Você está na página 1de 254

Segurana em Tecnologia

da Informao
Prof. Christian Meinecke Gross
Prof. Jan Charles Gross

2013
Copyright UNIASSELV 2013

Elaborao:
Prof. Christian Meinecke Gross
Prof. Jan Charles Gross

Reviso, Diagramao e Produo:


Centro Universitrio Leonardo da Vinci UNIASSELVI

Ficha catalogrfica elaborada na fonte pela Biblioteca Dante Alighieri


UNIASSELVI Indaial.

658.4038
G878s Gross, Christian Meinecke
Segurana em tecnologia da informao / Christian
Meinecke Gross; Jan Charles Gross. Indaial : Uniasselvi,
2013.

244 p. : il

ISBN 978-85-7830-765-3

I. Tecnologia da informao.
II. Segurana.
1.Centro Universitrio Leonardo da Vinci.
2. Gross, Christian Meinecke.
Apresentao
Caro(a) acadmico(a)!

Estamos iniciando o estudo da disciplina Segurana em Tecnologia


da Informao. Esta disciplina objetiva proporcionar uma aprendizagem
autnoma sobre os principais conceitos de segurana na rea da tecnologia
da informao, proporcionando ao acadmico o desenvolvimento de
competncias necessrias para a implementao da gesto da segurana da
informao.

Neste contexto, o Caderno de Estudos de Segurana em Tecnologia da


Informao est dividido em trs unidades de estudo.

Iniciamos com a Unidade 1 apresentando os conceitos e as definies


bsicas da segurana da informao, tanto no aspecto lgico, fsico e ambiental,
bem como os mtodos de segurana implementados nos processos realizados
em sistemas de distribudos.

Na Unidade 2 vamos conhecer os planos de continuidade


operacional e de contingncia, que consistem num conjunto de estratgias
e procedimentos que devero ser adotados quando do surgimento de
problemas que comprometem o andamento normal dos processos. Ao final,
sero apresentados os pontos relevantes para a definio da poltica de
segurana da informao, que tem por objetivo estabelecer regras a fim de
evitar e reduzir os riscos e ameaas em relao aos ativos da informao.

Na ltima unidade vamos estudar a auditoria de sistemas, quevisa


verificar se o ambiente informatizado garante a integridade dos dados
manipulados pelo computador, atravs de procedimentos documentados e
metodologias predefinidas, verificando aspectos de segurana e qualidade.
Para isto, sero apresentadas as diversas normas e padres de segurana
que podero ser adotados a fim de garantir que as metas da auditoria sejam
alcanadas.

Buscando viabilizar a melhor apropriao dos conhecimentos, esta


produo nortear os seus estudos.

Prof. Christian Meinecke Gross


Prof. Jan Charles Gross

III
UNI

Voc j me conhece das outras disciplinas? No? calouro? Enfim, tanto para
voc que est chegando agora UNIASSELVI quanto para voc que j veterano, h novidades
em nosso material.

Na Educao a Distncia, o livro impresso, entregue a todos os acadmicos desde 2005, o


material base da disciplina. A partir de 2017, nossos livros esto de visual novo, com um formato
mais prtico, que cabe na bolsa e facilita a leitura.

O contedo continua na ntegra, mas a estrutura interna foi aperfeioada com nova diagramao
no texto, aproveitando ao mximo o espao da pgina, o que tambm contribui para diminuir
a extrao de rvores para produo de folhas de papel, por exemplo.

Assim, a UNIASSELVI, preocupando-se com o impacto de nossas aes sobre o ambiente,


apresenta tambm este livro no formato digital. Assim, voc, acadmico, tem a possibilidade
de estud-lo com versatilidade nas telas do celular, tablet ou computador.

Eu mesmo, UNI, ganhei um novo layout, voc me ver frequentemente e surgirei para
apresentar dicas de vdeos e outras fontes de conhecimento que complementam o assunto
em questo.

Todos esses ajustes foram pensados a partir de relatos que recebemos nas pesquisas
institucionais sobre os materiais impressos, para que voc, nossa maior prioridade, possa
continuar seus estudos com um material de qualidade.

Aproveito o momento para convid-lo para um bate-papo sobre o Exame Nacional de


Desempenho de Estudantes ENADE.

Bons estudos!

UNI

Ol acadmico! Para melhorar a qualidade dos


materiais ofertados a voc e dinamizar ainda mais
os seus estudos, a Uniasselvi disponibiliza materiais
que possuem o cdigo QR Code, que um cdigo
que permite que voc acesse um contedo interativo
relacionado ao tema que voc est estudando. Para
utilizar essa ferramenta, acesse as lojas de aplicativos
e baixe um leitor de QR Code. Depois, s aproveitar
mais essa facilidade para aprimorar seus estudos!

IV
Sumrio
UNIDADE 1: SEGURANA EM INFORMTICA ........................................................................... 1

TPICO 1: SEGURANA NO AMBIENTE COMPUTACIONAL ................................................ 3


1 INTRODUO ..................................................................................................................................... 3
2 SEGURANA E INFORMAES .................................................................................................... 3
2.1 ETAPAS DO CICLO DE VIDA DA INFORMAO ................................................................. 7
2.1.1 Identificao das necessidades e dos requisitos . ............................................................... 8
2.1.2 Obteno .................................................................................................................................. 8
2.1.3 Tratamento .............................................................................................................................. 9
2.1.4 Distribuio / transporte . ...................................................................................................... 9
2.1.5 Uso ............................................................................................................................................ 10
2.1.6 Armazenamento ..................................................................................................................... 10
2.1.7 Descarte . .................................................................................................................................. 11
2.2 SEGURANA DA INFORMAO BASEADA EM TI ............................................................. 12
2.3 SEGURANA DA INFORMAO NO ARMAZENADA EM TI . ...................................... 14
2.4 PROTEO DOS ATIVOS INFORMACIONAIS ....................................................................... 14
3 RISCOS ENVOLVENDO INFORMAES .................................................................................... 15
3.1 RISCOS NO CONTEXTO DA SEGURANA DA INFORMAO ........................................ 16
3.2 ETAPAS DA GESTO DO RISCO ................................................................................................ 18
3.3 ANLISE E AVALIAO DO RISCO . ........................................................................................ 19
3.4 TRATAMENTO DO RISCO . .......................................................................................................... 26
3.5 ACEITAO DO RISCO RESIDUAL E COMUNICAO DO RISCO ................................. 28
3.6 CONTINUIDADE DOS PROCESSOS DE GESTO DO RISCO .............................................. 28
4 ANLISE DO RISCO ECONMICO .............................................................................................. 29
5 CLASSIFICAO DE INFORMAES ......................................................................................... 34
5.1 NVEIS DE CLASSIFICAO . ..................................................................................................... 36
5.2 ARMAZENAMENTO E DESCARTE DE INFORMAES CLASSIFICADAS ..................... 37
5.3 PUBLICAO DE INFORMAES NA WEB .......................................................................... 37
5.4 PERDA OU ROUBO DE INFORMAES .................................................................................. 38
5.5 MONITORAMENTO CONSTANTE ............................................................................................ 38
6 DIREITOS DE ACESSO ...................................................................................................................... 38
6.1 AUTORIDADE ................................................................................................................................. 39
6.2 A FONTE DA AUTORIDADE ....................................................................................................... 41
6.3 REQUISITOS QUE REGULAM O DIREITO DE ACESSO EM EMPRESAS ........................... 42
6.3.1 Proteo de ativos . ................................................................................................................. 42
6.3.2 Prticas de auditoria . ............................................................................................................. 43
6.3.3 Legislao ................................................................................................................................ 43
6.4 CONTROLES SOBRE O DIREITO DE ACESSO ......................................................................... 44
6.4.1 Controles organizacionais ..................................................................................................... 44
6.4.2 Controles operacionais .......................................................................................................... 44
6.5 QUEM CONTROLA O CONTROLADOR? ............................................................................. 45
6.6 CONSIDERAES GERAIS SOBRE DIREITO DE ACESSO . .................................................. 45
7 DIREITOS DE ACESSO ...................................................................................................................... 46
7.1 EQUIPE DE SEGURANA E ADMINISTRADORES DE SISTEMAS ..................................... 47

V
7.2 NCLEO OPERACIONAL ............................................................................................................ 48
7.3 CPULA ESTRATGICA E GERNCIA INTERMEDIRIA . ................................................. 49
7.4 FORNECEDORES, CONSULTORES E PRESTADORES DE SERVIO . ................................. 50
7.5 ACORDOS DE CONFIDENCIALIDADE .................................................................................... 50
7.6 TREINAMENTO DE FUNCIONRIOS E PRESTADORES DE SERVIO ............................. 51
7.7 ENGENHARIA SOCIAL ................................................................................................................ 51
7.8 SEGREGAO DE FUNES . .................................................................................................... 52
7.9 PROCESSO DISCIPLINAR ............................................................................................................ 52
RESUMO DO TPICO 1 ....................................................................................................................... 53
AUTOATIVIDADE ................................................................................................................................. 54

TPICO 2: SEGURANA LGICA, FSICA E AMBIENTAL ....................................................... 55


1 INTRODUO ..................................................................................................................................... 55
2 SEGURANA LGICA ...................................................................................................................... 55
2.1 ASPECTOS GERAIS DA SEGURANA LGICA ..................................................................... 56
2.2 ADMINISTRAO DA SEGURANA ....................................................................................... 56
2.2.1 A estrutura da administrao da segurana ....................................................................... 57
2.2.2 Tipos de estruturas ................................................................................................................. 57
2.2.3 Localizao da segurana ...................................................................................................... 59
2.2.4 Perfil do profissional de segurana ...................................................................................... 60
2.2.5 Diretrizes da segurana ......................................................................................................... 61
2.2.6 Ferramental administrativo e tcnico .................................................................................. 62
2.2.7 Padronizao ........................................................................................................................... 62
2.2.8 Equipe do projeto ................................................................................................................... 63
2.2.9 Controles .................................................................................................................................. 63
2.2.9.1 Controle da estrutura de segurana ........................................................................ 64
2.2.9.2 Controle sobre atividades de usurios . .................................................................. 65
2.3 DEFINIO DA EQUIPE .............................................................................................................. 66
2.4 LEVANTAMENTO DE RECURSOS E DE USURIOS . ............................................................ 69
2.5 SELEO E ESCOLHA DAS FERRAMENTAS DE SEGURANA ........................................ 70
2.6 DEFINIO DE PERMETROS LGICOS ................................................................................. 71
2.7 COMUNICAO DE DADOS E CRIPTOGRAFIA . ................................................................. 72
2.8 SEGURANA PARA MICROS, TERMINAIS E ESTAES .................................................... 74
2.9 SEGURANA EM REDES . ............................................................................................................ 75
3 SEGURANA FSICA ......................................................................................................................... 76
3.1 ASPECTOS GERAIS DA SEGURANA FSICA ........................................................................ 76
3.2 SITUAES COMUNS DA SEGURANA FSICA .................................................................. 77
3.3 RECOMENDAES SOBRE PROJETOS .................................................................................... 78
3.4 PROCEDIMENTOS OPERACIONAIS ......................................................................................... 79
3.5 SEGURANA NOS MEIOS DE ARMAZENAMENTO ............................................................ 80
4 SEGURANA AMBIENTAL .............................................................................................................. 81
4.1 REDE ELTRICA ............................................................................................................................. 82
4.2 ENERGIA ALTERNATIVA . ........................................................................................................... 83
4.3 LOCALIZAO .............................................................................................................................. 84
4.4 CLIMATIZAO ............................................................................................................................ 85
4.5 PREVENO E COMBATE A INCNDIO ................................................................................. 86
4.6 INSTALAO, PROTEO E MANUTENO DE EQUIPAMENTOS .............................. 88
4.7 REMOO, DESCARTE E TRANSPORTE DE EQUIPAMENTOS . ....................................... 89
4.8 PROTEO DE DOCUMENTOS EM PAPEL ............................................................................ 89
4.9 PROTEO DE COMUNICAES NO BASEADAS EM COMPUTADOR . .................... 90
4.10 POLTICA DE MESA LIMPA E TELA LIMPA . ........................................................................ 90
RESUMO DO TPICO 2 ....................................................................................................................... 91
AUTOATIVIDADE ................................................................................................................................. 92

VI
TPICO 3: SEGURANA EM SISTEMAS DISTRIBUDOS ........................................................ 93
1 INTRODUO ..................................................................................................................................... 93
2 PROTEO DE OBJETOS EM UM SISTEMA DISTRIBUDO ................................................. 95
3 PROTEO DE PROCESSOS E SUAS INTERAES ................................................................ 96
4 O INVASOR ........................................................................................................................................... 97
4.1 AMEAAS AOS PROCESSOS . ..................................................................................................... 98
4.2 AMEAAS AOS CANAIS DE COMUNICAO . .................................................................... 98
5 ANULANDO AMEAAS SEGURANA .................................................................................... 99
5.1 CRIPTOGRAFIA E SEGREDOS COMPARTILHADOS . ........................................................... 99
5.2 AUTENTICAO ........................................................................................................................... 100
5.3 CANAIS SEGUROS ......................................................................................................................... 101
6 OUTRAS POSSVEIS AMEAAS .................................................................................................... 101
6.1 NEGAO DE SERVIO .............................................................................................................. 102
6.2 CDIGO MVEL ............................................................................................................................ 102
7 USO DOS MODELOS DE SEGURANA ....................................................................................... 102
LEITURA COMPLEMENTAR ............................................................................................................... 103
RESUMO DO TPICO 3 ....................................................................................................................... 106
AUTOATIVIDADE ................................................................................................................................. 107

UNIDADE 2: PLANOS E POLTICA DA INFORMAO ............................................................. 109

TPICO 1: PLANO DE CONTINUIDADE OPERACIONAL ........................................................ 111


1 INTRODUO ..................................................................................................................................... 111
2 PLANEJAMENTO DA CONTINUIDADE DO NEGCIO ......................................................... 113
3 IDENTIFICAO DOS PROCESSOS CRTICOS ........................................................................ 116
4 ANLISE E CLASSIFICAO DOS IMPACTOS ......................................................................... 117
5 DESENVOLVIMENTO E DOCUMENTAO DO PLANO ....................................................... 119
6 TREINAMENTO E CONSCIENTIZAO DO PESSOAL .......................................................... 120
7 TESTE DO PLANO ............................................................................................................................... 122
8 ATUALIZAO E MANUTENO DO PLANO ......................................................................... 126
9 PRESERVAO DAS CPIAS DE SEGURANA ....................................................................... 127
RESUMO DO TPICO 1 ....................................................................................................................... 131
AUTOATIVIDADE ................................................................................................................................. 132

TPICO 2: PLANO DE CONTINGNCIA ........................................................................................ 133


1 INTRODUO ..................................................................................................................................... 133
2 ANLISE DE RISCOS POTENCIAIS .............................................................................................. 135
3 CONTINGNCIA EM RELAO AOS RECURSOS TECNOLGICOS ................................ 136
4 CONTINGNCIAS EM RELAO A APLICATIVOS CRTICOS ........................................... 138
5 MATRIZ DE RESPONSABILIDADES ............................................................................................. 138
6 AVALIAO DO PLANO DE CONTINGNCIA ......................................................................... 139
7 APROVAO FORMAL DO PLANO DE CONTINGNCIA .................................................... 143
RESUMO DO TPICO 2 ....................................................................................................................... 144
AUTOATIVIDADE ................................................................................................................................. 145

TPICO 3: POLTICA DE SEGURANA .......................................................................................... 147


1 INTRODUO ..................................................................................................................................... 147
2 CONSIDERAES IMPORTANTES ............................................................................................... 149
3 PLANEJAMENTO DA POLTICA .................................................................................................... 153
4 ELEMENTOS DA POLTICA DE SEGURANA .......................................................................... 154
5 CONSIDERAES SOBRE A SEGURANA ................................................................................ 155
6 PONTOS A SEREM TRATADOS PELA POLTICA DE SEGURANA ................................... 157
7 IMPLEMENTAO DA POLTICA DE SEGURANA .............................................................. 158

VII
8 MAIORES OBSTCULOS PARA IMPLEMENTAO DA POLTICA .................................. 160
9 ESTRUTURA DE UMA POLTICA DE SEGURANA ................................................................ 162
LEITURA COMPLEMENTAR ............................................................................................................... 165
RESUMO DO TPICO 3 ....................................................................................................................... 168
AUTOATIVIDADE ................................................................................................................................. 169

UNIDADE 3: AUDITORIA DE SISTEMAS ....................................................................................... 171

TPICO 1: FUNDAMENTOS DE AUDITORIA DE SISTEMAS .................................................. 173


1 INTRODUO ..................................................................................................................................... 173
2 CONCEITOS DE AUDITORIA DA TECNOLOGIA DE SISTEMAS ........................................ 173
3 ABORDAGEM DE AUDITORIA DE SISTEMAS DE INFORMAO .................................... 175
3.1 ABORDAGEM AO REDOR DO COMPUTADOR . .................................................................... 176
3.2 ABORDAGEM ATRAVS DO COMPUTADOR ......................................................................... 177
3.3 ABORDAGEM COM O COMPUTADOR .................................................................................... 178
4 ORGANIZAO DE TRABALHO DA AUDITORIA DE TI ...................................................... 179
4.1 PLANEJAMENTO ........................................................................................................................... 179
4.2 ESCOLHER A EQUIPE ................................................................................................................... 180
4.3 PROGRAMAR A EQUIPE . ............................................................................................................ 180
4.4 EXECUO DE TRABALHOS E SUPERVISO . ...................................................................... 181
4.5 REVISO DOS PAPIS DE TRABALHOS .................................................................................. 181
4.6 ATUALIZAO DO CONHECIMENTO PERMANENTE ...................................................... 182
4.7 AVALIAO DA EQUIPE ............................................................................................................. 182
5 DOCUMENTAO DOS PAPIS DE TRABALHO ..................................................................... 182
6 DESENVOLVIMENTO DA EQUIPE DE AUDITORIA ................................................................ 183
7 CONTROLES INTERNOS E AVALIAO ..................................................................................... 184
7.1 FUNDAMENTOS DE CONTROLES INTERNOS EM SI . ......................................................... 185
7.2 AVALIAO DOS CONTROLES INTERNOS ........................................................................... 188
8 FERRAMENTAS DE AUDITORIA DE TI ....................................................................................... 189
8.1 SOFTWARE GENERALISTA DE AUDITORIA DE TI . .............................................................. 190
8.2 SOFTWARE ESPECIALIZADO DE TI .......................................................................................... 191
8.3 PROGRAMAS UTILITRIOS . ...................................................................................................... 192
9 TCNICAS DE AUDITORIA DA TI ................................................................................................ 192
9.1 QUESTIONRIO ............................................................................................................................. 194
9.2 SIMULAO DE DADOS ............................................................................................................. 195
9.3 VISITA IN LOCO ............................................................................................................................. 196
9.4 MAPEAMENTO ESTATSTICO DE PROGRAMAS .................................................................. 197
9.5 RASTREAMENTO DE PROGRAMAS ......................................................................................... 197
9.6 ENTREVISTA ................................................................................................................................... 197
9.7 ANLISE DE TELAS E RELATRIOS . ....................................................................................... 198
9.8 SIMULAO PARALELA ............................................................................................................. 199
9.9 ANLISE DE LOG/ACCOUNTING . ........................................................................................... 200
9.10 ANLISE DO PROGRAMA-FONTE ......................................................................................... 201
9.11 SNAPSHOT .................................................................................................................................... 202
RESUMO DO TPICO 1 ....................................................................................................................... 203
AUTOATIVIDADE ................................................................................................................................. 204

TPICO 2: TIPOS DE AUDITORIAS ................................................................................................. 205


1 INTRODUO ..................................................................................................................................... 205
2 AUDITORIA DE CONTROLES ORGANIZACIONAIS .............................................................. 205
3 AUDITORIA DE AQUISIO, DESENVOLVIMENTO E MANUTENO DE
SISTEMAS ............................................................................................................................................. 207
3.1 CONTROLES DE DESENVOLVIMENTO E MANUTENO DE SISTEMAS ..................... 208

VIII
3.2 CONTROLES DE DOCUMENTAO DE SISTEMAS ............................................................. 209
3.3 OBJETIVOS DA AUDITORIA . ...................................................................................................... 210
4 AUDITORIA DE CONTROLES DE HARDWARE ........................................................................ 210
4.1 COMPREENSO DO PROCESSO DE CONTROLE DE HARDWARES ................................ 211
4.2 OBJETIVOS DA AUDITORIA DE CONTROLES DE HARDWARES . .................................... 213
5 AUDITORIA DE CONTROLES DE ACESSO ................................................................................ 213
6 AUDITORIA DE OPERAO DO COMPUTADOR ................................................................... 215
6.1 OBJETIVOS DE AUDITORIA ........................................................................................................ 216
6.2 PROCEDIMENTOS DE CONTROLES INTERNOS ................................................................... 217
7 AUDITORIA DE CONTROLES DE SUPORTE TCNICO ......................................................... 217
7.1 COMPREENSO DO PROCESSO DE SUPORTE TCNICO .................................................. 218
7.2 OBJETIVOS DE AUDITORIA ........................................................................................................ 218
7.3 PROCEDIMENTOS DE CONTROLES INTERNOS ................................................................... 218
8 PROCEDIMENTOS DE AUDITORIA DE SISTEMAS APLICATIVOS ................................... 219
8.1 COMPREENSO DO FLUXO DE SISTEMAS APLICATIVOS ................................................ 220
8.2 OBJETIVOS DE AUDITORIA ........................................................................................................ 221
8.3 PROCEDIMENTOS DE CONTROLES INTERNOS ................................................................... 222
9 AUDITORIA DE PLANOS DE SEGURANA ............................................................................... 222
9.1 OBJETIVOS DE AUDITORIA ........................................................................................................ 223
10 AUDITORIA DE REDES ................................................................................................................... 223
10.1 OBJETIVOS DE AUDITORIA ...................................................................................................... 224
11 RELATRIOS DE AUDITORIA ...................................................................................................... 225
RESUMO DO TPICO 2 ....................................................................................................................... 227
AUTOATIVIDADE ................................................................................................................................. 228

TPICO 3: NORMAS E PADRES DE SEGURANA ................................................................... 229


1 INTRODUO ..................................................................................................................................... 229
2 BENEFCIOS TRAZIDOS PELA ADOO DE UM PADRO .................................................. 229
3 ISO GUIDE 73 ....................................................................................................................................... 230
4 ITIL .......................................................................................................................................................... 230
5 COBIT ..................................................................................................................................................... 231
6 BS7799 E ISO/IEC 17799 ....................................................................................................................... 232
6.1 AS DEZ REAS DE CONTROLE DA ISO/IEC 17799 ................................................................ 234
7 ISO/IEC 13335 ........................................................................................................................................ 236
8 NBR ISO/IEC 27001:2006 ..................................................................................................................... 236
9 SARBANES-OXLEY ............................................................................................................................. 237
LEITURA COMPLEMENTAR ............................................................................................................... 238
RESUMO DO TPICO 3 ....................................................................................................................... 240
AUTOATIVIDADE ................................................................................................................................. 241
REFERNCIAS ......................................................................................................................................... 243

IX
X
UNIDADE 1

SEGURANA EM INFORMTICA

OBJETIVOS DE APRENDIZAGEM
A partir do estudo desta unidade, ser possvel:

conhecer as principais caractersticas de segurana em um ambiente com-


putacional e os principais motivadores de segurana;

entender a importncia dos controles e medidas de segurana fsica, lgica


e ambiental, tendo em vista as diversas vulnerabilidades existentes;

reconhecer os problemas relacionados segurana dos sistemas distribu-


dos e as principais medidas de proteo.

PLANO DE ESTUDOS
Esta unidade est dividida em trs tpicos, sendo que ao final de cada
um deles, voc encontrar atividades que auxiliaro na apropriao dos
conhecimentos.

TPICO 1 SEGURANA NO AMBIENTE COMPUTACIONAL

TPICO 2 SEGURANA LGICA, FSICA E AMBIENTAL

TPICO 3 SEGURANA EM SISTEMAS DISTRIBUDOS

Assista ao vdeo
desta unidade.

1
2
UNIDADE 1
TPICO 1

SEGURANA NO AMBIENTE COMPUTACIONAL

1 INTRODUO
Antes de iniciarmos nossos estudos em torno do assunto, necessrio
entendermos o que significa segurana no ambiente computacional e conhecer
algumas das consequncias da utilizao dos mesmos.

Este tpico, portanto, tem por finalidade apresentar a voc os principais


conceitos relacionados segurana de um ambiente computacional, os principais
motivadores e tambm os principais benefcios obtidos com a correta utilizao de
medidas de proteo no ambiente computacional.

O surgimento das redes de computadores e a interconexo destas aos


meios de comunicao expuseram as informaes mantidas por estas redes a
inmeros tipos de ataques e vulnerabilidades, dado o valor destas informaes
e sua importncia para as empresas que as geraram e utilizam. O anonimato
proporcionado por tais meios de comunicao, como por exemplo, a internet, torna
ainda mais atrativo para pessoas mal intencionadas busca por estas informaes.

As empresas e instituies das mais diversas naturezas comearam a


perceber os problemas relacionados segurana no ambiente computacional, e
buscam a cada dia mitigar e/ou eliminar os riscos relacionados s vulnerabilidades
existentes, protegendo seus dados contra ataques.

2 SEGURANA E INFORMAES
Ao longo da histria, o ser humano sempre buscou o controle sobre as
informaes que lhe eram importantes de alguma forma; isso verdadeiro mesmo
na mais remota Antiguidade.

O que mudou desde ento foram as formas de registro e armazenamento


das informaes. Se na Pr-histria e at mesmo nos primeiros milnios
da Idade Antiga, o principal meio de armazenamento e registro de
informaes era a memria humana, com o advento dos primeiros
alfabetos isso comeou a mudar. Mas foi somente nos ltimos dois
sculos que as informaes passaram a ter importncia crucial para as
organizaes humanas. (CARUSO; STEFFEN, 1999, p. 21).

Com uma tecnologia incipiente e materiais pouco apropriados para o registro


de informaes, de acordo com Caruso e Steffen (1999, p. 21), era natural que o
controle e a disseminao da tecnologia relacionada com as informaes tornassem
3
UNIDADE 1 | SEGURANA EM INFORMTICA

o acesso a elas restritas a uma minoria sempre ligada ao grupo que dominava o
poder econmico e poltico da sociedade.

Segundo Caruso e Steffen (1999, p. 21-22), os primeiros suportes para


registro de informaes foram as paredes das habitaes humanas. Somente com
as mudanas tecnolgicas nos meios de registro as placas de barro dos sumrios,
o papiro dos egpcios e o pergaminho as informaes passaram para meios de
registro portveis. Mas foi com a disseminao da tecnologia de impresso e
com a alfabetizao mais ampla que as informaes deixaram de ser cdigos
incompreensveis. Somente nos ltimos dois sculos a alfabetizao comeou a
se espalhar por grandes segmentos da populao de diversos pases, e apenas em
meados do sculo XX, a alfabetizao se universalizou, ainda que grande parte da
humanidade continue analfabeta.

Atualmente, conforme Caruso e Steffen (1999, p. 22), no h organizao


humana que no seja altamente dependente da tecnologia de informaes, em
maior ou menor grau. E o grau de dependncia agravou-se muito em funo
da tecnologia de informtica, que permitiu acumular grandes quantidades de
informaes em espaos restritos.

evidente, segundo Gil (2000), que dependendo do porte e da rea de


atuao da organizao, a forma e a intensidade do uso da computao diferem.
Assim, temos as instituies financeiras que no conseguem funcionar nem poucas
horas com a ausncia dos computadores, bem como as microempresas que, apesar de
poderem conviver com a ausncia da tecnologia de PED, necessitam da participao
de microcomputadores pessoais ou profissionais em suas atividades para possibilitar
maior agilidade e diferenciao em relao a seus concorrentes.

UNI

PED - Processamento Eletrnico de Dados so atividades que utilizam a


computao em seu processo.

E
IMPORTANT

Fontes (2006, p. 1) destaca trs frases importantes sobre informao:

1. A informao, independente de seu formato, um ativo importante da organizao. Por isso,


os ambientes e os equipamentos utilizados para seu processamento, seu armazenamento e
sua transmisso devem ser protegidos.

2. A informao tem valor para a organizao.

3. Sem informao, a organizao no realiza seu negcio.

4
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL

Seja para um supermercadista preocupado com a gesto de seu estoque,


seja para uma instituio bancria em busca da automao de suas agncias
bancrias, ou para uma indstria alimentcia prospectando a otimizao da sua
linha de produo. De acordo com Smola (2003, p. 2), todos decidem suas aes
e seus planos com base em informaes.

Segundo Fontes (2006, p. 2), informao muito mais que um conjunto


de dados. Transformar estes dados em informao transformar algo com pouco
significado em um recurso de valor para a nossa vida pessoal ou profissional.

Segurana da informao pode ser entendida como o processo de


proteger informaes das ameaas para a sua integridade, disponibilidade e
confidencialidade. (BEAL, 2008, p. 1).

Segurana da informao objetiva, conforme Beal (2008, p. 1), a preservao


de ativos de informaes considerando trs objetivos principais:

Confidencialidade: garantir acesso informao apenas aos seus usurios


legtimos.
Integridade: a informao deve ser verdadeira, estando correta (no
corrompida), ou seja, necessrio garantir a criao legtima e consistente
da informao ao longo do seu ciclo de vida: em especial, prevenindo
contra criao, alterao ou destruio no autorizada de dados e
informaes. O objetivo de autenticidade da informao englobado
pelo da integridade, quando se pressupe que este visa garantir que as
informaes permaneam completas e precisas, e ainda que a informao
obtida do ambiente externo tambm seja fidedigna como a criada
internamente, produzida apenas por pessoas autorizadas e atribuda
apenas ao seu legtimo autor.
Disponibilidade: garantir que a informao e seus ativos associados
estejam disponveis aos usurios legtimos de modo oportuno para o
funcionamento da organizao e alcance de seus objetivos.

E
IMPORTANT

Para que a proteo da informao seja eficaz no dia a dia da organizao, os


conceitos e os regulamentos de segurana devem ser compreendidos e seguidos por todos os
usurios. (FONTES, 2006, p. 10).

Complementarmente, Beal (2008, p. 1) informa que alguns autores


acrescentam a esses trs objetivos a legalidade (garantir que as informaes foram
produzidas em conformidade com a legislao), e o uso legtimo (garantir que os
5
UNIDADE 1 | SEGURANA EM INFORMTICA

recursos de informao no so utilizados por pessoas no autorizadas ou de modo


no autorizado). No entendimento da autora, essas preocupaes deveriam ser
classificadas como objetivos organizacionais, visto que derivam dos requisitos de
segurana necessrios para proteger informaes sob os pontos de vista j citados
de confidencialidade, integridade e disponibilidade.

Fontes (2006, p. 12) cita que proteger a informao significa garantir, alm
das propriedades de confidencialidade, integridade e disponibilidade:

Legalidade: o uso das informaes deve estar de acordo com as leis


aplicveis, normas regulamentadoras, licenas, concesses, regimentos e
contratos firmados, assim como com os princpios ticos seguidos pela
organizao e desejados pela sociedade.
Auditabilidade: o acesso e uso das informaes devem ser registrados,
permitindo identificar quem a acessou e o que este fez com a informao
obtida.
No repdio de auditoria: o usurio gerador ou mantenedor da
informao (uma mensagem de correio eletrnico ou algum arquivo texto)
no pode negar o fato, visto a existncia de mecanismos que garantam
incontestavelmente a sua autoria.

O objetivo da legalidade, segundo Beal (2008, p. 2), decorre da necessidade


de a organizao zelar para que as informaes por ela ofertadas em especial
aquelas entregues a terceiros por determinao legal sejam fidedignas e
produzidas de acordo com as normas vigentes. Esse objetivo gera, no campo da
segurana da informao, exigncias no tocante confidencialidade, integridade e
disponibilidade de dados e informaes (tais como requisitos de proteo do sigilo
de informaes pessoais, da consistncia dos demonstrativos financeiros divulgados,
da disponibilidade de servios de informao e comunicao contratados por
clientes). Da mesma forma, para garantir o objetivo organizacional de uso legtimo
da informao, requisitos de confidencialidade, integridade e disponibilidade
podem ser atribudos a diferentes tipos de informao, de acordo com o papel que
desempenham nos processos organizacionais.

Quando comeamos a trabalhar em organizaes, precisamos nos lembrar


de que a informao um bem, tem valor para a empresa e deve ser protegida. A
informao deve ser cuidada por meio de polticas e regras, da mesma maneira
que os recursos financeiro e material so tratados dentro da empresa. Com isso
queremos dizer que a informao um ativo de valor. um recurso crtico para
a realizao do negcio e a execuo da misso da organizao. Portanto, sua
utilizao deve ter regras e procedimentos. (FONTES, 2006, p. 2).

Segundo Beal (2008), dados, informao e conhecimento, por sua alta


capacidade de adicionar valor a processos, produtos e servios, constituem recursos
cada vez mais crticos para o alcance da misso e dos objetivos organizacionais.
Como qualquer outro ativo valioso para as organizaes, as informaes crticas

6
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL

para o negcio devem ser protegidas contra as ameaas que podem levar
sua destruio, indisponibilidade temporria, adulterao ou divulgao no
autorizada.

O capital humano, que abrange as capacidades individuais, conhecimentos,


habilidades e experincias dos empregados de uma empresa, aliado ao capital
estrutural constituem o capital intelectual das organizaes. (WEBER; ROCHA;
NASCIMENTO, 2001, p. 74).

inquestionvel o valor das informaes, tanto para as empresas quanto


para as pessoas que as utilizam, sendo a informao, s vezes, tida como o bem
mais valioso que uma empresa pode ter.

Conforme Fontes (2006, p. 2), voc pode no ter se dado conta, mas a
informao um recurso que move o mundo, alm de nos dar conhecimento de
como o universo est caminhando. Prestando ateno, podemos identificar que
somos o que somos porque transformamos informao em vida.

2.1 ETAPAS DO CICLO DE VIDA DA INFORMAO

FIGURA 1 FLUXO DA INFORMAO EM UMA ORGANIZAO

FONTE: Beal (2008, p. 4)

7
UNIDADE 1 | SEGURANA EM INFORMTICA

O ciclo de vida da informao, de acordo com Smola (2003, p. 9),


composto e identificado pelos momentos vividos pela informao que a colocam
em risco. Tais momentos so vivenciados justamente quando os ativos fsicos,
tecnolgicos e humanos fazem uso da informao, sustentando processos que, por
sua vez, mantm a operao da organizao.

NOTA

A informao utilizada pela organizao um bem valioso e precisa ser protegido


e gerenciado. (SMOLA, 2003, p. 19).

2.1.1 Identificao das necessidades e dos requisitos


Segundo Beal (2008, p. 5), identificar as necessidades de informao dos
grupos e indivduos que integram a organizao e de seus pblicos externos
um passo fundamental para que possam ser desenvolvidos servios e produtos
informacionais orientados especificamente para cada grupo e necessidade interna e
externa. O esforo de descoberta das necessidades e dos requisitos de informao
recompensado quando a informao se torna mais til e os seus destinatrios,
mais receptivos a aplic-la na melhoria de produtos e processos (usurios internos)
ou no fortalecimento dos vnculos e relacionamentos com a organizao (usurios
externos).

2.1.2 Obteno
Definidas as necessidades de informao, conforme Beal (2008, p. 5), a prxima
etapa a de obteno das informaes que podem suprir essas necessidades. Nesta
etapa, so desenvolvidas as atividades de criao, recepo ou captura de informao,
proveniente de fonte externa ou interna, em qualquer mdia ou formato. Na maioria
dos casos, o processo de obteno da informao no pontual, precisando repetir-
se ininterruptamente para alimentar os processos organizacionais (por exemplo,
informaes sobre o grau de satisfao de clientes com os produtos ofertados
normalmente sero coletados repetidamente, por meio de pesquisas peridicas).

Uma preocupao tpica da etapa de obteno diz respeito integridade


da informao: preciso garantir que a informao genuna, criada por algum
autorizado a produzi-la (ou proveniente de uma fonte confivel), livre de
adulterao, completa e apresentada dentro de um nvel de preciso compatvel
com os requisitos levantados na etapa de identificao das necessidades. (BEAL,
2008, p. 5).

8
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL

2.1.3 Tratamento
Antes de estar em condies de ser aproveitada, de acordo com Beal (2008,
p. 5-6), comum que a informao precise passar por processos de organizao,
formatao, estruturao, classificao, anlise, sntese, apresentao e reproduo,
para torn-la mais acessvel, organizada e fcil de localizar pelos usurios. Nesta
etapa, a preocupao com a integridade continua em evidncia, principalmente se
estiverem envolvidas tcnicas de adequao do estilo e adaptao de linguagem,
contextualizao e condensao da informao, entre outras. O uso dessas tcnicas
deve levar em conta a preservao das caractersticas de quantidade e qualidade
necessrias para que a informao efetivamente sirva ao fim a que se prope. No
caso das atividades de reproduo da informao para posterior distribuio, as
questes relacionadas preservao da confidencialidade podem adquirir grande
relevncia, uma vez que a existncia de diversas cpias de uma mesma informao,
qualquer que seja a mdia utilizada (computador, papel, disquete, fita de udio ou
vdeo etc.), amplia os problemas de restrio de acesso aos usurios devidamente
autorizados.

2.1.4 Distribuio / transporte


Smola (2003, p. 10) cita que o transporte o momento em que a informao
transportada, seja ao encaminhar informaes por correio eletrnico (e-mail), ao
postar um documento via aparelho de fax, ou, ainda, ao falar ao telefone uma
informao confidencial, por exemplo.

Segundo Beal (2008), a etapa de distribuio da informao permite levar a


informao necessria a quem precisa dela. Quanto melhor a rede de comunicao
da organizao, mais eficiente a distribuio interna da informao, o que
aumenta a probabilidade de que esta venha a ser usada para apoiar processos
e decises e melhorar o desempenho corporativo. necessrio considerar,
nesta etapa, os diversos objetivos de segurana da comunicao, devendo ser
analisados separadamente os requisitos de segurana relacionados aos processos
de distribuio interna de informao daqueles voltados para a disseminao para
pblicos externos (parceiros, fornecedores, clientes, acionistas, grupos de presso,
governo etc.). (BEAL, 2008, p. 6).

9
UNIDADE 1 | SEGURANA EM INFORMTICA

2.1.5 Uso
Beal (2008) cita que o uso a etapa mais importante de todo o processo
de gesto da informao, embora seja frequentemente ignorado nos processos de
gesto das organizaes. No a existncia da informao que garante os melhores
resultados numa organizao, mas sim o uso, dentro de suas finalidades bsicas:
conhecimento dos ambientes interno e externo da organizao e atuao nesses
ambientes. Nesta etapa, os objetivos de integridade e disponibilidade devem receber
ateno especial: uma informao deturpada, difcil de localizar ou indisponvel
pode prejudicar as decises e operaes da organizao. Como j mencionado,
a preocupao com o uso legtimo da informao pode levar a requisitos de
confidencialidade, destinados a restringir o acesso e o uso de dados e informaes s
pessoas devidamente autorizadas.

2.1.6 Armazenamento
Segundo Smola (2003, p. 10), o armazenamento o momento em que a
informao armazenada, seja em banco de dados compartilhado, em anotao
de papel posteriormente postada em um arquivo de ferro, ou, ainda, em mdia de
disquete depositada na gaveta da mesa de trabalho.

Conforme Beal (2008, p. 6-7), a etapa de armazenamento necessria para


assegurar a conservao dos dados e informaes, permitindo seu uso e reuso dentro
da organizao. Nesta etapa, os objetivos de integridade e disponibilidade dos dados
e informaes armazenados podem adquirir maior destaque. A complexidade da
conservao dos dados obviamente aumenta medida que cresce a variedade
de mdias usadas para armazen-los: bases de dados informatizadas, arquivos
magnticos ou pticos, documentos em papel etc.. A necessidade de se precaver
contra problemas na recuperao dos dados pode exigir a migrao peridica dos
acervos digitais para tecnologias mais atualizadas, para proteg-los de mudanas
nos mtodos de gravao, armazenamento e recuperao, que ocorrem a ciclos
cada vez menores devido aos constantes avanos nas tecnologias da informao e
comunicao.

NOTA

Toda informao deve ser protegida contra desastres fsicos (fogo, calor, inundao
etc.) e lgicos (vrus, acesso indevido, erro de programas, alterao incorreta etc.). (SMOLA,
2003, p. 58).

10
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL

Mesmo com o desenvolvimento de mdias mais estveis, com expectativa de


vida til superior s mdias magnticas, tais como CD-ROM e DVD, a recuperao
dos documentos ficaria invivel se no houvesse no futuro dispositivos capazes
de ler essas mdias; o processo de migrao peridica visa evitar esse problema.
No caso de dados sigilosos, necessrio considerar os tipos de mecanismo de
proteo a serem usados para impedir o acesso fsico ou remoto por pessoas no
autorizadas.

NOTA

O acesso informao somente deve ser feito se o usurio estiver previamente


autorizado. (SMOLA, 2003, p. 44).

2.1.7 Descarte
De acordo com Smola (2003, p. 10), o descarte o momento no qual
a informao descartada, seja ao depositar um material impresso na lixeira
da empresa, ao excluir um arquivo eletrnico de seu computador, ou ainda, ao
descartar uma mdia usada que apresentou erro na sua leitura.

