informao. Esses ativos correspondem quelas
informaes e todos os recursos associados que tm alto valor para o negcio pblico ou pri-
vado. Consideram-se como ativos de informao os processos organizacionais e processuais
(procedimentos, roteiros, atividades), itens fsicos (instalaes, equipamentos, cabeamento) e
lgicos (programas, sistemas, estruturas de dados), que devem ser auditados continuamente.
De outra forma, auditoria a expresso de opinio feita por um profissional devidamente
qualificado, acerca de uma determinada situao, e documentada na forma de um relatrio
ou parecer. Para tal, o auditor emprega prticas geralmente aceitas, baseadas em um mtodo
racional, em evidncias, em respeito aos princpios ticos, com responsabilidade perante o
cliente, com devido cuidado e habilidade profissional, sujeito reviso por pares, mas com
independncia no que se refere roteirizao, investigao e anlise e produo do relato.
Em linhas gerais, a auditoria de segurana da informao pretende assegurar que os ati-
vos de informao, considerados os objetos de auditoria em segurana da informao, este-
jam absolutamente sob controle da organizao. Para tal, preciso verificar que os controles
estejam de acordo com as normas e polticas de segurana estabelecidas para esses ativos,
bem como se o que est em operao alcana os objetivos de segurana definidos. A auditoria
de segurana de informao envolve tambm o provimento de uma avaliao independente
dos controles da organizao (normas, polticas, padres, procedimentos, prticas, mtricas
e mecanismos) empregados para salvaguardar a informao, em formato eletrnico ou no,
contra perdas, danos, divulgao no intencional e indisponibilidades. Por fim, a auditoria
uma atividade realizada na forma de aes projetizadas, que tem um incio, meio e fim, e que
visam produzir resultados dentro de custos, prazos e qualidades esperadas. Para alcanar tais
objetos, as auditorias, projetos individuais, agrupam-se em programas, que compreendem a
realizao de vrias auditorias ao longo de um perodo de tempo de meses ou anos, e que
visam melhorar sistematicamente o desempenho, a eficincia e a segurana organizacionais.

7
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

1.1 Princpios Gerais

Figura 1. O Papel do Auditor numa Auditoria.


Fonte: Adaptado de Fernandes (2009).

Embora a ateno e o motivo de se realizar auditorias de segurana da informao seja


a existncia de ativos de informao, preciso que o auditor domine no s o conhecimento
especializado necessrio, mas tambm todo o processo e os princpios de auditoria geral, pois
os mesmos se aplicam auditoria de segurana da informao. A ttulo de ilustrao dos prin-
cpios gerais de auditoria, a Figura 1 mostra as principais relaes entre um gestor, um auditor,
os intervenientes ou interessados numa organizao (tambm chamados de stakeholders) e
os agentes que executam os processos organizacionais sob direo do gestor. Primariamente,
interesses dos intervenientes e da gesto devem estar alinhados, ou seja, as aes devem ca-
minhar no mesmo sentido, conforme os objetivos de negcio da organizao. Como o gestor
o principal responsvel pela organizao, este alinhamento de interesses deve ocorrer entre
os intervenientes e o gestor.
No Curso de Especializao em Gesto da Segurana da Informao, edio 2007/2008,
foram desenvolvidas algumas monografias que abordaram o tema auditoria, que esto suma-
rizadas em Fernandes (2010d).

1.2 Controle Interno


A Figura 1 ilustra que, na organizao, existe um elemento responsvel pelo controle dos
processos da organizao, chamado de controle interno. O controle interno compreende todo
o conjunto de controles, implementado sob responsabilidade da gesto da organizao. Tem
por objetivo assegurar que as mirades de processos executados pelos agentes humanos e
computacionais da organizao - em ltima instncia sob sua responsabilidade - no sofrero
desvio de finalidade. Dado que o gestor declara fatos sobre o desempenho das atividades da
organizao, periodicamente e para o interesse dos intervenientes, faz-se necessrio recorrer

8
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

a um profissional especializado, o auditor, para opinar sobre a veracidade de tais declaraes.


Uma vez que invivel ao auditor examinar minuciosamente a ocorrncia de todos os proces-
sos e atividades realizados pela organizao, mesmo ao longo de um curto perodo de tempo,
o trabalho do auditor basicamente consiste em verificar que as declaraes do gestor esto
satisfatoriamente coerentes com as condies observadas no controle interno, emitindo uma
opinio fundamentada acerca de tais declaraes. O auditor tem como clientes os intervenien-
tes, inclusive o prprio gestor, no caso de uma auditoria interna.
Note que o controle interno, representado graficamente por um hexgono de tubos que
conduzem fluxos de processos, consiste num complexo sistema de informaes, acoplado
aos processos organizacionais. Os princpios do controle interno esto descritos em modelos
como o COSO (), adotado em modelos como o COBIT. Os componentes de um sistema de con-
trole interno, segundo o COSO (2007), so:

Ambiente de Controle

O ambiente de controle um ambiente organizacional favorvel ao controle. Consiste


num conjunto de aes que prov disciplina e estrutura organizao. baseado nos princ-
pios da integridade, em valores ticos e em competncia, definindo um padro de conduta,
especialmente por parte da gesto.

Avaliao do risco

A avaliao de risco consiste na identificao, anlise e priorizao de riscos relevantes,


relacionados ao alcance dos objetivos da organizao. Os riscos devem ser analisados apenas
quando forem relevantes para o alcance dos objetivos da organizao. Estes objetivos devem
ser claramente definidos.

Atividades de Controle

Segundo o COSO (2007), atividades de controle so polticas e procedimentos que ga-


rantem a realizao das diretivas da gesto, as quais devem ser estabelecidas e comunicadas
atravs de toda a organizao, em todos os nveis e atravs de todas as funes. Tais atividades
devem ser diretamente ligadas ao tratamento dos riscos para alcance dos objetivos.

Informao e Comunicao

Segundo o COSO (2007) o componente informao e comunicao de um sistema de con-


trole interno compreende criar um ambiente onde as necessidades de informao organizacio-
nais so satisfeitas. A informao gerida em todos os nveis da organizao, visando o alcance
dos objetivos de negcio. A gesto comunica-se efetivamente com os agentes da organizao.
H canais efetivos e mtodos no retributivos para comunicar informaes significantes para os
nveis superiores da organizao. H tambm efetiva comunicao entre a gesto e o conselho,
de modo que cada qual tenha conhecimento de seus papis relativos governana.

Monitoramento

Segundo o COSO (2007), monitoramento uma avaliao, por pessoal apropriado, acerca
do desenho e operao de controles de uma forma adequadamente regular e a tomada de
aes necessrias. O monitoramento pode ser efetuado por meio de atividades contnuas e
avaliaes separadas. Os sistemas de controle interno devem ser estruturados para monitora-
rem a si mesmos de forma contnua, at um certo de grau, de modo que quanto maior for o
grau e a efetividade do monitoramento contnuo, menor a necessidade de avaliaes separa-
das. Por fim, tambm conforme o COSO, usualmente, alguma combinao de monitoramento
contnuo e avaliaes em separado garantir que o sistema de controle interno manter sua
efetividade ao longo do tempo. A auditoria uma abordagem de avaliao em separado.

9
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

Texto complementar
No caso do Brasil, a Lei n10.180, de 2001, organiza e disciplina os Sistemas de Planejamento e de Or-
amento Federal, de Administrao Financeira Federal, de Contabilidade Federal e de Controle Interno do
Poder Executivo Federal, e d outras providncias. O Ttulo V desta Lei descreve as finalidades, a organi-
zao e as competncias deste controle interno, coordenado pela Secretaria Federal de Controle Interno da
Controladoria Geral da Unio, e que, dentre outras atribuies deve realizar auditorias nos sistemas cont-
bil, financeiro, oramentrio, de pessoal e demais sistemas administrativos e operacionais.

1.3 Auditoria e Controle, Interno e Externo


Quem avalia o controle interno de forma regular e freqente a auditoria interna. Outra
forma de controlar a organizao por meio de uma controladoria externa (no mostrada),
que tambm compreende um sistema de controle da organizao, mas que no est sob a
responsabilidade do gestor da organizao. A controladoria externa ou controle externo tem
a vantagem de ser muito mais independente de influncias do gestor que no caso do contro-
le interno, mas apresenta como desvantagem a dificuldade no acesso s informaes, visto
que no se encontra embutida nos processos organizacionais. Parte da controladoria externa
envolve a realizao de auditorias externas. No Brasil, o exerccio da controladoria externa da
Administrao Pblica Federal realizado pelo Congresso Nacional, com auxlio preponde-
rante do Tribunal de Contas da Unio. No ser aprofundada neste texto a distino entre
controle interno e externo, nem entre auditoria interna e externa, mas importante destacar
que a auditoria interna tambm est sujeita ao controle feito por auditores externos. De outra
forma, considervel parte das informaes providas para auditorias externas fornecida pela
auditoria interna. Independentemente disso, o Auditor deve, acima de tudo, atuando de for-
ma interna ou externa, ser capaz de emitir uma declarao em que analisa e avalia, com toda
lisura, aquilo que se definiu como sensvel segurana da organizao, lisura essa tpica da
atividade de auditoria. Tudo isto feito em benefcio dos intervenientes ou stakeholders, que
no caso das organizaes pblicas se constituem a prpria sociedade qual devem atender.

Texto Complementar
Auditoria Contbil
O tema Auditoria herda um arcabouo conceitual slido da rea contbil, onde mais se desenvolveu. A
auditoria contbil tem como objeto as contas pblicas ou privadas, seja para verificar o desempenho da
organizao frente ao seus objetivos de lucros nas organizaes privadas, seja na verificao da prestao
de contas nas organizaes pblicas. Tem ainda a funo de verificar que os registros contbeis esto em
conformidade com as normas e procedimentos exarados nos marcos regulatrios da atividade contbil. A
funo da contabilidade no s ser um instrumento de deciso, mas tambm de informao. Na medida
em que a informao passa a ser o bem mais precioso das organizaes na era da Sociedade da Informao,
h tendncia de convergncia entre as atividades de auditoria contbil e de segurana da informao. No
de somenos importncia mencionar que o resultado de auditorias contbeis tem srias implicaes sociais
e econmicas nas esferas pblicas e privadas pelos impactos que podem provocar na vida das pessoas em
funo de sua natureza alocativa.

1.4 Porque Necessria a Segurana da Informao?


A auditoria de segurana da informao s tem sentido por permitir melhoria do trata-
mento da informao na organizao. Ela cumpre basicamente as mesmas funes de uma au-
ditoria de sistemas de informao, tais como descritos por Imoniana (2004) e por Schmidt, dos
Santos e Arima (2005). A informao produzida, identificada, armazenada, distribuda, usada
e processada em todos os nveis da organizao, visando o alcance dos objetivos de negcio,

10
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

sejam eles pblicos ou privados. Essas atividades constituem a gesto da informao, que tem
suas prticas definidas pelos sistemas de informao que apiam os processos de trabalho na
organizao, sejam eles manuais ou automticos. A gesto da informao tem fundamentos
na administrao, na contabilidade, na arquivologia, nas tecnologias da informao e da co-
municao, nas cincias da informao e da computao, entre outras. Como ferramenta de
segurana, a gesto da informao lana mo de elementos organizacionais, humanos, fsicos
e tecnolgicos, integrados por meio de arquitetura e engenharia de sistemas, ou de forma
mais geral atravs de uma abordagem ciberntica.
O objetivo da auditoria da segurana da informao, aderente ao componente de monito-
ramento do COSO (2007) ento o controle de informaes relevantes para o relato da gesto,
conforme tais informaes so produzidas, identificadas, armazenadas, distribudas, usadas e
processadas, dentro dos parmetros estabelecidos pelos processos de controle da organiza-
o, a fim de suportar o alcance dos objetivos de negcio.
Note que o controle, mesmo sendo necessrio para o alcance de garantias para o desem-
penho organizacional, cria limitaes s aes dos agentes que executam processos na orga-
nizao. Ou seja, por sua prpria natureza e necessidade, produz cerceamento de liberdade de
aes dos agentes, que se no fossem feitas levariam ao caos. Desta forma importante que
todos estes agentes recebam uma clara mensagem da alta administrao quanto forma de
tratar a informao com segurana, pois central para o controle dos negcios e alcance da
misso institucional. As responsabilidades individuais dos agentes devem ser alinhadas com
essa mensagem (viso de segurana) e a questo da segurana da informao deve ser embu-
tida na cultura organizacional.
A mensagem da necessidade de segurana da informao usualmente estabelecida por
uma poltica. A poltica de segurana da informao, tratada em detalhes no texto de Souza
Neto (2010), deve tornar claro que cada participante ou colaborador na organizao (agentes
em geral) um ator relevante quando se trata de proteger ativos de informao, principalmen-
te aqueles considerados estratgicos ou crticos. Os agentes devem estar cientes dos riscos de
segurana existentes e das medidas preventivas que devem ser tomadas (OECD, 2002). Alm
disso, responsabilidades claras devem ser atribudas aos agentes, de modo que se possam dis-
tribuir tarefas especficas ou gerais para que se esteja sempre aperfeioando os mecanismos
de segurana da informao implantados. De forma mais prtica, a poltica de segurana da
informao o principal controle de segurana numa organizao, e a ele se articulam (e na
maioria dos casos se subordinam) todos os demais controles

1.5 Porque Auditar a Segurana da Informao?


Porque importante auditar a segurana da informao? O objetivo , basicamente, ates-
tar que os controles de segurana em prtica so eficientes e eficazes. Tal evita exposies da
organizao a riscos que podem provocar danos, se concretizados. Mair (1998) indica que a
introduo de controles evita:
1. manter registros de informao que esto errados;
2. contabilizar informaes que no so aceitveis;
3. interromper o negcio;
4. decidir erroneamente sobre gerenciamento; e dentre outras razes
5. evitar fraudes.
No ambiente desregulado dos sistemas de informao expostos Internet, tambm im-
portante destacar que os controles evitam que a organizao esteja sujeita a ataque de hackers.
Esse texto apresenta uma introduo aos mtodos, processos e tcnicas de auditoria de
segurana da informao, muitos dos quais tem sua origem na auditoria contbil. Comple-
menta o texto informaes bsicas sobre normativos e organizaes do servio pblico vincu-
ladas questo. Para explorar esses e outros assuntos, o restante desse texto est organizado
em mais 11 sees, que so:

11
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

Seo 2: Descreve em linhas gerais um processo de auditoria de segurana da informao.


Seo 3: Descreve os propsitos e a organizao de uma uma auditoria de segurana
da informao.
Seo 4: Descreve o que a Roteirizao da Auditoria
Seo 5: Descreve os principais objetos e pontos de controle gerais para a auditoria
de gesto de segurana da informao.
Seo 6: Descreve objetos e pontos de controle mais adequados auditoria de de-
sempenho operacional de segurana da informao.
Seo 7: Descreve objetos e pontos de controle mais adequados estratgia de audi-
toria de conformidade de segurana da informao.
Seo 8: Apresenta um modelo de plano de segurana, orientador essencial audito-
ria, bem como discute o papel da gesto de riscos de segurana.
Seo 9: Apresenta instrumentos, ferramentas e servios auxiliares que devem ser
usados para organizar, automatizar e agilizar a atividade de auditoria.
Seo 10: Descreve alguns produtos ou artefatos que so as entregas que um auditor
de segurana da informao deve produzir aps executar uma roteirizao de audi-
toria.
Seo 11: Descreve como se organiza um programa de auditoria, ou um conjunto de
auditorias associadas
Seo 12: Apresenta consideraes Finais. Descreve as limitaes do texto e da pos-
sibilidade de trabalhar com auditoria em segurana da informao de forma vivel e
organizada.

12
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

2. Processo de Auditoria de Segurana da


Informao
Esta seo apresenta um processo simplificado de auditoria de segurana da informa-
o. Vrios modelos de processo e metodologias de auditoria de sistemas e de tecnologia da
informao podem ser encontrados na literatura, alguns deles criados pelas organizaes
pblicas que atuam como rgos de controle interno e externo. O modelo descrito a seguir
composto por 9 passos:
Gesto do projeto ou do programa de auditoria
Deciso sobre o propsito da auditoria
Identificao de objetos e pontos de controle
Definio de tcnicas para obter evidncias e procedimentos de controle
Montagem da roteirizao de auditoria
Coleta e registro de evidncias em papis de trabalho
Verificao, validao e avaliao de evidncias
Produo de pareceres e outros entregveis
Acompanhamento ps-auditoria

Estes passos so detalhados a seguir.