Quando uma informao se torna obsoleta ou perde a utilidade para a


organizao, ela deve ser objeto de processos de descarte que obedeam a normas
legais, polticas operacionais e exigncias internas. Excluir dos repositrios de
informao corporativos os dados e as informaes inteis melhora o processo
de gesto da informao de diversas formas: economizando recursos de
armazenamento, aumentando a rapidez e eficincia na localizao da informao
necessria, melhorando a visibilidade dos recursos informacionais importantes
etc. Entretanto, o descarte de dados e informaes precisa ser realizado dentro de
condies de segurana, principalmente no que tange ao aspecto da confidencialidade,
e, em menor grau, tambm de disponibilidade. No que tange confidencialidade, o
descarte de documentos e mdias que contenham dados de carter sigiloso precisa
ser realizado com observncia de critrios rgidos de destruio segura (por
exemplo, o uso de mquinas fragmentadoras para documentos em papel, ou de
softwares destinados a apagar com segurana arquivos de um microcomputador que,
se simplesmente excludos do sistema, poderiam ser facilmente recuperados com o
uso de ferramentas de restaurao de dados). Do ponto de vista da disponibilidade,
as preocupaes incluem a legalidade da destruio de informaes que podem
vir a ser exigidas no futuro e a necessidade de preservar dados histricos valiosos
para o negcio, entre outras. (BEAL, 2008).

Conforme Beal (2008, p. 7-8),

11
UNIDADE 1 | SEGURANA EM INFORMTICA

a descoberta de informaes sigilosas ou dados pessoais sujeitos a


normas de privacidade em computadores usados quando estes so
transferidos de rea, doados ou vendidos durante um processo de
renovao do parque de computadores da organizao relativamente
comum. A existncia e o cumprimento de procedimentos formais de
descarte de computadores e mdias de armazenamento podem evitar
constrangimentos e prejuzos imagem e credibilidade da organizao,
permitindo que os itens descartados sejam auditados e tenham os seus
dados apagados de maneira segura antes destes serem transferidos para
os seus novos proprietrios.

2.2 SEGURANA DA INFORMAO BASEADA EM TI


Grande parte das informaes e dos dados importantes para as organizaes
, segundo Beal (2008), armazenada em computadores. As organizaes dependem
da fidedignidade da informao fornecida pelos seus sistemas baseados em TI, e se
a confiana nestes dados for destruda, o impacto poder ser comparado prpria
destruio destes sistemas.

NOTA

TI, ou Tecnologia da Informao, de acordo com Beal (2008, p. 8), uma soluo
ou um conjunto de solues sistematizadas baseadas em mtodos, recursos de informtica,
comunicao e multimdia, que tem por objetivo resolver os problemas relativos a gerar, tratar,
processar, armazenar, veicular e reproduzir dados, e ainda subsidiar os processos que convertam
estes dados em informaes.

De acordo com Baltzan e Phillips (2011, p. 9), a TI dedica-se ao uso da tecnologia na gesto
e processamento da informao, podendo a tecnologia da informao ser um facilitador
considervel do sucesso das organizaes e da inovao em seus negcios.

A tecnologia da informao, segundo Laudon e Laudon (2004, p. 13), uma das diversas
ferramentas que os gestores usam para enfrentar mudanas.

De acordo com Beal (2008, p. 8), entende-se por informao baseada em


Tecnologia da Informao, a informao residente em base de dados, arquivos
informatizados, mdias magnticas ou outras que exijam solues de informtica
para acess-las. A direo das organizaes deve preocupar-se com a segurana
dos componentes de TI e da informao neles armazenada por quatro razes
principais:

Dependncia da tecnologia da informao: sistemas que oferecem servios


adequados no tempo certo so a chave para a sobrevivncia da maioria
das organizaes. Sem seus computadores e sistemas de comunicao,
as organizaes so incapazes de fornecer seus servios, contratar

12
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL

fornecedores e clientes, processar faturas ou efetuar pagamentos. Os


sistemas de informao tambm armazenam dados sigilosos que, se
publicados, podem causar prejuzos e, em alguns casos, o fracasso destas
organizaes.
Vulnerabilidade da infraestrutura tecnolgica: hardware e software exigem
ambientes estveis e podem ser danificados por catstrofes e desastres
naturais, como incndios, alagamentos, inundaes, terremotos, falhas
no controle da temperatura ambiental ou do fornecimento de energia
eltrica, sabotagens ou acidentes. Diversos equipamentos de TI so
alvos de ladres tendo em vista a sua portabilidade ou devido ao fato
de apresentarem uma relao entre custo e peso bastante elevada, sendo
facilmente comercializados.
Alto valor das informaes armazenadas: os sistemas baseados em TI
so a chave para o acesso a grandes quantidades de dados corporativos,
tornando-se um alvo atraente para hackers, espies e at mesmo alguns
empregados dispostos a abusar de seus privilgios em troca de dinheiro
ou algum tipo de vantagem oferecida por algum concorrente.
Pouca ateno dada segurana nos estgios iniciais do desenvolvimento
de software: muitos sistemas de informao, sejam eles desenvolvidos
internamente, sejam adquiridos de terceiros, no foram projetados
considerando a segurana das informaes como uma de suas
prioridades. comum que algumas caractersticas de segurana (por
exemplo, as relacionadas definio de nveis de permisso de acesso
a funcionalidades, segregao de atividades no sistema, e outras mais)
sejam adicionadas nas etapas finais de desenvolvimento, quando a sua
eficcia j pode ter sido prejudicada por decises de projeto tomadas sem
levar em conta os requisitos de segurana.

NOTA

De acordo com Beal (2008, p. 9), o termo hacker serve para referenciar indivduos
que buscam obter acesso no autorizado a sistemas computacionais com o propsito de
acessar informaes, corromper dados ou utilizar os recursos disponveis para realizar
atividades ilegtimas numa rede.

Conforme Baltzan e Phillips (2012, p. 114), hackers so extremos conhecedores de computadores


que usam seu conhecimento para invadir os computadores de outras pessoas.

Stair e Reynolds (2001, p. 543) comentam que um hacker, tambm chamado cracker, uma
pessoa habilidosa no uso do computador que tenta obter acesso no autorizado ou ilegal aos
sistemas computacionais para roubar senhas, corromper arquivos e programas ou mesmo
para transferir dinheiro. Em muitos casos, os hackers so pessoas que buscam agito o desafio
de vencer o sistema.

Segundo Laudon e Laudon (2004, p. 170), hackers exploram os pontos fracos da segurana
da Web para obter acesso a dados como informaes sobre clientes e senhas. Podem usar
cavalos de Troia (Trojan), softwares que se passam por legtimos, para obter informaes de
um computador hospedeiro.

13
UNIDADE 1 | SEGURANA EM INFORMTICA

2.3 SEGURANA DA INFORMAO


NO ARMAZENADA EM TI
Ainda que seja fundamental garantir confidencialidade, integridade e
disponibilidade das informaes importantes para o negcio, a segurana da
informao baseada em TI no resolve todas as ameaas a que se sujeita a informao
corporativa. Existem inmeras razes, segundo Beal (2008, p. 9), para tambm
proteger informaes no armazenadas em computadores:

Toda organizao possui dados, informaes e conhecimentos valiosos


que no esto armazenados em sistemas informatizados ou meios
eletrnicos, seja por falta de tempo ou interesse do detentor da informao
de registr-la, ou ainda por estar temporariamente disponvel apenas em
um documento impresso, microfilme ou outro tipo de meio de registro e
suporte da informao.
Alguns documentos tm sua validade vinculada ao suporte fsico em
papel, exigindo proteo fsica mesmo existindo cpias eletrnicas destes.
Informaes armazenadas em computadores podem ser impressas e ter
sua confidencialidade comprometida pela falha no manuseio de suas
verses impressas.

Os processos de segurana da informao devem levar em conta as questes


relativas segurana da informao armazenada em meios no eletrnicos para
garantir uma proteo adequada para dados e informaes importantes para
o negcio. Ter uma noo clara de quais informaes valiosas permanecem
armazenadas fora dos componentes de TI, bem como dos fluxos por elas percorridos
na organizao, permite aos responsveis pela preservao desses ativos planejar e
implementar as medidas necessrias para sua proteo (BEAL, 2008).

2.4 PROTEO DOS ATIVOS INFORMACIONAIS


A fim de manter os ativos de informao protegidos contra perda, furto
e alterao, divulgao ou destruio indevida, alm de outros problemas que
podem afet-los, as organizaes precisam adotar controles de segurana
medidas de proteo que abrangem, de acordo com Beal (2008, p. 10), uma grande
diversidade de iniciativas, indo dos cuidados com os processos de comunicao
segurana de pessoas, mdias e componentes de TI.

Ainda conforme Beal (2008, p. 10), os controles de segurana precisam


ser escolhidos levando-se em conta os riscos reais a que esto sujeitos os dados,
informaes e conhecimentos gerados pelas organizaes, para serem capazes de
proteg-los adequadamente. Toda organizao deve adquirir uma viso sistmica
de suas necessidades de segurana, dos recursos que devem ser protegidos e das
ameaas s quais est sujeita, para poder identificar as mais adequadas medidas

14
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL

de proteo, viveis economicamente e capazes de minimizar ou eliminar os


principais riscos para o negcio.

3 RISCOS ENVOLVENDO INFORMAES


Apesar de a segurana ser, de acordo com Nakamura e Geus (2007, p.
51), essencial para os negcios das organizaes, a dificuldade em entender sua
importncia ainda muito grande. Muitas vezes, a nica segurana existente
a obscuridade, e esta obscuridade constitui um risco muito grande para a
organizao, pois, cedo ou tarde, algum poder descobrir que um grande tesouro
est sua total disposio.

NOTA

De acordo com Beal (2008, p. 12), risco a combinao da probabilidade de um


evento e sua consequncia.

J conforme Ferreira e Arajo (2008, p. 163), risco trata-se de um possvel evento/ao que,
se efetivado, gera um impacto negativo, em funo da explorao da fraqueza/vulnerabilidade,
considerando tanto a probabilidade quanto o impacto de ocorrncia.

Por fim, segundo Smola (2003, p. 50), risco a probabilidade de algumas ameaas explorarem
vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade,
causando, possivelmente, impactos nos negcios.

Tendo em vista a complexidade e o alto custo de manter os ativos


de informao a salvo de ameaas sua confidencialidade, integridade e
disponibilidade, de extrema importncia para o alcance dos objetivos de
segurana adotar um enfoque de gesto baseado nos riscos especficos para o
negcio, segundo Beal (2008, p. 11). Conhecendo as ameaas e vulnerabilidades
a que esto sujeitas as informaes, bem como os impactos que poderiam advir
do comprometimento de sua segurana, torna-se mais bem fundamentada e
confivel a tomada de deciso sobre como e quanto gastar com a proteo dos
dados corporativos.

A constante avaliao de riscos de T.I. e de ativos crticos de


informao na organizao ir permitir uma evoluo constante e um
aprimoramento em termos de controles mais eficazes, inteligentes, com
custos adequados e alinhados ao apetite de riscos da empresa. O circulo
virtuoso composto por uma avaliao de riscos, anlise de resultados
da avaliao, reporte dos pontos levantados, aplicao de melhorias e
reincio do ciclo. A cada rodada da avaliao de riscos, mais o processo
vai sendo refinado e maior a confiabilidade nos controles e na sua
eficincia e adequao. (FERREIRA; ARAJO, 2008, p. 195).

15
UNIDADE 1 | SEGURANA EM INFORMTICA

3.1 RISCOS NO CONTEXTO DA


SEGURANA DA INFORMAO
Beal (2008, p. 13) cita que os termos e definies do ISO Guide 73, norma
que estabelece um vocabulrio de dezenas de termos relacionados gesto de
riscos, dizem respeito a todo e qualquer tipo de situao (ou evento) que constitui
oportunidade de favorecer ou prejudicar o sucesso de um empreendimento.
Em sua introduo, a norma alerta para o fato de que o objetivo do documento
prover um vocabulrio bsico para desenvolver um entendimento comum a
organizaes de diversos pases, sendo possvel que eventuais adaptaes precisem
ser realizadas nas expresses utilizadas para atender s necessidades dentro de
um domnio especfico.

No setor financeiro, por exemplo, a gesto do risco est associada a


flutuaes monetrias representadas tanto por oportunidades de ganho quanto de
perda, e consequentemente o processo de gesto de risco trabalha igualmente com
os aspectos negativos e positivos da situao de risco.
Em outras reas, como a de preveno de acidentes, a gesto do risco
tem a preocupao de prevenir e evitar impactos negativos associados
aos acidentes. Diante de tantos cenrios diferentes de aplicao da
gesto do risco, importante promover ajustes na terminologia adotada,
alterando-a e expandindo-a na medida do necessrio para tratar a
questo dentro do escopo em que est sendo estudada a gesto do risco.
(BEAL, 2008, p. 14).

Cada negcio, de acordo com Smola (2003, p. 55), independente de seu


segmento de mercado e seu core business, possui dezenas, talvez centenas, de
variveis que se relacionam direta e indiretamente com a definio do seu nvel de
risco. Identificar estas variveis passa a ser a primeira etapa do trabalho.

De acordo com Smola (2003, p. 55-56), O risco a probabilidade de que


agentes, que so ameaas, explorem vulnerabilidades, expondo os ativos a perdas
de confidencialidade, integridade e disponibilidade, e causando impactos nos
negcios. Esses impactos so limitados por medidas de segurana que protegem
os ativos, impedindo que as ameaas explorem as vulnerabilidades, diminuindo,
assim, o risco.

Segundo Smola (2003, p. 56),


por melhor que estejam protegidos os ativos, novas tecnologias,
mudanas organizacionais e novos processos de negcio podem criar
vulnerabilidades ou identificar e chamar a ateno para as j existentes.
Alm disso, novas ameaas podem surgir e aumentar significativamente
a possibilidade de impactos no negcio. Sendo assim, medidas
corretivas de segurana precisam ser consideradas, pois sempre haver
a possibilidade de um incidente ocorrer, por mais que tenhamos tomado
todas as medidas preventivas adequadas.

16
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL

fundamental, ainda conforme Smola (2003, p. 56),

que todos tenhamos a conscincia de que no existe segurana total


e, por isso, devemos estar bem estruturados para suportar mudanas
nas variveis da equao, reagindo com velocidade e ajustando o risco
novamente aos padres pr-especificados como ideal para o negcio.

Diante disso, conclumos que no h um resultado R (risco) igual para


todos. Sempre ser necessrio avaliar o nvel de segurana apropriado para cada
momento vivido pela empresa, como se tivssemos de nos pesar em perodos
regulares para definir a melhor dose de ingesto calrica (dose de segurana) do
perodo, a fim de buscar aproximao com o peso ideal (nvel de risco) para o
momento (SMOLA, 2003).

FIGURA 2 RELAO ENTRE OS TERMOS ASSOCIADOS AO RISCO PARA SEGURANA DA


INFORMAO

FONTE: Beal (2008, p. 16)

17
UNIDADE 1 | SEGURANA EM INFORMTICA

3.2 ETAPAS DA GESTO DO RISCO


A administrao do risco, de acordo com Beal (2008, p. 16), precisa
contemplar vrias etapas cclicas que levam reduo do risco, indo da anlise ao
tratamento, aceitao e comunicao. A figura a seguir til para fornecer uma
visualizao global desses processos.

FIGURA 3 ETAPAS DA GESTO DO RISCO

FONTE: Beal (2008, p. 17)

18
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL

No topo esquerda da Figura 3, h a representao do ciclo PDCA, que


permite entender a gesto da segurana da informao como um ciclo contnuo
de planejamento, execuo, avaliao e ao corretiva. O PDCA (de plan, do, check,
act), mtodo utilizado em processos de gesto da qualidade que se aplica aos mais
diversos tipos e nveis de gesto, conforme Beal (2008, p. 37), til para fornecer
uma visualizao global das etapas que devem compor a gesto da segurana da
informao.

E
IMPORTANT

O significado da sigla PDCA, conforme Beal (2008, p. 37), vem de:

P = Plan, de planejar: estabelecer objetivos metas e meios de alcan-los.


D = Do, de executar.
C = Check, de verificar, avaliar (comparao do resultado com o planejado).
A = Act, de agir corretivamente (caso sejam detectados desvios ou falhas a serem corrigidos).

3.3 ANLISE E AVALIAO DO RISCO


O processo de gesto do risco, segundo Beal (2008, p. 18), inicia-se com a
identificao dos riscos e seus elementos: alvos, agentes, ameaas, vulnerabilidades,
impactos.

As ameaas a que se sujeitam informao e ativos de informao podem


ser classificadas como ambientais (naturais, como fogo, chuva, raio, terremoto, ou
decorrentes de condies do ambiente, como interferncia eletrnica, contaminao
por produtos qumicos, falhas no suprimento de energia eltrica ou no sistema de
climatizao), tcnicas (configurao incorreta de componentes de TI, falhas de
hardware e software), lgicas (cdigos maliciosos, invaso de sistema) e humanas
(erro de operao, fraude, sabotagem) (BEAL, 2008).

Conforme Beal (2008, p. 18), ameaas exploram vulnerabilidades para


atingir alvos de ataque. As vulnerabilidades determinam o grau de exposio de
um ativo de informao, ambiente ou sistema a determinada ameaa. A falta de
treinamento dos usurios, por exemplo, representa uma vulnerabilidade em relao
ameaa de erro humano, assim como a instalao de um data center no subsolo de
um prdio produz uma vulnerabilidade associada ameaa de inundao.

Vulnerabilidades lgicas observadas em sistemas conectados internet


incluem senhas de administrador vindas de fbrica que no so alteradas na
instalao do software, ausncia de instalaes de patches aps a descoberta de um
bug no sistema e permanncia de utilitrios e ferramentas de administrao que
tornam o computador inseguro e no so necessrios para o seu funcionamento no
dia a dia. Hackers dispem de vrias tcnicas para descobrir vulnerabilidades dessa
natureza e, com esse conhecimento, planejar um ataque.

19
QUADRO 1 RELAO DE AMEAAS E IMPACTOS RELACIONADOS A INSTALAES E COMPONENTES DE TI

Impacto para
Tipo de recurso Impacto para o objetivo de Impacto para o objetivo de
Ameaa o objetivo de
vulnervel (alvo) confidencialidade confidencialidade
integridade
Controles fsicos de acesso
podem ser desconsiderados Todos os servios podem ser
Desastres naturais
Edifcios, torres de durante a recuperao do prejudicados e dados podem
como terremoto,
comunicao. desastre e equipamentos ser perdidos ou permanecerem
nevasca e furaco.
descartados podem conter temporariamente indisponveis.
informaes confidenciais.
UNIDADE 1 | SEGURANA EM INFORMTICA

Falhas ambientais, Servios podem ser


incluindo queda Hardware. interrompidos e hardware pode
da energia eltrica. ser danificado.
Equipamentos furtados Servios podem ser
Equipamentos
Furto podem conter informaes interrompidos e dados podem
valiosos e portteis.
confidenciais. ser perdidos.

20
Principalmente Computadores infectados
Dados podem ser
computadores podem parar de funcionar e
Vrus. corrompidos pelo
pessoais conectados dados importantes podem ser
vrus.
em rede. apagados.
O objetivo dos hackers pode ser a quebra do sigilo de informaes ou a
Todos os sistemas indisponibilidade dos servios (ataque do tipo DoS, Denial of Service), a alterao
Hacking.
em rede. ou destruio de dados ou a utilizao dos recursos informatizados da organizao
para realizar invases a terceiros.
Cdigo no autorizado Funes Programas podem ser
pode levar ao vazamento escondidas podem projetados para destruir dados
Cdigo escondido. Todo o software.
de informaes sigilosas manipular dados ou negar acesso autorizado a
tais como senhas de acesso. indevidamente. servios.
Hardware danificado
Dados podem ser
pode ser enviado para
Falha de hardware. Todo o hardware corrompidos quando Servio indisponvel.
manuteno contendo
o hardware falha.
informao sigilosa.
A falha dos controles
de acesso pode levar Dados podem ser
Falha de software Todo o software. Servio indisponvel.
divulgao indevida de corrompidos.
dados e informaes
Funcionrios podem destruir
Funcionrios podem
informaes acidentalmente,
divulgar acidentalmente Funcionrios podem
danificar hardware ou
Erro Humano. Todos os sistemas. informaes sigilosas, por inserir dados
interromper o funcionamento
exemplo, enviando dados incorretamente.
do sistema por erro de
para a impressora errada.
configurao.

21
FONTE: Adaptado de Beal (2008, p. 20-21)
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL
UNIDADE 1 | SEGURANA EM INFORMTICA

A figura 3 demonstra como a decomposio do risco em seus componentes


e a posterior avaliao das caractersticas mensurveis desses componentes
levam a uma estimativa do valor do risco, que depois poder ser comparado a uma
referncia (critrio do risco) para determinar sua relevncia, permitindo tomar a
deciso de aceitar ou tratar este risco. Vrias so as metodologias desenvolvidas
para realizar a anlise e avaliao de riscos, sendo estas usualmente classificadas
como qualitativas e quantitativas.

Os mtodos quantitativos de avaliao do risco so particularmente teis


quando se tenta buscar um equilbrio entre os custos de implementao de medidas
de segurana e o possvel custo da no implementao dessa segurana. Um dos
mtodos quantitativos mais conhecidos o de clculo da Expectativa de Perda Anual
(ALE, do ingls Annual Loss Expectation). A ALE calculada pela multiplicao da
perda prevista para um incidente pela frequncia esperada de ocorrncia desse
incidente. A metodologia fundamenta-se no princpio de que durante um perodo
de 12 meses n incidentes iro ocorrer para cada tipo de ameaa (n pode ser uma
frao, nos casos de incidentes menos frequentes). Se cada incidente resulta numa
perda mdia de i, ento a ALE ser o produto dos dois, n x i. Por meio desse mtodo
possvel tomar decises em relao a investimentos em segurana: medidas de
proteo com um custo anual de X seriam justificadas se sua implantao significasse
uma expectativa de reduo da ALE maior que X (BEAL, 2008).

Os mtodos quantitativos costumam ser vistos com cautela pelos estudiosos,


conforme Beal (2008, p. 22),

devido dificuldade de obteno de resultados representativos (


preciso dispor de um histrico confivel dos incidentes de segurana
passados e dos impactos financeiros a eles associados para garantir
resultados representativos, e mesmo que o histrico esteja disponvel,
as condies podem ter mudado, tornando os dados pouco confiveis).

A necessidade de medir os impactos em termos monetrios tambm nem


sempre uma expectativa realista. Por exemplo, quando se analisa a expectativa de
perda anual associada interrupo do servio de um site de comrcio eletrnico,
mesmo que seja possvel calcular uma mdia do tempo previsto at a recuperao do
servio e a perda da receita a ela associada, como garantir que o impacto financeiro
causado resuma-se perda imediata de receita? Muitos clientes poderiam ficar
insatisfeitos e mudar de fornecedor aps sofrerem uma ou mais falhas de servio,
e dificilmente seria possvel estimar de forma confivel essa perda para acrescent-
la ao clculo da ALE, principalmente se as condies externas tiverem se alterado
(por exemplo, com a recente entrada no mercado de concorrentes poderosos).

Apesar dessas dificuldades, Schneier (2000 apud BEAL, 2008, p. 22)


considera esse tipo de anlise importante para dar perspectiva s questes de
segurana: grandes falhas de segurana sero aceitveis se a probabilidade de
ataque em relao a elas estiver perto de zero; j pequenas falhas podem ter que
ser eliminadas se forem objeto de 10 milhes de ataques por dia. O autor ilustra
esse ponto comparando duas situaes:

22
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL

O risco de espionagem por um concorrente interessado em roubar os


novos planos de design da empresa pode ter uma perda associada de
US$ 10 milhes, mas se a frequncia estimada de ocorrncia for de, por
exemplo, 0,001 (0,1% de probabilidade de ocorrncia), o ALE cai para US$
10 mil, desestimulando grandes investimentos em minimizar este risco.
A perda esperada para um incidente de invaso por hackers pode ser de
apenas US$ 10 mil (custo estimado de contratar algum para identificar
e corrigir o problema e outras despesas envolvidas), mas se a frequncia
de ocorrncia for alta por exemplo, 3 vezes por dia, ou 1.000 por ano ,
a ALE seria de US$ 10 milhes, suficiente para justificar, por exemplo, a
implantao de um firewall de US$ 25 mil para proteger a rede.

De acordo com Beal (2008, p. 23), os mtodos qualitativos trabalham com


a descrio literal dos riscos para avali-los. Diversos mtodos para avaliao
qualitativa de riscos utilizam questionrios e matrizes de riscos como o apresentado
no quadro a seguir.

QUADRO 2 EXEMPLO DE UMA MATRIZ DE RISCOS


Probabilidade de ocorrncia do incidente
Gravidade
do impacto F E D C B A
Impossvel Improvvel Remota Ocasional Provvel Frequente

I
///////// XXXXXX XXXXXX XXXXXX
Catstrofe

II
///////// XXXXXX XXXXXX
Alta

III
///////// /////////
Mdia

IV
Baixa

XXXXXX: Imperativo reduzir os riscos.


/////////: Medidas de proteo adicionais requeridas.
Legenda
Em branco: As medidas bsicas de proteo adotadas pela organizao so
consideradas suficientes para manter os riscos em nveis aceitveis.

FONTE: Adaptado de Beal (2008, p. 23)

No exemplo do Quadro 2, a possibilidade de um incidente apresenta seis


nveis, estimada de acordo com a frequncia esperada da ocorrncia ao longo de um
perodo de tempo ou no grau de confiana na ocorrncia do incidente. J a gravidade
do impacto pode ser classificada como catastrfica quando o dano representa o
fracasso da organizao, a baixa quando um ataque bem-sucedido no capaz
23
UNIDADE 1 | SEGURANA EM INFORMTICA

de provocar efeitos adversos considerveis. A matriz resultante da combinao


dessas duas dimenses, confrontada com critrios de risco previamente definidos,
leva identificao dos riscos que necessariamente tm que ser reduzidos (neste
exemplo pertencentes s clulas marcadas com XXXXXX e ///////// no quadro) pelo
uso de medidas de proteo complementares aos controles bsicos adotados pela
organizao.

De acordo com Beal (2008), um gerente de segurana encarregado de


um projeto de avaliao de riscos normalmente ter dificuldade em identificar o
melhor mtodo para realizar uma anlise de risco, e mesmo em optar pelo uso de
um mtodo quantitativo ou qualitativo especfico dentre as diversas abordagens
ofertadas no mercado. Normalmente, os mtodos de avaliao do risco costumam
ter um foco especfico como tecnolgico, ambiental etc. Muitas vezes uma avaliao
de risco completa ir exigir a combinao de diferentes mtodos avaliativos para
garantir uma anlise abrangente do ambiente fsico e lgico a ser protegido.

Ainda conforme Beal (2008), os mtodos quantitativos so aconselhveis


sempre quando cogitada a adoo de uma medida de proteo de alto custo para
a organizao. Nesse caso, uma estimativa de perda esperada pode ser comparada
com o custo da soluo escolhida, a fim de que se possa chegar a uma concluso a
respeito da razoabilidade do investimento proposto para reduzir o risco. J o uso de
mtodos qualitativos pode beneficiar as organizaes que no dispem de recursos
financeiros, tecnolgicos e de pessoal para realizar uma avaliao de risco muito
sofisticada. Uma anlise simplificada pode ser desenvolvida mediante a classificao
do risco com base em critrios objetivos previamente estabelecidos para as principais
ameaas identificadas, conforme exemplificado no quadro a seguir.

QUADRO 3 EXEMPLOS DE CRITRIOS SIMPLIFICADOS PARA PONTUAO DOS PRINCIPAIS


RISCOS DE SEGURANA

0 pontos: baixo risco. As instalaes esto situadas em local seguro,


Risco de incidentes protegido contra incndio. No h histrico de inundao, terremoto
naturais: desastres e furaco na rea.
causados por 4 pontos: alto risco. As instalaes apresentam problemas na rede
fogo, inundao, eltrica e no possuem dispositivos de segurana contra incndio. Os
terremoto, furaco. principais recursos esto no subsolo e correm risco quando h muita
chuva.
0 pontos: baixo risco. A organizao est dotada de equipamentos
Risco de falhas no-break, geradores e ar-condicionado, e no existe histrico de falhas
ambientais como ambientais.
temperatura
excessiva e queda 4 pontos: alto risco. Problemas com a rede eltrica e outras falhas
de energia eltrica. ambientais tm-se mostrado frequentes e com srias consequncias
para a disponibilidade dos sistemas.
0 pontos: baixo risco. No existem equipamentos portteis do tipo
notebook, e a segurana interna bastante rgida, no havendo
histrico de furto de equipamentos ou componentes.
Risco de furto.
4 pontos: alto risco. O acesso de estranhos no controlado, os
funcionrios utilizam notebooks em viagens, ou j foram registradas
ocorrncias de furto ou perda de equipamento.
FONTE: Adaptado de Beal (2008, p. 25)

24
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL

Os processos de anlise e avaliao do risco incluem, quase sempre,


tarefas de reunio extensiva de dados, agrupamento, computao e relatrio.
Existem variadas metodologias e ferramentas disponveis comercialmente que
reduzem significativamente o esforo de clculo e de documentao, e podem ser
indispensveis para uma avaliao de risco detalhada e abrangente, devido ao
grande volume de dados a ser coletado, armazenado, processado e documentado.
Apesar de teis, esses recursos no substituem pessoal qualificado e experiente,
e, portanto, no oferecem solues em si mesmos, apenas uma estrutura na qual
basear o trabalho (BEAL, 2008).

Conforme Nakamura e Geus (2007, p. 59-60), alguns dos riscos existentes e


algumas consideraes a serem feitas so:

A falta de uma classificao das informaes e dimensionamento quanto


ao seu valor e sua confiabilidade, que serve de base para a definio de
uma estratgia de segurana adequada. Isso resulta em um fator de risco
para a organizao, alm de dificultar o dimensionamento das perdas
resultantes de um ataque.
O controle de acesso mal definido faz com que os usurios tenham acesso
irrestrito a quaisquer partes do sistema, mesmo as que no so necessrias
para a realizao de suas tarefas.
Autenticao com base em identidades compartilhadas, como o uso de
usurios e senhas nicas, faz com que no seja possvel identificar a
origem de acessos no autorizados.
A dificuldade de controle do administrador sobre todos os sistemas da
rede interna faz com que estes no possam ser considerados confiveis.
Os bugs nos sistemas operacionais ou nos softwares utilizados por estes
equipamentos podem abrir brechas na rede interna.
A internet deve ser considerada um ambiente hostil e, portanto, no
confivel. Assim, todos os seus usurios devem ser considerados no
confiveis e atacantes em p.
As informaes e senhas que trafegam pela rede esto sujeitas a serem
capturadas.
Os e-mails podem ser capturados, lidos, modificados e falsificados.
Qualquer conexo entre a rede interna e qualquer outro ponto pode ser
utilizada para ataques rede interna.
Os telefones podem ser grampeados e as informaes que trafegam pela
linha, sejam por voz ou dados, gravadas.
Um atacante precisa encontrar somente uma brecha para realizar um
ataque, enquanto o gestor de segurana deve conhecer todas as brechas e
fech-las.
Os firewalls protegem contra acessos explicitamente proibidos, mas e
quanto a ataques contra servios legtimos?
Quando se adota a segurana pela obscuridade, situao em que a
organizao pensa que sua rede nunca ser invadida porque no
conhecida, os responsveis torcem para que o invasor no saiba dos
problemas com segurana e dos valores disponveis na rede interna. At
quando?
Novas tecnologias significam novas vulnerabilidades.

25
UNIDADE 1 | SEGURANA EM INFORMTICA

A interao entre diferentes ambientes resulta na multiplicao dos


pontos vulnerveis.
A segurana envolve aspectos de negcios, tecnolgicos, humanos,
processuais e jurdicos.
A segurana complexa.

Estas consideraes, segundo Nakamura e Geus (2007, p. 60), mostram o


quanto a segurana abrangente e multidisciplinar. Cuidar de alguns pontos e
negligenciar outros pode comprometer a organizao, pois os incidentes sempre
ocorrem no elo mais fraco da corrente, ou seja, no ponto mais vulnervel do
ambiente.

Independentemente da abordagem escolhida, segundo Beal (2008, p. 25), a


avaliao do risco deve ser efetuada por pessoa ou pessoas que detenham:

Entendimento aprofundado do papel e da importncia dos ativos de


informao sob anlise para a organizao.
Formao tcnica nas reas que esto sendo avaliadas.
Experincia de aplicao dos princpios, procedimentos e prticas de
segurana da informao.
Experincia na metodologia de anlise e avaliao de risco a ser empregada,
e conhecimento das suas limitaes.

3.4 TRATAMENTO DO RISCO


Beal (2008, p. 26) cita que existem vrias classificaes disponveis para
as medidas de proteo utilizadas para diminuir os riscos de segurana da
informao. Uma das classificaes possveis :

Medidas preventivas: controles que reduzem a probabilidade de uma


ameaa se concretizar ou diminuem o grau de vulnerabilidade do ambiente/
ativo/sistema, reduzindo assim a probabilidade de um ataque e/ou sua
capacidade de gerar efeitos adversos na organizao.
Medidas corretivas ou reativas: reduzem o impacto de um ataque/
incidente. So medidas tomadas durante ou aps a ocorrncia do evento.
Mtodos detectivos: expem ataques/incidentes e disparam medidas
reativas, tentando evitar a concretizao do dano, reduzi-lo ou impedir
que se repita.

26
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL

FIGURA 4 ETAPAS DA GESTO DO RISCO

FONTE: Beal (2008, p. 17)

QUADRO 4 ETAPAS DA GESTO DO RISCO


MEDIDAS MTODOS DE
AMEAA MEDIDAS REATIVAS
PREVENTIVAS DETECO
Superviso gerencial, Auditoria de logs,
Interrupo de
segregao de funes, anlise de trilhas
pagamentos suspeitos,
Fraude. controle efetivo de de auditoria,
investigao interna,
senhas e permisses de conciliao de
denncia polcia.
acesso. valores.
Inventrio
Roubo de Controles de entrada e Investigao interna, p e r i d i c o ,
equipamentos. sada. denncia polcia. controle de
entrada e sada.
FONTE: Adaptado de Beal (2008, p. 17)

Segundo Beal (2008, p. 28),

os pontos essenciais para tratar adequadamente os riscos elencados pela


ISO 17799 so, do ponto de vista legal, proteo de dados e privacidade
de informaes pessoais, e salvaguarda de registros organizacionais
e direitos de propriedade intelectual; e, do ponto de vista das melhores
prticas, formalizao da poltica de segurana, educao e treinamento em
segurana, relatrios de incidentes e gesto da continuidade do negcio.

Todos esses aspectos de segurana sero analisados ao longo do presente


caderno de estudos, e importante considerar o alerta contido na ISO 17799: nem
todos os controles se aplicam ou so viveis em todas as situaes e organizaes.
A seleo dos controles deve basear-se na anlise de risco e de custo/benefcio de
sua implementao, considerando todos os requisitos de segurana identificados,
sejam eles originados das diretrizes internas, legislao vigente ou da prpria

27
UNIDADE 1 | SEGURANA EM INFORMTICA

avaliao do risco, e os impactos financeiros e no financeiros (para a credibilidade,


imagem etc.) associados a estes.

3.5 ACEITAO DO RISCO RESIDUAL


E COMUNICAO DO RISCO
Selecionadas as medidas de proteo a serem aplicadas, conforme Beal
(2008, p. 28), preciso comunicar adequadamente o risco residual para a alta
direo, para garantir que este seja compreendido e aceito pelos responsveis
globais pela organizao, ou, em caso de no aceitao, para permitir que controles
adicionais sejam escolhidos para diminuir o nvel do risco restante.

Por exemplo, uma soluo single sign-on (onde um usurio de ambiente


computacional informa apenas uma vez sua senha para acessar todos os recursos
disponveis no seu computador e na rede corporativa) pode ser muito conveniente,
evitando que, em ambientes mais complexos, o usurio necessite lembrar um grande
nmero de senhas e digit-las repetidas vezes.

Ao decidir pela aprovao ou no de uma soluo desse tipo, a cpula


estratgica precisa considerar o risco adicional associado (uma falha de
segurana que leve divulgao da senha passa a comprometer todo o ambiente
computacional, e no apenas alguns recursos, como acontece no caso de senhas
separadas). possvel que esse risco possa ser minimizado por medidas
adicionais para proteger a senha nica, ou que mesmo sem essas medidas o risco
seja considerado inferior ao enfrentado quando os usurios precisam manter na
memria um nmero excessivo de senhas (pode-se chegar concluso de que,
para facilitar o trabalho, eles passam a usar a mesma senha para todos os sistemas,
registr-las em papel ou adotar senhas de fcil adivinhao).

A adequada comunicao dos riscos associados a um e outro caso assegura


que a deciso final seja tomada com entendimento claro das implicaes de
segurana, facilitando a aprovao se for o caso de outras despesas consideradas
necessrias para implementar controles adicionais que garantam a manuteno
dos riscos dentro de nveis considerados aceitveis pelos dirigentes.

3.6 CONTINUIDADE DOS PROCESSOS


DE GESTO DO RISCO
De acordo com Beal (2008, p. 29).

A gesto do risco precisa ser desenvolvida de forma permanente e


iterativa, para que mudanas nos sistemas e na forma como so usados,
no perfil dos usurios, no ambiente, na tecnologia, nas ameaas, nas
vulnerabilidades e em outras variveis pertinentes no tornem obsoletos
os requisitos de segurana estabelecidos. A organizao deve programar
revises peridicas da anlise de risco, e recalcular as estimativas de
risco sempre que seja constatada alguma mudana organizacional com
implicaes sobre a segurana dos seus ativos de informao.

28
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL

4 ANLISE DO RISCO ECONMICO


A finalidade da anlise do risco econmico para a segurana, de acordo
com Caruso e Steffen (1999, p. 65),

obter a medida da segurana existente em determinado ambiente.


Essa anlise aplica-se tambm a outras reas que no a de segurana
de informaes. Ela envolve aspectos subjetivos em graus variados.
A subjetividade ir variar em funo do grau de familiaridade que
o avaliador tiver em relao ao mecanismo de avaliao, bem como
em relao ao ambiente de informaes que est sendo avaliado.
Entretanto, sempre restar algum grau de subjetividade no processo,
o que no elimina a necessidade da avaliao. Em vez de se contestar a
validade da anlise, necessrio dar ao avaliador condies para torn-
la a melhor possvel.

Conforme Caruso e Steffen (1999, p. 66),

a primeira considerao relacionada com segurana de ativos de


informaes, como qualquer outra modalidade de segurana, a relao
custo/benefcio. No se despendem recursos em segurana que no
tenham retorno altura, isto , no se gasta mais dinheiro em proteo
do que o valor do ativo a ser protegido. Ainda que existam excees a
essa regra, ela vlida em praticamente todos os casos.

O segundo ponto a ser considerado que, ainda que o principal fator deva
ser a anlise da relao custo/benefcio, a mesma envolve bom senso. Mesmo nos
casos em que no possvel uma anlise direta da relao custo/benefcio, h meios
indiretos de se obterem valores bem prximos dos reais. Um exemplo o caso
de sistemas de computao das companhias areas em que toda a operao da
companhia diretamente controlada atravs de sistemas on-line. difcil justificar
a aquisio de um sistema no-break somente em funo do tempo de processamento
perdido; entretanto, o retorno financeiro da aquisio e implantao de uma
instalao geradora de energia do tipo no-break mais facilmente justificado em
funo das receitas oriundas de vendas de passagens, controle da alocao de
carga em aeronaves, manuteno programada das aeronaves, controle de estoques
de peas, etc. A soma das receitas e dos gastos decorrentes da indisponibilidade
pode, facilmente, superar vrias vezes o custo de um sistema no-break, para cada
ocorrncia (CARUSO; STEFFEN, 1999).

29
UNIDADE 1 | SEGURANA EM INFORMTICA

FIGURA 5 FLUXO DE ANLISE DAS AMEAAS E RISCOS


Ameaas

Probabilidade dos riscos

Peso dado ao risco

Avaliao do risco

Prioridades da proteo

Medidas de proteo
FONTE: Adaptado de Caruso e Steffen (1999, p. 67)

Ainda que frequentemente seja difcil identificar, segundo Caruso e Steffen


(1999, p. 67),
segurana sempre segue parmetros lgicos, mesmo quando reage
a situaes de risco criadas por seres humanos; os investimentos
relacionados com segurana podem facilmente chegar casa de milhes
de dlares com o consequente custo indireto relacionado. A forma mais
eficiente de se efetuar a anlise de custo/benefcio fazer com que os
usurios finais de cada sistema de informaes avaliem o valor das
mesmas para a organizao; quem trabalha com as informaes no seu
dia a dia o mais indicado para fazer a anlise de risco.

Uma metodologia relativamente simples para auxiliar na deciso dos


investimentos de segurana, principalmente quando difcil avaliar valores
monetrios, mas h um elevado risco para a imagem ou qualquer fator subjetivo,
segundo Caruso e Steffen (1999, p. 68), consiste nas etapas:

Anlise dos riscos e suas consequncias.


Estimativa das probabilidades de ocorrncia.
Estimativa do dano causado pela ocorrncia do incidente (vulnerabilidade).
Clculo da exposio: E = V x P, onde V a vulnerabilidade ou dano financeiro
causado pela ocorrncia do incidente e P a probabilidade da ocorrncia em
vezes/ano.
Anlise das medidas de proteo contra os riscos.
Seleo das medidas de proteo a implementar, em funo da relao custo/
eficcia da segurana.
Um exemplo prtico resultante dessa anlise est relacionado com as
instalaes do tipo no-breaks e geradores. frequente a queda de energia
em muitas cidades e at mesmo em reas extensas do pas; em alguns
locais ocorre vrias vezes por dia. Por isso, devido incidncia e aos
transtornos de perda de tempo e retomadas fcil concluir que esse
investimento indispensvel em muitos dos casos, a exemplo das
empresas areas. (CARUSO; STEFFEN, 1999, p. 68).

Segundo Caruso e Steffen (1999, p. 68), casos de incndio no so


frequentes, mas caso ocorram, sua consequncia um desastre completo e de
difcil recuperao.

30
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL

FIGURA 6 PROBABILIDADE DOS RISCOS E SUAS CONSEQUNCIAS


Risco = Probabilidade X grau das consequncias

Riscos Consequncias
Peso Probabilidade Peso Grau
1 Extremamente improvvel 1 Insignificante
2 Improvvel 2 Mdio
3 Possvel 3 Grande
Pe em perigo a existncia
4 Bem possvel/j aconteceu 4
da empresa
FONTE: Adaptado de Caruso e Steffen (1999, p. 68)

Aplicando-se a frmula acima na avaliao dos riscos e suas consequncias,


obtm-se as prioridades de proteo, conforme demonstrado no grfico a seguir:

FIGURA 7 PRIORIDADES DE PROTEO

FONTE: Caruso e Steffen (1999, p. 69)

A partir da, conforme Caruso e Steffen (1999, p. 69), devem-se relacionar


as medidas de proteo para cada caso.

Como em qualquer outra atividade empresarial, o capital investido em


informtica corre os mesmos riscos de destruio, roubo, violao, fraude etc. que
o capital empregado em outro tipo de atividade, digamos, um supermercado ou
um banco. Esses ativos so representados por instalaes, equipamentos, softwares
e dados. Dos quatro, os dois ltimos so de longe os mais valiosos, sendo que o
ltimo pode vir a ser insubstituvel. (CARUSO; STEFFEN, 1999, p. 69).

Inerente aos sistemas de informaes, de acordo com Caruso e Steffen (1999, p. 70),

31
UNIDADE 1 | SEGURANA EM INFORMTICA

temos o fato de que as prprias informaes dos aplicativos representam,


por si ss, os fatores de produo empregados nos negcios que estas
operaes representam. Portanto, uma boa fonte de anlise a prpria
operao de negcio; o negcio em si , normalmente, muito bem
documentado e os executivos das diversas reas conhecem muito bem
o valor das operaes que gerenciam para a organizao.

Como em qualquer outra atividade humana, segundo Caruso e Steffen


(1999, p. 70), o processamento de informaes e as atividades ligadas s
informaes ainda no podem prescindir do uso de mo de obra com graus
variados de especializao. Na realidade, a mo de obra o componente de
custo com a participao percentual mais elevada dentro de um ambiente de
informaes, principalmente em decorrncia da constante queda de preos do
hardware, em termos de unidade de informao processada pelo valor investido em
equipamentos. Esse custo de mo de obra passa a integrar o custo dos ativos nos
quais ela foi empregada (sistemas operacionais, sistemas de aplicaes etc.), que
iro constituir as ferramentas de processos dentro do ambiente de informaes.

Ainda segundo Caruso e Steffen (1999, p. 70),

em ambientes de informaes e informtica, temos duas classes


principais de materiais em processo, a saber: o acervo de informaes
destinadas a confeccionar as ferramentas de processamento de
informaes ou sistemas de programas de aplicaes ou de controle
da atividade e informaes relacionadas com as atividades dentro das
empresas, que sero processadas pelos sistemas informatizados.

Alm disso, temos que ter sempre em conta que no existe informao sem
custo; mesmo em casos em que as informaes so obtidas sem nenhum custo, a
estrutura organizacional e de recursos necessria para a coleta tem um custo, que
rateado em cima de cada unidade de informao coletada.

Ainda que as informaes possam no receber um tratamento fsico-


contbil igual ao dado a outros ativos, conforme Caruso e Steffen (1999, p. 70),
elas devem ser consideradas como ativos dentro das empresas, quando no para
poderem ser objetos de avaliao quanto a medidas de segurana a serem adotadas
visando sua proteo.

No existe nenhuma metodologia 100% eficaz para se fazer anlises


de custo/benefcio. Praticamente todas as metodologias existentes atualmente
contemplam somente parte do problema da anlise de custo/benefcio ou esto
direcionadas aos aspectos de descarte das informaes.

A maior crtica recebida pelas metodologias de anlise de risco em geral


consiste no grau de subjetividade que o ativo avaliado apresenta para o proprietrio
do mesmo. Entretanto, estas crticas no invalidam a necessidade de se efetuar tal
anlise, visto que o problema no reside na metodologia em si, mas est relacionado
com o grau de conhecimento que o avaliador possui quanto ao ativo avaliado. Alm
disso, mesmo que subjetivas, as metodologias fornecem parmetros relativamente
seguros para se avaliar o grau de importncia de cada ativo para a organizao.
prefervel uma avaliao com algum grau de subjetividade a desconhecer totalmente

32
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL

a extenso dos riscos que podem afetar os ativos da organizao (CARUSO;


STEFFEN, 1999).

O fundamental para que a metodologia funcione de forma adequada, de


acordo com Caruso e Steffen (1999, p. 71),

uma avaliao correta da importncia dos ativos e dos riscos a que


eles esto sujeitos. Devido a isso, importante que a avaliao seja
conduzida pelo responsvel pelo ativo avaliado, assessorado por um
especialista em segurana (nas organizaes em que ele existir, uma boa
fonte de assessoria quanto a riscos em geral pode ser a rea atuarial, que
responsvel pelos seguros).

Somente o responsvel pelo ativo conhece a sua importncia real para


a organizao e o nvel de risco a que o mesmo pode estar sujeito; a possvel
subjetividade do processo no altera o fato de que existem riscos e que os mesmos
devem ser avaliados.

Conforme Caruso e Steffen (1999, p. 71), a primeira coisa a ser feita no


mbito da anlise de risco econmico da segurana determinar quais fatores
afetam a segurana dos ativos que sero avaliados. So dois os principais fatores
envolvidos:

Grau de impacto da ocorrncia.


Nvel de exposio ocorrncia.

O primeiro item deve tratar das consequncias que uma ocorrncia danosa
provocaria para a organizao e o segundo deve listar os riscos a que cada ativo
est sujeito.

Dentro de uma organizao, suas diversas reas sofrem de forma


desigual as consequncias de uma ocorrncia danosa ao seu funcionamento,
quer essa ocorrncia afete ativos, quer afete processos; dentro da mesma rea, as
consequncias variam em funo dos ativos ou processos afetados. Ainda que
cada organizao seja em certa medida nica, segundo Caruso e Steffen (1999, p.
72), a grosso modo podemos classificar os impactos conforme o quadro a seguir.

QUADRO 5 ETAPAS DA GESTO DO RISCO


A organizao como um todo, ou parte importante da mesma, tem suas
atividades fortemente reduzidas a curto ou mdio prazo, no permitindo a
Alto risco
continuidade normal de suas atividades, ou at mesmo pondo em risco a
sobrevivncia da organizao.
As atividades da organizao, ou de parte da mesma, sofrem dificuldades
Mdio risco srias, que acarretam prejuzos sensveis, mas que no chegam a afetar a
sobrevivncia da organizao como um todo.

As atividades da organizao no so afetadas de forma significativa pela


Baixo risco
ocorrncia.
FONTE: Adaptado de Caruso e Steffen (1999, p. 72)

33
UNIDADE 1 | SEGURANA EM INFORMTICA

Cada atividade, processo ou produto dentro de uma organizao est


exposto a certo grau de risco que lhe inerente; os riscos existem associados a
quaisquer atividades. O nvel de exposio est diretamente relacionado com a
probabilidade de ocorrncia de um evento danoso para um determinado ativo.
(CARUSO; STEFFEN, 1999, p. 72).

Frequentemente, a prpria atividade da organizao , conforme Caruso e


Steffen (1999, p. 72),
um fator de risco para sua sobrevivncia, a exemplo de uma refinaria
de petrleo, em que os riscos de incndio so muito grandes. A
interligao de seu ambiente de informaes com a internet aumenta
exponencialmente os riscos a que suas informaes e seus equipamentos
esto sujeitos.

Para isto, de acordo com Caruso e Steffen (1999, p. 72), importante fazer
uma avaliao mais precisa possvel do nvel de exposio, caso o mesmo no
possa ser reduzido ou a prpria exposio eliminada, e estar preparado para suas
eventuais ocorrncias, de modo que sejam ao mximo evitadas; mas, no caso de as
mesmas virem a acontecer, importante ter medidas de segurana prontas para
serem ativadas.

5 CLASSIFICAO DE INFORMAES
Segundo Ferreira e Arajo (2008, p. 78), a classificao de informaes
o processo no qual se estabelece o grau de importncia das informaes conforme
seu impacto no negcio. Quanto mais decisiva e estratgica para o sucesso ou
manuteno da organizao, maior ser sua importncia.

E
IMPORTANT

A classificao deve ser realizada a todo instante, em qualquer meio de


armazenamento. (FERREIRA; ARAJO, 2008, p. 78).

Existem regras que devem ser consideradas durante a classificao e,


segundo Ferreira e Arajo (2008, p. 78), a principal delas a determinao de
proprietrios para todas as informaes, sendo este o responsvel por auxiliar na
escolha do meio de proteo.

Ainda conforme Ferreira e Arajo (2008, p. 78),

nos casos onde houver um conjunto de informaes armazenadas em


um mesmo local, e elas possurem diferentes nveis, deve-se adotar o

34
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL

critrio de classificar todo o local com o mais alto nvel de classificao.


As informaes armazenadas em qualquer local devem estar de acordo
com os critrios de classificao e devem possuir uma identificao que
facilite o reconhecimento do seu grau de sigilo.

NOTA

Toda informao classificada, quando passar por alterao de contedo, deve ser
submetida a novo processo de classificao, com o objetivo de rever o nvel mais adequado.
(FERREIRA; ARAJO, 2008, p. 79).

Para iniciar o processo de classificao necessrio conhecer o negcio


da organizao, compreender os processos e atividades realizadas e, a partir deste
momento, iniciar as respectivas classificaes. (FERREIRA; ARAJO, 2008, p. 79).

Conforme o quadro a seguir, as organizaes podem utilizar um inventrio


dos ativos de informaes:

QUADRO 6 INVENTRIO DOS ATIVOS DE INFORMAES


NATUREZA DO ATIVO ATIVOS DE INFORMAO
Banco de dados e arquivos magnticos.
Documentao de sistemas e manual do usurio.
Informao Material de treinamento.
Procedimentos operacionais de recuperao.
Planos de continuidade.
Contratos.
Documento em papel Documentao da empresa.
Relatrios confidenciais.
Aplicativos.
Sistemas operacionais.
Software
Ferramentas de desenvolvimento.
Utilitrios do sistema.
Servidores, desktops e notebooks.
Impressoras e copiadoras.
Equipamentos de comunicao (fax, roteadores).
Fsico
Mdias magnticas.
Gerador, no-break e ar-condicionado.
Mveis, prdios e salas.
Pessoa Empregados, estagirios, terceiros e fornecedores.
Computao (aplicao de patches, backup).
Servio ou atividade Comunicao (ligaes telefnicas, videoconferncias).
Utilidades gerais.
FONTE: Adaptado de Ferreira e Arajo (2008, p. 78-79)

35
UNIDADE 1 | SEGURANA EM INFORMTICA

de suma importncia, de acordo com Ferreira e Arajo (2008, p. 79),


estabelecer algumas definies no incio do processo:

Classificao: a atividade pela qual se atribuir o grau de sigilo s


informaes, sejam meios magnticos, impressos etc.
Proprietrio: o profissional de uma determinada rea responsvel pelos
ativos de informao da organizao.
Custodiante: trata-se do profissional responsvel por assegurar que as
informaes estejam de acordo com o estabelecido pelo proprietrio da
informao.
Criptografia: uma codificao que permite proteger documentos contra
acessos e/ou alteraes indevidas.
Perfil de acesso: trata-se de uma definio de direitos de acesso s
informaes, transaes, em meios magnticos ou impressos de acordo
com a necessidade de uso de cada usurio.

5.1 NVEIS DE CLASSIFICAO


Uma vez que os critrios de classificao estejam adequadamente definidos
e implementados, segundo Ferreira e Arajo (2008, p. 80), deve-se determinar a
classificao que ser utilizada e os controles de segurana adequados. Fatores
especiais, incluindo exigncias legais, devem ser considerados no momento de
estabelecer a classificao.

Muitas classificaes no so aconselhadas, pois podero gerar confuses


para os proprietrios das informaes e/ou encontrar algum tipo de
resistncia para sua implementao. A equipe no deve permitir que as
reas do negcio utilizem classificaes diferentes daquelas especificadas
nas polticas da organizao. (FERREIRA; ARAJO, 2008, p. 80).

Conforme Ferreira e Arajo (2008, p. 80), cada classificao deve ser de


fcil compreenso e claramente descrita para demonstrar a diferenciao entre
cada uma delas, devendo-se evitar nveis excessivos de classificao. Segundo os
autores, trs nveis podem ser suficientes para uma boa prtica de classificao da
informao, a saber:

I. Classe 1 Informao pblica: Informaes que no necessitam de sigilo


algum, podendo ter livre acesso para os colaboradores. No h necessidade
de investimentos em recursos de proteo. So informaes que, caso sejam
divulgadas fora da organizao, no traro impactos para os negcios.
Exemplos: testes de sistemas ou servios sem dados confidenciais; brochuras /
folders da organizao; as demonstraes financeiras de uma organizao aps
serem publicadas em um jornal tornam-se pblicas, no entanto, enquanto
esto na contabilidade da organizao so confidenciais.

II. Classe 2 Informao interna: O acesso externo s informaes deve ser


evitado. Entretanto, se esses dados tornarem-se pblicos, as consequncias no
sero crticas. A integridade dos dados vital. Exemplos: agendas de telefones

36
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL

e ramais; os benefcios que a organizao oferece aos seus empregados


podem ser classificados para uso interno, pois no faz sentido divulgar essas
informaes para outras organizaes, no entanto, de livre acesso para todos
os seus empregados.

III. Classe 3 Informao confidencial: As informaes desta classe devem ser


confidenciais dentro da organizao e protegidas do acesso externo. Se alguns
desses dados forem acessados por pessoas no autorizadas, as operaes da
organizao podero ser comprometidas, causando perdas financeiras e de
competitividade. A integridade dos dados vital. Exemplos: salrios, dados
pessoais, dados de clientes, estratgias de mercado e senhas.

5.2 ARMAZENAMENTO E DESCARTE DE INFORMAES


CLASSIFICADAS
De acordo com Ferreira e Arajo (2008, p. 81), qualquer informao deve
ser tratada de acordo com seu impacto no negcio. Os recursos e investimentos
realizados para a proteo devem estar condicionados a esse fator. Os processos
de armazenamento e descarte de uma informao devem ser desenvolvidos para
atender s necessidades de confidencialidade da informao.

QUADRO 7 CRITRIOS DE ARMAZENAMENTO E DESCARTE DE INFORMAES


Armazenamento: devem ser armazenadas com a utilizao de
recursos considerando o menor investimento, sem a preocupao com
Informaes confidencialidade.
pblicas
Descarte: pode-se proceder de forma simples, sem o uso de recursos e
procedimentos.
Armazenamento: as informaes com tal classificao devem ser
armazenadas de acordo com a necessidade, em reas de acesso reservado.
Informaes
internas Descarte: tais informaes devem ser descartadas utilizando-se recursos e
procedimentos especficos. As informaes confidenciais devem servir de
base para o desenvolvimento do processo e aquisio dos recursos.
Armazenamento: os locais onde as informaes esto armazenadas devem
possuir acessos controlados, havendo uma concesso formal e por meio de
Informaes procedimento que envolva o proprietrio da informao.
confidenciais
Descarte: deve ser efetuado por meio de procedimentos e ferramentas que
destruam a informao por completo.
FONTE: Adaptado de Ferreira e Arajo (2008, p. 82)

5.3 PUBLICAO DE INFORMAES NA WEB


De acordo com Ferreira e Arajo (2008, p. 82), as informaes somente
devem ser divulgadas externamente quando devidamente autorizadas. A
divulgao na internet ou extranet destinada somente para as informaes
pblicas.
37
UNIDADE 1 | SEGURANA EM INFORMTICA

5.4 PERDA OU ROUBO DE INFORMAES


Conforme Ferreira e Arajo (2008, p. 83), na ocorrncia de perda efetiva ou
suspeita da quebra da confidencialidade da informao, por quaisquer motivos,
deve-se comunicar formalmente a rea responsvel sobre o ocorrido.

As investigaes devem ser realizadas por meio de prticas previamente


estabelecidas e obrigatoriamente j divulgadas por todos os profissionais
atravs de uma poltica formalmente aceita e pela assinatura do termo
de confidencialidade. (FERREIRA; ARAJO, 2008, p. 83).

5.5 MONITORAMENTO CONSTANTE


Aps a classificao das informaes, deve-se elaborar e implementar
procedimentos para o monitoramento contnuo, segundo Ferreira e Arajo (2008, p.
83). A rea de Segurana da Informao, junto com os proprietrios da informao,
deve periodicamente revisar as informaes classificadas para assegurar que elas
estejam adequadamente classificadas.

Adicionalmente, de acordo com Ferreira e Arajo (2008, p. 83), os privilgios


e direitos de acesso dos usurios tambm devem ser revisados para assegurar que
estejam de acordo com as necessidades de cada usurio.

6 DIREITOS DE ACESSO
Associado ao acmulo de funes e seu consequente acesso s informaes
relacionadas com essas funes, de acordo com Caruso e Steffen (1999, p. 91),
aparece o direito de determinado indivduo de acess-la. No passado, o direito
de acesso a informaes baseava-se em regras militares (autoritrias) ou em
regras acadmicas (amigveis). Um sistema de aplicaes comerciais no pode ser
to restrito quanto s aplicaes militares, nem to aberto quanto s aplicaes
acadmicas. Em nenhum dos casos acima h preocupao com a fonte da
autoridade para conceder direitos de acesso, pois no caso de aplicaes militares o
acesso controlado por regulamentos rgidos e no caso de aplicaes acadmicas
no se discute a questo do direito de acesso.

Para cada caso, segundo Caruso e Steffen (1999, p. 91), a fonte da autoridade
deve estar claramente definida na poltica de segurana da organizao. As regras
de controle de acesso devem levar em conta os cinco componentes da poltica de
controle de acesso:

Usurios: pessoas ou funes associadas a pessoas que acessam recursos


em um ambiente de informaes.
Recursos: constituem o conjunto de equipamentos, informaes ou
ferramentas de apoio ou de execuo final das tarefas que os usurios
precisam executar.

38
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL

Operaes: o nvel de acesso permitido a cada usurio em relao


aos recursos colocados sua disposio. Cada recurso passvel de
certo nmero de operaes e estas somente podem ser executadas por
determinados usurios.
Autoridade: quem detm o poder de decises; essa autoridade pode ser
primria, decorrente da posse, ou secundria ou delegada, decorrente
da transferncia parcial ou total de autoridade oriunda de nvel mais
elevado. O conceito de autoridade est ligado ao conceito de propriedade;
em princpio quem tem a posse de determinado recurso pode delegar
autoridade, determinar direitos de guarda ou custdia ou determinar
quem administra o direito de acesso em seu lugar.
Domnio: os limites dentro dos quais se aplica a autoridade; um domnio
pode conter recursos, usurios ou recursos e usurios. O domnio determina
os limites dentro dos quais se aplica a autoridade do proprietrio ou do
delegado que a exerce em seu nome.

6.1 AUTORIDADE
Em organizaes comerciais e industriais, de acordo com Caruso e Steffen
(1999, p. 92),

a autoridade o poder legtimo para controlar ou administrar. Existem


dois tipos de autoridade: a relacionada com pessoas e a relacionada
com recursos. Um administrador (de segurana, no caso de ambientes
de informaes) precisa ter autoridade tanto sobre pessoas como sobre
recursos, para poder conceder direitos de acesso.

Alm disso, possvel que as regras determinem que ele mesmo no possa
ter direito de acessar os recursos para os quais concede direito de acesso. Portanto,
deve-se separar o direito de acesso do direito de conceder acesso; o primeiro
decorrente da necessidade legtima de executar funes que faam uso de recursos
protegidos, ao passo que o segundo decorrente da delegao de autoridade
por parte do legtimo proprietrio, e essa delegao de autoridade no precisa
necessariamente abranger o prprio direito de o administrador acessar o recurso
que vai administrar em nome do proprietrio. (CARUSO; STEFFEN, 1999, p. 92).

Ainda conforme Caruso e Steffen (1999, p. 92), a autoridade envolve dois


domnios: o domnio organizacional, ou sobre usurios, e o domnio sobre recursos.
Na figura X mostrado um modelo simplificado de um ambiente de informaes,
com um domnio de recursos e um domnio organizacional e as interaes entre
ambos:

39
UNIDADE 1 | SEGURANA EM INFORMTICA

Domnio organizacional: o que define os limites dos usurios ou grupos


de usurios dentro de uma organizao. Normalmente so definidos com
base nas posies ocupadas pelos usurios dentro da organizao; para
esses domnios organizacionais que os administradores de segurana
exercem seus servios. A rea de atuao dos administradores de segurana
pode abranger toda a organizao ou partes dela. Um administrador de
segurana s pode conceder direito de acesso a indivduos que faam
parte do domnio organizacional para o qual foi autorizado.

Domnio de recursos: o conjunto de operaes executadas por meio


de recursos aos quais o administrador de segurana tenha o direito de
conceder acesso que o mesmo pode autorizar que usurios ou grupos de
usurios de determinado domnio executem em funo de necessidade de
suas tarefas. Um administrador de segurana s pode conceder direito de
acesso a recursos que faam parte do domnio de recursos que administra.

O sistema de segurana deve permitir que administradores de


segurana concedam acesso somente se o recurso e o receptor do direito
de acesso estiverem dentro do domnio organizacional e do domnio
de recursos sobre os quais determinado administrador de segurana
tenha autoridade. Qualquer acesso cruzado, envolvendo domnios de
administradores de segurana diferentes, deve, necessariamente, passar
pelo crivo do proprietrio do domnio dos recursos a serem acessados,
ou ento deve estar previsto que os administradores de segurana
tenham autoridade para tanto. (CARUSO; STEFFEN, 1999, p. 93).

De qualquer forma, segundo Caruso e Steffen (1999, p. 93),

no pode ser dado direito de acesso diretamente por um administrador


de determinado domnio organizacional em cima de domnio de
recursos sobre o qual no tenha autoridade; nem um administrador
de determinado domnio de recursos pode dar diretamente direito de
acesso para usurio de domnio organizacional que no o seu.

FIGURA 8 MODELO SIMPLIFICADO DE DOMNIOS EM UM AMBIENTE DE INFORMAES

FONTE: Caruso e Steffen (1999, p. 93)

40
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL

6.2 A FONTE DA AUTORIDADE


Conforme Caruso e Steffen (1999, p. 93), a fonte da autoridade sobre ativos
emana de seus proprietrios. O conceito de proprietrio, para fins de controle de
acesso, est diretamente relacionado com o conceito de necessidade de uso em
decorrncia da funo exercida.

No sentido mais restrito, os proprietrios dos ativos de uma organizao


so seus acionistas; entretanto, na maioria das grandes organizaes a propriedade
de ativos est separada de sua administrao, de modo que os proprietrios
delegam a autoridade para administrar em seu nome. (CARUSO; STEFFEN,
1999, p. 94).

Com base no exposto acima, ainda segundo Caruso e Steffen (1999, p. 94),

em um ambiente de informaes o proprietrio de um recurso quem


exerce controle sobre ele. Esse conceito de propriedade parece-se mais com
o conceito de custdia, em que a pessoa que controla o recurso no tem sua
posse real, mas exerce o controle sobre o mesmo como se fosse o proprietrio
real e responde por sua integridade perante o proprietrio real.

Esse conceito, de acordo com Caruso e Steffen (1999), semelhante ao


aplicado na elaborao de um oramento financeiro, em que o mesmo aprovado
pela administrao da organizao e dividido entre suas principais funes
organizacionais. Cada uma dessas funes principais da empresa torna a dividir os
recursos financeiros que lhe cabem entre as subfunes que lhe so subordinadas.
Cada uma dessas divises oramentrias conhece a extenso do seu oramento,
os limites de sua autoridade e as responsabilidades envolvidas, e presta contas em
funo desse fato.

No incio da era da informtica, em funo da complexidade das tarefas


envolvendo o desenvolvimento de aplicaes, conforme Caruso e Steffen (1999,
p. 94), surgiu o conceito de que os ativos informatizados da empresa eram de
propriedade da rea de informtica. Assim que determinada rea contratava
a execuo de servios seus em computadores, ela transferia os direitos de
propriedade sobre os ativos envolvidos para a rea de informtica.

Esse conceito, alm de no ser natural, implicava um poder muito grande


nas mos dos administradores da rea de informtica. Atualmente, em decorrncia
da evoluo da prpria informtica, com custos cada vez mais reduzidos e
ferramentas cada vez mais poderosas, e em decorrncia da evoluo de muitas
funes para suas reas de origem, inclusive com pessoal de desenvolvimento
alocado nas reas afins, o conceito de propriedade tem-se firmado como sendo da
pessoa responsvel pelos ativos de informaes processados pelos computadores e
no mais dos responsveis pela rea de informtica. O direito de propriedade sobre
ativos deve ser separado da responsabilidade pela manuteno da integridade dos
ativos, que nem sempre compete ao seu proprietrio (CARUSO; STEFFEN, 1999).

41
UNIDADE 1 | SEGURANA EM INFORMTICA

Caruso e Steffen (1999, p. 94) afirmam que o direito de acesso deve ser
definido formalmente, como qualquer outra responsabilidade dentro de uma
organizao, e deve incluir os critrios para sua delegao. A cadeia de delegao
da autoridade deve ser passvel de controle em ambos os sentidos e deve estar
baseada na fonte da autoridade, a partir do conselho diretor da empresa. Podem
ser delegadas trs classes de direitos:

Propriedade permite o controle total de um recurso.


Delegar direitos permite que o possuidor desse tipo de autoridade
delegue a terceiros o direito de acesso.
Direito de acesso permite que o receptor execute operaes especficas
com o recurso.

O direito de acesso est ligado diretamente ao nvel do direito concedido


e, de acordo com Caruso e Steffen (1999, p. 95), deve obedecer regra do menor
privilgio possvel. Geralmente, o direito de acesso em um nvel mais amplo inclui
o direito de acesso em um nvel mais restrito. As principais ferramentas de controle
de acesso a ambientes de informaes baseiam-se na estrutura de delegao de
autoridade, separando o papel do administrador de segurana do acesso normal e
da propriedade sobre os recursos que o administrador controla.

6.3 REQUISITOS QUE REGULAM O DIREITO DE ACESSO EM


EMPRESAS
Nas empresas, conforme Caruso e Steffen (1999, p. 95), so trs os
principais requisitos que governam o direito de acesso: proteo de ativos, prticas
de auditoria e legislao.

6.3.1 Proteo de ativos


Segundo Caruso e Steffen (1999, p. 94), o acervo informacional de uma
empresa tambm se constitui em ativo e, como tal, precisa ser protegido. Os ativos
a serem protegidos caracterizam os domnios de recursos; esses domnios de
recursos incluem o acervo de informaes, as ferramentas de apoio e de acesso ao
domnio e sua mdia de suporte.

A proteo de ativos torna-se cada vez mais necessria em funo da


concentrao de informaes em computadores; ela implica a proteo dos
recursos de informaes contra ameaas resultantes de danos ou deturpao de
recursos do domnio. As ameaas mais frequentes aos recursos de um domnio so:
danos fsicos em equipamentos usados para suportar o acervo de informaes, que
podem ser resultantes de aes acidentais ou deliberadas de usurios ou terceiros,
ou, ento, causadas por acidentes naturais; revelao no autorizada, acidental ou
deliberada, de informaes de natureza confidencial e fraudes.
42
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL

De acordo com Caruso e Steffen (1999, p. 95),

a fraude em si o tipo de ameaa que mais tem atrado as atenes.


O potencial de manipulao que os sistemas informatizados permitem,
inclusive a distncia, muito grande, ainda que os casos apurados sejam
poucos em relao ao total. E esse risco aumenta exponencialmente
medida que as organizaes abrem seus sistemas informacionais para
terceiros atravs de redes pblicas de acesso, como a Internet.

6.3.2 Prticas de auditoria


As prticas de auditoria surgiram a partir do crescente distanciamento dos
proprietrios dos ativos em relao ao seu controle direto em cima dos mesmos;
a auditoria visa proteger os proprietrios quanto ao seu direito de propriedade
sobre ativos em relao aos quais eles no tm mais controle direto. (CARUSO;
STEFFEN, 1999, p. 96).

Caruso e Steffen (1999, p. 96) citam que,

a funo da auditoria em ambientes de informaes garantir que os


sistemas de informaes funcionem de forma adequada, permitindo
que as funes necessrias sejam executadas ao mesmo tempo que
a integridade dos ativos seja garantida. Isso inclui o controle sobre
os domnios de recursos e de usurios, a forma como os usurios de
determinado domnio de usurios acessam diferentes domnios de
recursos e as operaes permitidas para cada usurio em cada domnio
de recursos.

6.3.3 Legislao
Conforme Caruso e Steffen (1999, p. 96),
em alguns pases existem leis que regulam claramente as
responsabilidades de usurios e de administradores de recursos de
informaes em geral; em outros ainda no existem dispositivos legais
claros a respeito do assunto, ou quando existem no so claros ou
completos. Onde existem, a legislao determina as responsabilidades
gerais de administradores em relao proteo aos ativos e as
penalidades previstas.

Entretanto, ainda conforme Caruso e Steffen (1999, p. 96), mesmo em pases


que ainda no tenham legislao acerca do assunto, os administradores de empresas
multinacionais devem estar atentos para a legislao especfica (onde for o caso) dos
pases-sede dessas empresas. Por exemplo, a legislao americana responsabiliza
os administradores de suas filiais no exterior em relao segurana de informaes;
ainda que essa lei no possa ser aplicada a cidados de outros pases que trabalhem
para empresas americanas fora dos Estados Unidos, ela os afeta na medida em
que a matriz impe uma poltica de segurana fundamentada nessa lei, obrigando
seus funcionrios a cumprirem de forma indireta, dentro das normas internas da
empresa, como forma de ascenso profissional dentro da organizao.

43
UNIDADE 1 | SEGURANA EM INFORMTICA

6.4 CONTROLES SOBRE O DIREITO DE ACESSO


Segundo Caruso e Steffen (1999, p. 96), so mtodos empregados para
controlar o acesso que cada usurio de determinado domnio tem sobre recursos
de determinado domnio de recursos. Esses mtodos de controle devem ser de
dois tipos: controles organizacionais e controles operacionais.

6.4.1 Controles organizacionais


So regulamentos internos que contemplam as diversas atividades da
organizao; no so especficos para informaes nem devem basear seus
princpios exclusivamente em legislao que cuide do assunto. Os controles
operacionais em informtica tambm devem basear-se neles, devendo inspirar-
se nos mesmos princpios que qualquer outra atividade de usurios dentro de
uma organizao, principalmente na autorizao da operao e no princpio da
segregao de funes. Nenhuma operao deve ser to abrangente que implique
o controle total ou muito grande envolvendo ativos; isso decorrente do princpio
da segregao de funes e decisivo para melhor controlar o potencial para
fraudes, existente em qualquer atividade exercida por seres humanos (CARUSO;
STEFFEN, 1999).

6.4.2 Controles operacionais

Ainda que relacionados em um item separado em relao aos controles


organizacionais, de acordo com Caruso e Steffen (1999, p. 97), na prtica no
passam da aplicao dos controles organizacionais ao ambiente de informaes.
No passado, esses controles eram baseados em senhas de acesso associadas a
recursos individuais dentro de grupos, a grupos de recursos dentro de domnios
ou a todo um domnio de recursos; entretanto, esse mtodo fraco em virtude de
problemas relacionados com o compartilhamento de recursos e com a necessidade
de identificao e responsabilizao individual de usurios, o que no possvel
com esse mtodo. Atualmente usam-se cada vez mais mtodos associados com
a identificao de usurios, listas de acesso e privilgios de uso, permanecendo
o mecanismo de senhas somente com mtodo de autenticao da identidade de
usurios.

As listas de acesso devem definir claramente que operaes cada


usurio pode executar dentro de um domnio de recursos e a forma
como essas operaes devem ser executadas. Esse princpio deve ficar
claro, pois com base nele que as ferramentas de segurana trabalham
ao permitir ou negar acesso de usurios a determinados recursos.
(CARUSO; STEFFEN, 1999, p. 97).

44
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL

6.5 QUEM CONTROLA O CONTROLADOR?


Conforme Caruso e Steffen (1999, p. 97), essa pergunta no apareceu com
os sistemas informatizados; ela remonta antiguidade. Sua idade indica que
ainda no existe uma resposta completa e final. A questo real saber exatamente
como controlar algum que detm o direito de conceder direito de acesso a outras
pessoas sem que essa mesma pessoa acesse os recursos que controla, uma vez que
ela tem poder para obter esse acesso, ainda que ilegtimo. Em princpio a resposta
: Nada pode impedir tal tipo de ato. Entretanto, os riscos podem ser minimizados
pelas seguintes medidas:

Limitar o tamanho do risco por meio de limites autoridade do


administrador, por exemplo, restringindo o domnio de recursos sobre o
qual um administrador de segurana exerce controle.
Reduzir a probabilidade de ocorrncia pela segregao de funes,
definindo o domnio organizacional sobre o qual um administrador de
segurana exerce controle e dando o controle sobre o administrador de
segurana para outra pessoa.
Tornar os riscos detectveis pelo controle sobre as atividades dos
administradores de segurana exercido por pessoas de fora da estrutura
de segurana. Esse controle deve, em princpio, ser exercido pelo pessoal
de auditoria. Os atos dos administradores de segurana devem ser
mantidos sob estrito controle. (CARUSO; STEFFEN (1999, p. 97).

6.6 CONSIDERAES GERAIS SOBRE DIREITO DE ACESSO


De acordo com Caruso e Steffen (1999, p. 98), uma poltica de controle de
acesso a recursos deve considerar algumas regras bsicas, de modo que as decises
baseadas na poltica de controle de acesso sejam coerentes e consistentes com
as diretrizes da poltica geral de segurana da empresa. Essas regras de poltica
devem incluir:

Controle de acesso feito em funo da posio ocupada por pessoas e no


em funo de pessoas que eventualmente as ocupem.

Controle exercido por administrador de segurana sobre pessoas, restrito


somente ao seu domnio organizacional.

Controle exercido por administrador de segurana sobre recursos, restrito


somente ao seu domnio de recursos.

Domnios organizacionais definidos por administradores que exeram


controle sobre os mesmos, podendo a autoridade, para dar direitos de
acesso a esses domnios, ser delegada a um administrador de segurana.

45
UNIDADE 1 | SEGURANA EM INFORMTICA

Domnios de recursos definidos por administradores que exeram


controle sobre os mesmos, podendo a autoridade, para dar direitos de
acesso a esses domnios, ser delegada a um administrador de segurana.

Se uma pessoa que ocupa determinada posio dentro de um domnio


organizacional tiver acesso a determinado domnio de recursos, ela deve
ser capaz de acessar todos os subdomnios contidos dentro do mesmo, a
menos que exista regra mais especfica que controle o acesso a subdomnios
desse domnio.

O administrador de segurana que concede o direito de acesso a um


domnio de recursos deve aplicar os controles sobre os acessos feitos pelo
receptor desse direito.

O administrador de segurana deve ter o efetivo controle sobre o direito


de dar acesso sobre o domnio de recursos que administra.

Em domnios organizacionais estruturados de forma hierrquica, os


usurios devem ser colocados em estruturas organizacionais que reflitam
a estrutura organizacional da empresa.

A propriedade ou a custdia de recursos deve refletir a delegao de


autoridade derivada da estrutura de autoridade.

Onde for o caso, deve definir os critrios de outorga de direitos de acesso


de um usurio para outro; por exemplo, um usurio pode outorgar a
outro o direito de acesso a informaes que tenha criado, mas somente
nesse caso.

Uma lista de diretrizes de direito de acesso poderia incluir centenas de


itens; entretanto, isso poderia tornar-se ineficaz devido ao grau de complexidade
envolvido. Da mesma forma que a poltica geral de segurana, a poltica de
controle de acesso deve restringir a linhas gerais que cubram a maior parte das
situaes, deixando as particularidades por conta das exigncias dos domnios
organizacionais e de recursos que as necessitarem, desde que sigam as diretrizes
de grau mais elevado (CARUSO; STEFFEN, 1999).

7 DIREITOS DE ACESSO
De acordo com Beal (2008, p. 71), as pessoas so, acertadamente,
consideradas o elo frgil da segurana da informao. A associao pode ser
entendida quando se imagina que qualquer esquema de segurana, por mais
sofisticado que seja, pode ser derrubado pela atuao de uma nica pessoa que
decida abusar de seus privilgios de acesso a dados ou instalaes de processamento
da informao.

46
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL

Ainda de acordo com Beal (2008, p. 71),

a melhor poltica de segurana em relao a qualquer pessoa com acesso


aos recursos de informao corporativos continua sendo a descrita pela
conhecida expresso trust, but verify (confie, mas verifique). Apesar da
maior ateno concedida pela mdia aos ataques causados por hackers,
estudos demonstram que grande parte dos incidentes de segurana
provocada por integrantes da prpria organizao, sejam eles
acidentais (decorrentes de ignorncia, erro, negligncia ou distrao)
ou intencionais (por motivo de fraude, vingana, descontentamento
etc.). Uma pesquisa global sobre segurana da informao cita diversos
estudos para concluir que os incidentes de segurana internos acarretam
prejuzos financeiros substancialmente maiores do que os ataques
externos.

Quando se fala em incidentes internos, segundo Beal (2008), importante


considerar tambm as falhas de segurana provocadas por terceiros com acesso
legtimo a recursos de informao da organizao: fornecedores, prestadores de
servio, consultores etc. Alguns autores observam que existem consultores que so
hackers compulsivos, contratados por empresas de segurana justamente pela sua
competncia em invadir sistemas. Prestadores de servio tambm oferecem riscos
considerveis: casos relatados pelos mesmos autores incluem o de um tcnico de
servios de campo de uma fabricante de computadores que anotava nas visitas
dados como cdigos de sistemas de alarme e senhas de abertura de portas para
uso futuro em invases destinadas ao furto de equipamentos quando os roubos
aconteciam, a polcia tinha a impresso de se tratar de trabalho interno, mas
ningum tinha se dado conta de quo interno o tcnico havia se tornado.

Do ponto de vista da informao baseada em TI, conforme Beal (2008, p.


72), conveniente analisar os aspectos de segurana relacionados a cada grupo
com diferentes nveis de acesso e responsabilidades em relao manuteno e
uso dos sistemas:

7.1 EQUIPE DE SEGURANA E ADMINISTRADORES DE


SISTEMAS
O bom desempenho do pessoal com atribuies especficas de segurana,
incluindo administradores de sistema, to importante para a eficcia da segurana
da informao quanto aos produtos tecnolgicos como firewall, ferramentas
de criptografia e antivrus. Conhecedores em profundidade das caractersticas
do ambiente de SI/TI e dos controles estabelecidos, esses profissionais podem
provocar consequncias desastrosas em caso de desonestidade ou mesmo de
desconhecimento ou negligncia na realizao de suas atividades rotineiras, tais
como destruio de dados importantes no protegidos por cpias de segurana ou
invases que poderiam ser evitadas pela instalao de atualizaes de segurana
em softwares crticos (BEAL, 2008).

47
UNIDADE 1 | SEGURANA EM INFORMTICA

De acordo com Beal (2008, p. 72), equipes bem qualificadas, pessoal de


reserva para substituio de tcnicos em sua ausncia, programas de treinamento
e superviso do trabalho so alguns dos principais mecanismos de preveno
contra as ameaas associadas a esse grupo.

7.2 NCLEO OPERACIONAL


Conforme Beal (2008), a segurana dos ativos de informao baseados em
TI depende da colaborao permanente dos funcionrios da organizao, que
precisam atuar tanto na preveno (desempenhando as funes de segurana de
que foram incumbidos, como, por exemplo, escolher senhas de difcil adivinhao
e mant-las em segredo) quanto na reao a eventuais problemas de segurana
(relatando falhas nos controles e incidentes observados). Os procedimentos de
segurana de responsabilidade dos usurios finais de sistemas de informao
devem estar associados a regras claras, de obedincia obrigatria, e a punies em
caso de seu descumprimento, e ser adequadamente divulgados para evitar que
seu desconhecimento diminua a eficcia dos controles existentes.

Segundo Beal (2008, p. 72),

os riscos de ataque proposital por parte de integrantes do ncleo


operacional devem receber ateno especial por parte da equipe de
segurana. Motivos fteis, como a irritao de um funcionrio com o
chefe porque ele esqueceu seu aniversrio ou escolheu outra pessoa
para receber um aumento, podem ser suficientes para desencadear
aes prejudiciais organizao, principalmente quando o funcionrio
tem acesso a uma rede conectada aos mais diversos tipos de servios e
dados corporativos.

De acordo com Beal (2008, p. 73), as principais medidas de segurana


a serem adotadas para reduzir os riscos para a disponibilidade, integridade
e confidencialidade da informao provocadas pelo elemento humano nas
organizaes so:

Processos confiveis de seleo de pessoal, abrangendo investigao


de antecedentes antes da admisso de funcionrio ou contratao de
temporrios e prestadores de servio.

Documentao das responsabilidades de segurana nos contratos de


trabalho de funcionrios e prestadores de servio, incluindo referncia s
normas e polticas de segurana da organizao s quais os contratados
devem se sujeitar.

Assinatura de acordos de confidencialidade e definio clara de termos


e condies de trabalho relativas segurana da informao, direitos
autorais e proteo de dados.