2.1 Gesto do Projeto ou do Programa de Auditoria


Auditorias isoladas e espordicas so pouco eficazes, alm de dispendiosas. O primeiro
passo numa auditoria estabelecer a gesto do projeto ou dos projetos que constituem um
programa de auditoria. Auditoria , em geral, um trabalho de equipe, realizado na forma de
um projeto, no qual esto envolvidas pessoas, que executaro uma srie de atividades tcnicas
especializadas, produzindo um resultado demandado por um cliente, dentro de prazos, custos
e qualidades esperadas. O escopo da auditoria precisa ser bem delimitado, as comunicaes
entre os membros do projeto e com os clientes precisam ser bem organizadas. necessrio
fazer monitoramento da ao e tomada de aes corretivas.
O projeto de uma auditoria, como qualquer outro, sujeito a desvios e riscos, que preci-
sam ser monitorados e controlados visando produo de resultados com qualidade. pre-
ciso, ento, que haja na equipe de auditoria um grupo responsvel por planejar e gerenciar a
atividade de auditoria per se. Recomenda-se usar o modelo do Guia PMBOK (PMI, 2004) como
orientador geral de planejamento e gesto de projetos, bem como recorrer norma ISO 19011
(ISO, 2002) acerca do processo de gesto de vrios projetos de auditoria integrados, executa-
dos ao longo de vrios anos na forma de um Programa de Auditoria.
Em suma, o planejamento consiste em amalgamar competncias que tenham conheci-
mento especializado daquilo que se quer auditar e que tenham habilidade e autorizao para
acesso amplo s diversas fontes de informao necessrias. O planejamento deve produzir, ao
final, um plano de gerenciamento de uma auditoria especfica, ou de forma coletiva, um plano
de gerenciamento do programa de auditoria, que servir de referncia para se executar vrias
auditorias correlacionadas. A Seo 11 deste texto detalha mais os resultados desta atividade.

2.2 Deciso sobre o Propsito da Auditoria


O segundo passo numa auditoria de segurana da informao decidir acerca do prop-
sito da auditoria, que pode variar entre verificar situaes suspeitas, eventos ou ocorrncias
que merecem ateno acurada e entre analisar os riscos de segurana a que a organizao
pode estar exposta (ver seo 7).

13
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

Somente uma anlise contextualizada, produzida por um auditor poder indicar qual o
melhor propsito da auditoria. Questes especficas sobre propsito de uma auditoria de se-
gurana da informao so descritas na Seo 3.

2.3 Identificao de Objetos e Pontos de Controle


O terceiro passo numa auditoria de segurana da informao compreende analisar o sis-
tema de controle interno do auditado, identificando onde os elementos do controle interno
se encaixam nos objetos (ou objetivos) e pontos de controle, descritos de forma genrica no
plano de auditoria que foi estruturado na fase de planejamento. Junto a estes objetos e pontos
se espera obter evidncias a respeito da situao atual da organizao, quanto segurana da
informao. Para realizar exames aprofundados preciso definir o que ser auditado, que so
os objetos de auditoria (OA). Tais objetos so elencados e selecionados de acordo com o con-
texto e os propsitos da auditoria. Em seguida so elencados pontos de controle (PC) para
cada objeto de auditoria selecionado. Um PC caracteriza situaes especficas que podem ser
relacionadas a produtos, processos, procedimentos, eventos ou qualquer outro item observ-
vel e relevante para uma auditoria de segurana.
So os objetos de auditoria e pontos de controle itens que, uma vez categorizados, orien-
tam as observaes e testes da auditoria.

Destaque
Pontos de controle podem remeter a artefatos fsicos, como placas de sinalizao e instalaes fsicas ou
artefatos lgicos tais como senhas de acesso a sistemas. Portanto, podem ser fsico ou lgicos, tangveis ou
intangveis. Desvios ou percepes de riscos devem ser examinados para se identificar quais pontos de con-
trole tm relao com esses riscos, definindo seu grau de criticidade para a segurana. A busca de indcios
e evidncias de situaes de insegurana que merecem ateno e sua correta interpretao pode levar a
uma constatao ou achado importante, desde que executados com mtodos claros e reproduzveis, e, se for
o caso, com mtodos cientficos. Veja, por exemplo Lopez (2010).

Modelos como o do COBIT (Control Objectives for Information Technology), descrevem


um conjunto de objetivos (objetos) de controle e pontos de controle, tpico de Organizaes
de Tecnologia da Informao. Note que nem todos os objetivos declarados no COBIT 4.1 so
relacionados segurana da informao. O modelo, em sua verso 4.1 (ITGI, 2007), apresenta
318 objetivos de controle agrupados em 34 arqutipos de processos de organizao de TI.
Os 34 processos organizacionais so agrupados em 4 domnios (Planejamento e Organizao,
Aquisio e Implementao, Entrega e Suporte de Servios de TI, alm do Monitoramento e
Avaliao). Os 318 objetivos de controle so subdivididos (implementados) com pontos de
controle (chamados no COBIT de prticas de controle).

2.4 Definio de Tcnicas para Obter Evidncias e


Procedimentos de Controle
Uma vez identificados objetos e pontos de controle possvel elencar as tcnicas que
sero usadas para a obteno de evidncias que sejam suficientes, adequadas, relevantes e
teis para a concluso dos trabalhos (CPLP, 2009), bem como os procedimentos de controle
(tambm chamados de testes) que sero efetuados junto aos pontos de controle, permitindo a
montagem da roteirizao detalhada. Estes conceitos so explicados a seguir.

14
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

2.4.1 Definio de Tcnicas


Segundo o Manual de Controle Interno, criado pelos Organismos Estratgicos de Controlo/
Controle Interno da Comunidade de Pases de Lngua Portuguesa (CPLP, 2009), so exemplos de
tcnicas gerais para a obteno de evidncias numa auditoria: a entrevista e o questionrio; a
anlise documental; a conferncia de clculos; a confirmao externa; o cruzamento ou correla-
o de informaes; o exame ou inspeo fsica; a observao direta envolvendo identificao
da atividade a ser observada, observao de sua execuo, comparao entre o comportamento
observado e os padres, avaliao e concluso; o corte das operaes e o rastreamento.
Cada tcnica tem elo direto com o propsito da auditoria, com a natureza do negcio e
com o nvel de maturidade da organizao em matria de segurana da informao.
2.4.2 Preparao ou Seleo de Procedimentos de Controle e Testes
Segundo CPLP (2009), os procedimentos de controle so um conjunto de verificaes e
averiguaes previstas num programa de ao [ex: auditoria], que permite obter evidncias
ou provas suficientes e adequadas para analisar as informaes necessrias formulao e
fundamentao da opinio por parte dos auditores pblicos. Os procedimentos de controle
so especficos para cada ponto de controle, e descrevem os resultados que devem ser obtidos
junto a cada ponto de controle, por meio de testes. Cabe ao auditor escolher que tipo de teste
vai realizar, e os testes so estratificados em dois nveis de profundidade: os testes de controle
ou observao; e os testes substantivos ou de sondagem.
Os testes de controle so executados por meio de observao do funcionamento dos
controles existentes, e visam obter razovel confiana de que os controles esto em efetivo
funcionamento e cumprimento.
Cabe ao auditor avaliar o nvel de risco tolerado (DUNN, 1991, p.111) para emisso de sua
prpria opinio com o devido cuidado profissional, a fim de decidir em que momento parar
os testes.
Os testes substantivos demandam mais criatividade e esforo do auditor e so aplica-
dos quando h dvidas acerca da adequao do controle j testado. Vrias tcnicas, analticas,
de simulao (CHAIM, 2010) ou de ensaio podem ser aplicadas para a realizao de testes
substantivos de segurana da informao, como teste de vulnerabilidade, testes de penetra-
o. Todas as tcnicas, na rea de segurana da informao, esto de forma direta ou indireta
associadas com a anlise e avaliao de riscos de segurana. Segundo ITGI (2000), os testes
substantivos visam documentar a vulnerabilidade e os riscos associados ao ponto de controle.
Modelos de auditoria como o antigo manual de auditoria do COBIT 3.0 (ITGI, 2000), o livre-
to de padres, guias e procedimentos de auditoria e controle do ISACA (2009) apresentam um
extenso conjunto de procedimentos que podem ser empregados em auditoria de segurana
da informao, para orientar a execuo de testes.

2.5 Montagem da Roteirizao Detalhada


A roteirizao detalhada de auditoria o roteiro dos procedimentos e testes que sero ou
podero ser executados pelo auditor. A roteirizao montada para que o auditor use da for-
ma mais eficaz o tempo em que estar no ambiente do auditado, bem como para uniformizar
os procedimentos de uma equipe da qual participam diversos auditores.
Cada empresa ou organizao de auditoria dispe de templates ou esqueletos de roteiri-
zao padronizada, visando agilizar a montagem da roteirizao para uma auditoria especfica.
A roteirizao descreve a sequencia de passos a seguir, e deve ser sucinta e objetiva, para
facilitar a execuo pelo auditor. Para facilitar a compreenso de conceitos complexos, que
muitas vezes so articulados ou referenciados numa roteirizao. A roteirizao deve fazer
referncia a documentos mais detalhados e descritivos, como normas, guias e padres, por
exemplo: ISACA (2009) e ITGI (2000).

15
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

2.6 Coleta e Registro de Evidncias


O sexto passo numa auditoria consiste em coletar e registrar evidncias para fins de ava-
liao, e pode ser organizado em trs aspectos.

2.6.1 Coleta de evidncias


A coleta feita no ambiente do auditado. A roteirizao detalhada orienta as aes dos
auditores em campo durante a coleta e anlise de evidncias, em geral elaborada em forma-
to de formulrios, em papel ou meio digital, que quando preenchidos auxiliam e sumarizam
dados para anlise.

2.6.2 Papis de trabalho


Os papis de trabalho (documentos de trabalho ou working papers) constituem os regis-
tros das evidncias, aes e decises realizadas pelo auditor. So preparados no ambiente do
auditado, mas so de propriedade do auditor e devem ser arquivados com obedincia ao sigi-
lo. So papis de trabalho: (i) os formulrios preenchidos com a execuo da roteirizao, (ii)
os registros de anlises e testes de controle e testes substantivos realizados pelo auditor e (iii)
outras anotaes de interesse. Os papis de trabalho so a memria de clculo da execuo
da roteirizao, podendo ser usadas pelo auditor no esclarecimento de dvidas futuras. As evi-
dncias, contidas nos papis de trabalho, so entrecruzadas com os objetos de auditoria e seus
respectivos pontos de controle pertinentes, e desta forma faro parte de uma lista elaborada
pelo Auditor como de possvel interesse para a anlise. Para mais detalhes ver CPLP (2009).

2.6.3 Organizao da informao


Para que a informao contida nos papis de trabalho possa ser til, inclusive durante a
fase de anlise, essencial a organizao adequada da documentao e das informaes, por
meio de instrumentos como ndices, tabelas de contedo, inclusive porque outros auditores
que no participaram da coleta de evidncias devero ter capacidade de avaliar ou participar
do trabalho em momento posterior.

2.7 Verificar, Validar e Avaliar Evidncias


O stimo passo numa auditoria consiste em, rigorosamente, verificar, validar e avaliar as
evidncias obtidas. Muitas delas, que parecem desconectadas em um momento, devem co-
mear a fazer sentido de acordo com os achados ou fatos constatados. Pode-se iterar e voltar
a coletar e registrar novas evidncias, conforme se mostrem insuficientemente conclusivos os
dados coletados. Isto ocorre, sobretudo, quando no se tem experincia com o tipo de audito-
ria e os objetos de controle auditados. A conexo lgica entre evidncias, achados e fatos pode
ser estabelecida na roteirizao detalhada, mas no deve ser considerada como nica fonte de
achados. A roteirizao serve como instrumento para guiar o julgamento do auditor. Os papis
de trabalho organizado permitem a recuperao de informao.

2.8 Produo de Pareceres e outros Entregveis


O passo final nesse modelo simplificado de processo de auditoria a produo de pareceres
com recomendaes e concluses do Auditor. Cada passo pode liberar entregas, como mostrado
na Figura 2, destacando-se como produtos da auditoria: o plano de auditoria, os relatrios situa-

16
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

cionais de auditoria e os pareceres. O Auditor dever produzir pelo menos um plano de auditoria,
um relatrio situacional e um parecer para cada engajamento de auditoria (ver Seo 8).

2.9 Acompanhamento Ps-Auditoria


Conforme orienta a norma ISO 19011 (ISO, 2002), o acompanhamento ps-auditoria ocor-
re sempre no mbito de um programa de auditoria. preciso ter bem definidas as competn-
cias e a forma de avaliao dos auditores, bem como as atividades que sero realizadas. Esse
acompanhamento uma atividade de gesto, seja para garantir mudanas, seja para sustentar
boas prticas que devem persistir. A constituio de um programa de auditoria descrita na
Seo 11 deste texto.

17
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

3. Propsitos e Organizao da Auditoria


Os conceitos de objetos de auditoria e pontos de controle organizam as situaes, ocor-
rncias e evidncias que parecem merecer a ateno de uma auditoria de segurana da infor-
mao. Seguindo a tradio contbil, as auditorias de segurana so classificadas em trs tipos:
de gesto, operacional (Cruz, 97) e de conformidade, conforme mostra a Figura 2.

Figura 2. Tipos, objetos e pontos de controle de auditoria.

Cada um dos tipos de auditoria pode seguir mtodos diferentes e possui um arcabouo
conceitual e necessidades de especializao distintas.

3.1 Auditoria de Gesto


A auditoria de gesto verifica que as aes para acompanhar ou tomar decises a respeito
de itens de segurana estejam em plena execuo. Tomando-se por base a Figura 1, a auditoria
de gesto est mais relacionada com a avaliao das declaraes efetuadas pelo gestor. Mais
detalhes na Seo 5.

18
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

3.2 Auditoria de Desempenho Operacional ou Auditoria


Operacional
A auditoria de desempenho operacional, por sua vez, se baseia essencialmente em indi-
cadores de desempenho e na constatao de que as aes de segurana esto ou no funcio-
nando, alm de em descries que informam sobre quo efetivos e eficazes so os controles
para proteger os ativos de informao. Para essa auditoria, alm dos pontos de controle, par-
metros de desempenho devem ser definidos para aferio de resultados esperados. Com base
na Figura 1, a auditoria operacional se debrucaria sobre o funcionamento dos controles e os
efeitos que tais controles produzem sobre a reduo dos riscos de segurana da organizao.
A auditoria de desempenho operacional correlaciona, necessariamente, os controles e os pro-
cessos que eles controlam (ver Figura 1). Mais detalhes na Seo 6.

3.3 Auditoria de Conformidade


A auditoria de conformidade pode ser realizada sem que o auditado seja solicitado a justi-
ficar ou opinar sobre o contedo obtido, j que o foco sobre os controles de segurana. Com
base na Figura 1, a auditoria de conformidade buscaria verificar que os controles de segurana
que constituem parte do controle interno esto implementados e funcionais. A auditoria de
conformidade tambm tem forte lastro no arcabouo normativo da organizao. No caso de
questes relacionadas segurana e ao tratamento da informao no Brasil, o leitor remetido
compilao produzida por Vieira (2009). Mais detalhes na Seo 7.