48
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL

Superviso gerencial suficiente para permitir organizao detectar e


reagir a situaes de risco (como problemas pessoais e financeiros, sinais
de estresse etc.) ou atitudes suspeitas (mudanas de comportamento ou
de estilo de vida, recusas de tirar frias etc.).

Nvel adequado de segregao de funes, para evitar que uma mesma


pessoa se torne responsvel por todas as etapas de um processo (por
exemplo, controle de todas as atividades relativas aquisio de bens, da
emisso do pedido de compra confirmao do recebimento).

Treinamento e conscientizao adequada dos funcionrios ( comum o


pessoal de segurana reclamar da falta de comprometimento dos demais
integrantes da organizao com as medidas de segurana, mas a ausncia
de processos eficazes de comunicao dos procedimentos e das razes
para sua existncia costuma ser a principal razo para o no cumprimento
das regras estabelecidas).

Expectativa de controle e de punio em caso de descumprimento de


normas de segurana (os integrantes da organizao devem estar cientes
dos processos disciplinares e punies a que estaro sujeitos em caso de
violao das polticas e procedimentos de segurana e dos mecanismos de
controle existentes para detectar essas violaes, tais como logs gerados
para registrar as atividades realizadas pelos usurios dos sistemas).

Processos seguros de demisso, abrangendo a imediata retirada dos


privilgios de acesso fsico e lgico aos ativos de informao.

7.3 CPULA ESTRATGICA E GERNCIA INTERMEDIRIA


De acordo com Beal (2008, p. 74), dirigentes e gerentes intermedirios
precisam envolver-se com a implantao dos controles de segurana e
comprometer-se com a observncia de todos os procedimentos estabelecidos.
Se a direo desconsidera normas de segurana, ou permite que subordinados
se desviem de determinados controles, todo o esquema de segurana pode ser
comprometido. A cpula estratgica e a gerncia intermediria devem procurar
identificar os vnculos existentes entre segurana da informao e alcance da misso
corporativa, entendendo os custos com segurana como investimentos necessrios
para se manter no negcio, da mesma forma que os custos com computadores,
redes e servios telefnicos.

A preocupao com preveno de atividades ilegtimas, como fraudes,


vazamento de informaes para concorrentes etc., deve refletir-se
em controles destinados a evitar que membros da alta direo ou da
gerncia mdia adquiram privilgios excessivos na manipulao
de informaes ou na realizao de atividades crticas nos sistemas
corporativos. (BEAL, 2008, p. 74).

49
UNIDADE 1 | SEGURANA EM INFORMTICA

7.4 FORNECEDORES, CONSULTORES E PRESTADORES DE


SERVIO
Segundo Beal (2008, p. 74), fornecedores de bens e servios, consultores
e prestadores de servio podem representar srias ameaas segurana
da informao. Principalmente ao terceirizar algum servio que envolva a
manipulao de informaes sensveis e crticas, a organizao precisa identificar
os riscos envolvidos, e estabelecer no s normas de segurana especficas, mas
tambm processos de aferio da conformidade dos servios com os padres de
segurana adotados. A ISO 17799 recomenda que seja dada especial importncia
aos riscos associados ao acesso fsico e lgico concedido a prestadores de servio
(item 4.2.1), devendo ser considerada a implantao de controles adicionais nos
seguintes casos:

Equipes de suporte de hardware e software que precisam utilizar sistemas e


aplicaes.
Parceiros comerciais que precisam trocar informaes, acessar sistemas
ou compartilhar bases de dados.
Prestadores de servio que executam servios internos (como equipes
de suporte e manuteno de hardware e software, pessoal de limpeza,
estagirios, consultores etc.).

Os contratos de terceirizao ou compartilhamento de informaes devem


contemplar os requisitos legais e organizacionais de segurana a serem atendidos
pelos fornecedores ou parceiros, e explicitar os procedimentos usados para
garantir que os envolvidos estejam cientes de suas responsabilidades de segurana.
Sempre que possvel, os contratos de trabalho dos prestadores de servio devem
registrar as diretrizes e normas de segurana a serem obedecidas. A confiana
atribuda a pessoas de fora da organizao deve ser baseada em verificaes de
antecedentes, na obteno de referncias e em verificaes rotineiras das atividades
desempenhadas (BEAL, 2008).

7.5 ACORDOS DE CONFIDENCIALIDADE


De acordo com Beal (2008, p. 75), acordos ou contratos de confidencialidade
so teis para alertar empregados e prestadores de servios sobre os requisitos
existentes com relao a informaes de carter sigiloso. A ISO 17799 (item 6.1.3)
recomenda que um acordo de confidencialidade seja assinado como parte dos
termos e condies iniciais de contratao. Outras responsabilidades de segurana
tambm devem ser registradas em termos e condies de trabalho (item 6.1.4),
sendo que os acordos podem prever a continuidade das responsabilidades por um
tempo definido aps o trmino do contrato de trabalho e as penalizaes cabveis
em caso de desrespeito ao acordo.

50
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL

7.6 TREINAMENTO DE FUNCIONRIOS


E PRESTADORES DE SERVIO
De acordo com Beal (2008, p. 77), fundamental para o processo de proteo
da informao que os funcionrios (e, sempre que cabvel, prestadores de servio)
sejam treinados nos procedimentos de segurana, e que todos os usurios do
ambiente computacional recebam treinamento quanto ao uso correto dos recursos
e instalaes de processamento da informao. A ISO 17799 (item 6.2.1) recomenda
que sejam feitas atualizaes regulares nos treinamentos sobre as diretrizes e os
procedimentos organizacionais, incluindo mudanas nos requisitos de segurana,
responsabilidades legais e controles do negcio. Funcionrios e prestadores de
servio tambm devem ser informados dos procedimentos para notificao dos
diversos tipos de incidente, tais como violao da segurana, ameaas, fragilidades
ou mau funcionamento de equipamentos, e os incidentes ocorridos podem ser
usados como exemplos em treinamentos para ensinar aos usurios como reagir e
evitar recorrncias futuras (item 6.3 da norma).

Ainda de acordo com Beal (2008, p. 77), a organizao deve adotar


estratgias diversificadas para compor um treinamento e conscientizao
completos e eficazes, englobando instrumentos complementares, como cursos de
capacitao para as equipes tcnicas, workshops, seminrios, campanhas por e-mail,
cartas da diretoria etc.

7.7 ENGENHARIA SOCIAL


Um aspecto de grande importncia e, segundo Beal (2008, p. 78), muitas
vezes negligenciado na segurana da informao a proteo contra ataques de
engenharia social. Hackers e outros tipos de pessoa mal-intencionada podem valer-
se da ingenuidade ou ignorncia de usurios para obter informaes confidenciais,
como senhas, tipos de equipamento de segurana utilizados ou outros dados que
podem comprometer a segurana da organizao. Um exemplo tpico de truque
de engenharia social ocorre quando um hacker envia um e-mail para um usurio,
apresentando-se como administrador da rede corporativa, e solicita a entrega da
senha para a realizao de alguma tarefa de suporte ou de manuteno dos servios.
A mensagem enviada para um grande nmero de usurios, na esperana de que
um ou dois acabem sendo enganados.

Conforme Beal (2008), muitos hackers bem-sucedidos na invaso de


sistemas, ao serem entrevistados, admitem ter obtido senhas e outras informaes
que possibilitaram o ataque pelo uso de engenharia social. H casos em que o
invasor simplesmente postou-se na frente do porto de entrada de uma empresa
e, fazendo-se passar por estudante realizando um trabalho de escola, conseguiu
extrair de funcionrios as senhas por eles usadas para acessar sistemas corporativos.
A recusa na prestao de informaes sobre a senha pessoal e outras informaes
privilegiadas a quem quer que seja (incluindo colegas de trabalho), o bloqueio
da viso de terceiros do teclado quando da digitao da senha e a confirmao

51
UNIDADE 1 | SEGURANA EM INFORMTICA

da procedncia de mensagens suspeitas antes da realizao de qualquer ao


solicitada por e-mail so orientaes que devem constar nos programas de
treinamento e conscientizao dos usurios para diminuir os riscos associados
engenharia social.

7.8 SEGREGAO DE FUNES


A segregao de funes, de acordo com Beal (2008, p. 79),

um controle essencial para a reduo dos riscos para a segurana da


informao. A separao das responsabilidades relativas a diferentes
etapas de um processo reduz as oportunidades de uso indevido dos
recursos de informao e ajuda a prevenir a ocorrncia de fraudes,
obrigando a existncia de cumplicidade para concretizar o dano. A
preocupao com a segregao de funes deve abranger todas as reas
de risco, das operaes de TI aos processos de aquisio, pagamento,
controle de estoques etc.

A ISO 17799 (item 8.1.4) sugere, nos casos em que for difcil implementar a
segregao de funes, que outros controles, como a monitorao das atividades,
trilhas de auditoria e superviso gerencial, sejam considerados para diminuir a
vulnerabilidade da organizao. (BEAL, 2008, p. 79).

7.9 PROCESSO DISCIPLINAR


Segundo Beal (2008, p. 79), a organizao precisa dispor de um processo
disciplinar aplicvel a pessoas que tenham violado polticas ou procedimentos de
segurana. A expectativa de punio essencial para ajudar a inibir comportamentos
que podem acarretar desrespeito s normas de segurana.

52
RESUMO DO TPICO 1
Caro(a) acadmico(a)! Neste primeiro tpico, voc estudou os seguintes
aspectos:

Os principais conceitos no que tange segurana da informao em um


ambiente computacional.

O ciclo de vida da informao dentro de uma organizao.

A segurana da informao baseada em modelos tradicionais e computacionais.

Como diminuir os riscos, vulnerabilidades e as ameaas inerentes ao sistema


de informao atravs de medidas de segurana, que garantiro a proteo dos
ativos.

A anlise dos possveis riscos e como realizar o tratamento dos mesmos.

A classificao das informaes em variados nveis, segundo o seu grau de


importncia.

As formas de armazenamento e descarte das informaes.

O direito de acesso s informaes e suas formas de controle.

A anlise de diversos aspectos da segurana da informao no contexto fsico,


lgico e ambiental.

Os diversos recursos implementados a fim de garantir a segurana da informao


nos sistemas distribudos.

53
AUTOATIVIDADE

1 Com o intuito de garantir a disponibilidade da informao no ambiente


computacional, o usurio poder realizar backup (cpia de segurana) dos
arquivos com informaes relevantes em mdias e locais diferentes.

( ) CERTO.
( ) ERRADO.

2 Conforme os estudos realizados, verificou-se que a segurana de recursos


de informao possui trs componentes, integridade, disponibilidade e
confidencialidade. Com relao aos componentes citados, assinale a opo
CORRETA:

a) ( ) A integridade pode ser obtida a partir do momento em que existe


confidencialidade.
b) ( ) A integridade estabelece que, a informao somente ser liberada para
usurios legtimos.
c) ( ) O nvel de segurana pode ser elevado ao aditar a integridade a um
sistema com confidencialidade.
d) ( ) A confidencialidade tem por objetivo garantir que, a informao seja
verdadeira, completa e precisa.

Assista ao vdeo de
resoluo da questo 2

54
UNIDADE 1
TPICO 2

SEGURANA LGICA, FSICA E


AMBIENTAL

1 INTRODUO
Os problemas de segurana da informao so complexos, conforme Beal
(2008), e normalmente tm sua origem em preocupaes organizacionais e de
negcio, no de tecnologia. Para garantir um nvel de proteo adequado para seus
recursos de informao, as organizaes precisam ter uma viso clara dos ativos
que esto tentando salvaguardar, de que ameaas e por que razo, antes de poder
passar seleo de solues especficas de segurana fsica, lgica e organizacional.

O propsito deste tpico demonstrar uma viso da segurana da


informao em todos os contextos, de segurana lgica, fsica e ambiental, de
modo a permitir o desenvolvimento e implantao de medidas de segurana
que possam proteger as organizaes, os geradores das informaes e os seus
usurios, dos inmeros danos que podem ser causados por conta da destruio,
acesso, alterao, excluso ou divulgao indevida destas informaes, causando
srios prejuzos financeiros, perda de credibilidade no mercado, desvalorizao
das aes da organizao, danos imagem da corporao ou ainda sanes e
penalizaes por conta do descumprimento de leis ou clusulas contratuais de
confidencialidade, entre tantas outras.

2 SEGURANA LGICA
desnecessrio justificar as demandas de segurana nas instalaes de
Tecnologia da Informao. As informaes de uma empresa tm valor no s
para ela, como tambm para seus concorrentes (espionagem empresarial) e para
outras empresas (cadastros de clientes, lista de produtos etc.). A preocupao com
a segurana das informaes da empresa deve ser uma constante em todos os
setores, principalmente na rea de Tecnologia de Informao (FOINA, 2009).

De acordo com Foina (2009, p. 179), pela rea de Tecnologia de Informao


transita grande nmero de informaes sensveis e estratgicas para a empresa (e
de interesse de outras empresas, concorrentes ou no). A divulgao de algumas
dessas informaes pode ocasionar prejuzos e penalidades graves (mais um motivo
para que a segurana da rea seja preocupao constante de seus executivos).

55
UNIDADE 1 | SEGURANA EM INFORMTICA

Foina (2009, p. 180) cita que a segurana lgica compreende a integridade


dos ativos de dados e dos programas da empresa. Uma sabotagem nos arquivos
de dados pode provocar a paralisao da empresa por um perodo significativo,
prejudicando sua imagem junto ao mercado.

2.1 ASPECTOS GERAIS DA SEGURANA LGICA


No ambiente atual de interligao de redes, de acordo com Beal (2008, p.
91),

os problemas de segurana se multiplicam de forma alarmante. Nos


dias de hoje, qualquer usurio com um microcomputador ou laptop
se transforma num administrador de sistema, precisando gerenciar
localmente uma srie de procedimentos de segurana, como ferramentas
antivrus, opes de segurana do navegador de internet, etc. Isso
significa que basta um nico usurio no estar vigilante para que toda
rede esteja vulnervel a um problema (por exemplo, a contaminao
por vrus). No caso de uma rede conectada Internet, a mera segurana
fsica dos equipamentos conectados j no garante nenhuma proteo:
os recursos da rede deixam de estar num endereo fsico fixo para
pertencer ao chamado ciberespao, ambiente virtual criado pela rede
mundial de computadores, e precisam ser protegidos contra quebras de
segurana causadas por ameaas externas (invases, ataques de negao
de servio, etc.) e internas (erros, abusos de privilgio, fraudes, etc.).

Foina (2009, p. 180) cita que

a segurana lgica trabalha estabelecendo mecanismos de acesso a


arquivos, sistemas e pginas Web da empresa, limitando a disponibilidade
de recursos para cada usurio. Um bom sistema de controle de acesso
permite identificar tentativas de quebras de segurana antes de se
efetivem (deteco de intruso). Mesmo havendo quebra de segurana,
permitem rastrear a origem da violao e os efeitos causados sobre os
arquivos (rastreabilidade).

2.2 ADMINISTRAO DA SEGURANA

O passo seguinte na implantao da estrutura de segurana, logo aps a


definio das diretrizes da poltica de segurana, a definio da estrutura da
administrao de segurana. Devem ser considerados aspectos como estrutura
da administrao de segurana, tipo de estrutura, sua localizao dentro da
estrutura da organizao, perfil exigido do profissional que exercer a funo do
administrador de segurana, diretrizes da segurana, ferramental administrativo e
tcnico utilizado, equipe de projeto incumbida de implementar a segurana, grau
de padronizao exigido etc. (CARUSO; STEFFEN, 1999).

56
TPICO 2 | SEGURANA LGICA, FSICA E AMBIENTAL

De acordo com Caruso e Steffen (1999, p. 105), mesmo que a estrutura


da administrao de segurana possua seu foco na segurana do acesso lgico,
essa rea tambm dever ser a responsvel, ao menos em nvel normativo, pela
segurana fsica dos ambientes de informaes.

2.2.1 A estrutura da administrao da segurana


Uma das primeiras coisas a ser considerada aps a definio das diretrizes
a estrutura da administrao de segurana. Deve ser montada uma estrutura
que, ao final da implantao do projeto de segurana assumir as tarefas normais
de administrao de segurana do ambiente de informaes, tanto no aspecto
fsico como no aspecto lgico, definindo claramente o seu domnio de atuao, a
autoridade e as regras sobre as quais se basearo suas atividades.

Ainda que esse tipo de estrutura se aplique a qualquer organizao ela


est mais relacionada com ambientes de informaes baseados em facilidades de
informtica.

2.2.2 Tipos de estruturas


Segundo Caruso e Steffen (1999, p. 106), deve-se definir o tipo de estrutura
de administrao da segurana entre centralizada ou descentralizada. Para os
dois tipos de estrutura existem tanto argumentos vlidos, no existindo uma
resposta pronta e certa para se tomar essa deciso. Pode existir uma resposta certa
em relao a um ambiente individual, mas somente uma cuidadosa anlise de
cada ambiente de informaes pode determinar qual ser a melhor resposta.

A seguir sero listados alguns pontos que devem ser considerados no


processo de tomada de deciso quanto ao tipo de estrutura.

De acordo com os autores Caruso e Steffen (1999, p. 106), segurana


centralizada proporciona um controle mais eficiente em relao s mudanas na
segurana e possivelmente nos trabalhos para se impor a segurana. Porm o esforo
de manuteno da segurana nesse nvel pode ser necessrio o gerenciamento de
uma equipe considervel. No quadro a seguir so identificadas as vantagens e
desvantagens da centralizao da segurana.

57
UNIDADE 1 | SEGURANA EM INFORMTICA

QUADRO 8 VANTAGENS E DESVANTAGENS DA CENTRALIZAO


Vantagens Desvantagens
Maior simplificao organizacional e de
Menor grau de flexibilidade.
procedimentos.
Especialistas de segurana dedicados. Desconhecimento de condies locais.
Menor disperso de esforos. Custo maior concentrado em uma nica rea.
Menor sobreposio de estruturas de
Tempo de resposta mais lento.
segurana.
Maior rapidez de manuteno.
FONTE: Adaptado de Caruso e Steffen (1999, p. 107)

Ainda de acordo com Caruso e Steffen (1999, p. 106),

a segurana descentralizada distribui o esforo de manuteno da


segurana, de forma que a funo no se torne um nus para apenas uma
rea. Alm disso, a manuteno poder ser subordinada a uma rea que
pode ter um conhecimento maior e mais adequado dos recursos que
sero protegidos. Porm, haver um esforo adicional na rea central
para controlar as atividades dos administradores descentralizados.

No quadro a seguir so mostradas as vantagens e desvantagens da


descentralizao.

QUADRO 9 VANTAGENS E DESVANTAGENS DA DESCENTRALIZAO


Vantagens Desvantagens
Maior flexibilidade. Aumento da burocracia.
Maior sobreposio de estruturas de
Manuteno local mais rpida.
segurana.
Maior familiaridade com as exigncias
Menor conhecimento da segurana.
locais.
Responsabilidade e relacionamento
Maior suscetibilidade a presses locais.
distribudos.
Maiores dificuldades de controle por parte
da auditoria ou outro rgo de controle.
FONTE: Adaptado de Caruso e Steffen (1999, p. 108)

Para Caruso e Steffen (1999, p. 106), necessrio levar em considerao


alguns aspectos para decidir quem deve ser o responsvel pela administrao da
segurana, como o tamanho de cada organizao, as instalaes de processamento
de informaes da empresa e das atividades de manuteno necessrias e isto
depender dos seguintes aspectos:

Do nmero de entidades hierrquicas e ferramentas envolvidas, ou seja,


departamentos, divises, aplicaes etc.

58
TPICO 2 | SEGURANA LGICA, FSICA E AMBIENTAL

Do nmero de usurios definidos, e dos requisitos de movimentao de


empregados.

Da quantidade de recursos que devem ser protegidos.

Da existncia de padres.

Dos diferentes tipos de recursos que devem ser protegidos e da extenso


da segurana requerida para cada um destes recursos. Deve ser lembrado
que a Internet pode exigir uma estrutura exclusiva de controle.

Do nmero de entidades que devem ser protegidas, o que pode implicar


um trabalho de manuteno enorme em alguns casos.

Das atividades de desenvolvimento de aplicaes. Se a atividade


de desenvolvimento for considervel, como o caso da maioria das
instalaes, a reviso da segurana e das atividades de manuteno
tambm devem ser consideradas.

Dos requisitos de auditoria e da frequncia de alteraes destas.

Do nmero de recursos definidos para os usurios e das atividades


previstas para eles.

Das ferramentas de segurana selecionadas. Cada uma difere das outras


em funo do volume de trabalho envolvido e do perfil necessrio para a
manuteno da segurana.

Muitas organizaes, segundo Caruso e Steffen (1999, p. 107), utilizam


no incio a administrao centralizada e posteriormente, descentralizam a funo
quando os requisitos de manuteno se tornem prticos. Normalmente, essa
uma abordagem inicial mais racional, j que permite que a equipe do nvel
central se torne perita em segurana antes que seja necessrio treinar e controlar
administrados e equipes em um nvel descentralizado.

2.2.3 Localizao da segurana


Uma das primeiras questes a serem consideradas, segundo Caruso e
Steffen (1999, p. 108), a localizao da segurana. Segundo eles, melhor que
o administrador de segurana esteja envolvido desde o incio da implantao da
estrutura de segurana. Dessa forma, o administrador ser capaz de gerenciar as
tarefas dirias e constantes.

A funo de um administrador de segurana deve residir em algum lugar
dentro da prpria organizao. Para Caruso e Steffen (1999, p. 108), o melhor lugar
onde a rea de administrao de segurana se relacione mais diretamente com
a alta administrao. Isso necessrio para que a rea se torne menos suscetvel a
presses e comprometimentos resultantes de lealdades para com a rea funcional
qual a administrao de segurana pertena. Tambm, em alguns casos, pode
59
UNIDADE 1 | SEGURANA EM INFORMTICA

ser vantajoso incluir todas as funes de segurana, compreendendo os requisitos


de segurana fsica, dentro desta rea. Isso segue a clssica abordagem de
agrupamento de funes similares de modo que se evite a existncia de estruturas
similares dentro da organizao.

Porm, o custo de uma estrutura pode ser muito alto para as organizaes.
Neste caso, segundo Caruso e Steffen (1999, p. 108), a administrao de segurana
deve residir em uma rea onde tenha o poder de impor a segurana. Esse poder
deve ser formalmente garantido e apoiado ativamente pela alta direo. Esta rea
deve ter tambm a mo de obra necessria para preencher as funes. Se possuir
estas caractersticas, a administrao de segurana pode residir em qualquer lugar
dentro da organizao.

Utilizando uma analogia do cenrio acima com o ditado de "colocar a raposa


para tomar conta do galinheiro", nos indica que, de acordo com Caruso e Steffen
(1999, p. 109), no se deve conectar a administrao de segurana a nenhuma das
funes de informtica, pois elas tambm so usurias da segurana. A rea de
auditoria tambm no pode ser ligada a administrao da segurana, pois cabe a
ela fiscalizar esta rea.

conveniente que a definio da estrutura de segurana conste da poltica de


segurana, ao menos em suas linhas gerais. Caruso e Steffen (1999, p. 109) indicam
que bom posicion-la, pelo menos em termos de subordinao hierrquica, junto
estrutura de segurana empresarial, que cuida da segurana das organizaes em
um nvel global, caso exista tal estrutura dentro da empresa. Como vrias outras
estruturas nas organizaes, este tipo de estrutura est diretamente vinculada ao
porte de cada organizao.

Contudo, a centralizao proposta no significa a centralizao operacional.


Para Caruso e Steffen (1999, p. 109), as organizaes devem ter uma poltica de
segurana global, voltada para a normatizao e o controle. Essa normatizao e
controle no significam a centralizao operacional.

2.2.4 Perfil do profissional de segurana


Aps a definio do posicionamento da administrao de segurana,
segundo Caruso e Steffen (1999, p. 109), a prxima etapa decidir quem ir
preencher a funo. O trabalho de um administrador de segurana , sem
dvida, difcil. A natureza da funo forar o administrador a se imiscuir em
todos os "cantos escuros" da organizao. Alm disso, uma posio de alta
responsabilidade, que requer determinao e segurana por parte do profissional.
Entre as diversas caractersticas que um administrador de segurana em potncia,
de acordo com Caruso e Steffen (1999, p. 109), deve possuir:

Conhecimento dos recursos dos ambientes de informaes e dos requisitos


de segurana adequados.
Alto grau de responsabilidade.
Boa experincia organizacional e em anlises.

60
TPICO 2 | SEGURANA LGICA, FSICA E AMBIENTAL

Sensibilidade para a poltica do ambiente de informaes.


Facilidade em se relacionar, pois a maior parte do trabalho envolve
convencer as pessoas.
Estabilidade emocional.

Manda a prudncia que seja definido um substituto para o administrador de


segurana desde o incio, de maneira que a funo possa continuar se, por qualquer
motivo, o administrador de segurana inicialmente selecionado no puder. Para
Caruso e Steffen (1999, p. 109), essa sugesto segue a clssica abordagem de que
ningum mais insubstituvel ou eterno.

Alm disso, pode ser necessria uma equipe de apoio. Esta equipe deve ser
composta por analistas de segurana e apoio administrativo e do administrador
de segurana.

NOTA

Diz-se que um bom profissional de segurana deve ter corao de pedra e nervos
de ao e ser insensvel a ofensas e insultos. (CARUSO; STEFFEN, 1999, p. 110).

2.2.5 Diretrizes da segurana


As diretrizes que governaro a segurana devem ser definidas logo
no incio. Segundo Caruso e Steffen (1999, p. 110), o ideal que elas j estejam
definidas na poltica global de segurana da empresa, como parte das atribuies
e responsabilidades que se espera que todos os empregados sigam. As diretrizes
de segurana mais especficas devem ser formadas de normas parte da poltica
e devem se basear nas diretrizes gerais da poltica, porm no devem ser rgidas
para que seja possvel adequar s particularidades de cada caso.

Quando falamos de diretrizes, entendem-se as regras gerais que orientaro


a elaborao de normas e procedimentos subordinados poltica de segurana. De
acordo com Caruso e Steffen (1999, p. 110), em princpio, as diretrizes de segurana
devem contemplar os seguintes aspectos:

Procedimentos padres de segurana que sero utilizados no ambiente


de trabalho na empresa.
Documentao dos controles de segurana disponveis para cada tipo de
recurso e a comunicao a todos os envolvidos.
Estimativa dos riscos e comprometimentos dentro do ambiente da
empresa.

61
UNIDADE 1 | SEGURANA EM INFORMTICA

Registro e relato das violaes para as pessoas indicadas.


Acompanhamento do desenvolvimento de requisitos de segurana para
todos os projetos dos usurios.
Treinamento de todos os usurios com relao poltica de segurana da
empresa.
Se for necessrio, apoio s administraes descentralizadas e seu controle.
Responsabilizao dos envolvidos com a funo de segurana, desde
o administrador central at o usurio final; deve ser dado um enfoque
especial ao papel das reas de informtica em relao segurana, j que
ali que se encontram as maiores vulnerabilidades.

2.2.6 Ferramental administrativo e tcnico


Seguindo a linha de raciocnio de Caruso e Steffen (1999, p. 111), o prximo
passo definir as ferramentas administrativas e tcnicas relacionadas com a
funo de segurana. Uma boa parte dos procedimentos administrativos depende
da definio de outros aspectos da segurana, como diretrizes globais e especficas
da segurana, a estrutura e o tipo de estrutura utilizados, o tamanho da equipe, o
produto de segurana a ser adotado, entre outros. O ferramental administrativo
altamente dependente da cultura de cada organizao enquanto que o ferramental
tcnico dependente do produto de segurana adotado pela empresa.

2.2.7 Padronizao
Padronizao de nomenclatura o tipo de atividade que todos acham
necessria, mas que, frequentemente, vai sendo adiada indefinidamente. Para
Caruso e Steffen (1999, p. 111), se a organizao conseguiu desenvolver padres
vlidos em nvel global antes da implantao da segurana, ser muito mais fcil
padronizar as nomenclaturas, j que os produtos de segurana so baseados, em
grande parte, no agrupamento de funes de segurana.

Se j existem padres de nomes, de acordo com Caruso e Steffen (1999, p.


111), a definio de listas de acesso torna-se mais fcil, devido ao agrupamento
permitido pelo uso de qualificadores de nomes de nvel mais geral. Na figura a
seguir damos um exemplo para dar nomes a programas em uma organizao com
uma estrutura baseada em centros de lucro ou unidades de negcio.

FIGURA 9 EXEMPLO DE PADRO DE NOMENCLATURA DE PROGRAMAS

FONTE: Caruso e Steffen (1999, p. 111)

62
TPICO 2 | SEGURANA LGICA, FSICA E AMBIENTAL

Entretanto, ainda segundo Caruso e Steffen (1999, p. 112), se voc est em


uma das muitas organizaes que no possuem padres ou que sua aplicao no
seja geral, a implantao ser um pouco mais complicada, j que a padronizao ser
necessria para a maioria das definies de recursos para o pacote de segurana.

Caruso e Steffen (1999) citam que o volume de manuteno exigido por


uma estrutura de segurana inversamente proporcional ao grau de padronizao
existente dentro da organizao. Quanto maior esse grau, menor o volume de
manuteno e vice-versa.

conveniente observar que a implantao da segurana ser uma boa


ocasio para desenvolver e implantar padres de nomenclatura de recursos, to
importantes em cada organizao. O produto de segurana pode ser muito til
na imposio desses padres. Quando o inventrio tiver sido completado e voc
estiver familiarizado a respeito do que a organizao possui e quem responsvel
por quais elementos, poder ser a ocasio adequada para projetar padres ou
planejar seriamente a imposio de padres projetados, mas nunca usados com
sucesso. A maior parte dos produtos de segurana pode ser usada de tal maneira
que a maioria dos usurios ter permisso para ler ou atualizar recursos de uso
corrente que no estejam dentro dos padres, mas no ter permisso para criar
recursos que desobedeam aos mesmos (CARUSO; STEFFEN, 1999).

De acordo com Caruso e Steffen (1999, p. 112), os produtos de segurana


normalmente permitem o uso de nomes definidos por usurios para nomear
entidades funcionais dentro do banco de dados de segurana. Os nomes usados
dentro deste banco tambm devem seguir um padro para simplificar as
manutenes e permitir facilmente pesquisas e anlises.

2.2.8 Equipe do projeto


Nesta fase, conforme Caruso e Steffen (1999, p. 112), a equipe de
implantao do projeto deve estar constituda, ou pelo menos devem estar descritas
as diretrizes que governaro o trabalho da equipe. O administrador de segurana,
que j deve estar definido a esta altura, deve ser o coordenador da equipe. Se a
estrutura da administrao de segurana j tiver sido implantada, conveniente
que pelo menos um dos integrantes participe da equipe, de preferncia na funo
de relator e para providenciar os trmites administrativos necessrios.

2.2.9 Controles
Algumas atividades administrativas necessitam de controles firmes, e
segurana de informaes uma delas. necessrio controlar o domnio de usurios,
o domnio de recursos e as interaes entre os dois domnios. A esta altura da
montagem da estrutura de segurana devem ser definidos os controles desejados
que sero implantados aps a escolha da ferramenta de segurana. Muitos pacotes
de controle de rede tambm possuem recursos de segurana embutidos, apesar de

63
UNIDADE 1 | SEGURANA EM INFORMTICA

nem todos serem to completos quanto as ferramentas dedicadas exclusivamente


segurana (CARUSO; STEFFEN, 1999).

De acordo com Caruso e Steffen (1999, p. 113),

todos os pacotes de segurana dispem de recursos de emisso de


relatrios sobre a estrutura da segurana e das atividades dos usurios.
Mas nem todos permitem a formatao dos dados de forma livre, nem
a insero de ttulos em lngua diferente do pas de origem. Caso os
mesmos no se revelem adequados sua organizao, necessrio
desenvolver programas especficos. Algumas ferramentas de segurana
permitem selecionar registros para um arquivo intermedirio, usado
como entrada para programas personalizados. Informaes sobre
a estrutura da segurana, com os dados sobre usurios, recursos e
interaes entre os mesmos, acham-se gravadas no banco de dados
do pacote de segurana escolhido. Dados das atividades de usurios
so normalmente gravados nos arquivos de registro de atividades do
sistema operacional ou dos pacotes de software; alguns deles permitem a
opo de gravar esses dados tambm em mais de um arquivo, podendo
tambm ser acessados em tempo real.

Normalmente, segundo Caruso e Steffen (1999, p. 113), sero necessrios


relatrios de controle de dois tipos: controle da estrutura de segurana e controle
sobre atividades de usurios.

2.2.9.1 Controle da estrutura de segurana


Caruso e Steffen (1999, p. 113) afirmam que, basicamente, os relatrios
de controle da estrutura destinam-se a controlar os usurios, os recursos e as
interaes entre usurios e recursos.

a) Usurios e grupos de usurios:

Estrutura hierrquica dos grupos de usurios.


Usurios de cada grupo.
Usurios com atributos especiais.

b) Recursos:
Grupos de recursos protegidos.
Recursos de cada grupo.
Nvel de proteo de cada grupo de recurso.
Nvel de proteo de cada recurso individual.
Recursos com proteo especial.

c) Interaes usurios versus recursos:


Recurso que cada usurio pode acessar.
Usurios que acessam cada recurso.
Nvel de acesso permitido a cada grupo / usurio.

64
TPICO 2 | SEGURANA LGICA, FSICA E AMBIENTAL

2.2.9.2 Controle sobre atividades de usurios

Basicamente, conforme Caruso e Steffen (1999, p. 114), os relatrios de


controle de atividades de usurios destinam-se a controlar a forma como os
usurios fazem uso dos recursos que lhes so disponibilizados e as violaes que
os mesmos cometem.

Violaes de acesso a ambientes.


Violaes de acesso a recursos.
Acesso a recursos monitorados.
Acesso de usurios monitorados.

FIGURA 10 FLUXO ADMINISTRATIVO DA CONCESSO DE ACESSO A UM RECURSO


CONTROLADO

FONTE: Caruso e Steffen (1999, p. 111)

65
UNIDADE 1 | SEGURANA EM INFORMTICA

A lista de relatrios acima apenas uma sugesto; cada ambiente deve


estabelecer sua prpria lista, em funo de suas particularidades. Alm dos relatrios
acima, relacionados com a ferramenta de segurana, existem outros que podem ser
montados e que no esto relacionados com essa ferramenta. o caso do relatrio
de movimentao de pessoal ou do relatrio de funcionrios demitidos, essenciais
para determinar direitos de acesso e que devem ser fornecidos pela rea de recursos
humanos. Entretanto, tal tipo de informaes pode vir a exigir alteraes nos bancos
de dados da rea de recursos humanos para se introduzirem informaes relacionadas
com o acesso aos ambientes de informaes (CARUSO; STEFFEN, 1999).

2.3 DEFINIO DA EQUIPE


De acordo com Caruso e Steffen (1999, p. 118), a equipe do projeto deve ser
composta por elementos oriundos das reas que sero mais afetadas pela estrutura
de segurana. A medida se prende ao fato de se ter que atender aos requisitos
de segurana de todos os envolvidos. O propsito bsico desse envolvimento
desenvolver um sentimento de participao e de responsabilizao conjunta no
produto final da segurana.

FIGURA 11 MODELO DE ESTRUTURA DE EQUIPE PARA PROJETO DE SEGURANA DE ACESSO


LGICO

FONTE: Caruso e Steffen (1999, p. 121)

Na figura 11 mostrado um modelo de estrutura da equipe do projeto


de segurana de acesso. Caruso e Steffen (1999, p. 118) lembram que o tamanho
da equipe depende do prprio tamanho da organizao e dos equipamentos
variedade, quantidade e porte usados dentro da mesma. Em princpio, ainda
segundo os autores, a equipe do projeto deve ser composta com elementos das
seguintes reas:

66
TPICO 2 | SEGURANA LGICA, FSICA E AMBIENTAL

Administrao de segurana a esta altura o administrador de segurana


j deve ter sido escolhido; a funo dele na equipe do projeto a
coordenao do projeto. Alm do administrador de segurana, podem-se
alocar mais elementos da equipe de segurana se a estrutura j estiver
montada para assessorar a equipe e executar as tarefas operacionais
exigidas pela implantao.
Software bsico e de apoio esta rea a responsvel tcnica, dentro da
maioria das organizaes, pelo ferramental de informtica utilizado para
processar e armazenar informaes. A esta rea caber a implantao
da ferramenta de segurana e sua adaptao ao ambiente operacional
da organizao. Esta rea faz uso de recursos que, frequentemente,
contornam a segurana ou ento propiciam o desenvolvimento de
brechas na segurana. Alm disso, muitas das diretrizes bsicas de
informtica e de processamento de informaes emanam desta rea, de
modo que sua participao imprescindvel. Nem todas as organizaes
dispem de uma rea que cuide especificamente do software bsico; alm
disso, muito frequente que, mesmo em grandes organizaes, as reas
de software bsico e de apoio tambm tenham responsabilidade sobre
bancos de dados. Em microinformtica, muito comum que as funes
de software bsico e administrao de dados sejam exercidas por pessoas
alocadas na mesma funo.
Administrao de dados esta rea responsvel pela administrao dos
ativos de informao residentes nos computadores, pela operacionalizao
e pelo uso dos softwares de banco de dados e pela integridade dos ativos
de informao residentes em bancos de dados. A maioria dos desvios
de uso de ativos das organizaes ocorre em cima de informaes
armazenadas em bancos de dados. Como, alm disso, normalmente esta
rea tambm tem a responsabilidade pelas normas de nomes de arquivos,
sua participao indispensvel.
Produo em organizaes com processamento de informaes
centralizado, esta rea a responsvel pelo processamento de todos os
servios de informtica. Em organizaes que fazem uso de recursos de
diversas redes de microcomputadores centralizadas, frequentemente h
uma rea central responsvel pela produo. Quando no houver, isso
passa a ser um problema departamental. Como nessas organizaes esta
rea a que est em contato mais direto com os usurios, ela geralmente
afetada pelas medidas de segurana, medida que tiver de administrar
os requisitos de segurana de acesso de usurios aos computadores. Alm
disso, ela tambm a custodiante dos ativos de informao e, portanto,
talvez a mais interessada na preservao da integridade dos ativos sobre
os quais tem responsabilidade. Em microinformtica, normalmente esta
funo de responsabilidade da rea de teleinformtica.
Comunicao de dados e redes atualmente, grande parte do
processamento de informaes envolve linhas de comunicao. Esta rea
tambm grandemente afetada pelas medidas de segurana, pois a grande
maioria dos acessos de usurios aos sistemas computadorizados envolve
comunicao de dados. Os principais riscos corridos pelos ativos de
informao esto justamente nas linhas de comunicao, muito sujeitas
interceptao. Alm disso, as reas envolvidas em comunicao de dados

67
UNIDADE 1 | SEGURANA EM INFORMTICA

tm requisitos de segurana prprios que devem ser levados em conta.


Em microinformtica, normalmente esta funo de responsabilidade
das reas usurias. fundamental que algum dentro da equipe conhea
a fundo a internet e seu ferramental; cada vez mais o processamento de
informaes tende a ser feito atravs da internet. Quando chegar a hora
de conectar seus equipamentos ou sua rede interna internet, isso deve
ser feito com pleno conhecimento de causa.
Desenvolvimento de aplicaes ainda que em muitas empresas esta
rea esteja diminuindo de tamanho, com a devoluo de atividades
para as reas afins, ela permanece como o centro focal das atividades de
desenvolvimento de aplicaes, desenvolvendo-as para reas que no
tenham estrutura suficiente para possuir uma rea de desenvolvimento
autnoma e normatizando as atividades de desenvolvimento de aplicaes.
Alm disso, na maioria das organizaes, essa rea a responsvel pelos
recursos de desenvolvimento de aplicaes, como bibliotecas de linguagens
e demais ferramentas, normatizao etc. Tambm recomendvel que a
rea de desenvolvimento seja a responsvel pelo estabelecimento de um
padro nico de segurana de aplicativos, para que todos se encaixem no
mesmo. Dessa forma, evita-se a duplicidade de esforos, j que comum
cada equipe de desenvolvimento de aplicaes desenvolver sua prpria
segurana interna. Uma das vantagens dessa abordagem o aumento
da produtividade. Em microinformtica, normalmente esta funo de
responsabilidade das reas usurias ou de suporte ao usurio.
Auditoria em todas as empresas onde exista uma rea especfica de
auditoria, seu papel controlar o uso dos ativos da organizao em nome
dos legtimos proprietrios. Portanto, ela deve controlar a adeso das
partes s normas e procedimentos estabelecidos. Na equipe do projeto, seu
papel garantir que o processo da implantao de segurana e as prprias
diretrizes de segurana sigam as diretrizes globais da organizao.
Usurios as atividades de processamento de informaes existem em
funo dos usurios. Portanto, nada mais justo que os mesmos tambm
tenham papel ativo na implantao da segurana. A segurana deve garantir
a integridade dos ativos da empresa, mas no deve em hiptese alguma
acarretar transtornos para os usurios finais. A dificuldade de se selecionar
um representante legtimo dos usurios no deve impedir que os mesmos
participem da implantao do projeto de segurana. Se a individualizao de
representantes de usurios for muito difcil, uma alternativa ser convocar um
representante de cada uma das grandes funes dentro da organizao para
que constituam um grupo parte, ao qual sero reportadas todas as medidas
que impliquem a participao de usurios e que dever ser consultado acerca
de necessidades especficas dos usurios.
Treinamento a implantao da segurana implica grande trabalho de
treinamento dentro da organizao, relacionado com os requisitos da
segurana. Por esse motivo, mesmo que um representante dessa rea
no participe da equipe, ou que a organizao no possua uma rea de
treinamento especfica, conveniente que a equipe do projeto conte com
assessoria de pessoal especializado em treinamento. Deve-se lembrar que,
mesmo aps o encerramento do projeto, a estrutura da segurana continuar
a existir; todas as atividades de treinamento de novos funcionrios e a
reciclagem de treinamento competiro a esta rea. Se nenhum representante

68
TPICO 2 | SEGURANA LGICA, FSICA E AMBIENTAL

dessa rea participar da equipe, conveniente ao menos que todos os


requisitos de treinamento sejam submetidos sua apreciao.
Atividades de apoio mesmo que o projeto de segurana no implique
muitas atividades extras, no relacionadas diretamente com atividades
ligadas a informaes, podem existir situaes em que se precise de
assessoria de funes como administrao patrimonial, transportes,
comunicaes etc. Mesmo que estas reas no participem diretamente do
projeto, conveniente que acompanhem o desenvolvimento do mesmo e
que forneam consultoria e apoio tcnico e administrativo relacionados
com suas reas de conhecimento.
Consultoria externa embora o maior volume dos esforos de implantao
de um projeto de segurana recaia sobre os membros da equipe pertencentes
organizao, conveniente prever a necessidade de consultoria externa
da empresa fornecedora dos equipamentos, de consultores de segurana,
de fornecedores de ferramentas de segurana etc. Ainda que a estrutura
final da segurana seja altamente dependente da prpria cultura da
organizao, muitas questes relacionadas com segurana exigiro
apoio externo para tecnologia no disponvel internamente ou que no
comporte o desenvolvimento interno. Dessa forma, pode-se adquirir muito
conhecimento tecnolgico til para a organizao.

Em organizaes de menor porte, ou mesmo de grande, e com processamento


de informaes distribudo, conforme Caruso e Steffen (1999, p. 121), as funes
de produo, comunicao de dados e desenvolvimento de aplicativos ou esto
frequentemente subordinadas s reas usurias ou so cumulativas.

2.4 LEVANTAMENTO DE RECURSOS E DE USURIOS


A tarefa mais trabalhosa na implantao da segurana em uma organizao
pode vir a ser o inventrio de usurios e recursos. O volume de trabalho envolvido
depender em grande parte do grau de padronizao de nomenclatura (nomes de
programas, arquivos, transaes, chaves de acesso etc.) e da ordem j existente na
organizao. Uma empresa sem um padro nico, ou desorganizado, requerer
mais trabalho de levantamento (CARUSO; STEFFEN, 1999).

No inventrio, segundo Caruso e Steffen (1999, p. 126), devem ser levadas


em conta as necessidades de cada grupo de usurios; se possvel, o inventrio
deve ser efetuado pelos proprietrios dos recursos que esto sendo inventariados.
Entretanto, a metodologia deve ser nica e ser desenvolvida ou aprovada pela
equipe do projeto. O inventrio deve responder s seguintes questes:

Quem so os usurios?
Quais so os recursos e como eles podem ser classificados?
Quem o responsvel por cada recurso?
Qual o perfil atual de acesso a recursos?
Qual o perfil desejvel de acesso a recursos?

69
UNIDADE 1 | SEGURANA EM INFORMTICA

FIGURA 12 ETAPAS DE UM INVENTRIO DE USURIOS E RECURSOS E SUAS INTERAES

FONTE: Caruso e Steffen (1999, p. 127)

2.5 SELEO E ESCOLHA DAS FERRAMENTAS DE


SEGURANA
Da mesma forma como os procedimentos de segurana refletem as linhas da
poltica de segurana, de acordo com Caruso e Steffen (1999, p. 135), as ferramentas
de segurana escolhidas para monitorar e controlar os acessos a ambientes de
informaes residentes em computadores devem seguir os procedimentos que
foram desenvolvidos com base na poltica de segurana.

Antes mesmo da escolha das ferramentas de segurana, conforme Caruso


e Steffen (1999, p. 135),

deve-se ter conhecimento do ambiente global a ser protegido. Esse


conhecimento ir permitir a definio dos quesitos para a avaliao dos
produtos disponveis. A implantao da segurana em um ambiente
computacional , antes de tudo, uma tarefa administrativa; portanto,
deve-se ter sempre em mente que o ferramental tcnico um meio e
no um fim em si mesmo. Dessa forma, as ferramentas de segurana
escolhidas devem se adaptar ao ambiente que vo proteger e no o
contrrio. Quanto mais aspectos do ambiente forem cobertos pela
ferramenta de segurana, mais fcil ser a tarefa de implantao da
mesma no ambiente e menos conflitos causar durante e aps a sua
implantao.

A avaliao da ferramenta de segurana depende diretamente do ambiente


global a ser protegido. Desta forma, faz-se necessrio elaborar um inventrio dos
recursos existentes e de seus usurios, levantamento este que ir possibilitar a
listagem dos aspectos relacionados com o perfil de acesso e demais caractersticas
do ambiente, que devero ser cobertos pela ferramenta de segurana.

Entretanto, deve-se ressaltar que as ferramentas de segurana, mesmo


que funcionalmente semelhantes, funcionam de forma sensivelmente diferente
entre si, justificando dessa forma um trabalho cuidadoso de avaliao. Mesmo a
ferramenta de segurana que melhor se adapte ao ambiente para o qual foi escolhida
deixar lacunas que devem ser levadas em conta na avaliao e que, em caso de
escolha, devem ser preenchidas por ferramentas ou procedimentos desenvolvidos
internamente ou adquiridos de outros fornecedores (CARUSO; STEFFEN, 1999).

Segundo Caruso e Steffen (1999, p. 136), nos grandes ambientes de


informaes, baseados em computadores de grande porte, a segurana
costumeiramente atendida por um pacote especfico para controle de segurana,
que, normalmente, tem interligao com a maioria dos demais pacotes usados
nesse ambiente.
70
TPICO 2 | SEGURANA LGICA, FSICA E AMBIENTAL

Aps o levantamento do ambiente, pode-se montar uma planilha de


avaliao especfica para este ambiente, que deve constar os quesitos que a
ferramenta dever possuir para atender a situaes especficas existentes em cada
um dos ambientes a proteger, e que ainda poder servir de base para se efetuar o
levantamento do ambiente desejado.

A segunda etapa, de acordo com Caruso e Steffen (1999, p. 137), a


atribuio de um peso para cada item do conjunto de quesitos de avaliao, tendo
como base a importncia de cada quesito dentro do ambiente de informaes. Os
critrios de importncia atribudos a cada quesito de avaliao podem ser, por
exemplo, a quantidade de pessoas que faam uso de um dado monitor de acesso
e a necessidade de se manter a transparncia desse processo. Ainda dentro da
segunda etapa, deve-se desenvolver um sistema de pontuao para cada quesito,
em funo do grau de atendimento dado a esses quesitos pelo pacote avaliado.

A terceira etapa do processo consiste na avaliao propriamente dita.


Segundo Caruso e Steffen (1999, p. 137), com base no levantamento efetuado,
deve-se fazer a verificao da forma como cada software atende a cada um dos
quesitos listados. Cada elemento da equipe do projeto de segurana deve fazer
uma avaliao individual em relao aos outros elementos da equipe, para no
haver interferncia de fatores de preferncia pessoal, de natureza tcnica ou
psicolgica, sobre a avaliao; entretanto, cada elemento da equipe pode solicitar
a colaborao de outros de sua prpria rea, tendo em vista a necessidade de levar
em conta todos os aspectos possveis relacionados com cada quesito.

Ainda de acordo com Caruso e Steffen (1999, p. 137), deve ser dada
ateno especial quanto ao atendimento de quesitos dependentes de verses ou
caractersticas do ambiente operacional, como, por exemplo, o fato de a proteo de
programas em alguns ambientes s poder ser feita usando-se sistemas operacionais
especficos com modelos especficos de equipamentos.

2.6 DEFINIO DE PERMETROS LGICOS


Assim como na segurana fsica, segundo Beal (2008, p. 95), a segurana
lgica tambm se beneficia de barreiras criadas em torno de um ativo ou conjunto
de ativos de informao que se deseja proteger. Uma defesa de permetro sempre
um bom primeiro passo na proteo, e firewalls de rede, mecanismos de controle
de acesso, dispositivos confiveis de autenticao, VPNs (redes privativas virtuais
construdas sobre a infraestrutura de uma rede pblica, geralmente a Internet),
antivrus e bastion hosts (gateways instalados entre uma rede interna e o ambiente
externo para proteg-la de ataques) so exemplos de barreiras que podem ser
usadas no estabelecimento de um permetro de segurana de rede.

Um permetro slido de segurana lgica difcil de implantar, em funo


do desafio de se identificar todas as possveis vulnerabilidades que poderiam deixar
a rede aberta a um ataque. As chamadas redes de permetro, ou zonas desmilitarizadas
(DMZ, de de-militarized zone) permitem proteger um computador ou segmento

71
UNIDADE 1 | SEGURANA EM INFORMTICA

de rede que fica entre uma rede interna (ex.: LAN privativa) de uma rede no
confivel externa, como a internet. A DMZ atua como intermediria tanto para o
trfego de entrada quanto de sada. O termo vem do uso militar, significando uma
rea neutra que separa dois inimigos (BEAL, 2008).

FIGURA 13 EXEMPLO DE REDE DE PERMETRO SEPARANDO A REDE INTERNA DA INTERNET

FONTE: Beal (2008, p. 96)

2.7 COMUNICAO DE DADOS E CRIPTOGRAFIA


De acordo com Caruso e Steffen (1999, p. 151), um sistema de comunicao
de dados uma combinao entre hardware, software, meios de comunicao,
processos e pessoas, e que no todo constitui um ambiente operacional, sendo este a
principal porta de entrada para que usurios acessem o ambiente de informaes e
tambm para ataques direcionados contra este ambiente, atualmente representando
um dos maiores fatores de risco.

Alm dos riscos relacionados com o acesso no autorizado, segundo


Caruso e Steffen (1999, p. 151), o ambiente de comunicao de dados tambm
a parte mais frgil do ambiente de informaes. Grande parte dos equipamentos
e linhas de comunicao est fora do controle das organizaes, sendo as linhas
de comunicao o alvo mais frequente dos ataques ao ambiente de informaes.

72
TPICO 2 | SEGURANA LGICA, FSICA E AMBIENTAL

A internet e suas congneres dentro das organizaes, as intranets, so a


vedete do momento, conforme Caruso e Steffen (1999). Os autores citam ainda que
mesmo usando a criptografia para a transmisso de dados, h grande probabilidade
de que algum atacante consiga desencriptar o cdigo e fazer uso das informaes;
alm da grande velocidade dos equipamentos, h tambm a grande quantidade
de hackers, cujo nico passatempo invadir sistemas. Dada a grande quantidade
de hackers ao redor do mundo e em razo de que, dentro da internet, tanto faz
estar na sala ao lado como na China, alta a probabilidade estatstica de algum
deles conseguir decodificar sua mensagem. Como qualquer outra atividade, a
comunicao de dados tambm corre diversos riscos relacionados com o ambiente
em si ou com fatores externos a ele, como ataques de invasores.

Segundo Caruso e Steffen (1999, p. 155), a criptografia baseada sempre em


um mecanismo de converso (o algoritmo de cifragem) que converte informaes
de texto claro para texto cifrado usando uma chave de cifragem conhecida somente
pelo emitente e do receptor (em princpio). O mecanismo pode ser de conhecimento
pblico ou at mesmo no ser conhecido por ningum, mas as chaves usadas no
processo nunca podem ser reveladas. Devido ao risco de decifrao do texto e
consequente deduo da chave, estas devem ser trocadas com frequncia, o que
implica a possibilidade de interceptao do meio usado para comunicar as chaves
entre as partes.

FIGURA 14 ETAPAS ENVOLVIDAS NO PROCESSO DE CIFRAGEM /DECIFRAO DE MENSAGENS

FONTE: Caruso e Steffen (1999, p. 156)

73
UNIDADE 1 | SEGURANA EM INFORMTICA

A criptografia exige uma srie de procedimentos de segurana, a maioria


dos quais de carter administrativo. Ela conhecida desde a mais remota
antiguidade, quando era usada principalmente para comunicaes militares.
Porm, foi somente neste sculo que o seu uso em transaes comerciais tornou-se
mais amplo. A criptografia pode ser usada em comunicao de dados para proteger
dados sensveis contra revelao, principalmente as transaes de transferncia de
fundos entre bancos (CARUSO; STEFFEN, 1999).

2.8 SEGURANA PARA MICROS,


TERMINAIS E ESTAES
Via de regra, segundo Caruso e Steffen (1999, p. 167),

tanto os equipamentos perifricos quanto os terminais de mainframes,


estaes de trabalho e notebooks precisam da mesma proteo que os
servidores em si, principalmente agora que desapareceram muitas das
fronteiras entre equipamentos de pequeno e grande porte e que muitos
microcomputadores apresentam desempenho equivalente a grandes
computadores de poucos anos atrs.

Alm disso, conforme Caruso e Steffen (1999, p. 167),

a interligao cada vez maior dos computadores entre si por meio de


redes de acesso pblicas aumenta a vulnerabilidade dos mesmos a
ataques externos. No importa se a grande maioria dos atacantes no
tenha em si propsitos criminosos; sempre haver os que se aproveitam
do conhecimento de terceiros para usos criminosos.

De acordo com Caruso e Steffen (1999, p. 168), os equipamentos de


microcomputao, terminais e estaes de trabalho so menos exigentes em
termos de condies ambientais que os grandes computadores. Entretanto,
isso nem sempre verdade, e no impede que os mesmos recebam tratamento
de segurana similar ao dado a grandes computadores e seus perifricos. O grau
de proteo depender somente da importncia que esses equipamentos tiverem
para o desenvolvimento dos negcios da organizao e no somente do porte e
complexidade dos equipamentos.

H muito tempo os computadores de pequeno porte deixaram de ser


equipamentos secundrios, de acordo com Caruso e Steffen (1999, p. 170). Muitos
deles abrigam aplicativos importantes para as organizaes que os possuem.
Portanto, valem aqui as mesmas consideraes feitas para equipamentos de grande
porte.

Devem ser extradas cpias de segurana (backups) peridicas de todos


os trabalhos desenvolvidos em microcomputador, tais como: tabelas, relatrios
estatsticos, planilhas etc. Essa providncia facilita a recuperao das informaes,
precavendo-se de algum dano ou sinistro nos arquivos originais (disquetes ou

74
TPICO 2 | SEGURANA LGICA, FSICA E AMBIENTAL

discos rgidos). Dependendo do grau de criticidade do arquivo, aconselhvel tirar


mais de uma cpia de segurana. Alm disso, a rotina de cpia de segurana deve
emitir um histrico do processo, indicando a data, o horrio, a pessoa responsvel
e os nomes de diretrios e arquivos envolvidos (CARUSO; STEFFEN, 1999).

Todas as cpias de segurana devem, segundo Caruso e Steffen (1999),


ser guardadas em local seguro, diferente e distante dos originais. Sempre que for
possvel, altamente recomendvel que esse local seja em outro prdio.

2.9 SEGURANA EM REDES


De acordo com Caruso e Steffen (1999, p. 175), h tempos que as redes
adquiriram tal grau de importncia e poder de processamento que acabaram por
se igualar aos grandes computadores; muitas redes tm um grau de complexidade
e poder de processamento at mesmo maiores que muitos mainframes.

S h uma rede imune a ataques externos: a que no tem conexo com


o mundo exterior. Alis, esse tipo de rede existe: so as redes que controlam os
sistemas de armas nucleares das grandes potncias militares; os computadores
que controlam esse tipo de rede fazem uso de sistemas operacionais exclusivos,
rodam softwares que somente uns poucos profissionais conhecem e todos os
funcionrios que trabalham com esses equipamentos so vigiados 24 horas por
dia. Aquelas histrias de hackers que entram em computadores do Departamento
de Defesa ou da NASA precisam ser mais bem explicada: eles entram em redes
abertas ao pblico e nenhuma delas era realmente de segurana; entretanto, isso
no quer dizer que esses ataques no devam ser levados a srio, principalmente
com a Rssia passando por uma sria crise (CARUSO; STEFFEN, 1999).

No h como garantir segurana absoluta em qualquer tipo de rede com


acesso ao pblico, segundo Caruso e Steffen (1999), principalmente se estiver
conectada internet. Na realidade, no h como garantir segurana absoluta nem
em redes fechadas; seres humanos so sempre muito humanos. Sempre haver
algum que ter capacidade tcnica e tempo suficiente para quebrar a segurana
de sua rede; e sempre haver algum que no ter nenhum escrpulo em obter
lucros com as informaes que ela ou alguma outra pessoa descobrir.

Conforme Caruso e Steffen (1999, p. 183), h que se diferenciar as redes em


dois tipos, em termos de acesso ao pblico em geral: as redes internas, de acesso
restrito a funcionrios da organizao ou terceiros que trabalham em conjunto
com a organizao, e as redes externas ou pblicas, abertas a todos.

A filosofia bsica dos autores em relao segurana em redes a do


menor privilgio possvel, ou seja, o que no explicitamente permitido, proibido.
Essa abordagem no tornar o administrador de segurana muito popular na
comunidade de usurios, mas a mais sensata em termos de segurana; alm disso,
facilita a padronizao e, com ela, a simplicidade. A abordagem oposta aumenta

75
UNIDADE 1 | SEGURANA EM INFORMTICA

muito a complexidade e o trabalho do administrador de segurana. As coisas mais


simples so muito mais fceis de ser entendidas; j as coisas complexas tendem a
ser de entendimento mais lento e, normalmente, tm maior quantidade de furos
e erros que comprometem a segurana (CARUSO; STEFFEN, 1999).

3 SEGURANA FSICA
Ferreira e Arajo (2008, p. 123) citam que a segurana fsica desempenha
um papel to importante quanto segurana lgica, porque a base para a proteo
de qualquer investimento feito por uma organizao. Investir em diferentes
aspectos da segurana sem observar suas devidas prioridades pode ocasionar uma
perda de todos os recursos investidos em virtude de uma falha nos sistemas mais
vulnerveis.

3.1 ASPECTOS GERAIS DA SEGURANA FSICA


De acordo com Ferreira e Arajo (2008, p. 123), qualquer acesso s
dependncias da organizao, desde as reas de trabalho at aquelas consideradas
severas (onde ocorre o processamento das informaes crticas e confidenciais)
deve ser controlado sempre fazendo necessria sua formalizao.

Os sistemas de segurana devem ser implementados para garantir que


em todos os locais da organizao o acesso seja realizado apenas por profissionais
autorizados. Quanto maior for a sensibilidade do local, maiores sero os investimentos
em recursos de segurana para serem capazes de impedir o acesso no autorizado.
(FERREIRA; ARAJO, 2008, p. 123).

E
IMPORTANT

Fontes (2006, p. 126) cita trs itens referentes ao acesso fsico:


1) As reas e os ambientes fsicos da organizao devem ter acesso restrito para visitantes e
outras pessoas que no trabalham no local no dia a dia.
2) Os visitantes devem estar sempre acompanhados de algum da organizao.
3) Todas as pessoas no ambiente da organizao devem estar identificadas com crachs, e
qualquer colaborador deve poder questionar pessoas sem identificao.

76
TPICO 2 | SEGURANA LGICA, FSICA E AMBIENTAL

Beal (2008) cita que um grupo especfico de medidas preventivas chamado


de barreiras de segurana. Uma barreira corresponde a qualquer obstculo
colocado para prevenir um ataque, podendo ser fsica (cerca eltrica, parede),
lgica (processo de logon para acesso a uma rede) ou uma combinao de ambas
(autenticao de indivduos por dispositivo biomtrico para concesso de acesso,
catraca eletrnica, porta aberta por carto magntico).

A ISO 17799 (a ser detalhada na Unidade 3) utiliza a expresso permetro de


segurana, definindo-a como quaisquer elementos que estabeleam uma barreira ao
acesso indevido. Uma melhor definio para permetro de segurana seria o contorno
ou linha delimitadora de uma rea ou regio separada de outros espaos fsicos ou
lgicos por um conjunto qualquer de barreiras.

Exemplos de barreiras que podem ajudar a formar um permetro de segurana


incluem salas-cofre, roletas de controle de acesso fsico e uso de token ou dispositivo
biomtrico para autenticao de pessoas antes da liberao da passagem. Medidas
detectivas de invaso de um permetro de segurana podem incluir circuitos internos
de TV, alarmes e sirenes e detectores de incndio; entre outras medidas preventivas ou
redutoras do impacto disponveis esto os climatizadores de ambiente, detectores de
fumaa e acionadores de gua para combate a incndio (BEAL, 2008).

NOTA

Todos os locais fsicos em que se encontram recursos de informao devem


possuir proteo de controle de acesso. (FONTES, 2006, p. 124).

3.2 SITUAES COMUNS DA SEGURANA FSICA


De acordo com Foina (2009, p. 179-180), os problemas mais comuns
relacionados com a segurana fsica so:

Roubo de insumos (tais como fitas, disquetes etc.) e de partes de


microcomputadores (memrias, discos etc.).
Acesso de pessoas no autorizadas aos relatrios com dados estratgicos
da empresa, ainda que dentro do setor de Tecnologia da Informao.
Roubo de dados armazenados em arquivos magnticos (fitas, disquetes
etc.) ou pticos (CD-ROM, CR-RW etc.) com contedo de interesse da
empresa (lista de clientes, arquivos de senhas etc.).
Sabotagem em equipamentos e arquivos de dados.

77
UNIDADE 1 | SEGURANA EM INFORMTICA

A forma de minimizar tais problemas o rgido controle de acesso s


reas sensveis da empresa. A adoo de cartes magnticos e bloqueios de portas
tem-se mostrado eficiente contra acesso no autorizado. Certas reas devem ter
seus acessos limitados at mesmo para a maioria dos profissionais do setor (por
exemplo, a fitoteca de segurana e o prprio centro de processamento). Dispositivos
de identificao biomtrica j esto disponveis e devem ser usados para controlar
o acesso s reas mais crticas (FOINA, 2009).

3.3 RECOMENDAES SOBRE PROJETOS


De acordo com Caruso e Steffen (1999), um ambiente de processamento
de informaes, como qualquer outra instalao sensvel, deve ser localizado em
uma rea livre de quaisquer fatores de risco, exceto se a atividade da organizao,
por si s, envolver esses fatores. Nesse caso, se o ambiente de processamento de
informaes tiver que compartilhar a rea com qualquer atividade de risco, as
diretrizes de segurana devem ser aplicadas de maneira ainda mais estrita.

O mais recomendvel a construo de um edifcio exclusivo, localizado


no centro de uma rea exclusiva, acima do nvel do solo, com as instalaes
sensveis no centro do edifcio e as reas de apoio na periferia, seguindo o conceito
das camadas concntricas de segurana. (CARUSO; STEFFEN, 1999, p. 210).

NOTA

A edificao deve ter toda a infraestrutura necessria pensada para permitir seu
adequado funcionamento e expanso futura. (CARUSO; STEFFEN, 1999, p. 217).

Alm disso, conforme Caruso e Steffen (1999), algumas atividades dentro


de recintos de processamento de informaes implicam riscos maiores que as
demais, a exemplo dos equipamentos de impresso a laser, que trabalham com
aquecimento e emanam gases. Sempre que for o caso, deve ser previsto um recinto
separado, provido de equipamentos e dispositivos de proteo adequados para
esse tipo de equipamento, se possvel em outra edificao.

Caruso e Steffen (1999) comentam ainda que o funcionamento sem


problemas das instalaes do ambiente de informaes altamente dependente
das condies que o local escolhido oferece. A escolha de um local provido de
adequada infraestrutura pblica reduz muito o custo final das instalaes, tanto
dos investimentos necessrios como de manuteno no dia-a-dia.

Uma edificao desse tipo ser usada para abrigar o ambiente de


informaes por muitos anos, ou talvez por dcadas. Desse modo, conveniente

78
TPICO 2 | SEGURANA LGICA, FSICA E AMBIENTAL

pensar nos detalhes que iro fazer a diferena em relao a um ambiente de


trabalho de qualidade e seguro, em termos tanto de materiais empregados como
de acabamento. (CARUSO; STEFFEN, 1999, p. 212).

Mesmo com os atuais equipamentos de processamento de informaes


tendendo a se tornar cada vez menores, segundo Caruso e Steffen (1999, p. 212-
213), instalaes mais complexas, como grandes computadores e servidores de
redes, precisam que as interligaes entre as mquinas sejam feitas por baixo do
piso.

Na medida do possvel, conforme Caruso e Steffen (1999, p. 213),

devem ser evitados tetos rebaixados, dando-se preferncia a dutos


aparentes, como, por exemplo, de retorno de ar-condicionado,
eletrocalhas para lanamento dos cabos de energia eltrica, lgica e
comunicao, instalao de luminrias, instalaes de deteco e/ou
extino de incndio.

De acordo com Caruso e Steffen (1999, p. 216), devemos ainda observar


que grandes CPDs podem funcionar sem operadores e, portanto, no escuro.
Nesses casos, durante a operao normal deve-se manter a iluminao no mnimo
possvel, somente aumentando sua intensidade quando necessrio.

Um CPD, como qualquer outro local sensvel, uma instalao que


deve ter assegurado o mais alto grau de segurana. A programao visual
parte importante do projeto porque atualmente no se considera mais tal tipo de
instalao como a vitrine da organizao. (CARUSO; STEFFEN, 1999, p. 217).

NOTA

As empresas crescem e, como consequncia, a estrutura de seus ambientes de


informaes tambm precisam se expandir. (CARUSO; STEFFEN, 1999, p. 217).

3.4 PROCEDIMENTOS OPERACIONAIS


Assim que uma edificao ou qualquer outro local em que se exera algum
tipo de atividade tenha sido construdo, sua infraestrutura tcnica instalada e
testada e tudo esteja funcionando, rapidamente se instala uma rotina diria de
atividades, conforme Caruso e Steffen (1999). Esse tipo de rotina necessrio, mas
ao mesmo tempo representa um risco para qualquer ramo de atividade.

Na realidade, o principal esforo administrativo dentro de qualquer


organizao o estabelecimento de padres de execuo de atividades e de

79
UNIDADE 1 | SEGURANA EM INFORMTICA

comportamento de seres humanos, isto , a rotina. Quaisquer polticas, normas e


diretrizes implicam necessariamente o estabelecimento de padres rotineiros que
devem ser seguidos por todos. Ao mesmo tempo, a rotina determina um padro
estabelecido, autorizado, e qualquer desvio desse padro implica uma possvel
violao de segurana (CARUSO; STEFFEN, 1999).

De acordo com Caruso e Steffen (1999, p. 259), a segurana de qualquer


organizao acarreta procedimentos operacionais padronizados para as inmeras
atividades exercidas dentro da mesma. Em um ambiente de informaes, necessrio
estabelecer padres de procedimentos de segurana para as seguintes reas:

Controle de acesso;
Preveno e combate a incndios;
Controle do fornecimento de energia;
Controle das condies ambientais;
Entrada e sada de equipamentos, materiais e produtos;
Segurana dos meios de armazenamento.

3.5 SEGURANA NOS MEIOS DE ARMAZENAMENTO


Assim como os documentos em papel, as mdias de computador (CDs,
disquetes, DVDs, fitas magnticas, discos removveis etc.) precisam ser controladas
e fisicamente protegidas, conforme Beal (2008). Alm disso, ainda segundo Beal
(2008, p. 84), as mdias levadas para fora das instalaes devem sujeitar-se a
procedimentos de proteo e normas para que no permaneam desprotegidas
em reas pblicas.

De acordo com Caruso e Steffen (1999, p. 275), as mdias magnticas so


muito suscetveis s condies ambientais, principalmente ao calor e poluio; j
a tecnologia de disco ptico bem menos sensvel. Os meios de armazenamento
esto sujeitos a uma srie de agentes de risco, que podem afetar o contedo dos
mesmos.

Tanto a mdia magntica como os prprios circuitos eletrnicos dos


computadores so altamente suscetveis aos efeitos dos campos magnticos.
Todavia, estes decaem muito rapidamente medida que se afastam da fonte
geradora; esse decrscimo ocorre em funo do quadrado da distncia da fonte
emissora, e por isso preciso uma corrente muito elevada para gerar campos
suficientemente fortes (CARUSO; STEFFEN, 1999).

Segundo Caruso e Steffen (1999, p. 276-277), campos magnticos de


4.000A/m so fatais para mdias magnticas. Entretanto, a 10 mm de distncia
necessria uma corrente de 250 A para atingir esse valor. Mesmo assim se
recomenda distncias de segurana bem maiores, j que raios e outros transientes

80
TPICO 2 | SEGURANA LGICA, FSICA E AMBIENTAL

podem causar picos muito altos com efeitos graves, apesar da durao de
milionsimos de segundo. Emissoras de ondas de rdio e principalmente de radar
merecem cuidados especiais, mesmo a distncias variando entre 1 e 2 km.

Os filmes plsticos usados nas mdias magnticas so suscetveis de


decomposio qumica em funo direta do aumento da temperatura do ambiente
e dos poluentes presentes na atmosfera, segundo Caruso e Steffen (1999). Alm
disso, os meios de armazenamento devem ser protegidos contra qualquer tipo
de choque mecnico. Mesmo que, aparentemente, nada tenha sido danificado,
possvel que pequenos danos comprometam a longo prazo a qualidade da mdia.

De acordo com Caruso e Steffen (1999, p. 277), os equipamentos de


armazenamento devem ser tratados at com mais cuidado que a mdia propriamente
dita. Equipamentos eletrnicos, tais como CPUs, unidades de disco, memrias,
unidades de comunicao etc., so to sensveis quanto s mdias magnticas.

Para as mdias pticas, conforme Caruso e Steffen (1999), recomendam-se os


mesmos cuidados que para discos magnticos rgidos, exceto com relao a campos
magnticos. Entretanto, est havendo consenso no sentido de que mdias pticas
contendo material plstico como substrato tm um limite previsto de dez anos;
alguns discos pticos especiais, que usam o vidro como substrato e o ouro como
metal de revestimento e reflexo, tm tempo de vida til previsto de 100 anos.

4 SEGURANA AMBIENTAL
De acordo com Beal (2008, p. 81), a adequada proteo do ambiente e
dos ativos fsicos de informao, tanto como no caso do ambiente lgico, exige a
combinao de medidas preventivas, detectivas e reativas.

NOTA

As proibies de fumar, tomar caf, fazer refeies e outras regras de


comportamento so bvias, mas devem ser rigorosamente implementadas em todo lugar
onde existir mdia magntica. Por exemplo, arquivo no lugar de trabalho permanente,
principalmente a fitoteca. conveniente prever um ambiente para servir de copa ou local
de descanso, e um local para fumantes, principalmente para o perodo da noite e finais de
semana. (CARUSO; STEFFEN, 1999, p. 279).

81
UNIDADE 1 | SEGURANA EM INFORMTICA

De acordo com Foina (2009, p. 184), a rea de Tecnologia de Informao


mantm sob sua guarda um considervel parque de equipamentos e sistemas. So
equipamentos de alto valor e sensveis a maus tratos e alteraes ambientais. A
fim de preservar o funcionamento desses equipamentos e a prpria operao da
empresa, cabe projetar a instalao adequada para suportar esse patrimnio.

Ainda de acordo com Foina (2009, p. 184),

os cuidados a serem observados no projeto de uma instalao


para Tecnologia de Informao so de ordem eltrica, ambiental
(temperatura e umidade), segurana (fsica e patrimonial) e ergonmica.
Portanto, fundamental a organizao desses recursos, para garantia
da disponibilidade dos equipamentos, da segurana fsica e lgica, e
da ergonomia dos equipamentos (facilidade de uso e garantia de boas
condies de trabalho).

4.1 REDE ELTRICA


De acordo com Caruso e Steffen (1999, p. 284), o prdio deve ter para-
raios do tipo gaiola de Faraday, ligado a um aterramento adequado. Lembramos
que o aterramento dos para-raios no pode, em hiptese alguma, estar ligado ao
aterramento eltrico normal do prdio; alm disso, os cabos de para-raios devem
ficar o mais afastado possvel de quaisquer outros cabos eltricos, de comunicao,
lgica etc. como forma de se evitar que os mesmos sejam submetidos aos fortes
campos magnticos gerados pela passagem de descargas de relmpagos.

Ainda segundo Caruso e Steffen (1999), os cabos de energia de grande


potncia, bem como os condutores de para-raios, devem ser afastados da parede
externa de uma sala de segurana. A distncia mnima de para-raios de 1,0 m.

As estruturas metlicas (por exemplo, piso elevado) de uma sala devem


ser ligadas ao referencial terra da rea externa, que ligada ao aterramento
geral. Alm disso, recomendvel que se interliguem todas as redes de terra
que deem suporte a estaes de trabalho e demais equipamentos sensveis que
estejam ligados em rede; isso permite equalizar todas as cargas entre si (CARUSO;
STEFFEN, 1999).

De acordo com Caruso e Steffen (1999, p. 284), as salas devem ter iluminao
de emergncia, sinalizao fosforescente e farolete a pilha. Recomendamos o
uso de sistemas de iluminao de emergncia dotados de baterias recarregveis.
Devido ao risco de vazamento do contedo das pilhas comuns, recomendamos o
uso de pilhas secas em faroletes.

Ainda segundo Caruso e Steffen (1999, p. 284), a luminria fluorescente


deve ter reator com proteo contra superaquecimento e capacitor de segurana.
Outras instalaes indispensveis devem ser do mais alto padro de qualidade. Por
fim, a energia deve ser desligada sempre que no haja equipamentos em operao
dentro da sala nem pessoas trabalhando.

82
TPICO 2 | SEGURANA LGICA, FSICA E AMBIENTAL

Ferreira e Arajo (2008, p. 125) citam cinco itens que devem ser considerados:

A rede eltrica deve ser sempre estabilizada e dimensionada por


profissionais especializados, sendo em seu planejamento, considerada a
carga necessria.
A manuteno deve ser tratada em procedimentos especficos,
considerando a segurana contra incndios.
A fiao para o CPD deve ser nica e independente para evitar a penetrao
de rudos.
Para cada ativo considerado crtico, principalmente os de processamento
de dados, deve haver fornecimento de energia de forma alternativa,
independente das concessionrias de energia.
Para as situaes de contingncia deve-se fazer o uso de geradores de
energia.

Foina (2009, p. 187) cita que boa parte dos defeitos dos computadores e
perifricos ocorre em virtude de problemas de origem eltrica e de temperatura. As
instalaes eltricas, mesmo quando bem executadas, devem ser periodicamente
revisadas para deteco de curtos-circuitos, fugas eltricas, ruptura de isolamentos,
contatos oxidados, aterramento flutuante, conectores frouxos etc.

4.2 ENERGIA ALTERNATIVA


De acordo com Caruso e Steffen (1999), constatou-se uma maior preocupao
com relao a sistemas no-breaks e geradores. Geralmente, as instalaes de
mdio e grande porte que possuam um grande nmero de aplicaes on-line
possuam sistemas alternativos eficientes. Em alguns casos havia riscos ligados ao
equipamento ou aos tanques de combustvel (perigosamente prximos ao prdio).

Uma organizao no funciona sem um adequado fornecimento de energia


eltrica. Todos os equipamentos, independente do grau de importncia, funcionam
com eletricidade, das lmpadas aos prprios computadores. Assim, importante
que seja assegurado um fornecimento constante e contnuo de energia eltrica,
prova de falhas; j na fase de projeto devem ser previstos os locais e espao
suficiente para abrigar os equipamentos de gerao e condicionamento de energia
eltrica (CARUSO; STEFFEN, 1999).

Caso o local escolhido sofra com problemas de falta de energia eltrica,


conforme Caruso e Steffen (1999, p. 218), recomendvel prever entradas para
uma fonte alternativa, capaz de abrigar as instalaes destinadas energia eltrica.
Deve haver espao para os equipamentos listados a seguir. A rea total ir depender
das necessidades totais de energia e da qualidade da energia fornecida:

83
UNIDADE 1 | SEGURANA EM INFORMTICA

Transformadores.
Estabilizadores.
Sistema short break.
Sistema motor/alternador sncrono.
Sistema eltrico ininterrupto de corrente alternada.
Um grupo gerador diesel.

Dependendo da qualidade da energia eltrica disponvel no local e do nvel


de segurana requerido pelas instalaes, segundo Caruso e Steffen (1999, p. 219),
indispensvel a previso, ainda na fase de projeto, de uma srie de providncias
para garantir o adequado fornecimento de energia. Entre elas esto:

Espao para condicionadores de energia.


Locais para passagem de dutos e calhas para os cabos.
Local para instalaes de controle.
Localizao dos quadros de interligao.
Localizao dos quadros de chaves e controles da iluminao e dos
equipamentos.

4.3 LOCALIZAO
A escolha da localizao correta , provavelmente, a medida isolada
mais importante que se pode tomar na fase de projeto. Na medida do possvel,
as reas de processamento de informaes devem ser isoladas das destinadas a
outras atividades por distncias e construes corta-fogo, de acordo com a carga
de incndio existente. O simples afastamento entre dois edifcios vizinhos, cuja
distncia mnima determinada pelas normas municipais, nem sempre suficiente
para proteger os equipamentos de informtica de um incndio no prdio contguo;
em princpio, uma edificao destinada a abrigar um ambiente de informaes
deve estar separada de qualquer outra edificao por uma distncia mnima igual
a, pelo menos, a altura da maior das duas edificaes, mais uma folga de no mnimo
20% (CARUSO; STEFFEN, 1999).

Conforme Caruso e Steffen (1999, p. 203), grande parte das instalaes


foi adaptada em prdios j existentes, nos quais no houve a preocupao com
a segurana das instalaes. Muitos deles estavam localizados no interior de
reas industriais de alto risco (prximos a instalaes de pinturas, depsitos de
inflamveis etc.). Durante muitos anos, o CPD de uma multinacional da Grande
So Paulo funcionou dentro de um prdio de produo, junto a uma linha de
pintura e em cima de depsitos de materiais inflamveis. Detalhe: o mesmo prdio
tinha sido destrudo por um incndio ainda na fase final de construo, exatamente
no dia previsto para a transferncia do CPD para o mesmo; ou seja, a primeira lio
no foi aprendida.
84
TPICO 2 | SEGURANA LGICA, FSICA E AMBIENTAL

Segundo Caruso e Steffen (1999), em um bairro central de So Paulo,


havia uma empresa que mantinha seu CPD em uma instalao praticamente no
nvel da rua e com paredes de vidro temperado de 10 mm de espessura. Alm
de completamente visvel para todos que passam pela rua, no final da tarde o sol
incidia diretamente sobre o equipamento e sobre os meios magnticos.

De acordo com Caruso e Steffen (1999, p. 220), as instalaes de


processamento de informaes, como qualquer outra instalao sensvel, devem
ser alojadas em edifcio isolado ou em recinto isolado do resto do edifcio por
paredes divisrias corta-fogo (se possvel, com paredes duplas), que vo do piso
laje de cobertura, sem interrupo (salvo as aberturas destinadas a portas, janelas
e passagem de dutos).

4.4 CLIMATIZAO
Ao se fazer um projeto de uma sala destinada a abrigar equipamentos de
processamento de informaes ou qualquer aplicao que implique um ambiente
de alta qualidade, a exemplo de salas limpas de indstrias eletrnicas e at mesmo
centros cirrgicos, muito importante que se pense desde o incio nas instalaes de
climatizao de ambiente (CARUSO; STEFFEN, 1999).

De acordo com Ferreira e Arajo (2008, p. 126), a utilizao de equipamento


de ar-condicionado exige planejamento e em muitas ocasies, a realizao de obras,
envolvendo especialistas de TI e engenharia. Em localidades de processamentos
de dados, visando segurana da informao armazenada preservando sua
integridade, os passos a seguir so necessrios para uma avaliao adequada:

Avaliao da capacidade mnima requerida para os equipamentos que


sero armazenados neste ambiente.
Itens de segurana contra incndios.
Aspectos de contingncia.
Avaliao das opes de manuteno.

Caruso e Steffen (1999, p. 219) comentam que, em uma instalao para


equipamentos sensveis, vital que o sistema de ar-condicionado seja mantido
em operao permanente; portanto, devero ser observados os pontos listados
a seguir quando do projeto das dependncias para um sistema de climatizao.
Todos eles exigem espao na edificao:

Exclusividade dos equipamentos.


Redundncia.
Localizao estratgica e segura das tubulaes de gua e esgoto.
Previso da utilizao de sensores nos dispositivos de controle de
temperatura e umidade relativa.

85
UNIDADE 1 | SEGURANA EM INFORMTICA

Previso de sistemas adequados e eficientes de filtragem e vedao.


Previso da limpeza peridica da parte interna dos dutos do ar-
condicionado.
Instalaes de gua gelada.

Baseado no resultado da anlise dos pontos citados, e no nvel de


segurana requerido pelos equipamentos, o projetista ir selecionar o sistema de
condicionamento de ar mais adequado.

De acordo com Caruso e Steffen (1999), pouqussimas empresas possuam


equipamento de ar-condicionado de reserva. Isso significa que a ocorrncia de
um defeito grave no sistema de climatizao teria o mesmo efeito que um grave
defeito do hardware, paralisando as instalaes da mesma forma. Anos atrs, o CPD
de uma grande estatal paulista dividia os seus equipamentos de ar-condicionado
com o auditrio que ficava no andar superior. Sempre que havia algum evento no
auditrio, a temperatura do CPD chegava casa dos 35o C.