3.4 Qual Tipo de Auditoria Empregar?


Os trs tipos de auditoria permitem planejar auditorias com enfoque determinado e de-
vidamente contextualizado. Os tipos so teis para organizar, de forma anloga auditoria
contbil, uma metodologia de trabalho para auditar segurana da informao. Observe, no
entanto, que tal diviso apenas uma conveno. Por exemplo, a auditoria de desempenho
operacional poderia ser parte da auditoria de gesto, j que se preocupa com desempenho ou
resultados. Destaca-se aqui o fato de que auditorias operacionais avaliam o como a segurana
implementada, enquanto que a auditoria de gesto destaca as decises gerenciais e as prio-
ridade resultantes que conduzem da melhor maneira possvel essas operaes de segurana.
Para cada ao de auditoria, objetos de auditoria devem ser demarcados, conforme mos-
tra a Figura 2. Os pontos de controle devem ser selecionados segundo a natureza do obje-
to de auditoria. Considerando que um objeto de auditoria funciona normalmente dentro do
comportamento esperado, por exemplo, uma poltica de segurana que seguida, os pontos
de controle correspondentes produziro as informaes esperadas para esse objeto. Todo o
resultado culminar em um relatrio de auditoria e um parecer com as devidas consideraes
e concluses, conforme j mencionado.
Ao se trabalhar com segurana de informao se deve considerar as trs atributos clssi-
cos da segurana: integridade, disponibilidade e confidencialidade (ou sigilo). A verificao de
integridade permite descobrir se a informao foi produzida de forma incoerente com a rea-
lidade, ou alterada por aes que apontam para possveis fraudes que podem trazer impacto
organizao. A verificao de disponibilidade permite avaliar possveis riscos que emergem
da indisponibilidade frequente de ativos de informao sensveis. A verificao de confiden-
cialidade, ponto de controvrsia na administrao pblica, merece muita ateno. Permite
identificar o risco de que a informao seja acessada por agentes no autorizados, quando na-
quele determinado momento ela no deveria ser de acesso ao pblico. Existem um conjunto
razovel de decretos e instrues (ver Anexo I) que demonstram uma crescente preocupao
com essa questo. Essas trs verificaes devem permear os trs tipos de auditoria, quando
abordando segurana da informao.

19
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

4. Arcabouo de Roteirizao de uma


Auditoria
Tradicionalmente a auditoria tem o propsito de verificar categorias de controle gerais ou
especficas de objetos de auditoria (TCU, 98). Os controles gerais so aqueles que de alguma
forma aparecem com propriedades ou procedimentos gerais e que sempre so observados,
por exemplo: controle de acessos fsicos a instalaes. Os controles especficos so aqueles
que apontam para um determinado elemento de ateno, por exemplo, acesso de usurios a
um determinado banco de dados.
Uma vez que a quantidade de informao a ser coletada pode facilmente fugir ao controle
do auditor e exceder os custos e o tempo estimados, preciso recorrer sempre a uma roteiri-
zao de auditoria em mos.
Embora sejam possveis outros tipos de auditoria para formatar uma roteirizao, nos de-
teremos nos trs tipos j descritos: de gesto, operacional e de conformidade.
Para cada tipo a roteirizao ter um conjunto de objetos de auditoria e seus respectivos
pontos de controle, ou seja, eventos, acontecimentos, aes, produtos, espaos ou qualquer
coisa que merea ateno em termos de segurana da informao e que seja de interesse au-
ditar, dada a sua criticidade para os negcios da organizao. O Quadro 1 mostra um exemplo
simples de organizao de pontos de controle para um objeto de auditoria chamado poltica
de segurana da informao.

Quadro 1. Trecho de roteirizao para o objeto de auditoria Poltica de Segurana da Informao.


Sequncia
Objeto(s) de auditoria Pontos de Controle
de auditoria
objetivo
recursos
riscos
custos (anlise econmica)
responsabilidades
Poltica de Segurana da Informao perfis
requisitos de acesso
classificao de documentos
ferramentas de segurana etc.

A sequncia de auditoria do Quadro 1 corresponde aos pontos de controle de auditoria


que sero verificados, segundo uma estratgia expressa em uma roteirizao de auditoria. A
Figura 3 mostra uma esquematizao de um programa de auditoria, proposto aqui para ilus-
trar como uma auditoria de segurana da informao poderia ser organizada. A roteirizao
de auditoria lana mo dos trs tipos de auditoria, conforme os objetos de auditoria melhor se
acomodam aos propsitos de cada tipo.

20
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

Figura 3. Um arcabouo de roteirizao de auditoria de segurana da informao.

Na auditoria de gesto o foco a estrutura organizacional e tpicos como segregao de


funes, existncia de poltica de segurana da informao e adequabilidade dos planos de se-
gurana. A parte da documentao, como parte da poltica, diz respeito mais forma de arqui-
vamento, convenes de ttulos para documentos e existncia de controle de verses e revises.
No caso da auditoria operacional, o interesse pode ser na segurana das operaes im-
plantadas e nos recursos fsicos que suportam essas operaes, tais como as instalaes, equi-
pamentos e dispositivos de redes. Tambm a segurana lgica pode ser avaliada com auditoria
operacional e compreende avaliao do funcionamento dos sistemas, programas e processos
com foco nos dados gerados e nas informaes produzidas. A questo dos usurios tambm
parte dessa auditoria, pois se preocupa com o acesso de pessoas s instalaes, a sistemas, a
programas ou qualquer recurso relacionado com os ativos de informao. Ainda na auditoria

21
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

operacional se tem a preocupao com a eficincia e eficcia das operaes, cuja inobservn-
cia compromete os resultados aumentando os riscos.
No caso da auditoria de conformidade, os objetos de auditoria tm como propsito ga-
rantir a integridade, a disponibilidade e a confiabilidade desses ativos conforme preconizam
os padres e especificaes determinados pela e para a organizao dos controles em prtica.
Pontos de controle requerem observncia de regras que esto mais sujeitas a questes de con-
sistncia da regras ou de aderncia das aes de segurana em face do que est determinado
nas regras. Nas sees seguintes so apresentados detalhes de cada tipo de auditoria.

22
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

5. Auditoria de Gesto em Segurana da


Informao
Como j abordado, a Auditoria de Gesto tem o propsito de verificar como as atividades de
gesto da segurana da informao esto sendo realizadas. Consiste basicamente em verificar
que os processos de segurana e suas atividades foram implantados plenamente e que as metas
de segurana traadas esto sendo alcanadas. Visa tambm verificar as atividades de apoio que
lidam com incidentes, ameaas ou vulnerabilidades j identificadas; subsidiar novas aes ne-
cessrias ao atendimento de demandas; e alterar os controles previamente definidos. Por exem-
plo, investigar os servios de atendimento de um help desk tarefa da auditoria de gesto.
O que se quer alcanar com esse tipo de auditoria a confirmao de que os procedimentos
previstos no plano de segurana (Ver Seo 8) esto presentes ou, se no esto, quais foram os
desvios que levaram a essa ausncia. Em caso de desvios, deve-se relacionar o que ou quem est
fora das diretrizes definidas no plano de segurana frente a um padro de desempenho espe-
rado pela gesto da segurana. Alguns objetivos de auditoria de gesto listados abaixo foram
adaptados de Imoniana (Imoniana, 2005) e do manual de sistemas do TCU (TCU, 98), a saber:
Estrutura organizacional
Poltica de segurana
Documentao
Cultura de segurana
Pesquisa sobre incidentes
Sistema de segurana
Registros de auditoria
Plano diretor de tecnologia da informao (PDTI)

Estes objetivos so detalhados a seguir.

5.1 Estrutura Organizacional


No possvel implantar segurana da informao sem que haja uma estrutura organiza-
cional apropriada para tal. Um primeira providncia se preocupar com segregao de fun-
es. Quem executa uma ao no pode ser aquele que controla os estgios dessa ao. O
manual de auditoria de sistemas do TCU (TCU, 1998) enumera uma lista de elementos crticos
(pontos de controle) para avaliao dos controle organizacionais, a saber:
5.1.1 As unidades organizacionais responsveis por segurana devem ser bem defini-
das, com nveis claros de autoridade, responsabilidades e habilidades tcnicas neces-
srias para exercer os cargos.
5.1.2 Atividades dos funcionrios envolvidos com segurana devem ser supervisio-
nadas e controladas atravs de procedimentos padres devidamente documentados
com polticas claras de seleo, treinamento e avaliao de desempenho desses pro-
fissionais.
5.1.3 Poltica de segregao de funes e controles de acesso deve ser constantemen-
te perseguida para garantir na prtica a idoneidade dos processos.
5.1.4 Indicadores de gesto para auscultar os recursos computacionais que esto sob
procedimentos de segurana devem ser estabelecidos. Mecanismos de segurana
no podem provocar mau desempenho dos recursos.

Note que a lista apresentada no exaustiva.

23
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

5.2 Poltica de segurana para a organizao


Sem uma poltica de segurana da informao (PSI) discutida por todos os setores, qual-
quer procedimento de segurana ser aleatrio e, provavelmente, ir entrar em conflito com
outras iniciativas. A PSI pode trazer referncias explcitas aos padres definidos para os ativos
de informao. Note que o DSIC/GSIPR usa o termo PSIC Poltica de Segurana da Informao
e Comunicaes (DSIC, 2008) para a constituio de um documento de poltica de segurana
da informao na Administrao Pblica Federal. Segundo a ISO/IEC 27002:2005, a poltica de
segurana da informao deve contemplar os seguintes pontos de controle:
5.2.1 Objetivos, metas, escopo e a relevncia da poltica de segurana da informao
para toda a organizao devem ser estabelecidas e positivadas em documentos;
5.2.2 Declarao da alta direo de que est compromissada com o que est definido
na poltica deve ser de conhecimento de todos;
5.2.3 preciso saber se existe um alinhamento da poltica de segurana da informa-
o com os objetivos de negcio, no caso, com a misso institucional e a legislao;
5.2.4 Devem ser definidas responsabilidades gerais e especficas a respeito da segu-
rana da informao, seja para indivduos, seja para instncias colegiadas: comisses,
comits, grupos de trabalho etc.
5.2.5 A poltica deve conter referncia a documentaes necessrias para apoi-la, o
que inclui normas e regras estabelecidas na legislao.
5.2.6 A poltica deve explicar os requisitos de segurana da informao, incluindo a
conformidade com a legislao, regulamentos e contratos.

Note que a lista apresentada no exaustiva.

5.3 Documentao atualizada


Documentos devem ser classificados e versionados para que seu contedo e finalidade
estejam sob controle. Novas normas devem ser catalogadas, discutidas e disseminadas, prin-
cipalmente aquelas que tm referncias legais. Na questo do sigilo de documentos, convm
acompanhar se os critrios definidos esto sendo implementados e se so aderentes legis-
lao em vigor.

5.4 Cultura de segurana


Devem ser produzidos materiais para divulgao e disseminao da cultura de segurana
da informao. um trabalho que possibilita internalizar entre todos os atores a necessidade
de constante ateno aos ativos de informao, como uma forma de proteger o patrimnio e
o prprio negcio pblico ou privado. Deve-se aplicar o princpio do need to know como a
regra geral de segurana (Organisation for Economic Co-operation and Development, 2002).
Este princpio indica que uma informao deve ser acessvel apenas queles que tem necessi-
dade de conhec-la. Cabe ressaltar a controvrsia que segue este preceito quando tratando de
informao gerida por rgo pblico, em contraste com o preceito da transparncia.

5.5 Pesquisa sobre Incidentes


A organizao deve providenciar constantes pesquisas sobre incidentes e falhas de segu-
rana. Faz parte da gesto da segurana promover uma constante investigao nos ativos de
informao, formulando novas programaes de auditoria. Essa atividade tambm deve pro-
mover novas solues de segurana para as novas ameaas e vulnerabilidades descobertas,
bem como avaliar se necessria a continuidade de aplicao de controles antigos.

24
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

5.6 Sistema de Segurana


O sistema de segurana da informao deve funcionar de acordo com a poltica de segu-
rana implantada, e estar em constante atualizao. Ver ISO/IEC 27001 (ABNT, 2006).

5.7 Registros de auditoria


Manter registros para fins de auditoria uma atividade crucial para que exista auditoria. A
ISO/IEC 27002:2005 (item 10.10.1) lista vrios objetivos de controles para tecnologia da infor-
mao, adaptados na sequncia abaixo, a saber:
5.7.1 Todos os usurios devem ser identificados. Nesse caso, o que mais interessa re-
gistrar o acesso de novos usurios e observar mudanas no status de antigos usurios.
5.7.2 Cada detalhe de eventos-chave, como a entrada de pessoas, sejam nas instala-
es sejam em sistemas registrado com hora e data. A sada de pessoas de instala-
es crticas tambm deve ser registrada igualmente.
5.7.3 Alteraes em configuraes dos sistemas devem ser registradas. Uma ferra-
menta de gesto de mudanas e versionamento poder capturar essas alteraes.
5.7.4 O acesso a arquivos nos bancos de dados precisa ser registrado. Uma forma de
facilitar a auditoria ter um nico administrador do banco ou muito poucos. Qual-
quer problema pode ser rastreado de volta ao seus autores ou responsveis.
5.7.5 Cada pessoa deve ter privilgios de acesso bem definidos. O uso desses privil-
gios deve ser registrado e acompanhado.
5.7.6 Todas as tentativas de acesso a qualquer objeto de auditoria que foram rejeita-
das devem ser registradas para verificao.

Note que a lista apresentada no exaustiva.

5.8 Plano Diretor de Tecnologia da Informao (PDTI)


Pressupe-se que o PDTI foi previsto na poltica de segurana como fonte privilegiada de
objetos de auditoria a serem tratados. A Instruo Normativa 04/2008 da SLTI/MP define carac-
tersticas de um PDTI na APF. Assim o plano deve:
5.8.1 Prever que a segurana dos dados armazenados e em fluxo sejam previstas nos
sistemas desde o incio
5.8.2 Apresentar parmetros de segurana para os sistemas de informao a serem
desenvolvidos ou mantidos e os respectivos processos dos quais eles faro parte. Para
mais detalhes ver Fernandes (2010a) e Veneziano (2010).
5.8.3 Estabelecer os critrios para aquisio de hardware, software e servios. Neste
caso o documento deve fazer referncia a normas expedidas pelo governo federal.
Para mais detalhes ver Rodrigues (2010).
5.8.4 Definir quais perfis de recursos humanos so necessrios e a quantidade de pes-
soas para os projetos previstos no plano.
5.8.5 Apresentar o oramento do custo da rea de tecnologia de informao apon-
tando o que custo de apoio e o que finalstico e qual o percentual a ser investido
em segurana.
5.8.6 Definir as prioridades de segurana dos sistemas ou processos a serem automa-
tizados com um cronograma estimativo. Para mais detalhes ver Fernandes (2010b)
5.8.7 Observar se os objetivos dos sistemas de informao esto alinhados com os
objetivos estratgicos e de segurana da organizao.

25
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

5.8.8 Padronizar relatrios gerenciais e sumrios de informaes para subsidiar a c-


pula da organizao em seus processos decisrios.

Note que a lista apresentada no exaustiva.


Os pontos de controle apresentados no esgotam todas as possibilidades. O importante
ficar claro que uma auditoria de gesto permite verificar que a segurana est sendo ad-
ministrada a contento. A ideia manter uma gesto qualificada sem a qual no tem sentido
montar um sistema de segurana da informao, pois so muitos e diversos os instrumentos
e os controles que so utilizados. O TCU (1998) chama os controles dessa auditoria de con-
troles organizacionais. Aquele Tribunal incorpora como pontos de controle a poltica de se-
gurana, procedimentos e estruturas organizacionais, s para citar alguns. Tambm se inclui
nessa auditoria as pessoas que fazem parte dos processos de gesto da segurana. Controles
para admisso de pessoas podem ser encontradas tambm na ISO/IEC 27002:2005 e podem se
adotados como parte da auditoria de gesto. Observar que a 27002, na realidade, procura, de
forma coordenada com a ISO/IEC 27001:2006, montar um Sistema de Gesto de Segurana da
Informao (SGSI), conceito que tambm compartilhado pelos autores, mas que s possvel
em organizaes com nvel elevado de maturidade em segurana.