NOTA

Caruso e Steffen (1999, p. 219-220) citam trs dicas importantes sobre a


infraestrutura para climatizao:
1) Na implantao de uma instalao para ambientes de informaes, o sistema central de
condicionamento de ar vital ao seu pleno funcionamento.
2) Devido necessidade do controle das condies ambientais e de confiabilidade para o
sistema de condicionamento de ar, recomendvel a instalao de condicionadores do tipo
compacto (self-contained) ou de central de gua gelada.
conveniente que a gua de condensao, gerada pelo sistema de climatizao, seja canalizada
diretamente para um dreno capaz de suportar o volume mximo de gua condensada pelo
ar-condicionado, com uma folga de pelo menos 50%.

4.5 PREVENO E COMBATE A INCNDIO

Segundo Caruso e Steffen (1999, p. 266), o incndio , provavelmente, o


desastre mais temido por seres humanos. Nenhum outro tipo de desastre isolado
provoca mais danos; alm da destruio fsica dos bens que pegam fogo, h diversas
outras consequncias, como intoxicao e envenenamento provocados pelos gases
da combusto nos seres vivos, corroso decorrente dos gases corrosivos e txicos
desprendidos pelas chamas e at mesmo danos nas instalaes permanentes que
devem ser reparados.

86
TPICO 2 | SEGURANA LGICA, FSICA E AMBIENTAL

No h pessoa que no conhea o fogo e seus efeitos sobre o meio ambiente,


conforme Caruso e Steffen (1999, p. 266). Entretanto, somente as pessoas com
treinamento voltado para preveno e combate a incndios recebem informaes
gerais a respeito.

Levando-se em conta a grande quantidade de produtos, dispositivos,


mobilirios e equipamentos fabricados com materiais combustveis que os
seres humanos usam no dia a dia, grande o risco que locais por eles ocupados
frequentemente se incendeiem. Entretanto, medidas tomadas desde o incio da
construo das instalaes podem minimizar os riscos de um eventual incndio, e,
em caso de ocorrncia, tornar sua propagao mais difcil e reduzir o montante dos
danos (CARUSO; STEFFEN, 1999).

As instalaes de um ambiente de informaes, de acordo com Caruso e


Steffen (1999, p. 220), devem ser projetadas de maneira que reduzam ao mnimo o
risco de fogo na edificao ou em qualquer equipamento, dispositivo ou material
que sirva para gerar ou propagar fogo.

E
IMPORTANT

De acordo com Ferreira e Arajo (2008, p. 126), os detectores de fumaa e


temperatura devem ser instalados com a orientao de um tcnico especializado e podem
estar localizados, no mnimo, sob os pisos falsos e sobre os tetos suspensos.

Caruso e Steffen (1999) citam que a maioria das instalaes, inclusive muitas
de grande porte, no possua equipamentos de sensoriamento e alarme contra
gases e fogo, dispondo apenas do equipamento bsico exigido por lei (extintores
manuais). Alguns possuam alarmes de acionamento manual (quebra de vidro),
que dependem da ao humana. Vimos tambm instalaes dotadas de hidrantes
e sprinklers. Em si, os sprinklers e os hidrantes no so um problema; este reside na
forma de operao do sistema de sprinklers e dos hidrantes.

Ferreira e Arajo (2008, p. 127) citam que os sprinklers de gua (combate ao


fogo por meio de asperso), no devem ser instalados nos locais de processamento de
dados, deve haver instalados alarmes interligados a uma central de monitoramento
e segurana, alm de os locais de armazenamento de mdias de backups devem
ser realizados em cofres antichamas, trancados com senha e localizados de forma
distante de onde se efetua o processamento dos dados.

87
UNIDADE 1 | SEGURANA EM INFORMTICA

Nas instalaes dotadas de sensores automticos, conforme Caruso


e Steffen (1999), sua distribuio nem sempre era a mais adequada. Poucas
instalaes realizavam testes peridicos de funcionamento. Na maioria dos
casos, a sinalizao de emergncia era inadequada ou incompleta e no possua
iluminao de emergncia.

Conforme Ferreira e Arajo (2008, p. 126), a utilizao de sistemas de


deteco de incndio de forma automtica deve ser obrigatria, de forma a acionar
alarmes e recursos de combate quando identificado qualquer incio de incndio.
Deve haver brigada de incndio, constituda formalmente e treinada.

De acordo com Caruso e Steffen (1999, p. 203), alguns gerentes tinham


a ideia falsa de que havia pessoal treinado para combate a incndios; entretanto,
aps entrevistas com o pessoal operacional, notava-se que a maioria tinha feito
apenas um curso terico havia tempos (nunca mais reciclado). Constatou-se
que instalaes com turnos de operao de madrugada no possuam nenhum
elemento treinado nesse perodo.

NOTA

Ferreira e Arajo (2008) citam que, quanto mais crticos forem os equipamentos
para o negcio, mais investimentos em recursos devem ser efetuados, com um tcnico de
segurana avaliando a necessidade da utilizao dos seguintes recursos:
- Uso de equipamentos para extino automtica.
- Uso de portas corta-fogo.
- Uso de alarmes de incndio e detectores de fumaa.

4.6 INSTALAO, PROTEO E MANUTENO DE


EQUIPAMENTOS
De acordo com Beal (2008), a instalao de qualquer tipo de equipamento
relacionado TI deve ser precedida de uma avaliao do ambiente para reduzir
o grau de exposio e acessos desnecessrios, sabotagem, espionagem etc. Entre
as ameaas a serem consideradas no estabelecimento de controles, esto: roubo,
fogo, explosivos, fumaa, gua (ou falha de abastecimento), poeira, vibrao,
efeitos qumicos, interferncia no fornecimento de energia eltrica e radiao
eletromagntica.

Ainda segundo Beal (2008, p. 88), polticas especficas para a restrio de


alimentos, bebidas e fumo prximo s instalaes de processamento da informao,
monitorao de aspectos ambientais que possam afetar essas instalaes, uso
de mtodos de proteo como capas para teclados em ambientes industriais so
controles citados pela norma ISO 17799 (a ser estudada na Unidade 3), que tambm

88
TPICO 2 | SEGURANA LGICA, FSICA E AMBIENTAL

recomenda a considerao de desastres que possam ocorrer nas proximidades da


instalao (prdios vizinhos, andares superiores ou inferiores etc.).

A adequada manuteno dos equipamentos necessria para a garantia de


sua integridade e disponibilidade. A ISO 17799 (item 7.2.4) recomenda a realizao
de manutenes de acordo com as especificaes e os intervalos indicados pelo
fabricante, uso de pessoal qualificado para a execuo dos reparos, registro de
falhas suspeitas e das manutenes corretivas e preventivas realizadas, controles
apropriados para o envio de equipamentos para manutenes fora da organizao
(incluindo as consideraes de segurana em relao a dados apagados que
minimizar os riscos de vazamento de informaes) (BEAL, 2008).

4.7 REMOO, DESCARTE E TRANSPORTE DE EQUIPAMENTOS


Controles especficos devem ser implementados para evitar vazamento de
informaes, remoo no autorizada de propriedade e furto de equipamentos
ou peas e dispositivos de equipamentos retirados da organizao, entre outros
riscos relativos remoo, descarte e transporte de equipamentos. Exemplos de
controles aplicveis so: verificao da eliminao segura de informaes sensveis
e de software licenciado de discos rgidos antes de sua transferncia ou descarte,
inspeo de equipamentos retirados e devolvidos organizao e transporte de
equipamentos portteis em viagens sempre que possvel como bagagem de mo e
dentro de receptculos que disfarcem seu contedo (BEAL, 2008).

4.8 PROTEO DE DOCUMENTOS EM PAPEL


De acordo com Beal (2008, p. 83), a adequada proteo dos documentos em
papel implica a existncia de procedimentos de tratamento que cubram no mnimo
os seguintes aspectos:

Cpia.
Armazenamento.
Transmisso pelo correio ou fax.
Descarte seguro.

Caso a organizao dependa de documentos em papel para cumprir sua


misso e alcanar seus objetivos, segundo Beal (2008, p. 83), ela deve dispor pelo
menos dos seguintes controles para a proteo desses ativos de informao:

89
UNIDADE 1 | SEGURANA EM INFORMTICA

Uso de rtulos para identificar documentos que requerem tratamento


confidencial.
Poltica de armazenamento de papis que assegure a guarda em local
protegido (de preferncia em cofre ou arquivo resistente a fogo) de papis
com informaes confidenciais ou crticas para o negcio.
Procedimentos especiais para a impresso e transmisso via fax de
documentos confidenciais (incluindo superviso da impressora durante
o processo de impresso e proteo contra discagem incorreta ou uso de
nmeros errados guardados na memria do aparelho de fax).
Recepo e envio controlado de correspondncia sigilosa.

Itens sensveis, como cheques e notas fiscais em branco, precisam estar


submetidos a controles adicionais compatveis com os nveis de risco identificados
(BEAL, 2008).

4.9 PROTEO DE COMUNICAES


NO BASEADAS EM COMPUTADOR
De acordo com Beal (2008), a troca de informao por comunicao verbal,
fax, vdeo etc. pode ser comprometida caso inexistam polticas e procedimentos
adequados utilizao desses recursos. Iremos estudar na Unidade 3 que a ISO
17799 (item 8.7.7) relaciona como problemas a serem considerados a escuta de
conversas pelo uso de telefones em locais pblicos ou de mensagens armazenadas
em secretrias eletrnicas e sistemas de correio de voz, o envio acidental de fax
para o nmero errado, a possibilidade de prejuzo s operaes de negcio em caso
do comprometimento dos recursos de comunicao por sobrecarga ou interrupo
do servio. Os funcionrios devem ser alertados sobre as precaues a serem
adotadas para evitar esses e outros problemas que possam levar interceptao de
conversas ou informaes confidenciais ou indisponibilidade do servio quando
do uso de comunicao por voz, fax e vdeo.

4.10 POLTICA DE MESA LIMPA E TELA LIMPA


Segundo Beal (2008), esta poltica visa reduzir os riscos de acesso no
autorizado s informaes corporativas, que se tornam mais vulnerveis quando
papis, mdias removveis so deixados sobre a mesa e computadores so deixados
ligados e conectados a sistemas ou redes na ausncia do responsvel. Entre as
medidas de proteo sugeridas pela ISO 17799, a serem aplicadas fora do horrio
normal de trabalho (item 7.3.1), esto a guarda de mdias e papis crticos ou
sensveis em cofre ou arquivo resistente a fogo, o desligamento de computadores e
impressoras e sua proteo por senhas, chaves ou outros controles e o travamento
de copiadoras (ou sua proteo contra uso no autorizado).

90
RESUMO DO TPICO 2
Caro(a) acadmico(a)! Neste segundo tpico, voc estudou os seguintes
aspectos:

Os aspectos gerais da segurana da informao no contexto lgico.

A definio da estrutura da administrao e da equipe responsvel pela


segurana da informao.

O levantamento dos usurios, recursos e ferramentas que sero utilizados para


garantir a segurana.

A definio de permetros lgicos atravs de equipamentos e softwares de


segurana.

A segurana na transmisso de dados pela internet atravs da tecnologia de


criptografia.

Os aspectos gerais da segurana da informao no contexto fsico.

As recomendaes para a definio do espao fsico onde sero alocados os


equipamentos contendo as informaes.

Os cuidados que devem ser despendidos sobre as mdias de armazenamento.

A segurana ambiental, no que tange rede eltrica, energia alternativa,


climatizao, entre outros fatores que devem ser levados em conta para o
bom funcionamento dos equipamentos e consequentemente a segurana das
informaes.

91
AUTOATIVIDADE

1 As barreiras de segurana so obstculos que visam garantir que um ativo


ou um conjunto de ativos de informao sejam protegidos de acessos
indevidos. Uma das barreiras que pode ser utilizada o controle de acesso
realizado atravs da utilizao de dados biomtricos.

( ) CERTO.
( ) ERRADO.

2 Ao selecionar um profissional para ser o Administrador de Segurana,


algumas caractersticas do seu perfil devero ser analisadas. Entre elas esto:

a) ( ) Segurana no ambiente, experincia, esprito inventivo e legitimidade


emocional.
b) ( ) Conhecimento do ambiente informacional, experincia, facilidade de
relacionamento e responsabilidade.
c) ( ) Controle do ambiente, liderana, estabilidade espiritual e facilidade
comportamental.
d) ( ) Conhecimento dos recursos, espontaneidade, liderana e
responsabilidade.

Assista ao vdeo de
resoluo da questo 1

92
UNIDADE 1
TPICO 3

SEGURANA EM SISTEMAS
DISTRIBUDOS

1 INTRODUO
Muitos recursos de informao que se tornam disponveis e so mantidos
em sistemas distribudos tm um alto valor intrnseco para seus usurios. Portanto,
sua segurana de considervel importncia (GROSS, 2008).

A segurana de recursos de informao, de acordo com Coulouris,


Dollimore e Kindberg (2007), possui trs componentes: integridade (proteo
contra danos ou alteraes), disponibilidade (proteo contra interferncia com
os meios de acesso aos recursos) e confidencialidade (proteo contra exposio e
acesso para pessoas no autorizadas).

Segundo Gross (2008, p. 13), mesmo que a internet permita que um


programa em um computador se comunique com um programa em outro
computador, independentemente de sua localizao, existem riscos de segurana
associados ao livre acesso a todos os recursos de uma intranet.

Embora um firewall possa ser usado para formar uma barreira em torno
de uma intranet, restringindo o trfego que pode entrar ou sair, isso no garante
o uso apropriado dos recursos pelos usurios de dentro da intranet, nem o uso
apropriado de recursos na internet, que no so protegidos por firewalls. (GROSS,
2008, p. 13).

NOTA

De acordo com a Cyclades Brasil (2001), um firewall no um equipamento ou


software, e sim um conjunto formado por hardware, software e uma poltica de segurana
(documentos que contm diretrizes para tomada de deciso sobre segurana na empresa).
O firewall tem por funo controlar o trfego entre duas ou mais redes, visando fornecer
segurana a uma (ou algumas) das redes que normalmente tem informaes e recursos que
no devem estar disponveis aos usurios de outra(s) rede(s).

93
UNIDADE 1 | SEGURANA EM INFORMTICA

Em um sistema distribudo, segundo Gross (2008, p. 13), os clientes enviam


pedidos para acessar dados gerenciados por servidores, envolvendo o envio de
informaes atravs de mensagens por uma rede. Por exemplo:

Um mdico pode solicitar acesso aos dados de pacientes de um hospital


ou enviar mais informaes sobre tais pacientes.
No comrcio eletrnico e nos servios bancrios, usurios enviam nmeros
de seus cartes de crdito pela internet.

DICAS

Nada melhor do que aprender algo assistindo a um bom filme. Muitos so os filmes
retratando problemas de segurana na internet ou em redes de computadores. Este muito
bom! A Rede.
Ela no tem mais carto de crdito, conta bancria,
carteira de motorista,... e perdeu ainda o nmero
da identidade. Foi tudo deletado. Ela simplesmente
deixou de existir! Sandra Bullock, Jeremy Northam
e Dennis Miller estrelam este suspense sobre uma
especialista em computadores cuja vida apagada por
uma conspirao eletrnica.
Angela Bennett (Sandra Bullock) uma analista de
sistemas freelance que passa os dias procurando por
vrus de computador, e as noites conversando com
outros tmidos fanticos pelo cyber-espao na rede
internet. Nessa rotina solitria ela se sente tranquila
e feliz, mantida em sua redoma protetora... at que
o mundo eletrnico que ela criou a faz mergulhar
numa criminosa teia de corrupo e conspirao.
Enquanto conserta alguns defeitos num programa de
games, Angela acessa um quebra-cabeas com dados
altamente secretos do governo. Rapidamente percebe
que penetrou numa conspirao por computador, e que
sinistros piratas da informtica no se detero enquanto
ela no for eliminada. Angela descobre que todos os traos de sua existncia foram apagados
e que recebeu uma nova identidade nos arquivos da polcia e se tornara uma criminosa com
a cabea a prmio. Agora ela vai ter que sair da frente do computador e escapar com vida no
mundo real.
A REDE. Direo de Irwin Winkler. EUA: Sony Pictures Entertainment, 1995, DVD (114 min), color.

Ambos os exemplos, segundo Gross (2008, p. 14), trazem o desafio de


enviar informaes sigilosas em uma ou mais mensagens, atravs de uma rede, de
modo seguro. Mas segurana no apenas uma questo de ofuscar o contedo de
mensagens ela tambm envolve saber com certeza a identidade do usurio, ou
outro agente, em nome de quem as mensagens foram enviadas.

94
TPICO 3 | SEGURANA EM SISTEMAS DISTRIBUDOS

No primeiro exemplo, o servidor precisa saber se o usurio realmente um


mdico, e no segundo exemplo o usurio precisa ter a certeza da identidade da loja
ou do banco com o qual est transacionando.

O segundo desafio consiste na identificao correta de um usurio ou agente


remoto. Ambos os desafios podem ser resolvidos usando tcnicas de criptografia
desenvolvidas para este fim, sendo amplamente usadas na internet.

DICAS

Prepare a pipoca! Outro filme interessante e que traz alguns pontos importantes
sobre segurana A Rede 2.0:

De um dos produtores do mega sucesso A Rede, esta


sequncia de ao estrelada por Nikki DeLoach (da
srie de TV North Shore) que interpreta Hope Cassidy,
uma linda especialista em computadores que viaja
para Istambul em busca do trabalho perfeito, mas
logo fica presa a uma enrascada de alta tecnologia.
A perseguio interminvel comea quando Hope
tem que usar sua inteligncia e beleza para recuperar
seu nome e revelar o mistrio. Graas ajuda de um
misterioso motorista de txi e de uma sexy aeromoa,
ela capaz de descobrir a chocante verdade sobre o
que est acontecendo com ela. Ser que ela poder
recuperar seu passado antes que os bandidos apaguem
seu futuro? Ou ser que ela ser capturada na rede?
A REDE 2.0. Direo de Mike Bigelow. EUA: Sony
Pictures Entertainment, 2006, DVD (92 min), color.

2 PROTEO DE OBJETOS EM UM SISTEMA DISTRIBUDO

A figura a seguir ilustra um servidor gerenciando um conjunto de objetos


para alguns usurios. Os usurios podem executar programas clientes que enviam
requisies para o servidor a fim de realizar operaes sobre este conjunto de
objetos. O servidor executa a operao especificada em cada invocao e envia o
resultado da execuo para o cliente.

95
UNIDADE 1 | SEGURANA EM INFORMTICA

FIGURA 15 OBJETOS E PRINCIPAIS DAS INVOCAES

FONTE: Adaptado de COULOURIS, G.; DOLLIMORE, J.; KINDBERG, T. Distributed Systems: Concepts
and Design. 3. ed. England: Addison Wesley, 2001.

Segundo Coulouris, Dollimore e Kindberg (2007), os objetos possuem


diferentes usos por diferentes usurios. Por exemplo, alguns objetos podem conter
dados privativos de um usurio, como sua caixa de correio, e outros objetos podem
conter dados compartilhados, como suas pginas web. Para dar suporte a isso,
definem-se direitos de acesso especificando quem pode executar operaes sobre
um objeto por exemplo, quem pode ler ou gravar seu estado.

Assim, usurios devem ser inclusos no modelo de segurana como


beneficirios dos direitos de acesso. Isso feito associando a cada invocao, e
a cada resultado, o tipo de autorizao de quem a executa. Essa autorizao
chamada principal. Um principal pode ser um usurio ou um processo. Na figura
acima, a invocao vem de um usurio e o resultado vem de um servidor.

De acordo com Gross (2008), a responsabilidade por verificar a identidade


do principal que efetua cada invocao e conferir se este tem direitos de acesso
para efetuar a operao solicitada no objeto, recusando as que no so permitidas,
recai sobre o servidor. O cliente pode verificar a identidade do principal que est
por trs do servidor, de modo a garantir que o resultado seja enviado realmente
por esse servidor.

3 PROTEO DE PROCESSOS E SUAS INTERAES


De acordo com Coulouris, Dollimore e Kindberg (2007), processos interagem
atravs do envio de mensagens, expostas a ataques, pois o acesso rede e servios
de comunicao deve ser livre, permitindo que ambos os processos interajam entre
si. Servidores e processos pares publicam suas interfaces, permitindo que sejam
enviadas invocaes a eles por qualquer processo.

Frequentemente, segundo Gross (2008, p. 88), sistemas distribudos so


implantados e usados em tarefas que podem estar sujeitas a ataques externos
provenientes de usurios mal-intencionados. Isso especialmente verdade
para aplicativos que efetuam transaes financeiras, manipulam informaes
confidenciais ou secretas, ou outro tipo de informao cujo segredo ou integridade
seja crucial.
96
TPICO 3 | SEGURANA EM SISTEMAS DISTRIBUDOS

De acordo com Gross (2008, p. 88), a integridade ameaada por violaes


de segurana, bem como falhas na comunicao. Sabemos que podem existir
ameaas aos processos que compem os aplicativos e s mensagens que trafegam
entre eles. Porm como podemos analisar tais ameaas visando a sua identificao e
anulao? A seguir apresentado um modelo para efetuar esta anlise de ameaas
segurana.

4 O INVASOR
Para modelar as ameaas segurana, postulamos um invasor (por vezes
conhecido como atacante), que capaz de enviar qualquer mensagem para qualquer
processo e ler ou copiar qualquer mensagem entre processos, como demonstra a
figura a seguir.

Tais ataques podem ser realizados usando-se simplesmente um computador


conectado a uma rede para executar um programa que l as mensagens endereadas
para outros computadores da rede, ou por um programa que gere mensagens que
faam falsos pedidos para servios e deem a entender que sejam provenientes
de usurios autorizados. O ataque pode vir de um computador legitimamente
conectado rede, ou de um que esteja conectado de maneira no autorizada
(COULOURIS; DOLLIMORE; KINDBERG, 2007).

As ameaas de um potencial atacante sero discutidas nos prximos


tpicos: ameaas aos processos, ameaas aos canais de comunicao, e outras
ameaas possveis.

FIGURA 16 O INIMIGO (INVASOR OU ATACANTE)

FONTE: Adaptado de COULOURIS, G.; DOLLIMORE, J.; KINDBERG, T. Distributed Systems: Concepts
and Design. 3. ed. England: Addison Wesley, 2001.

97
UNIDADE 1 | SEGURANA EM INFORMTICA

4.1 AMEAAS AOS PROCESSOS


De acordo com Coulouris, Dollimore e Kindberg (2007), um processo
projetado para tratar pedidos pode receber uma mensagem de outro processo no
sistema distribudo e no ser capaz de determinar identidade real do remetente.
Protocolos de comunicao como o IP incluem o endereo do computador de origem
em cada mensagem, mas no difcil um atacante gerar uma mensagem com um
endereo falso de origem. Essa falta de reconhecimento confivel da origem de
mensagens , segundo explicao a seguir, uma ameaa ao funcionamento correto
tanto de servidores quanto de clientes:

Servidores: como um servidor pode receber pedidos de uma grande


diversidade de clientes, ele no pode necessariamente determinar a identidade
do principal por trs de uma invocao em especial. Mesmo que o servidor
exija a incluso da identidade do principal em cada requisio, um atacante
pode ger-la usando uma identidade falsa. Sem reconhecimento garantido da
identidade do remetente, o servidor pode no saber se deve executar a operao
ou recus-la. Por exemplo, um servidor de correio eletrnico recebe de um
usurio uma solicitao de leitura de mensagens de uma caixa de correio em
especial, e pode no saber se o usurio em questo pode fazer isso ou se uma
solicitao indevida.

Clientes: quando um cliente recebe o resultado de uma requisio feita a um


servidor, ele pode no identificar se a origem da mensagem com o resultado
mesmo do servidor desejado ou de um invasor fazendo spoofing desse servidor.

NOTA

O spoofing , na prtica, o roubo de identidade. Assim, um cliente poderia receber


um resultado no relacionado invocao original, como por exemplo, uma mensagem falsa de
correio eletrnico (que no est na caixa de correio do usurio). (GROSS, 2008, p. 89).

4.2 AMEAAS AOS CANAIS DE COMUNICAO

De acordo com Coulouris, Dollimore e Kindberg (2007), um invasor pode


copiar, alterar ou inserir mensagens quando elas trafegam pela rede e em seus
sistemas intermedirios (por exemplo, roteadores).

Estes ataques representam uma ameaa integridade das informaes e


privacidade quando elas trafegam pela rede, alm da prpria integridade do

98
TPICO 3 | SEGURANA EM SISTEMAS DISTRIBUDOS

sistema. Por exemplo, uma mensagem contendo um correio eletrnico de um


usurio pode ser revelada a outro, ou ser alterada para dizer algo totalmente
diferente.

Outra forma de ataque a tentativa de salvar cpias de mensagens


e reproduzi-las posteriormente, tornando possvel a reutilizao da mesma
mensagem repetidas vezes. Por exemplo, algum pode tirar proveito, reenviando
uma mensagem de invocao, solicitando uma transferncia de um valor em
dinheiro de uma conta bancria para outra.

De acordo com Gross (2008, p. 90), essas ameaas podem ser anuladas a
partir do uso de canais seguros de comunicao, descritos a seguir e baseados em
autenticao e criptografia.

5 ANULANDO AMEAAS SEGURANA


A seguir apresentaremos as principais tcnicas, conforme Coulouris,
Dollimore e Kindberg (2007), nas quais os sistemas seguros so baseados.

5.1 CRIPTOGRAFIA E SEGREDOS COMPARTILHADOS


Suponha que dois processos (por exemplo, um cliente e um servidor)
compartilhem um segredo; isto , ambos conhecem o segredo, mas nenhum outro
processo no sistema distribudo sabe dele. Ento, se uma mensagem trocada por
esses dois processos incluir informaes que provem o conhecimento do segredo
compartilhado por parte do remetente, o destinatrio saber com certeza que
o remetente foi o outro processo do par. claro que se deve tomar os cuidados
necessrios para garantir que o segredo compartilhado no seja revelado a um
invasor (COULOURIS; DOLLIMORE; KINDBERG, 2007).

Criptografia a cincia de manter as mensagens seguras, e cifrar o processo


de embaralhar uma mensagem de maneira a ocultar o seu contedo. A criptografia
moderna baseada em algoritmos que utilizam chaves secretas nmeros grandes
e difceis de adivinhar para transformar os dados de uma maneira que s possam
ser revertidos com o conhecimento da chave de descriptografia correspondente.
(GROSS, 2008, p. 90).

99
UNIDADE 1 | SEGURANA EM INFORMTICA

DICAS

Vamos assistir a outro grande filme, que ilustra a utilizao de criptografia a partir
da famosa mquina Enigma, usada pelos submarinos alemes durante a segunda guerra
mundial para a criptografia de mensagens?

Tom Jericho (Dougray Scott) o matemtico


responsvel pela descoberta do Enigma, um cdigo
secreto que os navios nazistas usavam para se
comunicar durante a Segunda Guerra Mundial. Mas
os nazistas alteraram o cdigo e o Servio Secreto
Britnico chama Tom para decifr-lo novamente.
Paralelamente, sua namorada Claire (Saffron Burrows)
some misteriosamente e o Servio Secreto parece
muito preocupado com isso. Desesperado, Tom
procura Hester Wallace (Kate Winslet), melhor amiga
de Claire, que comea a ajud-lo. Enquanto sua equipe
se empenha para descobrir a chave do novo cdigo,
Tom e Hester investigam o desaparecimento de Claire
e, a cada pista, eles percebem que se trata de mais um
enigma.
ENIGMA. Direo de Michael Apted. EUA: Manhattan
Pictures International / Jagged Films, 2001, DVD (117
minutos), color.

5.2 AUTENTICAO
De acordo com Coulouris, Dollimore e Kindberg (2007), o uso de segredos
compartilhados e da criptografia fornece a base para a autenticao de mensagens
provar as identidades de seus remetentes. A tcnica de autenticao bsica
consiste em incluir em uma determinada mensagem uma parte cifrada que possua
contedo suficiente para garantir a sua autenticidade.

A autenticao de uma requisio para leitura de partes de um arquivo


enviado ao servidor de arquivos pode, por exemplo, incluir uma representao da
identidade do principal fazendo a requisio, a identificao do arquivo e a data
e hora da requisio, tudo cifrado utilizando uma chave secreta compartilhada
entre o servidor de arquivos e o processo requisitante. O servidor decifra o pedido
e verifica se de fato correspondem realmente requisio.

100
TPICO 3 | SEGURANA EM SISTEMAS DISTRIBUDOS

5.3 CANAIS SEGUROS


Segundo Coulouris, Dollimore e Kindberg (2007), criptografia e autenticao
so usadas para construir canais seguros como uma camada de servio adicional
sobre os servios de comunicao existentes. Um canal seguro consiste de um
canal de comunicao conectando dois processos, cada qual atuando em nome de
um principal, como visto na figura a seguir.

FIGURA 17 COMUNICAO ENTRE PROCESSOS USANDO UM CANAL SEGURO

FONTE: COULOURIS, G.; DOLLIMORE, J.; KINDBERG, T. Sistemas Distribudos: Conceitos e Projeto.
4. ed. Porto Alegre: Bookman, 2007.

Um canal seguro tem as seguintes propriedades:

Cada processo conhece com certeza a identidade do principal em nome de


quem o outro processo est executando. Portanto, se um cliente e um servidor
se comunicam atravs de um canal seguro, o servidor conhece a identidade
do principal que est por trs das invocaes e verifica seus direitos de acesso
antes da execuo de uma operao. Isso permite ao servidor a correta proteo
de seus objetos e ao cliente a certeza de que est recebendo resultados de um
servidor confivel.

Canais seguros garantem a privacidade e integridade (proteo contra


falsificao) dos dados transmitidos por eles.

Cada mensagem inclui uma indicao de relgio lgico, ou fsico, impedindo


que as mensagens sejam reproduzidas ou reordenadas.

De acordo com Gross (2008, p. 92), a construo e utilizao de canais


seguros vm se tornado uma ferramenta prtica visando proteger o comrcio
eletrnico e as comunicaes de modo geral.

6 OUTRAS POSSVEIS AMEAAS


A seguir apresentaremos duas ameaas segurana: ataques de negao
de servio e utilizao de cdigo mvel, consideradas possveis oportunidades
para invasores romperem as atividades dos processos.

101
UNIDADE 1 | SEGURANA EM INFORMTICA

6.1 NEGAO DE SERVIO


De acordo com Coulouris, Dollimore e Kindberg (2007), esta uma forma
de ataque na qual o atacante interfere nas atividades dos usurios autorizados,
fazendo inmeras invocaes sem sentido em servios ou transmitindo mensagens
incessantemente em uma rede, gerando uma sobrecarga dos recursos fsicos
(capacidade de processamento do servidor, largura de banda da rede etc.).

Normalmente tais ataques so feitos visando retardar ou impedir as


invocaes vlidas de outros usurios. Por exemplo, a operao de trancas
eletrnicas de portas de um prdio poderia ser desativada por um ataque saturando
o computador que controla as trancas com pedidos invlidos.

6.2 CDIGO MVEL


De acordo com Coulouris, Dollimore e Kindberg (2007), o cdigo mvel
levanta novos problemas de segurana para quaisquer processos que recebam e
executem cdigos provenientes de outro lugar. Estes cdigos podem facilmente
desempenhar o papel de cavalo de Troia, dando a entender que vo cumprir um
propsito inocente, mas na verdade incluem cdigos que acessam ou modificam
recursos legitimamente disponveis para os usurios que os executam.

Os mtodos pelos quais tais ataques podem ser realizados so muitos e


variados. Para evit-los, o ambiente que recebe estes cdigos deve ser construdo
com muito cuidado. Muitos desses problemas foram resolvidos utilizando Java e
outros sistemas de cdigo mvel, mas a histria recente desse assunto traz algumas
vulnerabilidades embaraosas. Isso ilustra bem a necessidade da anlise rigorosa
no projeto de todos os sistemas seguros.

7 USO DOS MODELOS DE SEGURANA


Pode-se pensar que a obteno de segurana em sistemas distribudos seria
uma questo simples, envolvendo o controle do acesso a objetos de acordo com
direitos de acesso predefinidos e com o uso de canais seguros para comunicao.
Infelizmente, geralmente esse no o caso. O uso de tcnicas de segurana
como a criptografia e o controle de acesso acarreta custos de processamento e
gerenciamento substanciais (COULOURIS, DOLLIMORE; KINDBERG, 2007).

O modelo de segurana delineado anteriormente fornece a base para a


anlise e o projeto de sistemas seguros, onde esses custos so mantidos em um
mnimo. Entretanto, as ameaas a um sistema distribudo surgem em muitos
pontos, e necessria uma anlise cuidadosa das ameaas que podem surgir de
todas as fontes possveis no ambiente de rede, no ambiente fsico e no ambiente
humano do sistema. Essa anlise envolve a construo de um modelo de ameaas,

102
TPICO 3 | SEGURANA EM SISTEMAS DISTRIBUDOS

listando todas as formas de ataque s quais o sistema est exposto e uma avaliao
dos riscos e consequncias de cada um. A eficcia e o custo das tcnicas de segurana
necessrias podem ento ser ponderadas em relao s ameaas (COULOURIS;
DOLLIMORE; KINDBERG, 2007).

LEITURA COMPLEMENTAR

CAPITAL INTELECTUAL: NOVO ALVO DOS CRIMES VIRTUAIS

Andra Bertoldi

O site do Dr. Omar Kaminski, advogado citado na reportagem, oInternet


Legal.

Segue a reportagem:

Cibercriminosos perceberam que pode ser bem mais vantajoso vender


dados como segredos comerciais do que ficar caando internautas descuidados
na rede.

Segundo Christian Bachmann, especialista em segurana da informao, a ideia


dos cibercriminosos obter contedo e depois us-lo contra as vtimas.

103
UNIDADE 1 | SEGURANA EM INFORMTICA

CuritibaNo submundo invisvel do cibercrime, o roubo de capital


intelectual corporativo informaes confidenciais de empresas atualmente
o alvo predileto dos criminosos virtuais. Eles perceberam que pode ser bem mais
vantajoso vender dados como segredos comerciais, planos de marketing, pesquisa e
desenvolvimento para empresas concorrentes e governos estrangeiros do que ficar
caando internautas descuidados na rede.

Muitas vezes, acontece o roubo, mas as empresas no conseguem achar


a origem e descobrir todos os dados que vazaram. Segundo o especialista em
segurana da informao, Christian Bachmann, os principais focos de interesse
dos cibercriminosos so projetos confidenciais e informaes pessoais sobre donos
das empresas. A ideia obter as informaes e depois us-las contra as vtimas.
Ele disse que uma situao comum invadir um servidor da empresa e monitorar
e-mails. Outro caso entrar em computadores de funcionrios e localizar senhas
at ter acesso ao servidor.
104
TPICO 3 | SEGURANA EM SISTEMAS DISTRIBUDOS

Bachmann contou que um de seus clientes conversou com o contador por


e-mail e teve os dados roubados. Essas informaes foram usadas pelo sindicato dos
trabalhadores que representava os funcionrios da empresa para pedir aumento
salarial e deflagrar uma greve.

O especialista citou algumas formas de prevenir problemas de roubo de


capital intelectual. A primeira delas realizar a atualizao do sistema, ou seja, do
servidor. Outra recomendao criar uma rede separada para alguns servidores
com o objetivo de ampliar a segurana, a chamada DMZ. A presena de um
antivrus em todos os computadores uma preveno bsica.

Alm disso, outra dica importante melhorar a poltica de senhas dos


funcionrios e ter uma rede VPN, uma rede virtual privada e mais fechada, com
criptografia e mais difcil de ser acessada por pessoas estranhas. A rede wireless
(rede sem fio) tambm deve ter criptografia e autenticao. Algumas empresas tm
mecanismos de segurana e outras esperam o problema acontecer para apagar o
incndio, alertou o advogado especializado em tecnologia, Omar Kaminski.

Ele disse que, em algumas situaes, os funcionrios podem colaborar


com o roubo de informaes por terem m ndole ou por descontentamento,
quando querem se vingar da empresa. H ainda casos que tm a presena do
insider quando, atravs da internet, uma pessoa rouba informaes por meio de
um amigo que funcionrio da empresa. Muitas vezes a preocupao maior em
relao aos prprios funcionrios, disse. H companhias que fazem um termo de
confidencialidade com o empregado para que ele responsabilize pelas informaes
e, em caso de descumprimento, so impostas sanes como multas.

Kaminski disse que fundamental as empresas terem uma postura pr-


ativa e resguardar o capital intelectual que, muitas vezes, mais importante
que o capital fsico. O prejuzo pode ser to grande a ponto de inviabilizar a
atividade da empresa, disse. Por isso, importante fazer um levantamento do
ativo intelectual dentro da prpria empresa.

Para ele, a preveno inclui polticas de segurana de informaes, termo


de confidencialidade, poltica de privacidade, uso de criptografia e cuidado para
guardar dados pessoais de clientes.

* AFolha de Londrinapublicou a matria Capital intelectual: novo alvo dos crimes virtuaisno
dia 26 de maio de 2011, entrevistando o Eng. Christian Bachmann daBS Brasil. A reportagem
sobre invaso digital, com foco no roubo de informaes.

FONTE: BERTOLDI, Andra. Folha de Londrina. Capital intelectual: novo alvo dos crimes virtuais.
Entrevista de 26 de maio de 2011. Disponvel em: <http://blog.bsbrasil.com.br/?p=194>. Acesso
em: 9 jul. 2013.

105
RESUMO DO TPICO 3
Caro(a) acadmico(a)! Neste terceiro tpico, voc estudou os seguintes
aspectos:

Os diversos recursos implementados a fim de garantir a segurana da informao


nos sistemas distribudos.

A definio de invasor, responsvel pelos possveis ataques nas informaes


que trafegam nos sistemas distribudos.

As ameaas que podem ocorrer aos processos e aos canais de comunicao e as


formas de anul-las.

As ameaas de negao de servio e cdigo mvel que so utilizadas para


romperem as atividades dos processos.

A importncia no uso dos modelos de segurana.

106
AUTOATIVIDADE

1 Com os avanos trazidos pela internet, muitas empresas passaram a


utilizar esta ferramenta para realizar suas transaes comerciais. Ocorre
que, atualmente esse meio de comunicao e muito suscetvel a invases,
podendo acarretar desta forma em srios problemas aos seus usurios. A
tcnica de criptografia uma das formas de anular esta ameaa, que consiste
em algoritmos que utilizam chaves secretas, impedindo desta forma que a
mensagem seja lida por algum que no possua a chave de descriptografia
correspondente.

( ) CERTO.
( ) ERRADO.

2 um tipo de ataque que visa deixar os recursos de um sistema indisponveis


para seus usurios, atravs de inmeras requisies de acesso.

a) ( ) Falsidade.
b) ( ) Negao de servio.
c) ( ) Anlise de trfego.
d) ( ) Repetio.

Assista ao vdeo de
resoluo da questo 2

107
108
UNIDADE 2

PLANOS E POLTICA DA
INFORMAO

OBJETIVOS DE APRENDIZAGEM
A partir do estudo desta unidade, ser possvel:

conhecer os planos de segurana mais importantes e utilizados em um


ambiente corporativo, os objetivos e elementos que devem estar presentes
em cada um destes;

entender a importncia da formalizao dos procedimentos em documen-


tos que regulamentam o dia a dia da segurana dentro das corporaes,
assim como os planos utilizados quando da ocorrncia de incidentes rela-
cionados quebra de segurana de tais controles;

compreender a importncia da poltica da informao, os elementos que


devem constar de uma poltica de segurana, e os procedimentos para
criao, implementao e acompanhamento de polticas de segurana.

PLANO DE ESTUDOS
Esta unidade est dividida em trs tpicos, sendo que ao final de cada um
deles, voc encontrar atividades que auxiliaro na apropriao dos conhe-
cimentos.

TPICO 1 PLANO DE CONTINUIDADE OPERACIONAL

TPICO 2 PLANO DE CONTINGNCIA

TPICO 3 POLTICA DE SEGURANA

Assista ao vdeo
desta unidade.

109
110
UNIDADE 2
TPICO 1

PLANO DE CONTINUIDADE
OPERACIONAL

1 INTRODUO

As organizaes, quando criadas, tm a expectativa de permanecer


desenvolvendo suas atividades durante muitos anos. Ou melhor, de faz-lo
indefinidamente. Os acionistas investem recursos com o objetivo de que a
organizao permanea ativa e possibilite o retorno desse investimento.

Mesmo as entidades governamentais e as organizaes sem fins


lucrativos desejam permanecer no mercado a que se propuseram. Esse
tipo de organizao tambm oferece retorno aos seus acionistas, mas de
uma forma diferente: retribuio social aos cidados, servios prestados
populao, melhoria de vida e aes que fortalecem a cidadania.

Em resumo, toda organizao deseja continuar viva, atuar no


segmento escolhido, alcanar seus objetivos e cumprir sua misso.

Como viver significa enfrentar riscos, para as organizaes isso


tambm vlido. Uma organizao no deve deixar de existir porque uma
situao de exceo aconteceu no seu dia a dia.

FONTE: Fontes (2006, p. 59)

Garantir a continuidade de processos e informaes vitais


sobrevivncia da empresa, no menor espao de tempo possvel, com
o objetivo de minimizar os impactos do desastre. Com este propsito
e formado pelas etapas de anlise de impacto no negcio, estratgias
de contingncia e trs planos de contingncia propriamente ditos, o
Plano de Continuidade de Negcios deve ser elaborado com o claro
objetivo de contingenciar situaes e incidentes de segurana que no
puderem ser evitados. Deve ser eficaz como o paraquedas reserva o
em momento de falha do principal, garantindo, apesar do susto, a vida
do paraquedista em queda. (SMOLA, 2003, p. 98).

Segundo o DRI Disaster Recovery Institute, de cada cinco empresas que


possuem interrupo nas suas operaes por uma semana, duas fecham as portas
em menos de trs anos. (SMOLA, 2003, p. 99).

111
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO

FIGURA 18 PAPIS DO PLANO DE CONTINGNCIA, PLANO DE RETORNO E PLANO DE


RECUPERAO

FONTE: Smola (2003, p. 99)

Assim, o Plano de Continuidade tem, por sua natureza, um alto nvel


de complexidade, podendo assumir diversas formas em funo do objeto a ser
contingenciado e a abrangncia de sua atuao. Diferente do que muitos imaginam,
uma empresa no possuir um plano nico, mas diversos planos integrados e
focados em diferentes permetros, sejam fsicos, tecnolgicos ou humanos e, ainda,
preocupada com mltiplas ameaas potenciais. Esta segmentao importante;
afinal, uma empresa tem processos cuja tolerncia falha varivel, os impactos
idem, assim como o nvel de segurana necessrio natureza das informaes
manipuladas (SMOLA, 2003).

No caso da informao, cada organizao deve estar preparada


para enfrentar situaes de contingncia e de desastre que tornem
indisponveis recursos que possibilitam seu uso. Anteriormente,
falamos da criao e manuteno de cpias de segurana, que
um procedimento bsico para a organizao enfrentar situaes de
contingncia. bsico, mas no suficiente porque, para que uma
organizao se recupere de uma situao de contingncia e continue
funcionando de forma adequada, tambm so necessrios outros
recursos: humanos, de tecnologia, de conhecimento dos processos, de
ambiente fsico e de infraestrutura. (FONTES, 2006, p. 59).

De acordo com Smola (2003, p. 104), o Plano de Continuidade Operacional


(PCO) tem como propsito definir os procedimentos para contingenciamento dos
ativos que suportam cada um dos processos de negcio, tendo como objetivo
reduzir o tempo de indisponibilidade e, consequentemente, os potenciais impactos
para o negcio. Orientar as aes diante da queda de uma conexo internet
um dos exemplos que podem ser citados para demonstrar os desafios organizados
pelo plano.

112
TPICO 1 | PLANO DE CONTINUIDADE OPERACIONAL

J conforme Imoniana (2011, p. 79), possui o objetivo de assegurar que


existem planos para diminuir os impactos de desastres que resultam na interrupo
das operaes normais da organizao devido falta de sistemas de informaes.

2 PLANEJAMENTO DA CONTINUIDADE DO NEGCIO

A perda de acesso s informaes ou infraestrutura de tecnologia


da informao representa um risco concreto e uma ameaa aos negcios.
Todo gestor e membro da administrao da organizao se perguntam: o
que a minha empresa faz para se proteger de aes ou fenmenos naturais
ou provocados pela mo do homem? Qual a capacidade de continuar a
operar ou se recuperar no caso de um evento de maior ou menor monta que
impacte os negcios da empresa?

funo da administrao em primeira instncia e do Security Officer


por consequncia dar respostas a essas perguntas. Planos de recuperao
de desastres e de continuidade de negcios devem existir para tranquilizar
os gestores a respeito desses riscos. A boa governana corporativa, de T.I. e
de Segurana da Informao devem zelar para que a organizao dedique
recursos e tempo no estudo e na preparao desses planos.

FONTE: Ferreira e Arajo (2008, p. 192)

As polticas de continuidade dos negcios, segundo Imoniana (2011,


p. 79) proveem alternativas para o processamento de transaes econmicas e
financeiras das organizaes em casos de falhas graves de sistemas ou desastres.
Esse plano deve ser monitorado e testado periodicamente para garantir sua
prontido para operar.

Tambm conhecidas por BCP (Business Continuity Plan) incluem, de acordo


com Imoniana (2011, p. 79), procedimentos como:

A gerncia deve identificar suas informaes crticas, nveis de servios


necessrios e o maior tempo que poderia ficar sem o sistema.
A gerncia deve assinalar prioridades aos sistemas de informaes para
que possa determinar as necessidades de backup e sua periodicidade.
O BCP deve ser desenvolvido e documentado e ter as manutenes
atualizadas para garantir as operaes ps-desastres.

Seja qual for o objeto da contingncia uma aplicao, um processo de


negcio, um ambiente fsico e, at mesmo, uma equipe de funcionrios , a empresa
dever selecionar a estratgia que melhor conduza o objeto a operar sob nvel de
risco controlado. Apesar de uma base conceitual comum, muitas so as variantes

113
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO

de metodologia para a elaborao de um plano de continuidade; portanto, voc


pode se deparar com outras nomenclaturas ou novos grupamentos de estratgia. De
qualquer forma, as solues de continuidade vo sendo personalizadas de acordo
com o contexto, pelas caractersticas de um segmento de mercado ou fato especfico,
como ocorreu no ano de 1999 por conta dos computadores com dificuldades de
gerenciar a representao de data, apelidado de Bug do Ano 2002. (SMOLA,
2003, p. 99).

De acordo com Ferreira e Arajo (2008, p. 111), a poltica deve assegurar


a existncia de um plano de continuidade capaz de orientar todo o processo
de restaurao parcial ou total do ambiente de sistemas, incluindo tambm as
atividades de teste e manuteno do plano.

Segundo Smola (2003, p. 104), o Plano de Continuidade Operacional


tem o propsito de definir os procedimentos para contingenciamento dos
ativos que suportam cada processo de negcio, objetivando reduzir o tempo de
indisponibilidade e, consequentemente, os impactos potenciais ao negcio.
Orientar as aes diante da queda de uma conexo internet, exemplificam os
desafios organizados pelo plano.

Conforme Imoniana (2011, p. 192), visa proporcionar gesto as


interpretaes do mapa cognitivo do ambiente operacional no que diz respeito
s propenses das ameaas e vulnerabilidades de uma organizao de modo a
facilitar a antecipao das vantagens que porventura possam ser identificadas no
momento atual de uma empresa.

a habilidade de se assegurar a continuidade de desenvolvimento de


produtos ou servios e apoios aos consumidores de forma ininterrupta e manter
a viabilidade corporativa aps uma exposio a um desastre (IMONIANA, 2011).

Segundo Imoniana (2011, p. 192), o BCP prepara uma organizao de forma


planejada na tentativa de melhor enfrentar incidentes dos processos operacionais
que poderiam arriscar as misses empresariais e, sobretudo, a sade financeira.

A gesto de TI, conforme Ferreira e Arajo (2008, p. 111), deve obter


colaborao dos gestores de negcio, criando diretrizes de continuidade
referendadas pelos mesmos, de forma a definir claramente os papis e
responsabilidades, e aprovao dos critrios para a anlise de impacto (BIA).

O desenvolvimento e a implementao de BCP, de acordo com Imoniana


(2011, p. 192), partem da premissa de que o cliente precisa ser atendido custe o
que custar. Entendendo que o lema de quase todas as empresas hoje cliente em
primeiro lugar, ele no poder ser prejudicado por falta de produtos ou servios
quando da ocorrncia de um imprevisto do processo operacional e da consecuo
dos objetivos dos negcios. Assim, o BCP deve ser efetivo a ponto de prover as
atividades normais das organizaes.

114
TPICO 1 | PLANO DE CONTINUIDADE OPERACIONAL

O teor do captulo de gesto da continuidade e/ou contingncia, na


poltica, deve abordar diversos aspectos com relao avaliao de risco e impacto
no negcio (BIA). A poltica deve ressaltar que, o plano ao ser desenvolvido,
resultar num conjunto de documentos onde estaro registradas as aes relativas
s adequaes da infraestrutura e s alteraes dos procedimentos. (FERREIRA;
ARAJO, 2008, p. 111).

Na poltica, ainda segundo Ferreira e Arajo (2008, p. 111), deve-se


detalhar que o Plano de Contingncia e/ou Continuidade seja revisado e testado
periodicamente de forma a garantir o seu funcionamento em caso de necessidade.
Os riscos que sero minimizados com a criao de um plano aderente poltica de
segurana incluem, mas no se limitam a:

Comprometimento das operaes com os clientes.


Perda de receita e vantagem competitiva perante a concorrncia.
Multas e sanes legais.

De acordo com Ferreira e Arajo (2008, p. 111-112), os trabalhos relativos


contingncia de sistemas e/ou continuidade do negcio devem estar integrados
com a gesto de riscos do negcio e de TI, de forma que eventuais riscos mapeados
estejam parcialmente ou totalmente suportados.

BCP, de acordo com Imoniana (2011, p. 192-193), tem o objetivo de


assegurar quaisquer impedimentos que possam colocar em jogo os postulados
de Continuidade, simplesmente conhecido por Going-Concern. Este postulado de
contabilidade afirma que a entidade (a empresa) um organismo vivo que ir
viver por um perodo de tempo indeterminado at que surjam fortes evidncias
provando o contrrio. As abrangncias so:

Organismos que renovam suas clulas vivas atravs do processo de


reinvestimentos; e
Produtor de riqueza e gerador de valores continuadamente.

Os trabalhos de avaliao de impacto devem servir como entrada para os


trabalhos de gesto de riscos, da mesma forma que os resultados deste ltimo
devem subsidiar a gesto de continuidade (FERREIRA; ARAJO, 2008).

Se indagssemos por que Business Continuity Planning, hoje seria uma


ingenuidade, uma vez que vivenciamos uma poca muito tumultuosa,
cheia de ameaas, vulnerabilidades e riscos, sejam eles de nvel pas ou
organizacional. Aliadas s causas naturais, haja vista as provocadas
pela desestabilizao da temperatura terrestre como inundaes,
tufes, terremotos, El Nio, ciclones, tsunamis, s para citar alguns.
(IMONIANA, 2011, p. 193).

115
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO

Ferreira e Arajo (2008, p. 112) citam que o processo de gesto da


continuidade deve prover pelo menos as seguintes atividades de controle:

Assegurar que um plano formal (escrito) esteja desenvolvido, testado e


amplamente divulgado (incluindo treinamento).
Procedimentos de urgncia/emergncia descritos e testados.
Procedimentos corretivos e de recuperao desenhados para trazer os
negcios de volta posio em que se encontravam antes do incidente ou
desastre.
Aes para salvaguardar e reconstruir o site original.
Procedimentos para interao com as autoridades pblicas; e
Comunicao com funcionrios, clientes, fornecedores, acionistas, alta
administrao, autoridades pblicas e imprensa.

Geralmente, as empresas de auditoria independentes executam os servios


de avaliao de BCP como atividade parte e no se enquadram nos escopos de
tarefas de exames focados para obteno de confianas para que se possam emitir
os pareceres de auditoria. Ou seja, auditoria dos controles gerais de sistemas e de
tecnologia de informaes aliada ao processo de testes de controles, avaliao de
sistemas aplicativos aliado ao teste substantivo e analticos substantivos ou das
revises limitadas (IMONIANA, 2011).

Para garantir a eficincia do Plano de Continuidade de Negcios preciso


construir um processo dinmico de manuteno e gesto de todos os documentos,
garantindo a integrao e a eficcia em situaes de desastre. Desenvolver o plano a
partir de uma Anlise de Riscos prvia a melhor forma de aumentar a eficcia e o
retorno sobre os investimentos (SMOLA, 2003).

3 IDENTIFICAO DOS PROCESSOS CRTICOS


Em ambientes de informaes e informtica, de acordo com Caruso e
Steffen (1999, p. 70), temos duas classes principais de materiais em processo,
a saber: o acervo de informaes destinadas a confeccionar as ferramentas de
processamento de informaes ou sistemas de programas de aplicaes ou de
controle da atividade e informaes relacionadas com as atividades dentro das
empresas, que sero processadas pelos sistemas informatizados.

Alm disso, ainda segundo Caruso e Steffen (1999, p. 70), temos que ter
sempre em conta que no existe informao sem custo; mesmo em casos em que
as informaes so obtidas sem nenhum custo, a estrutura organizacional e de
recursos necessria para a coleta tem um custo, que rateado em cima de cada
unidade de informao coletada.

116
TPICO 1 | PLANO DE CONTINUIDADE OPERACIONAL

O processo inicia-se por uma anlise de riscos e de impactos aos negcios,


o chamado BIA, que ir mapear os processos de negcios, medir o tempo mximo
aceitvel de parada de cada um desses processos e ento traar as estratgias de
recuperao e continuidade para cada processo (FERREIRA; ARAJO, 2008).

4 ANLISE E CLASSIFICAO DOS IMPACTOS

Conhecido mundialmente pela sigla BIA Business Impact Analysis,


esta primeira etapa fundamental por fornecer informaes para o perfeito
dimensionamento das demais fases de construo do plano de continuidade.
Seu objetivo levantar o grau de relevncia entre os processos ou atividades que
fazem parte do escopo da contingncia em funo da continuidade do negcio.
Em seguida, so mapeados os ativos fsicos, tecnolgicos e humanos que suportam
cada um deles, para ento apurar os impactos quantitativos que poderiam ser
gerados com a sua paralisao total ou parcial (SMOLA, 2003).

QUADRO 10 RELEVNCIA ENTRE PROCESSOS PERTENCENTES AO ESCOPO DO


PLANO
Processos de
Negcio
PN1 PN2 PN3 PN4 PNn
Escala
1 No considervel
2 Relevante X
3 Importante X
4 Crtico X
5 Vital X
FONTE: Adaptado de Smola (2003, p. 100)

De posse desta anlise BIA, torna-se possvel definir as prioridades


de contingncia, os nveis de tolerncia indisponibilidade de cada
processo ou atividade pertencente contingncia e, ainda, agrupar
os ativos em funo de sua natureza e relao de dependncia que
mantm com os processos. Tem-se, a partir de ento, uma fotografia
de funcionalidade dos processos, restando definir as ameaas que se
quer contingenciar. A escolha das ameaas a se considerar para cada
processo est diretamente ligada probabilidade e severidade de um
incidente. (SMOLA, 2003, p. 100).

117
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO

FIGURA 19 AMEAAS CONSIDERADAS E PERCEPO DE TOLERNCIA DOS PROCESSOS DE NEGCIOS

FONTE: Smola (2003, p. 101)

De acordo com Smola (2003, p. 100-101), percebe-se que muitas das tarefas
realizadas pelo BIA poderiam ser complementadas pelos resultados de uma anlise
de riscos, sendo esta, portanto, a atividade primeira e mais importante para orientar
todas as aes de segurana da informao. Se esta herana ocorresse efetivamente,
o BIA se resumiria a quantificar os impactos e a selecionar as ameaas a serem
consideradas pelo plano de continuidade do negcio. (consulte a figura 19).

De acordo com Ferreira e Arajo (2008, p. 177), o melhor modo de


determinar o grau de risco relacionar detalhadamente quais seriam os impactos
para a organizao se uma ameaa conseguir explorar uma vulnerabilidade.

Antes de iniciar uma anlise de impacto, de acordo com os autores,


necessrio ter em mos as informaes obtidas por meio da documentao
dos sistemas, bem como de relatrios j existentes de avaliaes de impactos
anteriormente realizados. Os resultados determinam o impacto na organizao caso
os sistemas sejam comprometidos, baseados em avaliao qualitativa e quantitativa.
Uma avaliao de criticidade identifica os principais ativos (ex.: hardware, software,
sistemas, servios e etc.) que suportam as atividades da organizao.

Se estas documentaes no existirem ou avaliaes de impacto nunca


tiverem sido realizadas, a criticidade dos sistemas pode ser determinada em
nvel de proteo necessria para manter a confidencialidade, integridade e
disponibilidade.

118
TPICO 1 | PLANO DE CONTINUIDADE OPERACIONAL

Apesar dos mtodos utilizados para determinar a criticidade


dos sistemas e de suas informaes, seus proprietrios so os nicos
responsveis pela exata determinao do nvel de impacto que a organizao
estar sujeita caso a confidencialidade, integridade e disponibilidade sejam
comprometidas. Consequentemente, a realizao de entrevistas com estes
profissionais indispensvel.

Podemos concluir que, o impacto de um incidente de segurana pode


ser descrito em termos de perda ou degradao de qualquer, ou combinao,
das principais metas que devem ser alcanadas no contexto da Segurana da
Informao: confidencialidade, integridade e disponibilidade.

FONTE: Ferreira e Arajo (2008, p. 177)

Alguns impactos podem ser medidos quantitativamente por meio da


determinao da perda financeira e custo para realizao de manuteno corretiva.
Ferreira e Arajo (2008, p. 177) especificam no quadro a seguir as categorias de
impacto que podero ser utilizadas:

QUADRO 11 CATEGORIAS DE IMPACTO

NVEL DEFINIO
Perda significante dos principais ativos e recursos.
Alto Perda da reputao, imagem e credibilidade.
Impossibilidade de continuar com as atividades de negcio.

Perda dos principais ativos e recursos.


Mdio
Perda da reputao, imagem e credibilidade.

Perda de alguns dos principais ativos e recursos.


Baixo
Perda de reputao, imagem e credibilidade.
FONTE: Adaptado de Ferreira e Arajo (2008, p. 177)

5 DESENVOLVIMENTO E DOCUMENTAO DO PLANO


Para que as empresas possam estar prontas para atender problemas
de paradas inesperadas que poderiam abalar a continuidade de seus negcios,
Imoniana (2011, p. 193-194) recomenda que o BCP abranja os seguintes itens:

Plano de Reinicializao de Negcios (Business Resumption Planning BRP):


caracteriza-se por processo de desenvolvimento de compromissos e agenda
de procedimentos que garanta organizao corresponder ao evento
indesejado de tal forma que as funes essenciais consideradas crticas para
os negcios continuem sendo operadas em conformidade com os nveis
planejados e tambm mantendo um nvel esperado de perdas sem surpresas.

119
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO

Gesto de Crises (Crisis Management CM): nomeao da coordenao


efetiva e global para a busca de respostas s crises de forma pontual e
em tempo hbil a fim de minimizar os efeitos na lucratividade, imagem
corporativa e o diferencial da organizao.
Plano de Recuperao de Tecnologia e Sistemas de Informao (IT Disaster
Recovery DR): caracteriza-se pelos planos desenhados para manter os
nveis de apoio de sistemas e tecnologia de informao no processo de
gesto. Restaura informaes, comunicao e sistemas em condies
aceitveis, minimizando, assim, as perdas financeiras no processo de
desenvolvimento de produtos ou servios.
Teste de emergncia e de recuperao (Emergency Preparedness EP):
caracteriza-se pelo teste peridico da preparao para enfrentar o pior
que vier. Para que a gerncia possa se posicionar no tocante manuteno
das atividades devem-se executar de tempo em tempo testes para simular
desastres e se disciplinar quanto s falhas deste processo.

6 TREINAMENTO E CONSCIENTIZAO DO PESSOAL


Os recursos humanos so considerados o elo mais frgil da corrente, pois
so responsveis por uma ou mais fases de processo de segurana da informao.
Esta situao ratificada pelo fato de o peopleware no ter um comportamento
binrio e previsvel em que se possam eliminar todas as vulnerabilidades presentes.
O ser humano uma mquina complexa, dotada de iniciativa, criatividade e que
sofre interferncia de fatores externos, provocando comportamentos nunca antes
experimentados. O fator surpresa um dos pontos nevrlgicos dos processos
de segurana que dependem das pessoas. Se especificarmos normas de criao,
manuseio, armazenamento, transporte e descarte de senhas, implementamos
recursos tecnolgicos de auditoria e autenticao de acesso para tornar um ambiente
mais seguro, podemos ter a eficincia dessas iniciativas postas em dvida medida
que um recurso humano descumpra as instrues da poltica de segurana e
compartilhe sua senha supostamente pessoal e intransfervel (SMOLA, 2003).

NOTA

Peopleware so as pessoas que trabalham diretamente, ou indiretamente, com a


rea de tecnologia da informao, ou mesmo com Sistema de Informao. a parte humana
que se utiliza das diversas funcionalidades dos sistemas computacionais, seja este usurio um
Analista de Sistema ou, at mesmo, um simples cliente que faz uma consulta em um caixa
eletrnico da Rede Bancria, como tambm uma atendente de um Supermercado.

FONTE: Disponvel em: <http://pt.wikipedia.org/wiki/Peopleware>. Acesso em: 13 jul. 2013.

120
TPICO 1 | PLANO DE CONTINUIDADE OPERACIONAL

Esses riscos precisam ser tratados de forma gradativa, objetivando


formar uma cultura de segurana que se integre s atividades dos
funcionrios e passe a ser vista como um instrumento de autoproteo. As
aes devem ter a estratgia de compartilhar a responsabilidade com cada
indivduo, transformando-o em coautor do nvel de segurana alcanado.
Somente dessa forma as empresas tero, em seus funcionrios, aliados na
batalha de reduo e administrao dos riscos.

Muitas so as formas de iniciar a construo da cultura de segurana.


Algumas delas se aplicam a pblicos com perfis diferentes; outras se aplicam
a todos os perfis, mas em momentos distintos.

O trabalho deve comear com seminrios abertos voltados a


compartilhar a percepo dos riscos associados s atividades da empresa,
os impactos potenciais no negcio e, principalmente, o comprometimento
dos processos crticos se alguma ameaa se concretizar. Desta forma, cada
funcionrio passa a se enxergar como uma engrenagem da mquina e
corresponsvel por seu bom funcionamento, podendo gerar impactos diretos
ao seu processo e indiretos a processos adjacentes.

FONTE: Smola (2003, p. 130)

O nvel de segurana de uma corrente equivalente resistncia oferecida


pelo elo mais fraco. O peopleware representa justamente esse elo; por isso, deve ser
alvo de um programa contnuo e dinmico, capaz de manter os recursos humanos
motivados a contribuir, conscientes de suas responsabilidades e preparados para
agir diante de antigas e novas situaes de risco (SMOLA, 2003).

Por conta disso, Smola (2003, p. 130-131) sugere que seja feita uma
campanha de divulgao, que dever lanar mo de diversos artifcios para
comunicar os padres, critrios e instrues operacionais, como cartazes, jogos, peas
promocionais, protetores de tela, e-mails informativos, e-mails de alerta, comunicados
internos, pginas especializadas na Intranet etc..

De acordo com Smola (2003, p. 131-132), dentro do quadro de funcionrios,


existem perfis profissionais que necessitam de maior domnio dos conceitos,
mtodos e tcnicas de segurana, podendo inclusive, variar sua rea de interesse
e profundidade. Os administradores de rede, por exemplo, precisam estar
preparados para reagir s tentativas de ataque e invaso, ou para contingenciar
situaes de risco. O Security Officer, por sua vez, deve ter condies de definir,
medir e avaliar os ndices e indicadores de segurana para subsidiar seus planos
de gesto e seu planejamento de trabalho, a fim de garantir a total integrao das
aes e, principalmente, alcanar os objetivos.

121
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO

E
IMPORTANT

O Security Officer, atuando como eixo central na funo de Coordenao Geral


do Comit Corporativo de Segurana da Informao, tem papel substancial para o sucesso
do modelo. ele quem recebe toda a presso da empresa diante dos resultados e quem
demandado a adequar o nvel de controle, e, portanto, o nvel de segurana para suprir as
novas demandas do negcio.

FONTE: Smola (2003, p. 63)

Para todos esses casos, no bastam os seminrios e campanhas de


conscientizao. Eles precisam de capacitao formal atravs de cursos
especializados, que propem uma certificao como instrumento
de reconhecimento da competncia. Pela heterogeneidade de perfis,
surgem demandas de cursos verticalmente tcnicos, voltados a
capacitar recursos em uma determinada tecnologia de segurana, bem
como demandas para orientao e preparao de Security Officers.
Entretanto, relevante destacar a necessidade de processos contnuos
de sensibilizao e capacitao das pessoas, sob pena de ter a equipe
estagnada e, brevemente, despreparada para a administrao das novas
situaes de risco. (SMOLA, 2003, p. 132).

7 TESTE DO PLANO
De acordo com Imoniana (2011, p. 194), os objetivos da auditoria de Business
Continuity Planning compreendem:

1) Certificar-se da integridade das estratgias mantidas pela alta gesto para


enfrentar situaes de desastre ou de risco de descontinuidade das operaes.
2) Certificar-se das normas de BCP e se as regras contidas nelas so vlidas e
so homogeneamente disseminadas para todos os integrantes da alta cpula
e tambm para as pessoas que precisam saber dos planos da instituio a fim
de atender vrios nveis de estragos que poderiam comprometer a imagem
da organizao.
3) Certificar-se das responsabilidades para os processos e aes delineadas de
forma especfica e em equipe.
4) Certificar-se de que sistemas de informaes, tecnologias e processos de
comunicao esto preparados para eventuais riscos de continuidades.
5) Certificar-se de que os processos de documentao da transao de BCP
registrados junto ao coordenador de gesto de crises de continuidade e
os membros que constituem a fora-tarefa de continuidade so vlidos e
ntegros.

O quadro a seguir demonstra um programa de avaliao de Business


Continuity Planning, segundo Imoniana (2011, p. 195-197):
122
TPICO 1 | PLANO DE CONTINUIDADE OPERACIONAL

QUADRO 12 PROGRAMA DE AVALIAO DE BUSINESS CONTINUITY PLANNING

S / N /
N Controles/Procedimentos de Testes Obs.
NA

C1 As funes de Gesto de Crises de Continuidades so


delineadas?

P1 Existe a funo da pessoa a quem se deve recorrer


quanto s questes de continuidade?

P2 Quem a pessoa?
- Gerente de controladoria
- Gerente Administrativo/Financeiro
- Gerente de Operaes
- Gerente de Vendas
- Gerente de Crises
- Gerente de Risco
- Consultor Externo
- Outro, citar _________________________________________.

P3 Verifique junto pessoa que descreva sucintamente sua


atribuio e a periodicidade da atuao.

C2 Os funcionrios so conscientizados a respeito da


importncia estratgica de BCP?

P1 Efetuar reunies peridicas para transmitir questes de


continuidade para os funcionrios.

P2 Verificar as agendas de reunies para certificar desta


atividade de BCP.

C3 Com qual prazo se podem obter informaes e orientaes


sobre a continuidade das operaes? Teste de Validade

P1 Certificar-se entre os prazos a seguir para obter dados


sobre continuidade:
- 24 horas
- 1 semana
- 10 dias
- 30 dias
- Outros, citar_________________________________________

P2 Somente as pessoas autorizadas possuem acesso?

123
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO

P3 Selecione aleatoriamente o registro de pessoas


documentadas para constatar a procedncia do cadastro
e verifique as consistncias a fim de nos assegurarmos da
integridade.
P4 Selecione um integrante da equipe de gesto de
continuidade para certificar-se da validade de alocao das
tarefas e sua compatibilidade.
C4 A empresa possui um banco de dados onde todas as
orientaes quanto aos possveis problemas de continuidade so
contempladas e as respostas apontadas? (Teste de Integridade)

P1 As informaes que explicam o BCP so genricas?

P2 As informaes que explicam as estratgias e os


componentes de tais estratgias so detalhadas?
P3 Verificar atravs de observao e indagaes
corroborativas acessando o sistema para comprovar
informaes teis registradas sobre BCP e classific-lo
entre: irrelevante, baixo, moderado, significativo, muito
significativo.
C5 Testa periodicamente os componentes de BCP pelo menos
uma vez por ano?

P1 Quando foi feito o teste pela ltima vez?

C6 Treinamento de equipes de BCP feito periodicamente e


a cargo de quem?

P1 Verificar o cronograma de treinamentos dos funcionrios


a respeito de BCP e concluir a respeito da razoabilidade.

C7 Como se faz para exercitar a prontido do BCP para atender


s possibilidades planejadas?

P1 Quando foi feito o ltimo exerccio de prontido para


enfrentar ameaas por meio de testes?

P2 Est programado o prximo teste de prontido de BCP?


Quem vai dar o start up?

C8 Existem controles efetuados pelo sistema de registro de


eventos que garantam que este mdulo se converse com o
sistema de gesto de riscos empresariais a fim de gerar alertas?
Interface Sistmica.

124
TPICO 1 | PLANO DE CONTINUIDADE OPERACIONAL

P1 Verifique os controles programados para certificar-se da


consistncia entre interfaces de Sistemas de Gesto de Crises
e Sistemas de Mapeamento das mtricas de vulnerabilidades,
ameaas e riscos.
C9 Manuteno e atualizaes de BCP so feitas num intervalo
fixo e pelo menos uma vez por ano?

P1 Verificar atravs de anlise documental ou documentao


sistmica para certificar-se da ltima atualizao.

P2 Como feita a distribuio das atualizaes?

P3 Quem inclui as alteraes e em que periodicidade?

P4 Verses anteriores so destrudas? Como so feitas?

P5 Quem efetua as destruies?

C10 Existe possibilidade de contratos de BCP que no estejam


vlidos a ponto de no cobrir poca de sua ocorrncia? (Teste de
Registro/Cut-off).
P1 Analisar o teor dos contratos de BCP a fim de constatar
sua adequacidade.

P2 Selecione aleatoriamente alguns contratos dentre as


datas bases de auditoria para testes.

C11 Existe procedimento que propicie melhoria contnua por


meio de emulao de benchmarking?

P1 Verifique o procedimento de execuo de benchmarking


a fim de certificar-se da adequacidade.

FONTE: Adaptado de Imoniana (2011, p. 195-197)

125
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO

Fontes (2006, p. 60-61) coloca algumas perguntas que devem ser feitas, para
reflexo:

1) Existe, na sua organizao, um plano para a recuperao do negcio em


caso de situaes de desastre ou de contingncia?
2) Voc conhece esse plano?
3) Voc j participou de um teste ou de uma simulao de situao de
desastre?
4) Muitas vezes, pensamos que um acontecimento s ser considerado
desastre se afetar toda a empresa. Mas, se acontecer uma quebra ou roubo
dos equipamentos de tecnologia, como ficar a execuo do trabalho pelas
pessoas desse departamento?
5) Existem outros recursos que so to importantes quanto os recursos
computacionais. Voc seria capaz de identific-los? Existe um plano de
uso de recursos alternativos para esses casos?
6) Se alguma pessoa do seu grupo de trabalho estiver ausente da organizao
em uma situao de contingncia, sua equipe conseguir prosseguir na
realizao das tarefas operacionais e alcanar os objetivos de negcio
dentro de um tempo adequado?
7) Se acontecer um incndio no seu ambiente de trabalho, voc saber o que
fazer? Vai precisar levar alguma coisa?
8) Os conceitos de continuidade so vlidos para a vida pessoal. Por acaso
j considerou sua continuidade profissional ou pessoal caso acontea um
desastre com voc?

8 ATUALIZAO E MANUTENO DO PLANO


Ferreira e Arajo (2008, p. 160) recomendam especificar procedimentos
ou uma metodologia formal para a manuteno peridica e aprovao das
polticas de forma a mant-los atualizados frente a novas tendncias, tecnologias
e acontecimentos.

O intervalo mdio utilizado para a reviso da poltica de seis


meses ou um ano, porm deve ser realizada uma reviso sempre que forem
identificados fatos novos, no previstos na verso atual que possam ter
impacto na segurana das informaes da organizao.

Adicionalmente, os demais comits internos envolvidos, gestores


de negcio, Tecnologia e Segurana da Informao devem estar atentos s
modificaes na estrutura da organizao que possam eventualmente ter
impacto na poltica e em seus procedimentos.

FONTE: Ferreira e Arajo (2008, p. 160)

O processo de reviso, segundo Ferreira e Arajo (2008, p. 160), deve


abranger:
126
TPICO 1 | PLANO DE CONTINUIDADE OPERACIONAL

Eventuais riscos identificados.


Alteraes na legislao do negcio.
Incidentes de segurana.
Vulnerabilidades encontradas.
Alteraes na estrutura organizacional; e
Tendncias do mercado.

DICAS

Que tal assistir a outro grande filme, e ver como o governo norte-americano
coloca em prtica seu plano de contingncia quando o pas vtima de um ciber ataque?
Doze anos aps a apario em Duro de Matar: A
Vingana, John McClane (Bruce Willis) convocado
para a ltima misso: combater criminosos que atuam
pela internet. Os terroristas planejam desligar todos os
sistemas de computadores no feriado de 4 de julho,
dia da independncia dos Estados Unidos. A trama se
passa em Washington, mas acompanha a velocidade
das transmisses cibernticas, englobando todo o
territrio norte-americano na possvel catstrofe.
Os Estados Unidos sofrem um novo ataque terrorista,
desta vez atravs da informtica. Um hacker consegue
invadir a infraestrutura computadorizada que controla
as comunicaes, transporte e energia do pas,
ameaando causar um gigantesco blecaute. O autor do
ataque planejou todos os passos envolvidos, mas no
contava que John McClane (Bruce Willis), um policial
da velha guarda, fosse chamado para confront-lo.
DURO DE MATAR 4.0. Direo de Len Wiseman. EUA:
Fox Filmes, 2007, DVD (128 min), color.

9 PRESERVAO DAS CPIAS DE SEGURANA


A disponibilidade do ambiente de processamento de dados fundamental
em qualquer organizao, independentemente de seu tamanho e valor de suas
receitas. (FERREIRA; ARAJO, 2008, p. 112).

Para manter as informaes disponveis necessrio, alm dos recursos


de hardware, possuir procedimentos de backup e restore das informaes. Estes por
sua vez devem ser capazes de orientar as aes de realizao e recuperao das
informaes. (FERREIRA; ARAJO, 2008, p. 112).

127
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO

O valor da informao produzida na organizao alm do valor


estratgico para o negcio tambm a soma de inmeras horas de trabalho
no desenvolvimento de documentos, informaes, produtos, entre outros
esforos, que provavelmente em qualquer tentativa de quantificar seu valor,
teremos um nmero aproximado, porm, dificilmente, exato e com grandes
chances de, a cada clculo realizado, ter valores diferentes. No entanto,
evidente que o procedimento de backup um dos recursos mais efetivos para
assegurar a continuidade das operaes em caso de paralisao na ocorrncia
de um sinistro.

Para a implementao do backup, deve-se levar em considerao


a importncia da informao, o nvel de classificao utilizado, sua
periodicidade de atualizao e tambm sua volatilidade.

FONTE: Ferreira e Arajo (2008, p. 113)

Com base nos conceitos apresentados acima, Ferreira e Arajo (2008, p.


113-114) entendem que a organizao deve elaborar seus procedimentos com base
nas seguintes premissas:

Realizar backups visando diminuir os riscos da continuidade.


Manter os backups em local fsico distante da localidade de armazenamento
dos dados originais.
Realizar testes nas mdias que armazenam os backups para assegurar que os
mantidos em ambiente interno e/ou externo estejam seguros e em perfeito
estado para serem utilizados.
Desenvolver e manter a documentao dos procedimentos de backup e
restore sempre atualizada.
Assegurar que seja mantido um inventrio sobre as mdias que armazenam
os backups.

De acordo com Ferreira e Arajo (2008, p. 114), a frequncia para a


realizao dos backups e a respectiva reteno deve ser determinada considerando
a velocidade e volatilidade da informao, ou seja, depende da periodicidade em
que os dados so alterados. Portanto, para determinar a frequncia e a reteno no
procedimento de backup, considere os conceitos e as premissas a seguir:

Velocidade da informao: periodicidade na qual a informao


atualizada.
Volatilidade da informao: perodo de tempo no qual a informao
permanece atual e utilizada. Por exemplo: para os dados que no sofrerem
alterao pelo perodo de trinta dias, somente ser necessria a realizao
de um novo backup no trigsimo primeiro dia, consequentemente, sua
reteno programada poder ser para trinta dias.

128
TPICO 1 | PLANO DE CONTINUIDADE OPERACIONAL

Esses dois conceitos devem orientar a frequncia e reteno da realizao


dos backups. Por sua vez, de acordo com Ferreira e Arajo (2008, p. 114), o
armazenamento das mdias de backup deve ser realizado em localidade diferente
de onde esto armazenados os equipamentos geradores da informao.

A integridade dos backups comprometida quando as mdias esto


armazenadas juntamente com os equipamentos onde os dados esto
sendo gerados. Desastres (incidente causado pela natureza, tais como,
incndios, terremotos ou incidente causado por atos maliciosos) podero
causar destruio ou danificao dos equipamentos e de seus backups,
consequentemente, comprometendo o processo de reconstituio do
ambiente. (FERREIRA; ARAJO, 2008, p. 114).

Alm dos backups realizados por empresas terceiras, como, por exemplo,
provedores de sites de contingncia, deve-se produzir uma cpia adicional
de segurana dos backups considerados mais crticos para ser armazenada
nas instalaes da organizao independentemente das clusulas contratuais
estabelecidas, que visam proteger a organizao. (FERREIRA; ARAJO, 2008, p.
115).

Para todos os backups devem existir registros das operaes envolvidas


na ao de realizar a cpia. Ferreira e Arajo (2008, p. 115) sugerem constar as
seguintes informaes para os backups (dirios, semanais, mensais e anuais):

Nome do servidor: especificar o nome da mdia fsica utilizada no backup


do servidor ou qualquer outro recurso gerador da informao.
Quantidade total de fitas: detalhar a quantidade de fitas utilizadas nos
casos aplicveis.
Tipo de mdia: especificar o recurso utilizado (CD, DVD, fita DAT,
disquete etc.).
Localizao do servidor: registrar a localizao do servidor.
Descrio do contedo: descrever os arquivos, sistemas etc.
Perodo de reteno: especificar o perodo de tempo em que as informaes
constantes na mdia devem ficar retidas para assegurar uma maior
proteo ao negcio.
Horrio: descrever o horrio em que a atividade de backup realizada.
Tipo: especificar o tipo de backup selecionado, como por exemplo, se
full, diferencial ou incremental.
Dependncia: descrever as dependncias de outras rotinas configuradas e
agendadas.
Instrues de trabalho: documentar a operao do software de backup com
alto nvel de detalhes, e se possvel com o uso de cpias da tela do software
utilizado.
Restries: descrever possveis restries que possam existir.

129
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO

FIGURA 20 MODELO DE ETIQUETA PARA AS MDIAS DE BACKUP

<Nome Empresa>

<rea>
Servidor: ABC

Backup Semanal
Data: dd/mm/aaaa
Hora: hh:mm
Cdigo:
Descrio:

<rea>
Backup Semanal
FONTE: Adaptado de Ferreira e Arajo (2008, p. 116)

Os testes de restaurao (restore) devem ser peridicos com o objetivo de


garantir a qualidade dos backups, tendo por finalidade, segundo Ferreira e Arajo
(2008, p. 116):

Verificar a integridade da informao armazenada.


Avaliar a funcionalidade dos procedimentos.
Verificar a capacitao e a falta de treinamento da equipe.
A identificao de procedimentos desatualizados ou ineficazes.
A identificao de falhas ou defeitos.

130
RESUMO DO TPICO 1
Caro(a) acadmico(a)! Neste tpico, voc estudou que:

O Plano de Continuidade tem, por sua natureza, um alto nvel de complexidade,


podendo assumir diversas formas em funo do objeto a ser contingenciado e a
abrangncia de sua atuao.

No existe informao sem custo. At mesmo em casos em que as informaes


so obtidas aparentemente sem nenhum custo, a estrutura organizacional e de
recursos necessria para a coleta, demandam algum custo, cuja diviso feita
entre cada unidade de informao coletada.

Antes de iniciar uma anlise de impacto necessrio possuir as informaes


obtidas por meio da documentao dos sistemas, alm dos relatrios j existentes
de avaliaes de impacto realizadas anteriormente.

O melhor modo de determinar o grau de risco relacionar detalhadamente


quais seriam os impactos para a organizao se uma ameaa conseguir explorar
uma vulnerabilidade.

Os riscos precisam ser tratados de forma gradativa, objetivando formar uma


cultura de segurana que se integre s atividades dos funcionrios e passe a ser
vista como um instrumento de autoproteo.

O intervalo mdio utilizado para a reviso da poltica de segurana de seis


meses ou um ano, porm deve ser realizada uma reviso sempre que forem
identificados fatos novos que possam ter impacto na segurana das informaes
da organizao.

Para a implementao do backup, deve-se levar em considerao a importncia da


informao, o nvel de classificao utilizado, sua periodicidade de atualizao
e tambm sua volatilidade.

131
AUTOATIVIDADE

1 Cite trs atividades de controle que o processo de gesto da continuidade


deve prover.

2 Cite dois objetivos da auditoria de BCP (Business Continuity Planning).

3 Qual a melhor forma de desenvolver o plano de continuidade de negcios


de forma a aumentar a eficcia e o retorno sobre os investimentos?

4 Quais itens so recomendados que o BCP (Business Continuity Planning)


abranja?

5 Quais fatores devem ser considerados na hora de implantar um plano de


backup?

Assista ao vdeo de
resoluo da questo 2

132
UNIDADE 2 TPICO 2

PLANO DE CONTINGNCIA

1 INTRODUO
Primariamente, o plano de contingncia e de recuperao de desastres
significa medidas operacionais estabelecidas e documentadas para serem seguidas,
no caso de ocorrer alguma indisponibilidade dos recursos de informtica, evitando-
se que o tempo no qual os equipamentos fiquem parados acarrete perdas materiais
aos negcios da empresa (IMONIANA, 2011).

De acordo com Smola (2003, p. 103), os planos de contingncia so


desenvolvidos para cada ameaa considerada em cada um dos processos do
negcio pertencente ao escopo, definindo em detalhes os procedimentos a serem
executados em estado de contingncia.

O plano de contingncia consiste em procedimentos de recuperao


preestabelecidos, com a finalidade de minimizar o impacto sobre as
atividades da organizao no caso de ocorrncia de um dano ou desastre
que os procedimentos de segurana no conseguiram evitar. (CARUSO;
STEFFEN, 1999, p. 289).

FIGURA 21 PERODO TEMPO DURANTE O QUAL FUNES ESSENCIAIS SE MANTM APS UM


DESASTRE

FONTE: Caruso e Steffen (1999, p. 290)

133
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO

De acordo com Caruso e Steffen (1999, p. 289), as atividades de


uma organizao entram rapidamente em colapso aps um desastre no seu
ambiente de processamento de informaes (figura anterior). O objetivo de
um plano de contingncia servir como guia para esquematizar a execuo
de aes a ser tomadas para a continuidade dos servios essenciais das reas
de negcios que dependam de um computador.