26
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

6. Auditoria de Desempenho Operacional


de Segurana da Informao
A Auditoria de Desempenho Operacional visa verificar principalmente parmetros de efi-
cincia, eficcia e efetividade, mas no est restrita a isso. Conforme definido no Manual de
Auditoria de Natureza Operacional do TCU (2000), o objetivo desta auditoria : examinar a
ao governamental quanto aos aspectos da economicidade, eficincia e eficcia, enquanto a
avaliao de programa busca examinar a efetividade dos programas e projetos governamentais..
Na medida que os pontos de controles so implantados, a auditoria de desempenho opera-
cional deve se certificar de que os mesmos so efetivos (resolvem o problema) diante do que
se espera em termos de nvel de segurana. Observe que a auditoria operacional tambm se
preocupa se os controles que se definiu so robustos frente s vulnerabilidades e ameaas
diagnosticadas numa anlise/avaliao de riscos.
O sentido que este texto d auditoria de desempenho operacional que esta faz um
exame detalhado das operaes de segurana implantadas na organizao. Para apresentar al-
guns controles, sem exaurir as possibilidades, se usa uma categorizao clssica que os autores
consideram ainda til, dada a quantidade de documentao de melhores prticas e propostas
diversas, e baseada nas reas de: (i) segurana fsica, (ii) segurana lgica, (iii) segurana de
dados, (iv) segurana de usurios, (v) segurana de redes, (vi) eficincia da segurana e (vii)
eficcia da segurana. Usamos como base a estrutura da Figura 2.

6.1 Segurana Fsica


Corresponde s seguintes diretrizes para controle de acesso a objetos que direta ou indi-
retamente se relacionam com os ativos de informao. Fonte: ISO/IEC 27002 (ABNT, 2005), com
adaptaes. Ver tambm Vidal (2010) e Arajo (2010).
6.1.1 preciso definir claramente os permetros de segurana. Esse permetro precisa
ser revisto para sempre cobrir o espao fsico onde se encontram ativos de informa-
o que podem ser alvo de ameaas.
6.1.2 preciso construir uma rea de recepo para que se tenha um acesso contro-
lado s instalaes da organizao, considerando uma ameaa qualquer acesso no
autorizado por outras entradas ou sadas devidamente restritas.
6.1.3 preciso implantar barreiras fsicas para impedir acesso no autorizado a per-
metros de segurana ou a reas especficas demarcadas como tal.
6.1.4 Todas as portas corta-fogo devem ter alarmes e o material devem estar de acor-
do com normas internacionais de resistncia a incndios.
6.1.5 Todas as salas devem ter sistema de deteco de intrusos e todas as entradas e
sadas das instalaes devem estar o tempo todo protegidas.
6.1.6 As instalaes de processamento de informao gerenciadas pela organizao
devem ficar fisicamente separadas daquelas que so gerenciadas por terceiros.
6.1.7 Devem existir procedimentos especiais para segurana fsica do parque de ser-
vidores:
6.1.7.1 Controle de acesso a instalaes dos computadores principais e seus peri-
fricos, somente para pessoas autorizadas.
6.1.7.2 Controle de acesso a dispositivos de redes, tais como roteadores, switches,
Hubs, com sistema de deteco de intrusos.
6.1.7.3 Controle de acesso a servidores, somente por administradores.
6.1.8 Devem existir procedimentos especiais para controle de acesso a backups, em dis-
positivos magnticos ou no, devem ser implantados e rigorosamente controlados.
6.1.9 Deve existir controle sobre armazenamento em pendrives ou qualquer dispositi-
vo mvel por meio de alerta de segurana contra cpias no autorizadas.

27
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

6.1.10 Todas as comunicaes com os dispositivos que acessam a rede interna da or-
ganizao devem ser criptografadas utilizando os protocolos adequados.

Note que a lista apresentada no exaustiva.

6.2 Segurana Lgica


A segurana lgica compreende diretrizes de controle para os ativos intangveis que in-
cluem sistemas e informao. Para mais detalhes para desenvolvimento de sistemas seguros,
ver Holanda e Fernandes (2011), OWASP (2011), Imoniana (2005), Mair, Wood e Davis (1978),
alm de Schmidt, Alencar e Villar (2007). So listados alguns pontos de controle, a saber:

6.2.1 Sistemas de informao


A auditoria de sistemas visa verificar problemas de processamento de dados e se as infor-
maes produzidas por esses sistemas so corretas e oportunas. Deve-se ento:
6.2.1.1 Implementar sistemas corporativos utilizando a linguagem LL (deve ser escolhi-
da como padro) e o banco de dados BD (deve ser escolhido como banco corporativo).
6.2.1.2 Implementar pginas WEB utilizando a ltima verso atualizada de javascript
ou linguagem WEB orientada a objetos (apenas exemplos).
6.2.1.3 Absoluta ateno a cdigos que podem conter vulnerabilidades que permi-
tem invaso, por exemplo, por meio de SQL injection, pois devem ser controlados.
6.2.1.4 Todos os sistemas, programas, scripts, folhas de estilo etc devem ser versiona-
dos e com autoria devidamente registrada.
6.2.1.5 Processamento (condicional): verificar a criao de novos dados (registros, ob-
jetos etc).
6.2.1.6 Processamento (clculo): verificar o desempenho dos clculos matemticos
nos sistemas, pois podem gerar informaes erradas.
6.2.1.7 Processamento (clculo): verificar mudanas de valores em tabelas de banco
de dados ou arquivos.
6.2.1.8 Processamento (atualizao): verificar mudanas de dados em arquivos ou
banco de dados por meio de incluso, atualizao ou eliminao.
6.2.1.9 Processamento (condio): examinar dados usando lgica ou testes de condi-
es, para identificar similaridades ou diferenas.
6.2.1.10 Transcrio: verificar cpia de dados de uma mdia para outra colocando o
devido rtulo com classificao de segurana.
6.2.1.11 Ordenamento: colocar itens de dados em ordem ou sequncia.
6.2.1.12 Transmisso: movimentao de dados de um lugar para outro via meios de
comunicao disponveis.
6.2.2 Verificar que os programas de computador so concebidos de acordo com me-
todologias de roteirizao que favorecem a construo de sistemas seguros, com es-
pecial ateno a software para a WEB (OWASP, 2011).
6.2.3 Assegurar que programas ou sistemas novos no sejam colocados em produo
sem teste e homologao. e
6.2.4 Verificar que as rotinas de funcionamento de procedimentos de teste de siste-
mas e programas esto em pleno uso.

Note que a lista apresentada no exaustiva.

28
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

6.3 Acessos dos Usurios


Sistemas de informao podem ser acessados por um grande nmero de usurios que
precisam ser controlados para responsabilizao em caso de danos s pessoas e ao patrimnio
pblico. So candidatos a pontos de controle:
6.3.1 Credenciais nicas que devem ser atribudas a usurios individuais. Credenciais
devem conter uma combinao de alguns requisitos a serem atendidos pelo usurio,
como segue:
6.3.1.1 Identificar quem o usurio (nome, ID etc).
6.3.1.2 Verificar alguma coisa que o usurio sabe (cdigo secreto, senha).
6.3.1.3 Verificar onde o usurio est (reconhece local do usurio). e
6.3.1.4 Verificar alguma coisa que o usurio tem.
6.3.1.5 Verificar alguma coisa que o usurio (biometria).
6.3.2 Implantao de dispositivos biomtricos para verificao automtica de identi-
dade baseados em caractersticas fsicas do usurio como digitais, iris etc.
6.3.3 Deve existir uma nica forma de acesso lgico aos sistemas de uma organizao,
mesmo que sejam sistemas diferentes, integrados ou no.
6.3.4 Cada usurio deve ser responsabilizado por aquilo que realiza com suas creden-
ciais. Isso inclui inclusive tcnicos que alterem configuraes de hardware e software
(ver texto complementar a seguir).
6.3.5 A rea de segurana da informao deve ser informada a respeito dos desliga-
mentos dos funcionrios para que suas credenciais sejam desativadas.
6.3.6 A rea de gesto de pessoas deve saber sobre os usurios que acessam os seus
dados e o nveis de acesso atribudos a esses usurios.
6.3.7 Acesso a programas utilitrios que possam modificar dados corporativos deve
estar absolutamente estrito a pessoas da rea de Tecnologia e ao usurio responsvel.
6.3.8 Devem ser realizadas varreduras peridicas de atributos de acesso, principalmente
sobre aqueles usurios que esto com acesso ilimitado a um ou mais ativos de informao.

Note que a lista apresentada no exaustiva.

Texto Complementar | Ministrio da Educao, e-MEC, Termo de Compromisso de Usurio


Cdigo de Conduta do Usurio
Efetuo, por meio deste compromisso, a solicitao de acesso ao sistema E-MEC, assumindo os encargos legais
decorrentes do compromisso firmado e declaro estar de acordo com as seguintes condies que integram o
presente termo: de minha exclusiva responsabilidade a observncia dos prazos para insero de dados ou
demais providncias de sua competncia; so de minha exclusiva responsabilidade as informaes inseridas
no sistema, assumo-as como verdadeiras, nos termos do art. 219 do Cdigo Civil, assim como o uso do acesso
ao sistema, incluindo qualquer transao efetuada, no cabendo ao provedor do sistema responsabilidade por
eventuais danos decorrentes do uso indevido do acesso, ainda que por terceiros; o acesso ao sistema dado,
mediante atribuio de identificao e senha, pessoal e intransfervel, salvo os casos de delegao admitidos,
conforme disposto nos Arts. 12 a 14 da Lei no 9.784, de 1999; estou obrigado a informar imediatamente
ao provedor do sistema a perda da chave de acesso ou da senha ou a quebra de seu sigilo para bloqueio do
acesso; deverei dar o tratamento adequado s informaes acessadas, com ateno s restries sobre sigilo,
mantendo-o quanto s informaes obtidas sobre a instituio e seus cursos, evitando conceder entrevistas ou
outras formas de exposio na mdia e utilizarei as informaes coletadas somente para os objetivos da fase de
tramitao do processo para a qual foi designado; assumo a responsabilidade pelos atos praticados mediante
o acesso ao sistema, ainda que por terceiros at que o acesso seja bloqueado, tendo em vista as penalidades
em caso de prtica de atos ilcitos previstos na legislao penal e cvel; tenho conhecimento de que os dados
inseridos no sistema sero de conhecimento pblico, com exceo dos dados discriminados nos incisos III e IV
do art. 16 do Decreto no. 5.773, de 2006, com o que concordo expressamente (...)

29
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

6.4 Segurana de dados


Devem ser examinadas diversas possibilidades de violao de dados quanto sua integri-
dade, disponibilidade e confidencialidade.
6.4.1 Deve existir um grupo muito restrito de administradores de banco de dados,
cujas aes devem ser monitoradas.
6.4.2 Deve existir uma estratgia definida para utilizao dos bancos de dados por
sistemas de informao, pessoas ou programas.
6.4.3 Se deve manter rigoroso sigilo sobre informaes sensveis da organizao, utili-
zando recursos de proteo automtica ou manuais para dados operacionais sensveis.
6.4.4 Ocorrncia de perda de dados deve ser investigada, pois pode ser sintoma de
ameaas aos ativos de informao: sabotagens, invases, engenharia social etc.
6.4.5 Ocorrncia de destruio de arquivos deve ser investigada, pois pode significar
imprudncia do responsvel ou at sabotagem e fraudes.
6.4.6 Verificar ocorrncia de falhas de hardware que provoquem erros de processa-
mento, de informaes erradas ou de distoro de integridade de dados.
6.4.7 Erro de entrada de dados. Esse um dos eventos relacionados tambm a usu-
rios. Os programas de entrada de dados permitem erros que sujam os bancos de
dados tendo reflexo na qualidade das informaes produzidas. A elevada superfcie
de exposio de aplicaes de governo eletrnico Internet demanda que este pon-
to de controle seja profundamente investigado.
6.4.8 Backups peridicos dos dados que devem ser realizados de acordo com um pla-
nejamento prvio e critrios diferenciados para diferentes graus de sensibilidade das
informaes.
6.4.9 Contas de usurios que acessam diretamente os bancos de dados ou por meio
de utilitrios em situao privilegiada devem ser observadas.
6.4.10 Atualizar os bancos de dados com as novas verses mais seguras. Ficar atento
lista de vulnerabilidades de cada verso, por meio de consulta peridica a bases de
dados de vulnerabilidades.

Note que a lista apresentada no exaustiva.

6.5 Eficincia da Segurana


Parmetros de medida de eficincia podem indicar problemas de segurana ou sua imi-
nncia. Na lista abaixo so apresentados fortes candidatos a ponto de controle.
6.5.1 Tempo mdio para reparo (MTTR - Mean Time to Repair). O MTTR identifica o
lapso temporal mdio entre o momento em que surgem a indisponibilidade de um
servio e o tempo que o servio foi restaurado. O MTTR um indicador de desempe-
nho em horas e valores altos podem ser responsveis por insatisfaes gerais durante
a prestao de servio.
6.5.2 Tempo mdio entre falhas (MTBF Mean Time Between Failures). Indicador cls-
sico, que consiste em identificar o tempo mdio de disponibilidade dos servios, sem
a ocorrncia de falhas. possvel assim medir o grau de disponibilidade dos ativos.
6.5.3 Tempo mdio entre o aparecimento de um problema ou incidente e sua comu-
nicao ao Service Desk. preciso auditar os procedimentos que levam os problemas
e incidentes a serem conhecidos pela organizao. Esse tempo pode ser reduzido a
zero se existirem sistemas automatizados que os detectam, usualmente chamados
de monitores.
6.5.4 Razo entre a quantidade de vezes que um procedimento operacional de segu-
rana foi realizado e quantidade de vezes que o mesmo deveria ter sido executado.

30
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

Permite verificar que os procedimentos operacionais esto sendo executados na pe-


riodicidade definida.
6.5.5 Percentual de sistemas cujos requisitos de segurana no esto sendo atendi-
dos. Permite avaliar o sucesso da implantao de normas e polticas de segurana da
informao e remete, para cada caso, no aprofundamento do porqu das regras no
estarem sendo atendidas.
6.5.6 Percentual de incidentes causados por violaes ou falhas de segurana. Anali-
sar o volume de incidentes provenientes de problemas na implantao de polticas
de segurana. Como ser abordado na Seo 11, a prpria auditoria pode ser objeto
de auditoria.
6.5.7 Percentual de indicadores incorretos por servio de segurana. Visa verificar que o
nvel de erro dos indicadores de cada servio de segurana implantados na organizao.
6.5.8 Dados os indicadores de segurana estabelecidos, um indicador de eficincia
calcular o tempo mdio para anlise dos indicadores dos servios, a fim de verificar o
desempenho da atividade.
6.5.9 Quantidade de indicadores avaliados no perodo. Verificar o cumprimento da
anlise de indicadores pela equipe de segurana da informao.
6.5.10 Quantidade de propostas de melhoria de servios produzidos no perodo. Veri-
ficar a execuo da atividade de anlise de servios e propostas de melhoria.
6.5.11 Quantidade de duplicidades de procedimentos e de resultados etc.

Note que a lista apresentada no exaustiva.

6.6 Eficcia da Segurana


A eficcia da segurana diz respeito aos resultados esperados definidos no plano seguran-
a em curso. O objetivo saber se os ativos de informao esto mais ou menos seguros aps
implantados os controles de segurana da informao. So candidatos a ponto de controle:
6.6.1 Quantidade de informaes geradas por usurio em relao a um nvel esperado
de volume de informaes para um perfil especfico.
6.6.2 Tempo mdio de atendimento aps um alarme de segurana ser disparado, en-
volvendo efetivao dos procedimentos de contingncia ou de providncias prede-
finidas.
6.6.3 Tempo mdio para a soluo de um problema de segurana, provida pela equi-
pe de segurana da informao.
6.6.4 Percepo do usurio a respeito dos mecanismo de segurana implantados, en-
quanto garantia de segurana de que seus dados no esto sendo violados.

Note que a lista apresentada no exaustiva.

6.7 Segurana de redes


A segurana de redes se preocupa com os riscos a segurana das redes de comunicao.
Foram adaptados de Nakamura (Nakamura, 2009) os seguintes pontos de controle ou reco-
mendaes:
6.7.1 Acesso a computadores e a sistemas de informao utilizando celular deve ser
protegido com a ltima verso de algoritmo de encriptao.
6.7.2 Redes sem fio devem ser protegidas usando o protocolo mais seguro e j relati-
vamente bem testado no mercado.
6.7.3 Acesso remoto a computadores protegido com protocolo de segurana Secure
Socket Layer (SSL) ou seu equivalente mais atualizado.

31
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

6.7.4 Acesso remoto a servios no pblicos absolutamente controlado e somente


para sistemas especficos.
6.7.5 Redes virtuais privadas (VPN) devem usar IPSEC.
6.7.6 Acesso a servios crticos devem ser baseado no uso de certificado digital.
6.7.7 Configurao do firewall deve ser controlada.
6.7.8 Controle de acesso lgico ao ambiente.
6.7.9 Proteo dos dados armazenados na rede por meio de criptografia.
6.7.10 Proteo de cabos da rede. Necessidade de cuidados com o acesso de pessoas
a quadros de rede ou caixas de proteo (Schmidt et alli, 2006).
6.7.11 Rotinas adequadas de proteo e controle do fluxo de dados com devida ob-
servncia da sazonalidade dos eventos.
6.7.12 Uso de protocolos adequados criticidade dos sistemas de informao.
6.7.13 Existncia de analisadores de protocolos adequados para verificao de uso
de portas.
6.7.14 Equipamentos de rede catalogados e protegidos fisicamente.

Novamente cabe destacar que a lista no exaustiva, e que a todos os itens deve ser dada
ateno conforme as necessidades de proteo da organizao. Cada objeto de auditoria pode
ser desmembrado em pontos de controle ainda mais detalhados. A Seo 9 apresenta um
modelo de investigao desses objetos com seus respectivos pontos de controle, detalhando
ainda mais o modelo da Figura 2.

32
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

7. Auditoria de Conformidade
A Auditoria de Conformidade em segurana da informao tem o propsito de verificar que
as informaes produzidas pela organizao, seja por sistemas computacionais ou por registros
manuais, esto em conformidade com os padres de segurana definidos em documentos nor-
mativos reconhecidos. Dado que se est tratando de organizaes que se apoiam fortemente
em sistemas computacionais, esse tipo de auditoria centra em procedimentos para verificar que
recursos tecnolgicos, ou que as informaes produzidas por sistemas computacionais ou arma-
zenadas em banco de dados esto em conformidade com os normativos. Observe que se inclui,
no caso do servio pblico, o arcabouo legal referente rea de segurana (ver anexo I).
Segundo Juran e outros (1990), quando tratando de auditorias na rea da qualidade, uma
auditoria de conformidade uma auditoria que examina se aquilo que est sendo auditado est
de acordo com as especificaes de produtos e servios. Esse texto segue analogamente a mes-
ma ideia, no sentido de que a auditoria de conformidade examina se os objetos de auditoria de
segurana da informao esto de acordo com as especificaes dos servios ou bens relaciona-
dos segurana da informao, desde que essas especificaes, materializadas em normas, es-
tejam homologadas pela gesto. Tais especificaes podem estar em qualquer documento que
tenha como propsito a padronizao, o que inclui documentos externos organizao pblica.

7.1 Normas da Administrao Pblica Federal


A poltica de segurana de informao o documento mais importante de referncia para
a auditoria de conformidade, mas est subordinada aos decretos e portarias expedidas por r-
gos pblicos que tem funo normativa, como: Departamento de Segurana da Informao e
Comunicaes do Gabinete de Segurana Institucional da Presidncia da Repblica; Secretaria
de Logstica e Tecnologia da Informao do Ministrio do Planejamento Oramento e Gesto;
Controladoria Geral da Unio; Tribunal de Contas da Unio, alm do arcabouo de Leis e Decre-
tos, compilados por Vieira (2009) e ABIN (2011), a ttulo de exemplo.

7.1.1 Normas do DSIC Departamento de Segurana da


Informao e Comunicaes
O DSIC/GSIPR, em especial, produziu diversas normas relacionadas com a gesto da segu-
rana da informao nos ltimos trs anos e que so:
Instruo Normativa GSI/PR n 1, de 13 de junho de 2008, que Disciplina a Gesto de
Segurana da Informao e Comunicaes na Administrao Pblica Federal, direta e indireta,
e d outras providncias.
01/IN01/DSIC/GSIPR, de 13 de outubro de 2008, que estabelece critrios e procedi-
mentos para elaborao, atualizao, alterao, aprovao e publicao de normas
complementares sobre Gesto de Segurana da Informao e Comunicaes, no m-
bito da Administrao Pblica Federal, direta e indireta.
02/IN01/DSIC/GSIPR, de 13 de outubro de 2008, que define a metodologia de gesto
de segurana da informao e comunicaes utilizada pelos rgos e entidades da
Administrao Pblica Federal, direta e indireta.
03/IN01/DSIC/GSIPR, de 30 de junho de 2009, que estabelece diretrizes, critrios e
procedimentos para elaborao, institucionalizao, divulgao e atualizao da Pol-
tica de Segurana da Informao e Comunicaes (POSIC) nos rgos e entidades da
Administrao Pblica Federal, direta e indireta APF.
04/IN01/DSIC/GSIPR, de 14 de agosto de 2009, que estabelece diretrizes para o pro-
cesso de Gesto de Riscos de Segurana da Informao e Comunicaes GRSIC nos
rgos ou entidades da Administrao Pblica Federal, direta e indireta APF.

33
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

05/IN01/DSIC/GSIPR, de 14 de agosto de 2009, que disciplina a criao de Equipe de


Tratamento e Resposta a Incidentes em Redes Computacionais ETIR nos rgos e
entidades da Administrao Pblica Federal, direta e indireta APF.
06/IN01/DSIC/GSIPR, de 11 de novembro de 2009, que estabelece diretrizes para Ges-
to de Continuidade de Negcios, nos aspectos relacionados Segurana da Infor-
mao e Comunicaes, nos rgos e entidades da Administrao Pblica Federal,
direta e indireta APF.
07/IN01/DSIC/GSIPR, de 6 de maio de 2010, que estabelece diretrizes para implemen-
tao de controles de acesso relativos Segurana da Informao e Comunicaes
nos rgos e entidades da Administrao Pblica Federal, direta e indireta APF.
08/IN01/DSIC/GSIPR, de 19 de agosto de 2010, que disciplina o gerenciamento de
Incidentes de Segurana em Redes de Computadores realizado pelas Equipes de Tra-
tamento e Resposta a Incidentes de Segurana em Redes Computacionais - ETIR dos
rgos e entidades da Administrao Pblica Federal, direta e indireta - APF.

A obedincia ao conjunto de normas do DSIC tende a ser a principal direcionadora das


auditorias de segurana da informao nos prximos anos.

7.1.2 Normas do Ministrio do Planejamento


Tambm importante destacar a IN 04 da SLTI/MP, de 19 de maio de 2008, que Dispe
sobre o processo de contratao de servios de Tecnologia da Informao pela Administrao
Pblica Federal direta, autrquica e fundacional, incluindo a necessidade de aprovao de
um Plano Diretor de Tecnologia da Informao para que seja feita a contratao de servios. O
planejamento de TI uma importante fonte de informaes sobre estratgias de sistemas de
informao, e, portanto, critrios para auditoria e gesto de riscos.

7.1.3 Tribunal de Contas da Unio


No caso do TCU - Tribunal de Contas da Unio, digno de nota a jurisprudncia do rgo
acerca do tema segurana da informao, subordinado ao tema Tecnologia da Informao,
conforme ilustra a rvore de conhecimento mostrada na Figura 4.

Figura 4. rvore de conhecimento da Jurisprudncia Sistematizada do TCU. Fonte: www.tcu.gov.br.

34
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

7.1.4 CGU Controladoria Geral da Unio


Os manuais e normas de funcionamento do controle interno, produzidos pela CGU defi-
nem um arcabouo geral de auditoria na APF, e devem ser observados na criao de qualquer
programa de auditorias. Para introduo o leitor remetido aos trabalhos de Rocha (2008a) e
Rocha (2008b).

7.1.5 Arquivos Pblicos


H que se destacar arcabouo normativo j desenvolvido no Brasil acerca do tratamen-
to dos arquivos nacionais, na forma de Leis e Decretos, como a Lei 8159 de 08/01/1991, que
dispe sobre a Poltica Nacional de Arquivos Pblicos e Privados e d outras providncias. No
que se refere gesto dos arquivos correntes das organizaes pblicas, existem implicaes
diretamente relacionadas com a segurana da informao, que precisariam ser mais profun-
damente avaliadas.

7.2 Propsitos e Limitaes da Auditoria de


Conformidade
Uma limitao de auditorias de conformidade que elas apenas constatam nveis de ade-
rncia a normas ou especificaes. No funo de uma auditoria de conformidade ter certeza
de que aquilo que est em conformidade eficaz ou mesmo efetivo. Para isso seria necessrio
desenhar uma auditoria de desempenho operacional, para saber se os padres de segurana
das informaes esto de fato protegendo os ativos de informao.
Assim, esse texto delimita auditoria de conformidade como tendo os seguintes propsitos:
a. examinar se os procedimentos de segurana da informao atendem aos requi-
sitos que esto especificados na poltica de segurana da informao e outros
documentos derivados dela, bem como ao arcabouo normativo vigente em n-
veis superiores organizao auditada. Aqui convm acessar, alm do arcabouo
normativo, as diretrizes da ISO/IEC 27002:2005, no item 15.2.1, mostrado na caixa
abaixo como texto complementar.

TEXTO COMPLEMENTAR
15.2.1 conformidade com as polticas e normas de segurana de informao (ISO/IEC 27002:2005)

Controle
Convm que gestores garantam que todos os procedimentos de segurana da informao dentro de sua rea
de responsabilidade esto sendo executados corretamente para atender s normas e polticas de segurana da
informao.

Diretrizes de implementao
Convm que os gestores analisem criticamente, a intervalos regulares, a conformidade do processamento da
informao dentro de sua rea de responsabilidades com as polticas de segurana da informao, normas ou
qualquer outros requisitos de segurana.

Se qualquer no-conformidade for encontrada como um resultado da anlise crtica, convm que os gesto-
res:
a) determinem as causas da no-conformidade;
b) avaliem a necessidade de aes para assegurar que a no-conformidade se repita
c) determinem e implementem ao corretiva apropriada;
d) analisem criticamente a ao corretiva tomada.
()

35
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

b. verificar que as documentaes expedidas que tratam de ativos crticos ou sens-


veis obedecem ao decreto 4553/02 quanto classificao de nveis de sigilo ou a
outros regulamentos como uma portaria do prprio rgo que trate do assunto
de forma mais especfica; e
c. Verificar que todos os procedimentos de segurana, sejam de gesto, sejam ope-
racionais, obedecem a padres de segurana especificados.

7.3 Documentos de referncia e objetos de controle


A auditoria de conformidade de segurana da informao deve examinar todos os tipos de
documentos relacionados aos ativos de informao (MAIR ET AL, 1974). No entanto, documentos
tcnicos s podem servir como referncia se forem considerados como normas tcnicas.
Se uma auditoria de sistemas de informao tiver como propsito a conformidade, alguns
dos seguintes documentos merecem ateno:
Documentos de metodologias de desenvolvimento de sistemas adotadas pela orga-
nizao. Pode-se verificar o seguimento de metodologias tanto como auditoria de
conformidade, como enquanto parte de um auditoria de desempenho operacional.
Note que o arcabouo metodolgico da segurana da informao na APF normati-
zado pelo DSIC/GSIPR.
Documentos de projetos considerados crticos ao negcio e que precisam ser prote-
gidos de acordo com critrios aprovados pela alta direo. O prprio documento
objeto de auditoria.
Oramentos detalhados de projetos sigilosos. Um caso tpico o oramento da rea
militar e de rgos de inteligncia.
Manual de versionamento e arquivamento de documentos. Servem para averiguar se
a documentao est de acordo com as instrues para sua elaborao.

Um auditor de conformidade tambm no se envolve na gesto da segurana (auditoria


de gesto), nem na implementao da segurana ou no seu funcionamento (auditoria ope-
racional). Deve ser mantido o princpio da segregao de funes, que j mencionamos aqui.
Baseado nesses princpios, os seguintes objetos de controle, no exaustivos, podem ser
usados como referncia de auditoria de conformidade de segurana da informao.
Normativos expedidos por rgos de controle e normatizao da esfera federal. GSI-
PR, MPOG, CGU e TCU.
Melhores prticas como a ISO/IEC 27002, CMMI, COBIT e ITIL.

Se no mbito da organizao no esto em usos esses padres ou melhores prticas en-


to a organizao pode criar suas prprias normas de segurana da informao, que sob o
ponto de vista metodolgico, estaro subordinadas s normas do DSIC/GSIPR. Essas normas
devem estar referidas em uma poltica de segurana da informao vlida para toda organiza-
o, como j discutido.
A poltica de segurana da informao, para verificar que as atualizaes das estrat-
gias de segurana da informao ali previstas esto sendo seguidas;
Os contratos com empresas de segurana, de onde deve se examinar procedimentos
realizados com aqueles previstos em contrato ou na poltica de segurana que a em-
presa concordou em seguir,
Os procedimentos de segurana j padronizados, de onde se deve procurar diver-
gncias entre o que foi auditado e o que est prescrito nas normas em que os proce-
dimentos esto inscritos. Tais divergncias so tradicionalmente chamadas de no-
-conformidades.
Requisitos. Tanto os requisitos de segurana de informao quanto de sistemas de
informao devem ser homologados ou formalizados em contratos.

36
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

Normas de propriedade intelectual, so tambm referncias importantes, pois a que-


bra de propriedade intelectual pode gerar uma insegurana jurdica, o que pode levar
a indisponibilidade de servios.
Normas de atualizao e reteno de backups. As unidades de armazenamento po-
dem ser inspecionadas para verificao.
Chaves Pblicas. Verificar que os mecanismos de chave pblica esto sendo utilizados
de acordo com a ICP-Brasil para os casos assim exigidos.

Texto Complementar
Um modelo de poltica de segurana da informao
Politica de Segurana da Informao

Art. 1. Entende-se por Poltica de Segurana da Informao o conjunto de princpios, orientaes e regras
formalmente declaradas a respeito do que deve ser seguido em termos de segurana dos ativos de informao.

Art. 2. Considera-se ativos de informao todos os recursos tecnolgicos que incluem documentos, dados e
sistemas, procedimentos e processos, necessrios ao atendimento das necessidades de negcio da organizao.

Art. 3. Esta poltica de segurana da informao tem o propsito de:


i) subsidiar o processo decisrio quanto a riscos envolvidos com os ativos de informao e seu impacto
nos negcios;
ii) traduzir em normas consensuadas as solues de segurana definidas no comit de segurana da informao;
iii) consolidar, a partir das diretrizes estabelecidas, uma estratgia de atuao que implemente as solues
de segurana selecionadas;
iv) orientar quanto s tratativas adequadas para abordar questes emergenciais relativas a segurana da
informao materializadas em planos de contingncia;
v) ser instrumento norteador das aes de segurana da informao com abrangncia por toda organiza-
o aos parceiros.

Art. 4. Os pressupostos dessa poltica so


i) conformidade com o regimento interno da organizao;
ii) regras e normas alinhadas com a misso e objetivos organizacionais;
iii) existncia de trabalho cooperao com forte vis de integrao dos diversos atores envolvidos com
segurana de ativos de informao;
iv) registro de permanente de ameaas e vulnerabilidades superadas a aquelas a que a organizao perma-
nece sujeita;

Pargrafo nico. Mudanas neste documento s podero ser realizadas pelo comit de segurana da infor-
mao a e aprovadas pela alta direo.

Art 5. Dever se disponibilizado e divulgado para toda a organizao um conjunto de orientaes quanto ao
ativos de informao.

Pargrafo nico. Em atendimento ao caput deste artigo devero ser criadas regras que regulem ativos de
informao quanto a:
i) coleta de informaes;
ii) armazenamento de dados;
iii) publicao de informao;
iv) classificao de documentos;
v) sistemas de informao;
vi) processamento de dados;
vii) acesso fsico;
viii) acesso lgico;
ix) fluxo de dados e documentos;
x) distribuio;
xi) formatao.
()

37
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

7.4 Classificao de Documentos e da Informao


Um item essencial da auditoria de conformidade o que concerne classificao de
documentos. Quando se est trabalhando com segurana de informao de governo, a refe-
rncia para verificao de conformidade se confunde com auditoria de legalidade. O Decreto
N 4.553, de DE 27 DE DEZEMBRO DE 2002 dispe sobre a salvaguarda de dados, informaes,
documentos e materiais sigilosos de interesse da segurana da sociedade e do Estado, no mbito
da Administrao Pblica Federal. Esse decreto pode auxiliar o gestor na definio de critrios de
classificao de dados nas organizaes pblicas. O grau de sigilo dado conforme (...) gradao
atribuda a dados, informaes, rea ou instalao considerados sigilosos em decorrncia de sua
natureza ou contedo; . O decreto cria as seguintes classificaes de documentos:
i) OSTENSIVOS: sem classificao, cujo acesso pode ser franqueado a qualquer interessado;
ii) RESERVADOS: dados ou informaes cuja revelao no autorizada possa compro-
meter planos, operaes ou objetivos neles previstos ou referidos.
iii) CONFIDENCIAIS: dados ou informaes que, no interesse do Poder Executivo e das
partes, devam ser de conhecimento restrito e cuja revelao no autorizada possa
frustrar seus objetivos ou acarretar dano segurana da sociedade e do Estado.
iv) SECRETOS: dentre outros, dados ou informaes referentes a sistemas, instalaes,
programas, projetos, planos ou operaes de interesse da defesa nacional, a assuntos
diplomticos e de inteligncia e a planos ou detalhes, programas ou instalaes estra-
tgicos, cujo conhecimento no autorizado possa acarretar dano grave segurana
da sociedade e do Estado.
v) ULTRA-SECRETOS: dentre outros, dados ou informaes referentes soberania e
integridade territorial nacionais, a planos e operaes militares, s relaes interna-
cionais do Pas, a projetos de pesquisa e desenvolvimento cientfico e tecnolgico
de interesse da defesa nacional e a programas econmicos, cujo conhecimento no
autorizado possa acarretar dano excepcionalmente grave segurana da sociedade
e do Estado.

7.5 Concluses
A auditoria de conformidade consiste ento em examinar se objetos ou aes realizados
ou em realizao esto de acordo com normas pr-estabelecidas. Essas normas geralmente de-
finem padres de desempenho, de procedimentos, de processos, de execuo, de produtos de
sistemas e demais objetos ou aes que tm especificaes normativas que servem de refern-
cia para exame da auditoria. As normas criam expectativas de que, uma vez seguida as regras,
haver maior previsibilidade de resultados proporcional ao grau de aderncia a esses padres.

38
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

8. Plano de Segurana da Informao


J foi mencionado anteriormente o plano de segurana da informao, que resultado de
um planejamento organizacional de segurana e tem como principal referncia a poltica de
segurana da informao. Esse plano identifica tarefas de segurana especficas que devero
ser verificadas por meio de planos ou programas de auditoria. Adicionalmente, essas tarefas
devem estar vinculadas a riscos associados, que devem ser eliminados ou controlados a um
nvel aceitvel. As atividades de segurana da informao devem ser especificadas de forma
consistente e de acordo com os requisitos de gesto, das operaes e de conformidade.
Durante a fase de formulao do plano de segurana, devem ser conduzidos estudos so-
bre conceitos de segurana em geral e sobre as peculiaridades da segurana da informao
em particular, tpicos da organizao. Deve-se realizar uma anlise e avaliao dos riscos de
segurana da informao para, em seguida, se selecionar medidas que garantam a segurana
dos ativos de informao considerados sensveis. Dessa forma, as tarefas de segurana devem
guardar relao com esses ativos segundo critrios de nveis de riscos obtidos. A maior parte
destas tarefas est descrita e consequencia do desenvolvimento do um plano de tratamento
dos riscos, efetuado por um processo de gesto de riscos de segurana da informao.

8.1 Gesto de riscos


A gesto de riscos de segurana da informao, abordada por Fernandes (2010), consiste
em um processo contnuo e operacional, que busca antever a ocorrncia de eventos danosos
para os ativos de informao de uma organizao, a fim de controlar suas consequencias e
impactos, por meio da aplicao equilibrada de controles de segurana nessa organizao,
diante do seu perfil de riscos de segurana analisado.
A Figura 5 apresenta o modelo de gesto de riscos proposto pela norma ISO/IEC 27005:2008.

Figura 5. O processo de gesto do risco da ISO 27005:2008. Fonte: Fernandes (2010).

39
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

Segundo Fernandes (2010b), a gesto de riscos tem o efeito de tornar uma organizao
mais segura, isto , que possui um grau satisfatrio de garantia de que continuar a funcionar
adequadamente conforme suas caractersticas estabelecidas, mesmo na presena de eventos
negativos decorrentes da interao com agentes maliciosos ou na ocorrncia de eventos de-
correntes de acidentes ou desastres de origem natural ou ambiental. Segurana significa con-
tinuar a cumprir seus objetivos de negcio, mesmo em face do sinistro. (Fernandes, 2010b).
A garantia de funcionamento da organizao decorre da implementao de um plano
de segurana da informao, cujo principal insumo o Plano de Tratamento do Risco (PTR),
produzido na fase de Tratamento do Risco (Ver Figura 4). O Tratamento do Risco ocorre aps
a Anlise e Avaliao do Risco, tambm chamada de Apreciao. Do Plano de Tratamento do
Risco deriva diretamente o Plano de Segurana da Informao, pois o primeiro precisa ser acei-
to pelo gestor da organizao na fase de Aceitao do Risco (Ver Figura 4). Uma vez aceito, o
Plano de Segurana passa a ser executado e continuamente monitorado e comunicado entre
os agentes que constituem a organizao.
O Quadro 2 apresenta um modelo de plano de tratamento do risco, usualmente desenvol-
vido na Fase de Tratamento do Risco na gesto do Risco.

Quadro 2. Esboo de um Plano de Tratamento do Risco. Adaptado do NIST 800-30 (NIST,

importante destacar que a gesto do risco se inicia (ver topo da Figura) com uma Definio
do Contexto para a gesto do risco, na qual so definidos os critrios para a gesto do risco. Para
detalhes sobre o processo geral descrito na figura o leitor remetido a Fernandes (2010).
Conforme a ISO/IEC 27005:2008, os benefcios decorrentes da adoo de uma abordagem
de gesto de riscos aderente norma compreendem:
Riscos so identificados.
Riscos so apreciados em termos de consequncias e chances de ocorrncia.
As chances e consequncias de riscos so comunicadas e compreendidas.
Uma ordem de prioridade para tratamento de riscos estabelecida.
Uma ordem de prioridade para reduo dos riscos estabelecida.

40
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

Os intervenientes so envolvidos em decises sobre riscos e mantidos informados


sobre o status da gesto de riscos.
O monitoramento dos riscos efetivo.
Os riscos e o processo de gerncia de riscos so monitorados e revistos regularmente.
Captura-se informao que permite a melhoria da abordagem de gesto de riscos.
Os gerentes e o staff so educados sobre riscos e aes tomadas para mitig-los.

8.2 Critrios de auditoria


Outra caracterstica dos planos de segurana que eles devem ter critrios de auditoria
bem definidos. E isso depende em parte das anlises e avaliaes de riscos realizadas na ges-
to do risco. Esses critrios, na realidade, so um conjunto de controles considerados adequa-
dos com os quais um auditor precisa trabalhar para busca de evidncias. Quando listados os
objetos de auditoria, especialmente numa auditoria de conformidade, no h considerao
para com os critrios e decises anteriormente envolvidas na escolha desses objetos, uma
vez que esses podem ser bastante complexos, tendo sido definidos na gesto do risco. Mas o
fato que esses objetos de auditoria e os pontos de controle correspondentes so elencados
conforme a percepo do grau de risco que sua violao tem para os negcios da organizao.
A escolha de padres tambm determina esses critrios. No h como definir critrios gerais
para todos os casos, pois para cada plano de auditoria esses critrios podem ser delineados
conforme a natureza e a finalidade da organizao. A fase de Definio do Contexto da ISO/IEC
27005:2008 estabelece o referencial para obteno da maioria desses critrios.
Se a auditoria feita organizaes pblicas, que fazem uso intensivo sistemas de infor-
mao automatizados por computadores e software melhores prticas definidos nos modelos
CMMI, ITIL e COBIT so tambm fontes relevantes, alm , claro, do atendimento s normas
compulsrias do Servio Pblico. Esses arcabouos conceituais e de melhores prticas podem
guiar a formulao dos critrios de auditoria, porm, no tm uma relao direta com segu-
rana, a no ser em alguma de suas partes. Mesmo assim, como o objetivo garantir que a
informao esteja preservada e protegida, questes como confidencialidade, disponibilidade
e integridade, no podem prescindir de fontes valiosas como essas, pois requerem uma pre-
ocupao com vrios aspectos da produo da informao, difceis de encontrar em apenas
uma proposta de melhores prticas.
recomendado, tanto em organizaes pblicas quanto privadas, que se comece com
a srie ISO/IEC 27000, especialmente as normas 27001:2006 (ABNT, 2006), 27002:2005 (ABNT,
2005) e 27005:2008 (ABNT, 2008), todas adotadas pela ABNT, como fonte de critrio de audito-
ria de segurana de informao. Dessas normas se podem retirar vrios objetos de auditoria e
pontos de controle. Com base nos normativos da ISO/IEC, a auditoria poder ser realizada em
dois momentos. O primeiro inicia-se com uma reviso da existncia e completude de docu-
mentos-chave, tais como a poltica de segurana da organizao, declarao de aplicabilidade,
plano de tratamento de riscos (PTR) e, caso j esteja em prtica a ISO/IEC 27005:2008, o conjun-
to de critrios previamente definidos no incio da gesto do risco. O segundo momento deve
se preocupar com um detalhamento dos riscos, e uma auditoria em profundidade envolvendo
a existncia e efetividade do controle ISMS (Information Security Management System), descrito
na ISO/IEC 27001:2006, que estrutura a segurana da informao como um sistema.

41
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

9. Instrumentos e Ferramentas
A realizao de uma auditoria eficaz no pode prescindir de instrumentos, ferramentas e
eventualmente, trabalhos de tcnicos especializados, descritos no restante desta seo.

9.1 Instrumentos de coleta e registro de evidncias


Um auditor experiente provavelmente lana mo de vrios modelos de instrumentos de
coleta de dados, conforme o tipo de auditoria e os objetos verificados. Vrios deles so formu-
lrios ou questionrios impressos, alguns com suporte de software especializado ou planilhas
eletrnicas customizadas. Esses instrumentos daro origem aos papis de trabalho do auditor.
O Quadro 2 sugere um modelo simplificado de instrumento de coleta de dados, devidamente
preenchido com um exemplo fictcio.

42
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

Quadro 3. Modelo de instrumento de coleta de dados para auditoria de segurana da informao.

AUDITORIA Data: ___/___/


( ) Gesto ___
Auditor: Joo da Silva
(X ) Operacional
( ) Conformidade Local:
Lista de
Verificao:
Objeto de Em Verificado Validado
Ponto de controle (PC) SIM (S) NO (N)
Auditoria (OA) Andamento ? ?
NO E APLICA
(N/A) ?
PC1 Acessos a computadores e a
sistemas de informao utilizando
celular esto protegidos com a S - S N
ltima verso de algoritmo de
encriptao
PC2 Equipamentos de rede
OA1 catalogados e protegidos N S S N
Computadores fisicamente
PC3 Acesso a computadores
protegidos com protocolo de N N N N
segurana Secure Socket Layer (SSL)
PC4 Checar efetividade do programa
S - S S
anti-virus
OA2 PC1 Instalao do protocolo de
S S S S
Rede sem Fio criptografia atualizado
PC1 Acesso a servios crticos
S N N N
atravs de certificados digitais
OA3
PC2 Existncia de medidas de
Criptografia
proteo dos dados armazenados, N N N N
por criptografia
PC1 Configurao do firewall
S S S S
controlada e periodicamente revisada
PC2 controle de acesso ao ambiente
S N/A S S
de rede
OA4 PC3 Acesso remoto absolutamente
controlado e somente para sistemas N S N N
Rede LAN especficos
PC4 Redes virtuais privadas (VPN)
S N S S
usam IPSEC
PC5 Proteo de cabeamento da
N S N N
rede
PC1 Existncia de rotinas adequadas
de proteo e controle do fluxo de N N N/A N/A
dados
PC2 Observncia de protocolos
adequados de acordo com a
N S N/A N/A
criticidade dos sistemas de
OA5 informao
Protocolos PC3 Existncia de scanners de redes
S N/A S S
para verificao de uso de portas

Observe que o Quadro 1 lista os objetos e os pontos de controle e faz trs perguntas. A pri-
meira indica se o controle existe para cada objeto e ponto de controle. A resposta vem de uma
lista de verificao respondida com SIM, NO e No se Aplica (N/A). A coluna em Andamento
indica que providncias j esto sendo tomadas para a anlise. A coluna Verificado indica se
o ponto de controle foi testado. A coluna Validado indica se o controle referente ao PC foi

43
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

validado, ou seja, se foi testado e est em pleno funcionamento. O formulrio per se permi-
te abordagens diferenciadas, envolvendo testes de controle e testes substantivos, onde for o
caso. Na coluna Lista de Verificao, por exemplo, o objetivo perguntar sobre a existncia ou
no do controle. Uma entrevista poder ser suficiente, se o propsito fazer um levantamento
da situao para saber se certos controles j foram elencados. Responder SIM ou NO apenas
confere se a organizao j iniciou o processo de segurana de seus ativos de informao.
Algumas combinaes obtidas no Quadro levam a providncias e procedimentos diferentes.
Se um ponto de controle, j catalogado como sensvel segurana dos ativos de informao
ainda no foi implantado, uma auditoria de gesto recomendada.
Razes diversas como falta de profissionais qualificados, custos elevados, ou mesmo a ine-
xistncia de ferramentas cuja aquisio no foi priorizada, podem determinar essa ausncia.
Outros controles precisam ser testados. Por exemplo, a sequncia OA1/PC3 => N,N,N,N indica
que no existe o controle em prtica, e, portanto, nada pde ser verificado ou validado. Neste
caso, preciso consultar as decises relacionadas a este ponto de controle quanto a prazos,
custos, pessoal, dentre outras auditorias. Ou seja, a auditoria deve ser aprofundada e conside-
rada prioritria para o OA1/PC3.
Agora, caso seja constatada a existncia do controle e sua operao j tenha sido implan-
tada, a auditoria recomendada a de desempenho operacional, desde que se queira checar
indicadores de eficcia do controle. O exemplo OA4/PC4 => S,S,S,S significa que o PC foi vali-
dado. Para que tal validao acontea, o funcionamento do IPSEC deve ser demonstrado, seja
por um analisador de protocolos, seja por verificao da configurao da VPN (Virtual Private
Network), mesmo que seja bvio que o IPSEC esteja sendo utilizado. Em segurana mesmo o
que bvio no pode ser negligenciado. bvio que agentes de uma organizao no a sabo-
tariam. A Engenharia Social est a para mostrar que isso pode ser feito at mesmo sem haver
inteno de faz-lo.
Para finalizar, no se pode deixar de mencionar a gesto e os planos de continuidade.
Esse plano no ser tratado aqui por questo de espao, mas verificar a sua existncia e seus
parmetros j por si s objeto de uma auditoria que merece muita ateno. Planos de conti-
nuidade devem ser testados, pois descrevem em detalhes os procedimentos de manuteno
dos negcios crticos e a restaurao de plena capacidade operacional da organizao em caso
de crises e catstrofes. , portanto, um elemento indispensvel para a segurana.

9.2 Automao de Auditoria Servios Tcnicos


Especializados
medida que seja preciso verificar muitos pontos de controle, automao precisa ser
utilizada para agilizar o processo. De outra forma, devido complexidade e dinamicidade de
certos ambientes tecnolgicos, podem ser necessrios servios de assistentes especializados
em determinadas tecnologias e ambientes.
A quantidade de dados e informaes coletadas e os papis de trabalho demandam esfor-
o de organizao de informao e documentao.
As atividades de testes de controle e testes substantivos tambm podem demandar gran-
de esforo intelectual e conhecimento especializado e atualizado.
Para efeito de implementao de uma poltica de segurana de fato, provvel que se tenha
que utilizar muitas ferramentas e assistentes para cada caso, pois as aes de verificao e vali-
dao requerem demonstrao de que, comprovadamente, os controles esto funcionando e os
resultados so vlidos para os propsitos traados no plano de segurana. Para aprofundamento
nesta questo pode-se consultar o guia do ISACA (2009), o stio do Instituto de Auditores Inter-
nos (http://www.theiia.org), o stio Audit Net (http://auditnet.org/), entre outros.

44
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

9.2.1 Batimento de dados e CAATS


No caso de verificao ou batimentos de dados (testes substantivos), por exemplo, fer-
ramentas como ACL (Auditing Command Language) e outras utilizadas na rea de auditoria
financeira e de anlise estatstica podem ser usadas para apoiar o processo de anlise. Tais fer-
ramentas se enquadram na classe de Computer Aided Audit Tools (CAATS). Uma lista das mais
usadas pode ser encontrada em http://en.wikipedia.org/wiki/CAATS.

9.2.2 Auditoria de ambientes computacionais e bancos


de dados
No caso de verificao de mquinas com sistemas operacionais especficos, sejam Win-
dows ou Linux, bem como de sistemas de bancos de dados devem ser usados procedimentos
padronizados por plataforma, juntamente com ferramentas especficas para as verses de sis-
temas operacionais ou bancos de dados, que se sucedem rapidamente. Para maior detalha-
mento podem ser consultadas as fontes

9.2.3 Redes de computadores


Para a verificao de redes de computadores as ferramentas mais comumente usadas so:
Nessus, um scanner de vulnerabilidades usado para, por exemplo, verificar quais ser-
vios esto abertos em quais portas nos servidores de uma rede.
Wireshark, um front end para sniffing de rede, que realiza anlise de comunicaes
entre computadores em vrios protocolos.
Snort, um sistema para preveno e (ou) deteco de intrusos.

Algumas verificaes so mais elementares, como o anlise do firewall e suas configura-


es. Essas anlises, automatizadas ou no, do visibilidade a evidncias escondidas.

9.2.4 Hacker tico


Caso os riscos de segurana e a confiabilidade demandada em um ambiente de rede ou
mesmo no ambiente organizacional sejam elevados, o auditor pode recorrer a testes especia-
lizados e detalhados como a anlise de vulnerabilidades, tambm conhecida como teste de
penetrao. Um servio de Ethical Hacking pode ser usado, com o consentimento expresso do
cliente. O Certificado CEH Certified Ethical Hacker, expedido pela organizao Norte-Ameri-
cana EC-Council (E-Commerce Consultants International Council, https://www.eccouncil.org/
about_us/about_ec-council.aspx) atesta habilidades de profissionais nesta rea, bem como
descreve o conjunto de habilidades e ferramentas que devem ser conhecidas e podem ser
empregadas por um hacker tico, conforme demanda:
Conhecimento da legislao
Reconhecimento do terreno
Hacking usando o Google
Escaneamento e Enumerao
Engenharia Social
Hacking de computadores
Cavalos de Tria e Backdoors
Vrus e Vermes
Phishing

45
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

Hacking de contas de email


Negao de servio
Roubo de sesses
Hacking de servidores web
Vulnerabilidades de aplicaes web
Quebra de senhas na web
Injeo de SQL
Hacking de redes sem fio
Segurana fsica
Evaso em Sistemas de Deteco de Intruso e Firewalls
Estouro de Buffers
Criptografia
Metodologias de teste de penetrao

A atividade de um hacker tico deve seguir os seguintes passos, conforme indica Graves (2007):
Discusso de necessidades com o cliente
Preparao e assinatura de acordo de confidencialidade
Organizao do time de ethical hacking
Conduo de testes, comumente chamados de testes de penetrao ou anlise de
vulnerabilidades
Anlise de resultados
Preparao e apresentao do relatrio

Note, no entanto, que o servio de um Hacker tico no considerado uma auditoria


propriamente dita.

46
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

10. Entregas da Auditoria


O fim bsico da auditoria investigar problemas e ter propostas e recomendaes de
melhoria dos servios e public-los em relatrios e pareceres chamados de entregas. Por isso a
seguir o modelo da Figura 1 mais detalhado, agora que h mais informaes sobre o trabalho
de um auditor. Cada entrega deve apresentar a situao encontrada: as deficincias de cada
servio, as melhores prticas implantadas para superar as deficincias encontradas, as fragili-
dades (vulnerabilidades) e as ameaas. Quando se decide realizar uma auditoria com auditores
internos ou externos toda a ao deve ter alguma roteirizao de auditoria que pode ser feita
de vrias maneiras. Antes que isto ocorra, vrias providncias j devem ter sido tomadas:
1. Todos os objetos de auditorias e seus respectivos pontos de controle j devem ter
sido definidos e codificados.
2. A poltica de segurana da informao deve est aprovada e em curso.
3. O plano de segurana da informao baseado na Poltica de Segurana da Informa-
o j est elaborado, conforme esboado no Quadro 1.

47
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

11. Programas de Auditoria


Como j dito, vrias auditorias devem ser realizadas durante a vigncia do plano de segu-
rana ou da poltica e se desenvolvero conforme as estratgias definidas nesses documentos.
Estas vrias auditorias so agrupadas sob a denominao de um programa de auditoria, onde
cada auditoria projeto.

11.1 Um Modelo de Programa de Auditoria


O Quadro 3 mostra um possvel modelo para se registrar as intenes de um programa de
auditoria. Observe que cada quadro com OC.PC (Objeto de controle. Ponto de controle) tem
como atributos a justificativa, parmetros de medida, prioridade e a abordagem a ser usada,
ou seja, o tipo de auditoria.

Quadro 3. Modelo de registro de um programa de auditoria.

PROGRAMA DE AUDITORIA
Datas

Auditor(res) Incio
N Programa __/__/___

____________ Fim
_______________________________________ __/__/___

Cdigo Tipo
Descrio Prioridade (severidade)
Pontos de Controle de Auditoria
Gesto (G)
OC.PC XXXXXXXXXXXX (1,2,3 ou 4) Operacional (O)
Conformidade (C)
Justificativa Parmetros Objetivo Obs.
xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx

Se o modelo do Quadro 3 for usado, considere as seguintes instrues de preenchimento:


1. Numere o plano, pois ser preciso acompanhar o andamento de cada um deles. Pla-
nos podem ser iniciados paralelamente.
2. Para cada plano deve haver um auditor responsvel. sempre recomendvel ter mais
de um auditor, pois pode ser preciso cotejar opinies diferentes na hora de emitir o
parecer.
3. preciso saber em que data se iniciou e terminou a auditoria. Dificuldades na segu-
rana da informao podem ser detectadas acompanhando-se o tempo que se leva
para realiz-las.
4. Um plano pode conter um ou mais objetos de auditoria com um ou mais pontos de
controle. A sigla OC.PC significa objeto de controle com seu ponto de controle a ser
auditado. Se houver necessidade de mais detalhes, pode-se assinalar datas de incio e
trminos para cada ponto de controle.

48
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

5. Cada ponto de controle deve ser descrito tal qual ele foi elencado. Importante que
todos os objetos de controle e pontos de controle faam parte de um catlogo onde
estejam definidos o que fazer (procedimentos e testes) para cada um deles.
6. O nvel de risco e severidade da situao determinante do nvel de prioridade que
se deve dar auditoria para cada ponto de controle. Se um stio eletrnico est sob
constante ataque, provvel que o nvel de severidade seja mximo, portanto, com
prioridade mxima de atendimento.
7. Deve-se justificar porque determinado ponto de controle est merecendo ateno ou
se apenas parte de uma rotina de auditoria.
8. O objetivo da auditoria deve ser claramente definido. Observar que existe um custo
associado a cada projeto e sua utilidade deve ser avaliada. O nvel de risco um par-
metro importante na deciso de prosseguir com a auditoria.
9. Observar que para um mesmo ponto de controle podem ser realizados vrios tipos
de auditoria.
Um relatrio tcnico de auditoria de segurana da informao deve sugerir as penalida-
des a ser aplicadas em caso de descumprimento dos acordos de nvel de servios pactuados e
contratados ou das normas legais a que se referem de cada um dos servios de segurana da
organizao, quando assim for caso. Esses relatrios devem levar em considerao os resulta-
dos da auditoria dos indicadores ou dos pontos de controle selecionados.
Os relatrios tcnicos de auditoria devem ser elaborados em prazos determinados a con-
tar do recebimento do incio da execuo do plano de auditoria, pois tais relatrios so usados
como insumos para anlise do resultado da gesto, das operaes e dos testes de conformida-
de realizados pela equipes de segurana da informao. Devem ser elaborados periodicamen-
te, contendo o resultado dos indicadores dos servios de auditoria realizados. Tal informao
servir de insumo para a avaliao dos servios realizados e dos indicadores alcanados no
perodo.
Finalmente, outro relatrio importante o que define uma escala de quais auditores iro
fazer ou fizeram quais auditorias. Poder ser necessrio recuperar a experincia de cada audi-
toria como uma forma de aprendizagem para organizao. As providncias adotadas e aquelas
mais eficazes devem ser compartilhadas e registradas, pois podem ser um insumo importante
para se realizar uma gesto do conhecimento gerado pelos auditores.
Com base no plano de segurana, renovado regularmente, ser preciso formular uma ro-
teirizao de auditoria para cada ao de auditoria prevista dentro de uma rotina de trabalho.

11.2 Gesto de Programa de Auditorias baseada na ISO


19011
Esta subseo descreve os principais elementos contidos nas recomendaes da norma
ISO 19011, produzida para organizar programas de auditorias para exame de conformidade
de programas de gesto de qualidade. A norma pode ser adaptada para usada para fins de
auditoria junto famlia de normas ISO/IEC 27000. A Figura 5 apresenta um fluxograma geral
de gesto de um programa de auditoria baseado na ISO 19011:2002, que adota o modelo
PDCA, de melhoria contnua. Este modelo pode ser usado por um gestor de segurana que
deseja fortalecer o seu sistema de controles por meio de implementao de um programa de
auditorias regulares.

49
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

Figura 5. Modelo de Organizao de um Programa de Auditorias. Fonte: Fernandes (2009).

11.2.1 Obteno de autoridade


Um programa de auditoria inicia-se com a obteno de autoridade, por parte do ges-
tor, para a realizao do programa de auditorias. No caso da Administrao Pblica Federal,
isto deve envolver articulao com o Sistema de Controle Interno coordenado pela CGU, bem
como pode envolver articulao com o DSIC/GSIPR.

11.2.2 Estabelecimento do programa


O estabelecimento do programa envolve: (i) definir objetivos e abrangncia da auditoria,
j discutido nas sees 2 e 3; (ii) a definio de responsabilidades, que pode estar num plano
de tratamento de riscos, discutido na Seo 8.1; (iii) a alocao de recursos, que tambm pode
estar num plano de tratamento de riscos; e (iv) a definio de procedimentos e tipos de audi-
toria, discutidos nas sees 2.3 e 2.4.

11.2.3 Implementando o programa de auditorias


A implementao envolve: (i) a roteirizao de auditorias, discutida nas sees 4, 5, 6 e 7;
(ii) a avaliao de auditores que no passo (iii) constituiro o time de auditoria. Para tal, deve-se
estudar os atributos profissionais de um auditor, como discutidos em Imoniana (2005) e Duhn
(1991); a direo de atividades de auditoria (foco maior de todo este texto); e a manuteno
dos registros, que foi discutida na Seo 2.6.3.

50
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

11.2.4 Monitoramento e anlise crtica


O monitoramento e a anlise crtica do programa de auditoria busca avaliar a eficincia
e eficcia das auditorias, e pode ser baseada no uso de indicadores de auditoria operacional
discutidos na Seo 6; A identificao de oportunidades de melhoria depende da realizao de
revises peridicas da atividade, de sua eficcia e do uso da criatividade para tornar a auditoria
mais gil e eficaz aos propsitos da organizao.

11.2.5 Melhoria do Programa de Auditoria


Depende da alocao de recursos, necessariamente apoiados por um processo de plane-
jamento e oramento.

51
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

12. Consideraes Finais


Deve-se destacar que no h pretenso de firmar a organizao de auditoria aqui mostra-
da como sendo um modelo ideal a ser seguido na Administrao Pblica Federal para Audito-
rias de Segurana da Informao. Apenas foi organizada uma forma conveniente de apresen-
tar o tema para propsitos didticos. Vrios autores usam formas diferentes de organizao,
convencionando inclusive os conceitos e metodologias que lhes parecem mais adequados.
Inclusive os termos usados divergem bastante. Por exemplo, o que foi chamado de objeto
de auditoria tambm chamado de diretriz, parmetro, controle ou objetivo de controle por
alguns autores da rea.
A principal mensagem a sugesto de organizao de auditorias de segurana da infor-
mao em trs tipos: de gesto, de operaes e de conformidade. Trata-se de uma conveno
que ilustra que segurana da informao demanda gesto profissional, controle e acompanha-
mento das operaes e aderncia s regras para garantir conformidade e previsibilidade das
operaes. Mas deve-se ter certos cuidados. Vrios objetos de auditoria e pontos de controle
podem permear os trs tipos de auditoria, mudando apenas o enfoque e a nfase de cada um.
Temas como Poltica de Segurana, Segurana Fsica e Lgica, Segurana em Sistemas, Usu-
rios, entre outros podem ser auditados do ponto de vista da gesto, das operaes ou de sua
conformidade com padres, dentre outras convenes possveis. O que se deve ter em mente
que as organizaes precisam desenvolver uma cultura de segurana para que qualquer
projeto de auditoria tenha xito.
Finalmente se deve observar que atividades de auditorias s so possveis se a organi-
zao estiver preparada. Para ser auditada, organizaes pblicas devem criar, por exemplo,
mecanismos que registrem eventos relevantes e diversos que acontecem no dia-a-dia da orga-
nizao. fundamental registrar os fluxos de informao para dentro e para fora da organiza-
o, seja qual for o meio de comunicao utilizado. S assim se podem estabelecer controles
e construir instrumentos que possam identificar esses eventos como sendo ou no gerador de
vulnerabilidades ou ameaas para os ativos da organizao. Se criam as condies que tornam
possvel um acurado exame dos pontos de controle desses ativos, essencial para que qualquer
auditoria de segurana da informao seja eficaz.
Fica aqui a ressalva de que controle excessivo pode prejudicar o dia-a-dia das organiza-
es tornando as atividades refm desse mesmo controle que pretende qualificar o resultado
dessas tarefas. Existe a percepo, no servio pblico federal brasileiro, que uma boa parte do
tempo til dos agentes organizacionais dedicada a preparar registros que se adequem ao
Controle. Mas isso tem um custo, no s financeiro, mas tambm moral. Surge o risco de estar
em risco por qualquer coisa. O controle ex post seria um caminho, desde que o Estado consiga
criar um sistema punitivo justo e eficaz. Uma maneira de saber os limites disso envolvendo
todos os atores no processo. Instrumentos - tais como polticas e planos - so produtos desse
envolvimento e da necessidade de todas as organizaes implantarem formas seguras de pro-
teger seu ativo mais importante e crtico: a informao.

52
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

Referncias
ABIN Agncia Brasileira de Inteligncia. Compilao de legislao relaciona-
da com informao. Disponvel: http://www.abin.gov.br/modules/mastop_
publish/?tac=Legisla%E7%E3o. ltimo acesso em fevereiro de 2011.
ABNT - Associao Brasileira de Normas Tcnicas. NBR ISO 19011: Diretrizes para audi-
torias de sistema de gesto da qualidade e/ou ambiental. Rio de Janeiro: ABNT.
Novembro de 2002. 25 p.
ABNT - Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27001 - Tecnologia da
informao Tcnicas de segurana Sistemas de gesto de segurana da in-
formao Requisitos. Rio de Janeiro: ABNT. 2006.
ABNT - Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27002 - Tecnologia da
informao Tcnicas de segurana Cdigo de prtica para a gesto da se-
gurana da informao. Rio de Janeiro: ABNT. 2005.
ABNT - Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27005 - Tecnologia da
informao Tcnicas de segurana Gesto de riscos de segurana da infor-
mao. Rio de Janeiro: ABNT. 2008.
ARAJO, A. P. F. Infraestrutura de Tecnologia da Informao (Notas de Aula). Braslia:
Departamento de Cincia da Computao do Instituto de Cincias Exatas da Uni-
versidade de Braslia. 2010. 40 p.
BRASIL. Constituio da Repblica Federativa do Brasil de 05/10/1988 - Constituio da
Repblica Federativa do Brasil. (Excertos).
BRASIL. Decreto 1171 de 22/06/1994 - Aprova o Cdigo de tica Profissional do Servidor
Pblico Civil do Poder Executivo Federal.
BRASIL. Decreto 3505 de 13/06/2000 - Institui a Poltica de Segurana da Informao nos
rgos e entidades da Administrao Pblica Federal.
BRASIL. Decreto 4553 de 27/12/2002 - Dispe sobre a salvaguarda de dados, informa-
es, documentos e materiais sigilosos de interesse da segurana da sociedade e
do Estado, no mbito da Administrao Pblica Federal, e d outras providncias.
BRASIL. Decreto 4915 de 12/12/2003 - Dispe sobre o Sistema de Gesto de Documen-
tos de Arquivo - SIGA, da Administrao Pblica Federal, e d outras providncias.
BRASIL. Lei 7170 de 14/12/1983 - Define os Crimes contra a Segurana Nacional, a Ordem
Poltica e Social, Estabelece seu Processo e Julgamento e d outras Providncias.
BRASIL. Lei 8027 de 12/04/1990 - Dispe sobre normas de Conduta dos servidores p-
blicos civis da Unio, das Autarquias e das Fundaes Pblicas, e d outras pro-
vidncias.
BRASIL. Lei 8159 de 08/01/1991 - Dispe sobre a Poltica Nacional de Arquivos Pblicos
e Privados e d outras providncias.
BRASIL. Lei 9279 de 14/05/1996 - Regula direitos e obrigaes relativos propriedade
industrial.
CHAIM, R. M. Modelagem, Simulao e Dinmica de Sistemas (Notas de Aula). Braslia:
Departamento de Cincia da Computao do Instituto de Cincias Exatas da Uni-
versidade de Braslia. 2010. 48 p.
COSO - Committee of Sponsoring Organizations of the Treadway Commission. Internal
Control Integrated Framework: Guidance for Smaller Public Companies: Repor-
ting on Internal Control over Financial Reporting: Executive Summary: Guidance.
EUA: COSO. October 2005. 207 p.

53
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

COSO - Committee of Sponsoring Organizations of the Treadway Commission. Internal


Control Integrated Framework: Guidance on Monitoring Internal Control Sys-
tems: Discussion Document. EUA: COSO. September 2007. 52 p.
CPLP - Organismos Estratgicos de Controlo/Controle Interno da Comunidade de Pases
de Lngua Portuguesa. Manual De Controlo/Controle Interno. Braslia: Controla-
doria Geral da Unio. Dezembro 2009. Disponvel: http://www.cgu.gov.br/even-
tos/SFC2009_CPLP/Arquivos/ManualControle.pdf. ltimo acesso em fevereiro de
2011.
CRUZ, Flvio. Auditoria Governamental. Editora Atlas, 1997. Descreve como realizar uma
auditoria contbil na esfera governamental.
DSIC Departamento de Segurana da Informao e Comunicaes. 01/IN01/DSIC/GSI-
PR, de 13 de outubro de 2008 - Estabelece critrios e procedimentos para ela-
borao, atualizao, alterao, aprovao e publicao de normas complemen-
tares sobre Gesto de Segurana da Informao e Comunicaes, no mbito da
Administrao Pblica Federal, direta e indireta. Disponvel http://dsic.planalto.
gov.br/. ltimo acesso em Fevereiro de 2011.
DSIC Departamento de Segurana da Informao e Comunicaes. 02/IN01/DSIC/GSI-
PR, de 13 de outubro de 2008. Define a metodologia de gesto de segurana da
informao e comunicaes utilizada pelos rgos e entidades da Administrao
Pblica Federal, direta e indireta. Disponvel http://dsic.planalto.gov.br/. ltimo
acesso em Fevereiro de 2011.
DSIC Departamento de Segurana da Informao e Comunicaes. 03/IN01/DSIC/GSI-
PR, de 30 de junho de 2009- Estabelece diretrizes, critrios e procedimentos para
elaborao, institucionalizao, divulgao e atualizao da Poltica de Seguran-
a da Informao e Comunicaes (POSIC) nos rgos e entidades da Adminis-
trao Pblica Federal, direta e indireta APF. Disponvel http://dsic.planalto.gov.
br/. ltimo acesso em Fevereiro de 2011.
DSIC Departamento de Segurana da Informao e Comunicaes. 04/IN01/DSIC/GSI-
PR, de 14 de agosto de 2009 - Estabelece diretrizes para o processo de Gesto
de Riscos de Segurana da Informao e Comunicaes GRSIC nos rgos ou
entidades da Administrao Pblica Federal, direta e indireta APF. Disponvel
http://dsic.planalto.gov.br/. ltimo acesso em Fevereiro de 2011.
DSIC Departamento de Segurana da Informao e Comunicaes. 05/IN01/DSIC/GSI-
PR, de 14 de agosto de 2009 - Disciplina a criao de Equipe de Tratamento e
Resposta a Incidentes em Redes Computacionais ETIR nos rgos e entidades
da Administrao Pblica Federal, direta e indireta APF. Disponvel http://dsic.
planalto.gov.br/. ltimo acesso em Fevereiro de 2011.
DSIC Departamento de Segurana da Informao e Comunicaes. 06/IN01/DSIC/
GSIPR, de 11 de novembro de 2009 - Estabelece diretrizes para Gesto de Con-
tinuidade de Negcios, nos aspectos relacionados Segurana da Informao e
Comunicaes, nos rgos e entidades da Administrao Pblica Federal, direta
e indireta APF. Disponvel http://dsic.planalto.gov.br/. ltimo acesso em Feve-
reiro de 2011.
DSIC Departamento de Segurana da Informao e Comunicaes. 07/IN01/DSIC/GSI-
PR, de 6 de maio de 2010 - Estabelece diretrizes para implementao de contro-
les de acesso relativos Segurana da Informao e Comunicaes nos rgos e
entidades da Administrao Pblica Federal, direta e indireta APF. Disponvel
http://dsic.planalto.gov.br/. ltimo acesso em Fevereiro de 2011.
DSIC Departamento de Segurana da Informao e Comunicaes. 08/IN01/DSIC/
GSIPR, de 19 de agosto de 2010 - Disciplina o gerenciamento de Incidentes de
Segurana em Redes de Computadores realizado pelas Equipes de Tratamento e
Resposta a Incidentes de Segurana em Redes Computacionais - ETIR dos rgos
e entidades da Administrao Pblica Federal, direta e indireta - APF. Disponvel
http://dsic.planalto.gov.br/. ltimo acesso em Fevereiro de 2011.

54
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

DUNN, John. Auditing: Theory and Practice. UK: Prentice-Hall. 1991.


FERNANDES, J. H. C. GSIC050: Sistemas, Informao e Comunicao (Notas de Aula). Bra-
slia: Departamento de Cincia da Computao do Instituto de Cincias Exatas da
Universidade de Braslia. 2010. 51 p.
FERNANDES, J. H. C. Gesto de Riscos de Segurana da Informao (Notas de Aula). Bra-
slia: Departamento de Cincia da Computao do Instituto de Cincias Exatas da
Universidade de Braslia. 2010. 33 p.
FERNANDES, J. H. C. Controle de Acessos (Notas de Aula). Braslia: Departamento de Ci-
ncia da Computao do Instituto de Cincias Exatas da Universidade de Braslia.
2010. 32 p.
FERNANDES, J. H. C (Organizador). Gesto da Segurana da Informao e Comunicaes
Volume I (Srie Segurana da Informao). Braslia: Faculdade de Cincia da
Computao da Universidade de Braslia. 2010. ISBN: 978-85-88130-07-4. 123 p.
GAO - General Accounting Office. Management Planning Guide for Information Systems
Security Auditing. EUA: National State Auditors Association and the U. S. General
Accounting Office. December 2001.
GIL, Antnio L. Auditoria de Computadores. So Paulo: Editoras Atlas. 1989. um dos
livros pioneiros em segurana de computadores. Muitas das preocupaes so
ainda autuais.
GONDIM, J. J. C., GSIC602: Gerenciamento das Operaes e Comunicaes (Notas de
Aula). Braslia: Departamento de Cincia da Computao do Instituto de Cincias
Exatas da Universidade de Braslia. 2010. 23 p.
GONDIM, J. J. C., GSIC651: Tratamento de Incidentes de Segurana (Notas de Aula). Bra-
slia: Departamento de Cincia da Computao do Instituto de Cincias Exatas da
Universidade de Braslia. 2011. 23 p.
GRAVES, Kimberly. CEH: Official Certified Ethical Hacker Review Guide: Exam 312-50.
EUA: Sybex. 2007.
GSIPR Gabinete de Segurana Institucional da Presidncia da Repblica. Instruo
Normativa GSI/PR n 1, de 13 de junho de 2008 - Disciplina a Gesto de Segu-
rana da Informao e Comunicaes na Administrao Pblica Federal, direta e
indireta, e d outras providncias. Disponvel http://dsic.planalto.gov.br/. ltimo
acesso em Fevereiro de 2011.
HOLANDA, M. T; FERNANDES, J. H. C., GSIC701: Segurana no Desenvolvimento de
Aplicaes(Notas de Aula). Braslia: Departamento de Cincia da Computao do
Instituto de Cincias Exatas da Universidade de Braslia. 2011. 43 p.
IMONIANA, Joshua O. Auditoria de Sistemas de Informao. So Paulo: Editora Atlas,
2005. Livro de um autor que tem grande experincia com auditoria contbil. Exis-
tem vrias pontos de controle que podem ser de grande utilidade na elaborao
de planos de auditoria.
INTOSAI - International Organization of Supreme Audit Institutions. Guidelines for Inter-
nal Control Standards for the Public Sector. Austria: INTOSAI. 2004. 81 p. Dispon-
vel URL: http://www.intosai.org.
INTOSAI - International Organization of Supreme Audit Institutions. Internal Control:
Providing a Foundation for Accountability in Government. Austria: INTOSAI.
2001. 8 p. Disponvel URL: http://www.intosai.org.
ISACA - Information Systems Audit and Control Association. IS Standards, Guidelines
and Procedures For Auditing and Control Professionals: Code of Professional
Ethics, IS Auditing Standards, Guidelines and Procedures, IS Control Professionals
Standards. EUA: ISACA. January 2009.
ITGI - IT Governance Institute. COBIT 3rd Edition Audit Guidelines. EUA: ITGI. 2000.

55
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

ITGI - IT Governance Institute. COBIT 4.0. Control Objectives, Management Guidelines


and Maturity Models. EUA: ITGI. 209 p. 2005.
ITGI - IT Governance Institute. COBIT MAPPING: Overview of International IT Guidance.
EUA: ITGI. 2004.
JURAN, J. M.; GRYNA, M. Frank. Controle da Qualidade - volume III. So Paulo: Makron
Books, 1990. Esse um excelente livro que descreve vrias tcnicas de auditoria
de qualidade. Embora se refira mais a ideia de produtos e servios, Juran mostra
vrias tcnicas que so gerais o suficiente para serem usadas na rea de seguran-
a da informao.
LOPEZ, Andr A. P. GSIC905: Diretrizes para o Desenvolvimento de Projetos de Cunho
Cientfico (Notas de Aula). Braslia: Departamento de Cincia da Computao do
Instituto de Cincias Exatas da Universidade de Braslia. 2010. 24p.
MAIR, W. C.; WOOD, Donald ; DAVIS, Keagle W. Computer Control Audit. Minnesota:Touche
Ross & Co. 1978. Um livro avanado para seu tempo. Descreve tcnicas de audito-
ria com uso de computadores com bastante detalhe.
MS - Ministrio da Sade. Portaria MS 3207, de 20 de outubro de 2010, que Institui a Polti-
ca de Segurana da Informao e Comunicaes do Ministrio da Sade. Dispon-
vel: http://bvsms.saude.gov.br/bvs/saudelegis/gm/2010/prt3207_20_10_2010.
html. Acessado em 10 de janeiro de 2011. Pode ser usado como referncia de
poltica de segurana de informao.
NASCIMENTO, A. C., GSIC250: Criptografia e Infraestrutura de Chaves Pblicas (Notas de
Aula). Braslia: Departamento de Cincia da Computao do Instituto de Cincias
Exatas da Universidade de Braslia. 2011. 44 p.
NIST - National Institute of Standards and Technology. Risk Management Guide for In-
formation Technology Systems: Special Publication 800-30. EUA: NIST. 2002. Dis-
ponivel: http://www.nist.org.
OECD - Organisation for Economic Co-operation and Development. OECD Guidelines
for the Security of Information Systems and Networks: Towards a Culture of
Security. Europa: OECD. 30 p. 2002. Disponvel http://www.oecd.org/dataoe-
cd/16/22/15582260.pdf. Acessado em janeiro de 2011.
OWASP Open Web Application Security Project. The Open Web Application Secutity
Project. EUA: OWASP. http://www.owasp.org/index.php/Main_Page. Acessado
em fevereiro de 2011.
PETER, Maria G. A.; MACHADO, M. V. V., Manual de Auditoria Governamental. So Paulo:
Editora Atlas, 2003. Disponibiliza vrias tcnicas de auditoria que podem ser mui-
to teis como modelo.
PMI - Project Management Institute. PMBOK: Guide to the Project Managament Body of
Knowledge. EUA: PMI. 2004.
ROCHA, R. X., Proposta de procedimento simplificado de auditoria de gesto em se-
gurana da informao em rgos do Poder Executivo Federal (Monografia de
Especializa Lato Sensu). Braslia: Departamento de Cincia da Computao do
Instituto de Cincias Exatas da Universidade de Braslia. 2008.
ROCHA, H. A. da, Proposta de Cenrio para Aplicao da Norma NBR ISO/IEC 27002 em
Auditorias Governamentais do Sistema de Controle Interno (Monografia de Es-
pecializa Lato Sensu). Braslia: Departamento de Cincia da Computao do
Instituto de Cincias Exatas da Universidade de Braslia. 2008.
RODRIGUES, R. W. da S. Aquisio e Implementao, Entrega e Suporte de Servios de TI
(Notas de Aula). Braslia: Departamento de Cincia da Computao do Instituto
de Cincias Exatas da Universidade de Braslia. 2010. 46 p.
SOUZA NETO, Joo. GSIC331: Poltica e Cultura de Segurana (Notas de aula). Braslia:
Departamento de Cincia da Computao do Instituto de Cincias Exatas da Uni-
versidade de Braslia. 2010. 33p.

56
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao

SCHMIDT, A. ; ALENCAR, A J. ; VILLAR, C. B. Modelos qualitativos de Anlise de Risco para


Projetos de Tecnologia da Informao. sl:Brasport, 2007. Descreve vrias tcnicas
de anlise de riscos pra projetos de tecnologia de informao.
TCU Tribunal de Contas da Unio. Manual de Auditoria de Natureza Operacional. Bras-
lia: Tribunal de Contas da Unio - Secretaria-Geral de Controle Externo - Coorde-
nadoria de Fiscalizao e Controle, 2000.
TCU Tribunal de Contas da Unio. Manual de Auditoria de Sistemas. Braslia: TCU, 1991.
Descreve formas de organizar auditorias de sistemas e se aplica bem a ideia da
auditoria como uma atividade de controle.
VENEZIANO, W. GSIC051: Organizaes e Sistemas de Informao(Notas de Aula). Bras-
lia: Departamento de Cincia da Computao do Instituto de Cincias Exatas da
Universidade de Braslia. 2010. 13 p.
VIDAL, F. B. GSIC202: Controles de Segurana Fsica e Ambiental (Notas de Aula). Braslia:
Departamento de Cincia da Computao do Instituto de Cincias Exatas da Uni-
versidade de Braslia. 2010. 29 p.
VIEIRA, Tatiana Malta. Direito da Sociedade da Informao. (Notas de Aula). Braslia: De-
partamento de Cincia da Computao do Instituto de Cincias Exatas da Univer-
sidade de Braslia. 2009. 59 p.

57