Para minimizar os esforos, reduzir os custos e tornar um plano de


contingncia factvel e exequvel, somente os servios essenciais para dar
continuidade aos negcios da organizao devem ser contemplados no mesmo.

Entretanto, cada rea de negcio da organizao ser responsvel


por definir o que considerado servio essencial, levando em conta o grau
de criticidade do sistema avaliado para os negcios da organizao.

FONTE: Caruso e Steffen (1999, p. 289)

O plano de continuidade, como conhecido, numa viso secundria


muito mais que somente recuperao das atividades de informtica. Contempla
tambm as preocupaes concernentes vida dos funcionrios, impacto sobre o
meio ambiente, imagens junto aos clientes e fornecedores e o pblico em geral
(IMONIANA, 2011).

Conforme Imoniana (2011, p. 167), a responsabilidade bsica da


diretoria da rea de Tecnologia de Informaes, se o ambiente for muito complexo.
Se o ambiente for moderado, do gerente de tecnologia de informaes, e se for
ambiente pequeno, do encarregado ou dos analistas de sistemas responsveis
pela administrao da rede. No entanto, para que sejam efetivas, a alta direo
precisa dar apoio s medidas, visto que tm intuito estratgico.

Ao implement-lo efetivamente, Imoniana (2011) comenta que se


devem estabelecer os responsveis pela consecuo das aes de contingncia,
normalmente as pessoas designadas a assumir aes de contingncias no momento
de desastres so pessoas diferentes daquelas que executam funes operacionais
no dia a dia em ambiente de tecnologia de informaes. Para evitar conflitos, as
responsabilidades so delineadas e documentadas e colocadas disposio do
grupo chamado de equipe de contingncia.

A disponibilizao dos dados de vital importncia para o workflow


dos sistemas das empresas; por isso, a adoo de um plano de contingncia visa
garantir a busca e transformao dos mesmos sem causar descontinuidade
operacional da empresa, em caso da quebra de equipamentos ou ocorrncia
de algum sinistro.

No processo de implementao do plano de contingncia,


recomenda-se que o usurio avalie-se quanto ao nvel de risco a que est
sujeito, observando a importncia de sua atividade para as funes crticas

134
TPICO 2 | PLANO DE CONTINGNCIA

dos negcios, as quais se enquadram numa das trs categorias classificadas


a seguir:
A Alto risco
B Risco intermedirio
C Baixo risco

Aps essa avaliao, o usurio deve verificar que tipo de proteo a


mais recomendada para cada caso.

FONTE: Imoniana (2011, p. 168)

A avaliao dos planos de contingncia de uma empresa, de acordo com


Imoniana (2011, p. 168), so certificar-se de que:

H planos desenvolvidos que contemplem todas as necessidades de


contingncias.
Esses planos so suficientemente abrangentes para cobrir aspectos fsicos,
lgicos, de redes, de propriedades intelectuais, de pessoas, transacionais,
entre outros.
A equipe de contingncia est preparada para as eventualidades.
Esses planos so testados periodicamente.
Os backups so atualizados.
Os mesmos backups podem ser recuperados com pouca ou nenhuma
dificuldade.
H relatrios gerenciais que facilitam o acompanhamento dos
procedimentos.
Os relatrios so confiveis.

Para fins de familiarizao, Imoniana (2011) cita que sero abordados, neste
plano, somente casos com nveis de riscos altos e/ou intermedirios em ambiente
de rede operada pelas empresas mdias.

Para fins desse plano, segundo Imoniana (2011, p. 169), geralmente as empresas
industriais costumam estabelecer as seguintes aplicaes mais crticas das empresas:

Sistemas de Faturamento/Contas a Receber.


Sistemas de Compras/Contas a Pagar.
Sistemas de Recursos Humanos/Folha de Pagamento.
Sistemas de Estoques/Custo de Produo.
Sistema de Contabilidade Geral.

2 ANLISE DE RISCOS POTENCIAIS


O ambiente em anlise, uma vez classificado como mdio no uso de tecnologia de
informaes, opera redes de computadores com pouca complexidade. A seguir, Imoniana
135
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO

(2011, p. 169-170) aborda os riscos potenciais:

QUADRO 13 RISCOS DE TECNOLOGIA DE INFORMAO

Riscos de Tecnologia de Informao Alto Mdio Baixo


Switch Equipamento responsvel por orientar o trfego
de pacotes (informaes na rede).
X
Conversor ATM/ETHERNET Equipamento que tem a
funo de Switch e conversor de pacotes.
ATM/ETHERNET Tipos de redes de computadores.
Servidores. Servidores rea Industrial. CPD. Sala de X
Operao.
Backbone Meio fsico principal de uma rede (cabeamento).
Roteador Equipamento que define rotas para os pacotes
numa rede.
X
Hub Equipamento que faz a conexo da placa de rede do
computador e da rede.
Linhas telefnicas.
SWITCH ATM Equipamento responsvel pela
interligao dos servidores e a rede da rea industrial com X
a rede da rea administrativa.
Conversor ATM/ETHERNET Equipamento responsvel
pela converso de pacotes ATM em Ethernet e vice-versa, X
alm de interligar todos os backbones departamentais.
Servidores gerenciadores de recursos compartilhados. X
Servidores da rea industrial servidores pouco usados. X
Equipamentos de centro de processamento de dados. X
Equipamentos para gerenciamento de operaes. X
Backbones corporativos, administrativos e operacionais. X
Equipamentos e perifricos da rede. X
Sistemas aplicativos:
Sistema de Faturamento/Contas a Receber.
X
Sistema de Compras/Contas a Pagar.
X
Sistema de Recursos Humanos/Folha de Pagamento.
Sistema de Estoque/Custo de Produo. X
X
Sistema de Contabilidade Geral. X
FONTE: Adaptado de Imoniana (2011, p. 169-170)

3 CONTINGNCIA EM RELAO AOS


RECURSOS TECNOLGICOS
Um plano de contingncia no precisa necessariamente utilizar
equipamentos similares aos envolvidos no evento gerador da
contingncia. Como um plano de contingncia um caminho
alternativo para dar continuidade aos negcios da organizao, deve-se

136
TPICO 2 | PLANO DE CONTINGNCIA

escolher qualquer recurso disponvel, que pode ser: manual, utilizao


de microcomputadores ou at mesmo outro computador de grande
porte. O fato que determinar esse caminho ser o que envolver menor
custo, facilidade de acesso, utilizao e disponibilidade de recursos
computacionais. (CARUSO; STEFFEN, 1999, p. 291).

Para este caso especfico, havendo indisponibilidade, segundo Imoniana


(2011, p. 170), existe um contrato de manuteno, no qual a empresa contratada
responsabiliza-se em colocar outro equipamento semelhante, dento de um prazo
de tempo mnimo, no qual a inatividade operacional da empresa no passe a
interferir em seu funcionamento. A rede da rea industrial continuar a operar
normalmente, pois ela j possui sua prpria redundncia, ficando somente
prejudicada a sua interligao com o servidor de banco de dados, o que no
interfere na sua continuidade operacional.

No que diz respeito aos servidores, de acordo com Imoniana (2011, p. 170-171),

no caso da indisponibilidade de um dos componentes (perifricos)


acessrios dos servidores (memria, placa Disk array, discos magnticos,
unidades de fita DAT), existir sempre um reserva (backup) deste, que
dever ser utilizada. Caso a indisponibilidade seja em relao a CPU/
fonte do servidor, dever ser utilizado um servidor reserva (caso exista),
se no, ser desativado temporariamente e em ltimo caso haver a
utilizao de um servidor da rea industrial.

Os servidores da rea industrial so sempre redundantes, pois em caso de


falha de algum, o outro assume automaticamente. No caso da perda de todos os
servidores, sero utilizados micros comuns e quantos forem necessrios, conforme
especificao da rea industrial (IMONIANA, 2011).

No caso de indisponibilidade total do CPD (servidores/switch e


equipamentos de rede), conforme Imoniana (2011, p. 171), devero ser tomadas as
seguintes medidas para manter a continuidade operacional da empresa:

a) Utilizao de servidores da rea industrial conforme negociado.


b) Capacitao dos servidores nos requerimentos mnimos de hardware,
conforme o tipo de servidor (rede e banco de dados).
c) Substituio dos switches ATM por Ethernet.
d) Manuteno da estrutura da rede em padro Ethernet.
e) Restaurao dos backups dos servidores com os dados mais atuais
conforme poltica de backup.
f) Ativao do CPD temporrio na rea de informtica, ou, em caso da
indisponibilidade da rea, utilizao do local disponvel mais apropriado.

Em caso de indisponibilidade total da sala de operao, Imoniana (2011)


recomenda que devero ser utilizados micros comuns no lugar dos servidores,
e em relao s placas da SMAR, ser seguido o plano de contingncia da rea
industrial/instrumentao.

137
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO

De acordo com Imoniana (2011, p. 171), no caso da indisponibilidade do


backbone corporativo, o switch ATM dever ser transferido para a sala do CPD, e
utilizados cordes pticos para restabelecer suas interligaes.

Na eventual indisponibilidade do backbone departamental, conforme


Imoniana (2011, p. 171), os usurios devero utilizar os equipamentos em alguma
outra rea no afetada.

Caso ocorra a indisponibilidade de todos os backbones, Imoniana (2011, p.


172) recomenda que seja instalado um mini-CPD na rea de informtica com os
seguintes procedimentos:

a) Utilizao de um Hub Ethernet como mdulo central.


b) Converso dos servidores da ATM para Ethernet.
c) Alterao do sistema de balana para entrada manual.
d) Disponibilizao dos micros da informtica para uso das principais
necessidades da empresa.

4 CONTINGNCIAS EM RELAO
A APLICATIVOS CRTICOS
No caso da indisponibilidade das linhas telefnicas por perodos
prolongados e no suportados, segundo Imoniana (2011, p. 172-173), devero ser
tomadas as seguintes medidas em relao aos sistemas:

Sistemas de faturamento/contas a receber


i) Emisso das Notas Fiscais em So Caetano do Sul; ou
ii) Emisso manual de Notas Fiscais.
iii) Utilizao do hot-site j contratado.
Sistemas de compras/contas a pagar
i) Solicitaes de compras e pagamentos feitos manualmente; ou
ii) Utilizao do hot-site j contratado.
Sistemas de contabilidade geral
i) Os lanamentos devero ser feitos no hot-site j contratado.
ii) Utilizao do centro de processamento de dados de So Caetano do Sul.
Sistema de recursos humanos/folha de pagamento
i) Utilizao do centro de processamento de dados de So Caetano do Sul; ou
ii) Utilizao de hot-site se for necessrio.

5 MATRIZ DE RESPONSABILIDADES
A seguir, Imoniana (2011, p. 173) apresenta a matriz de responsabilidades
da equipe de contingncia.

138
TPICO 2 | PLANO DE CONTINGNCIA

QUADRO 14 MATRIZ DE RESPONSABILIDADE DA EQUIPE DE CONTINGNCIA


Telefones
Nome Responsabilidade Autoridade Delegada
de contato
Joaquim Analista de sistemas da rea de
Controle da rede 4457-8970
Nabuco informtica
Joshua
Controle de dados Gerente de auditoria de sistemas 5868-9999
Imoniana
Bernardete Controle de
Superviso das operaes 6768-4656
Bezerra processamentos
Washington Localizao e uso de
Supervisor de segurana 3446-5678
Junior backups
Contatos e ativao de
Martha Silva Gerente de informtica 2436-5567
hot-site
Controles de
Anthony procedimentos de
Auditor de sistemas snior 3446-4547
Santana contingncia, registro de
excees e dos custos
Controles de documentos
Jos Silva do processo de Supervisor de logstica 3454-4654
contingncia
Transportes e relocao
Carlos Luiz Administrador de help-desk 3454-4549
de pessoas
Carolina Monitoramento e Administrador de banco de
3434-3445
Silva relatrio de contingncia dados
FONTE: Adaptado de Imoniana (2011, p. 173)

6 AVALIAO DO PLANO DE CONTINGNCIA

Schmidt, Santos e Arima (2006, p. 47-48) recomendam que, sob a tica


da auditoria, devem ser observados os seguintes aspectos:

Identificao do pessoal responsvel e predeterminado para aplicao do


plano de contingncia.
Comunicao aos responsveis pelo plano de contingncia com referncia
a alteraes que comprometam a utilizao do site alternativo.
Existncia de provises de facilidades de reserva de tecnologia da
informao com outros usurios em caso de quebra ou instabilidade de
equipamentos correspondentes.
Compatibilidade de sistemas operacionais ou softwares com as instalaes
de outros usurios.
Clareza nas prioridades de ativao das funes dos sistemas de
informaes em caso de sinistro.
Verificao da adequao de rotinas para reconstruo de arquivos
magnticos.
Explicao detalhada para a correo e restaurao do ambiente de
tecnologia da informao, em termos de hardware e software.
Reviso e teste regular e peridico do plano de contingncia.

139
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO

O quadro a seguir demonstra um programa de teste de controles para


avaliao do plano de contingncia.

QUADRO 15 CHECK-LIST PARA AUDITORIA DE PLANO DE CONTINGNCIA

Check-list para auditoria de plano de contingncia SIM NO

C1 Planejamento Estratgico de Continuidade


inclusive:

a) Referncia documentao comprobatria


contemplando cronograma geral.
b) Indicao de atividades, prazos e
responsveis.
c) Identificao dos processos operacionais
crticos da instituio, bem como das evidncias
do envolvimento da alta administrao nesse
processo.
d) Mapeamento (matriz de impacto)
utilizado no desenvolvimento dos planos de
contingncia.
e) Relao dos processos operacionais crticos,
identificados nos itens anteriores, e dos
recursos de hardware, software e infraestrutura
(redes, telefonia, energia eltrica etc.) que os
suportam.
f) Planos de testes peridicos para constatar
sua funcionalidade.

O plano de continuidade concebido com


P1 aval da alta administrao? Se sim, descreva o
processo de aprovao.

Identificar os processos e aplicaes crticas da


empresa que seriam mais afetados em caso de
P2
paralisao na rea de informtica e comparar
com os identificados no plano de continuidade.

Documentar a consistncia dos procedimentos


P3 a serem adotados para os diferentes graus e
extenso de desastre.

140
TPICO 2 | PLANO DE CONTINGNCIA

C2 Anlise de Riscos Potenciais e das Probabilidades


de Ocorrncia de Falhas nos diferentes recursos do
parque de informtica da instituio: hardware, software
e infraestrutura, baseada na avaliao da administrao,
quanto ao grau de dependncia que esses recursos
possuam em relao ao processamento de dados.

Informar entre 0 e 1,0 o grau aparente de


vulnerabilidade do ambiente em caso de
P1
interrupes dos processos operacionais
crticos da entidade.

Comparar o grau aparente com aquele


P2 constatado na avaliao anterior do ambiente
de processamento de dados.

C3 Seleo de estratgias de continuidade adotadas


pela administrao para cada processo de contingncia,
tais como: utilizao de recursos de informtica e de
infraestrutura alternativos, tempos de ativao exigidos,
servios possveis de serem disponibilizados, custos
envolvidos etc. e procedimentos para reviso sistemtica
dos planos.

Constar a base para a seleo das estratgias


P1
escolhidas pela alta administrao.

Evidenciar a razoabilidade da deciso tomada


P2
na escolha das infraestruturas alternativas.

Constar a razoabilidade do tempo de ativao


P3
das operaes normais do hot-site.

Analisar a relao custo/benefcios do hot-site


P4
em relao aos outros, se existirem.

Verificar a documentao e ou registro da


P5 reviso sistmica dos planos, atentando para
sua efetividade.

141
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO

C4 Testes preventivos do funcionamento do plano de


contingncia e de recuperao de dados.

Verificar a conscientizao sobre os


procedimentos e as responsabilidades para
recuperao de dados, programas, software e
documentao quanto:
Quem faz o qu.
Necessidades de comunicao de dados.
Facilidade administrativa.
P1 Localizao e maneira de obteno do
material de backup.
Transporte dos arquivos, manuais etc.
Procedimentos para utilizao de outras
instalaes (CPD, backup, contratos com bureau
de servios, contratos com empresas prximas
de mesmo porte).
Realocao de pessoal.

C5 Aprovao formal dos planos de contingncia pelo


diretor responsvel e pelo comit de contingncia

Verifique a existncia de procedimentos


P1 documentados para a aprovao do plano de
contingncia e de recuperao de desastres.

O responsvel geral pela implementao de


P2 contingncia tambm d OK ao processo de
aprovao?

Os lderes de contingncia, que no


P3 necessariamente precisam ser os analistas de
sistemas, recebem os planos aprovados?

A equipe toda recebe cpias dos planos


P4
devidamente aprovados?

Se sim, solicite que um integrante da equipe


P5
de contingncia mostre sua cpia aprovada.

142
TPICO 2 | PLANO DE CONTINGNCIA

7 APROVAO FORMAL DO PLANO DE CONTINGNCIA


Como instrumento de oficializao dos interesses da empresa em adequar o
nvel de segurana de suas informaes a partir do envolvimento de todos os nveis
hierrquicos conveniente que o presidente, CEO ou CIO externe esta vontade
oficialmente. A Carta do Presidente tem esse papel e disponibilizada, quando
no, encaminhada a cada funcionrio, dando um carter formal ao movimento.
Por vezes, este documento aparentemente simples, responsvel por muitos
apoios espontneos e o natural fortalecimento do plano estratgico de segurana
da informao (SMOLA, 2003).

143
RESUMO DO TPICO 2
Caro(a) acadmico(a)! Neste tpico, voc estudou que:

O plano de contingncia consiste em procedimentos de recuperao


preestabelecidos, com a finalidade de minimizar o impacto sobre as atividades
da organizao no caso de ocorrncia de um dano ou desastre que os
procedimentos de segurana no conseguiram evitar.

O objetivo de um plano de contingncia servir como guia para esquematizar


a execuo de aes a ser tomadas para a continuidade dos servios essenciais
das reas de negcios que dependam de um computador.

Cada rea de negcio da organizao ser responsvel por definir o que


considerado servio essencial, levando em conta o grau de criticidade do
sistema avaliado para os negcios da organizao.

Aps a avaliao do nvel de risco, o usurio deve verificar que tipo de proteo
a mais recomendada.

O ambiente em anlise, uma vez classificado como de risco mdio no uso


de tecnologias da informao opera redes de computadores com pouca
complexidade.

Como um plano de contingncia um caminho alternativo para dar continuidade


aos negcios da organizao, deve-se escolher qualquer recurso disponvel,
que pode ser: manual, utilizao de microcomputadores ou at mesmo outro
computador de grande porte.

Por vezes, a carta do presidente da empresa responsvel por muitos apoios


espontneos e o natural fortalecimento do plano estratgico de segurana da
informao.

144
AUTOATIVIDADE

1 Cite trs avaliaes dos planos de contingncia de uma empresa.

2 Cite trs medidas que devem ser tomadas para manter a continuidade
operacional da empresa.

3 Monte uma matriz de responsabilidade da equipe de contingncia da


empresa na qual voc trabalha.

4 Cite alguns os aspectos que devem ser observados sob a tica da auditoria
referentes avaliao do plano de contingncia.

5 Elabore um check-list para auditoria de plano de contingncia que pode ser


aplicado na sua empresa.

Assista ao vdeo de
resoluo da questo 3

145
146
UNIDADE 2
TPICO 3

POLTICA DE SEGURANA

1 INTRODUO

Na vida das pessoas e das organizaes, tudo gira em termos de


decises polticas, no importando quem tome essas decises e que nome
seja dado. Qualquer organizao sempre estabelece regulamentos polticos
a serem seguidos por todos quantos se relacionem com ela. Exemplos de
polticas so os estatutos sociais das empresas, clubes e outras organizaes,
descries de procedimentos tcnicos e outros.

No h como negar; tudo na vida poltica; o que mais fazemos:


discutir sobre poltica. Portanto, vamos discutir sobre a poltica de segurana
que uma organizao deve implementar para proteger seus ativos.

FONTE: Caruso e Steffen (1999, p. 49)

A alta administrao da organizao emitiu uma poltica de segurana


da informao ativa e abrangente? Essa poltica sujeita a revises peridicas
e a atualizaes quando necessrio?

Todos os usurios de informaes e sistemas de informaes na


organizao precisam conhecer seus papeis e responsabilidades para proteger
os ativos da empresa. A poltica de segurana da informao visa comunicar
e estabelecer essa responsabilidade de cada um para com a confidencialidade,
integridade e disponibilidade das informaes. A poltica estabelece os
objetivos e expectativas com relao ao tratamento a serem dados por
cada integrante na organizao s informaes, seus controles e padres e
procedimentos estabelecidos. O seu texto deve ser claro e direto o suficiente
para que cada um na organizao o entenda e no restem dvidas sobre o
seu contedo e sua interpretao. A poltica tambm deve estabelecer e trazer
descrito as sanes pelo seu no cumprimento. Como a poltica estabelecida
pela alta administrao da organizao, e no pelo seu Security Officer,
importante que o seu texto seja executivo, genrico, duradouro em termos de
ser ligado aos conceitos da informao e administrao, e no tecnologia ou
a aspectos momentneos da organizao. Os detalhes e descries a respeito
do cumprimento da poltica estaro em outros documentos subordinados em
hierarquia poltica, e esses sim, definidos pelo Security Officer. Em geral, a

147
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO

poltica a cabea da pirmide da funo segurana da informao, sustentada


por padres e procedimentos. O Security Officer auxilia estrategicamente na
definio e manuteno da poltica, mas que a assina e exige cumprimento o
Presidente ou o principal executivo da organizao.

FONTE: Ferreira e Arajo (2008, p. 187)

A poltica de segurana a base para todas as questes relacionadas


proteo da informao, desempenhando um papel importante em todas as
organizaes. A necessidade de estabelecer uma poltica de segurana um fato
realado unanimemente em recomendaes tanto do meio militar (como o Orange
Book do Departamento de Defesa dos Estados Unidos) como no meio tcnico (como
o Site Security Handbook [Request for Comments RFC] 2196 do Institute Engineering
Task Force e, mais recentemente, do meio empresarial (norma International
Standartization Organization/International Electricaltechnical Comission (ISO/IEC)
17799) (NAKAMURA; GEUS, 2007). Obs.: A norma ISO/IEC 17799 foi atualizada
para a numerao ISO/IEC 27002 em julho de 2007.

Seu desenvolvimento o primeiro e principal passo da estratgia de


segurana das organizaes. por meio dessa poltica que todos os
aspectos envolvidos na proteo dos recursos existentes so definidos e,
portanto, grande parte do trabalho dedicada sua elaborao e ao seu
planejamento. No entanto, veremos que as maiores dificuldades esto
mais na sua implementao do que em seu planejamento e elaborao.
(NAKAMURA; GEUS, 2007, p. 188).

Assim, a poltica de segurana trata dos aspectos humanos, culturais


e tecnolgicos de uma organizao, levando tambm em considerao os
processos e os negcios, alm da legislao local. com base nessa poltica
de segurana que as diversas normas e os vrios procedimentos devem ser
criados.

Alm de seu papel primordial nas questes relacionadas com a


segurana, a poltica de segurana, uma vez fazendo parte da cultura da
empresa, tem uma importante funo como facilitadora e simplificadora
do gerenciamento de todos os seus recursos. De fato, o gerenciamento de
segurana a arte de criar e administrar a poltica de segurana, pois no
possvel gerenciar o que no pode ser definido.

FONTE: Nakamura e Geus (2007, p. 189)

148
TPICO 3 | POLTICA DE SEGURANA

2 CONSIDERAES IMPORTANTES

Com o propsito de fornecer orientao e apoio s aes de gesto


de segurana, a poltica tem um papel fundamental e, guardadas as devidas
propores, tem importncia similar constituio federal para um pas. Desta
forma, assume uma grande abrangncia e, por conta disso, subdividida em
trs blocos: diretrizes, normas, procedimentos e instrues, sendo destinados,
respectivamente, s camadas estratgica, ttica e operacional.

Estabelece padres, responsabilidades e critrios para o manuseio,


armazenamento, transporte e descarte das informaes dentro do nvel
de segurana estabelecido sob medida pela e para a empresa; portanto, a
poltica deve ser personalizada.

As diretrizes, que por si s, tm papel estratgico, precisam expressar


a importncia que a empresa d para a informao, alm de comunicar
aos funcionrios seus valores e seu comprometimento em incrementar a
segurana sua cultura organizacional.

notria a necessidade do envolvimento da alta direo, refletida


pelo carter oficial com que a poltica comunicada e compartilhada com
os funcionrios. Este instrumento deve expressar as preocupaes dos
executivos e definir as linhas de ao que orientaro as atividades tticas e
operacionais.

Responsabilidades dos proprietrios e custodiantes das informaes,


estrutura do Security Office, mtricas, ndices e indicadores do nvel de
segurana, controles de conformidade legal, requisitos de educao e
capacitao de usurios, mecanismos de controle de acesso fsico e lgico,
responsabilizaes, auditoria do uso de recursos, registros de incidentes
e gesto da continuidade do negcio so algumas das dimenses a serem
tratadas pela poltica de segurana.

FONTE: Smola (2003, p. 105)

Marcos Smola (2003, p. 105-106) relata que,

com carter ttico, as normas so o segundo nvel da poltica. Detalham


situaes, ambientes, processos especficos e fornecendo orientao
para o uso adequado das informaes. Baseado em ordem de grandeza,
podemos estimar 10 a 20 diretrizes em empresas de qualquer porte,
mas temos de multiplicar este nmero por 100 ou mais para estimar o
volume de normas aplicveis. Este volume tende a ser proporcional ao
porte da empresa, heterogeneidade de seus ativos fsicos, tecnolgicos
e humanos e, ainda, ao grau de detalhamento necessrio para levar a
empresa a operar sob o nvel de risco adequado.

149
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO

FIGURA 22 DIAGRAMA DOS COMPONENTES DA POLTICA E SEUS PILARES DE SUSTENTAO

FONTE: Smola (2003, p. 106)

Critrios normatizados para admisso e demisso de funcionrios;


criao e manuteno de senhas; descarte de informao em mdia magntica;
desenvolvimento e manuteno de sistemas; uso da internet; acesso remoto; uso
de notebook; contratao de servios de terceirizados; e classificao da informao,
so bons exemplos de normas de uma tpica poltica de segurana (SMOLA,
2003).

Em especial, a norma de classificao da informao fator crtico de


sucesso, pois assume a responsabilidade por descrever os critrios
necessrios para sinalizar a importncia e o valor das informaes,
premissa importante para a elaborao de praticamente todas as demais
normas. No h regra preconcebida para estabelecer esta classificao;
mas preciso entender o perfil do negcio e as caractersticas das
informaes que alimentam os processos e circulam no ambiente
corporativo para que os critrios sejam personalizados. (SMOLA,
2003, p. 106-107).

150
TPICO 3 | POLTICA DE SEGURANA

FIGURA 23 RELAO ENTRE CLASSIFICAO E TRATAMENTO DEFINIDO NA POLTICA

FONTE: Smola (2003, p. 107)

Procedimentos e instrues devero estar presentes na poltica em maior


quantidade por seu perfil operacional, onde necessrio descrever meticulosamente
cada ao e atividade associada a cada situao distinta de uso das informaes.
Por exemplo: enquanto a diretriz orienta estrategicamente para a necessidade de
salvaguardar as informaes classificadas como confidenciais, e a norma define que
estas devero ser criptografadas em tempo de envio por e-mail, o procedimento e a
instruo especfica para esta ao tm de descrever os passos necessrios para executar
a criptografia e enviar o e-mail. A natureza detalhista deste componente da poltica
pressupe a necessidade de manuteno ainda mais frequente (SMOLA, 2003).

Diante disso, j possvel perceber o quo complexo desenvolver e,


principalmente, manter atualizada a poltica de segurana da informao com
todos os seus componentes. Esta percepo torna-se ainda mais latente ao
considerarmos o dinamismo do parque tecnolgico de uma empresa e, ainda,
as mudanas previsveis e imprevisveis que o negcio poder sofrer. Dessa
forma, o importante dar o pontap inicial e formar um grupo de trabalho com
representantes das reas e departamentos mais representativos, integrando
vises, percepes e necessidades mltiplas que tendero a convergir e gerar

151
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO

os instrumentos da poltica. Comece elaborando as diretrizes, envolva os


executivos e conquiste apoio. Estabelea os responsveis e os gestores diretos
da manuteno da poltica. Desenvolva um programa de divulgao das
diretrizes, normas, procedimentos e instrues da poltica como instrumento
para disseminao de cultura e conscientizao dos funcionrios. Lance
mo de seminrios, cartazes, brindes, comunicaes oficiais dos executivos,
cursos convencionais ou on-line, protetores de tela e tudo mais que se aplicar
ao perfil da empresa e natureza de sua atividade. O importante envolver
todos os funcionrios, fazendo-os se sentir corresponsveis pela sade da
segurana do negcio e, principalmente, responsveis pela proteo das
informaes por eles custodiadas.

FONTE: Smola (2003, p. 107-108)

A conformidade com requisitos legais, envolvendo obrigaes contratuais,


direitos de propriedade intelectual, direitos autorais de software e todas as possveis
regulamentaes que incidam no negcio da empresa devem ser respeitados e,
portanto, deve ser a linha de conduta da construo da poltica de segurana.
(SMOLA, 2003, p. 108).

Para assegurar que a poltica de segurana da informao esteja sempre


aplicvel realidade da organizao e continue relevante para a
proteo dos ativos de informao importante a sua reviso peridica.
Recomenda-se que anualmente seja feita uma reviso e atualizao no
seu texto, se aplicvel. As boas prticas de segurana da informao
tambm estabelecem juntamente com a poltica de segurana da
informao um termo de responsabilidade a ser assinado pelos usurios
de informao e facilidades de sistemas e processos na organizao.
(FERREIRA; ARAJO, 2008, p. 187).

E
IMPORTANT

As empresas necessitam de segurana das informaes, pois todos os dias novos


usurios esto tentando descobrir novos furos de segurana, seja de forma intencional ou por
acidentes, pois cada dia estamos mais dependentes dos sistemas de informao. (MONTEIRO,
2003, p. 134).

Conforme Nakamura e Geus (2007, p. 219),

a poltica de segurana o principal elemento para a segurana de


qualquer empresa. Seu planejamento e definio dos aspectos a serem
tratados incluem uma avaliao de todos os detalhes envolvidos, o que
requer o esforo de todos na organizao. Diversos obstculos para a
sua implementao so resultantes da viso errada que a segurana no
um elemento importante para a organizao, o que, invariavelmente,

152
TPICO 3 | POLTICA DE SEGURANA

traz srias consequncias com a invaso dos hackers. Alguns pontos


especficos requerem uma poltica especfica, como no caso do acesso
remoto, do uso das senhas e do firewall. A poltica de segurana tem
uma importncia ainda maior em um ambiente cooperativo, no
qual os bolses de segurana variam de tamanho, de acordo com as
necessidades de conexo.

3 PLANEJAMENTO DA POLTICA
O incio do planejamento da poltica de segurana exige uma viso
abrangente, de modo que os riscos sejam entendidos para que possam ser
enfrentados. Normalmente, a abordagem com relao segurana reativa, o que
pode, invariavelmente, trazer futuros problemas para a organizao. A abordagem
proativa , portanto, essencial e depende de uma poltica de segurana bem
definida, na qual a definio das responsabilidades individuais deve estar bem
clara, de modo a facilitar o gerenciamento da segurana em toda a organizao
(NAKAMURA; GEUS, 2007).

De acordo com Nakamura e Geus (2007, p. 189), ter uma poltica proativa
tambm fundamental, pois, sem essa abordagem, a questo da segurana das
informaes no se, mas sim quando o sistema ser atacado por um hacker.
O apoio dos executivos importante para que isso acontea, o que faz com
que os recursos financeiros para as solues necessrias sejam garantidos.
Quando uma poltica de segurana planejada e definida, os executivos
demonstram claramente o seu comprometimento e apoio segurana da
informao de toda a organizao. Um ponto importante para que a poltica
tenha o seu devido peso dentro da organizao que ela seja aprovada
pelos executivos, publicada e comunicada para todos os funcionrios, de
forma relevante e acessvel. (NAKAMURA; GEUS, 2007, p. 189-190).

O planejamento da poltica de segurana deve ser feito tendo como


diretriz o carter geral e abrangente de todos os pontos, incluindo as regras
que devem ser obedecidas por todos. Essas regras devem especificar quem
pode acessar quais recursos, quais so os tipos de usos permitidos no
sistema, bem como os procedimentos e controles necessrios para proteger
as informaes.

Uma viso geral do planejamento pode ser observada na figura


a seguir, na qual a pirmide mostra que a poltica fica no topo, acima das
normas e procedimentos. A poltica o elemento que orienta as aes e
as implementaes futuras, de uma maneira global, enquanto as normas
abordam os detalhes, como os passos da implementao, os conceitos e
os projetos de sistemas e controles. Os procedimentos so utilizados para
que os usurios possam cumprir aquilo que foi definido na poltica e os
administradores de sistemas possam configurar os sistemas de acordo com a
necessidade da organizao.

FONTE: Nakamura e Geus (2007, p. 190)

153
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO

FIGURA 24 O PLANEJAMENTO DA POLTICA DE SEGURANA

FONTE: Nakamura e Geus (2007, p. 190)

A poltica de segurana pode tambm ser dividida em vrios nveis, partindo


de um nvel mais genrico (para que os executivos possam entender o que est sendo
definido), passando pelo nvel dos usurios (para que eles tenham conscincia de seus
papis para a manuteno da segurana na organizao) chegando ao nvel tcnico
(que se refere aos procedimentos especficos, como a definio e a implementao
das regras de filtragem do firewall) (NAKAMURA; GEUS, 2007).

4 ELEMENTOS DA POLTICA DE SEGURANA


Os elementos que uma poltica de segurana adequada deve possuir, de
acordo com Nakamura e Geus (2007, p. 191), tudo aquilo que essencial para
o combate s adversidades. O que deve ser mantido no apenas a proteo
contra os ataques de hackers, mas tambm a disponibilidade da infraestrutura da
organizao. Esses elementos essenciais para a definio da poltica de segurana
e para sua implantao so:

Vigilncia: significa que todos os membros da organizao devem entender


a importncia da segurana para a mesma, fazendo com que atuem como
guardies da rede, evitando-se, assim, abusos sistmicos e acidentais.
Atitude: significa a postura e a conduta quanto segurana. Sem a atitude
necessria, a segurana proposta no ter nenhum valor.
Estratgia: diz respeito a ser criativo quanto s definies da poltica e
do plano de defesa contra intruses, alm de possuir a habilidade de ser
adaptativo a mudanas no ambiente, to comuns no meio cooperativo.
Tecnologia: a soluo tecnolgica deve ser adaptativa e flexvel, a fim de
suprir as necessidades estratgicas da organizao, pois qualquer tecnologia
um pouco inferior resulta em um falso e perigoso senso de segurana,
colocando em risco toda a organizao.

154
TPICO 3 | POLTICA DE SEGURANA

Assim, a vigilncia, atitude, estratgia e tecnologia (figura a seguir) podem


ser consideradas os fatores de sucesso da poltica de segurana.

FIGURA 25 FATORES DE SUCESSO DA POLTICA DE SEGURANA

FONTE: Nakamura e Geus (2007, p. 193)

Segundo Nakamura e Geus (2007, p. 193), a poltica de segurana no


deve conter detalhes tcnicos especficos de mecanismos a serem utilizados ou
procedimentos que devem ser adotados por indivduos particulares, mas, sim,
regras gerais e estruturais que se aplicam ao contexto de toda a organizao.
Com isso, a poltica pode ser flexvel o suficiente para que no sofra alteraes
frequentes. Alm disso, ela pode ser abrangente o bastante para abarcar possveis
excees. (NAKAMURA; GEUS, 2007, p. 193-194).

Uma caracterstica importante de uma poltica que ela deve ser curta
o suficiente para que seja lida e conhecida por todos os funcionrios da
empresa. A essa poltica de alto nvel devem ser acrescentados polticas,
normas e procedimentos especficos para setores e reas particulares, como
por exemplo, para a rea de informtica. (NAKAMURA; GEUS, 2007, p. 194).

5 CONSIDERAES SOBRE A SEGURANA


Conforme Nakamura e Geus (2007, p. 194), antes de desenvolver a poltica de
segurana, necessrio que os responsveis pela sua criao tenham o conhecimento
dos diversos aspectos de segurana, alm da familiarizao com as questes culturais,
sociais e pessoais que envolvem o bom funcionamento da organizao.

Ainda segundo Nakamura e Geus (2007, p. 194), algumas consideraes sobre


a segurana, importantes para a definio de uma boa poltica de segurana, so:

Conhea seus possveis inimigos: identifique o que eles desejam fazer e os


perigos que eles representam sua organizao.

155
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO

Contabilize os valores: os custos das medidas de segurana devem


ser compatveis e proporcionais s necessidades da organizao e s
probabilidades de ocorrerem incidentes de segurana.
Identifique, examine e justifique suas hipteses: qualquer hiptese
esquecida ou no divulgada pode causar srios problemas de segurana.
Uma nica varivel pode mudar completamente a estratgia de segurana
de uma organizao.
Controle seus segredos: muitos aspectos de segurana tm como base os
segredos, que devem ser guardados a sete chaves.
Avalie os servios estritamente necessrios para o andamento dos negcios
da organizao: a segurana inversamente proporcional s funcionalidades
e pode influir na produtividade dos usurios. Determinar e justificar cada
servio permitido essencial para evitar conflitos futuros com os usurios.
Considere os fatores humanos: muitos procedimentos de segurana falham,
pois, no se consideram as reaes dos usurios a esses procedimentos.
Cada usurio deve ser convencido da necessidade de cada medida a ser
adotada. Eles devem entender e aceitar essas exigncias de segurana.
Minimiza a chance de sucesso de ataques que usam a engenharia social.
Conhea seus pontos fracos: todo sistema tem suas vulnerabilidades.
Conhecer e entender esses pontos fracos permite que o primeiro passo para
proteger o sistema de maneira eficiente seja definido.
Limite a abrangncia do acesso: barreiras como uma zona desmilitarizada
(DMZ) fazem com que, caso um sistema seja atacado, o restante da rede
no seja comprometido. A parte segura de uma rede to forte quanto a
sua parte menos protegida.
Entenda o ambiente: entender o funcionamento normal da rede importante
para detectar possveis comportamentos estranhos, antes que um invasor
cause prejuzos.
Limite a confiana: essencial estar atento e vigilante, principalmente
quanto a programas de software que tenham muitos bugs e que podem
comprometer a segurana do ambiente. No se pode confiar totalmente em
todos os sistemas e usurios da organizao, e preciso estar sempre atento
a comportamentos anormais.
Nunca se esquea da segurana fsica: o acesso fsico indevido a
equipamentos ou roteadores pode destruir todas as medidas de segurana
adotadas. O controle de acesso fsico e o plano de contingncia deve fazer
parte da poltica de segurana da organizao.
A segurana complexa: qualquer modificao em qualquer pea do
ambiente pode causar efeitos inesperados no nvel de segurana. Entender
as implicaes de segurana em cada aspecto envolvido importante para
a manipulao e o gerenciamento correto de todas as variveis envolvidas.
A segurana deve ser aplicada de acordo com os negcios da organizao:
entender os objetivos de negcios da organizao importante para a
definio de sua estratgia de segurana.

Essas consideraes, segundo Nakamura e Geus (2007, p. 196) demonstram


a importncia de uma viso abrangente da segurana, o que torna o desafio da
proteo dos negcios ainda maior.

156
TPICO 3 | POLTICA DE SEGURANA

6 PONTOS A SEREM TRATADOS PELA


POLTICA DE SEGURANA

A poltica de segurana, definida de acordo com os objetivos de


negcios da organizao, deve existir de maneira formal, pois somente assim
possvel implementar efetivamente a segurana. Caso isso no ocorra,
os administradores da segurana devem documentar todos os aspectos a
serem tratados, sendo imprescindvel que a aprovao do executivo seja
formalizada. Tal formalidade evitar que, no futuro, as responsabilidades
recaiam totalmente sobre os administradores, alm de impedir situaes em
que ocorram eventos que no so do conhecimento dos executivos e tragam
consequncias inesperadas e tenses desnecessrias organizao. Alm do
mais, a poltica de segurana formal essencial, porque as responsabilidades
quanto s questes de segurana, caso no estejam definidas na respectiva
poltica, devem ser dos executivos, e no dos administradores de segurana.

FONTE: Nakamura e Geus (2007, p. 196-197)

De qualquer forma, de responsabilidade dos administradores


alertar sobre as questes de segurana e implementar as medidas definidas
na poltica. Participar da definio dessa poltica, que envolve os aspectos de
toda a organizao, tambm essencial, assim como determinar as normas
e os procedimentos.

Sob a perspectiva do usurio, essencial que exista sua participao


no trabalho de desenvolvimento da poltica e tambm na definio das
normas e procedimentos a serem adotados. Esse envolvimento importante,
porque medidas de segurana que atrapalham o usurio, invariavelmente,
falham. As medidas devem ter a mxima transparncia possvel para o
usurio, de modo que as necessidades de segurana da organizao estejam
em conformidade com suas prprias necessidades.

Assim, uma poltica de segurana adequada deve tratar no s dos


aspectos tcnicos, mas principalmente daqueles relacionados ao trabalho, s
pessoas e ao gerenciamento. Ela deve abordar, especialmente, os aspectos
do cotidiano, como, por exemplo, a definio dos cuidados necessrios com
documentos em mesas de trabalho e at mesmo com o lixo, pois esse um
dos locais mais explorados procura de informaes confidenciais.

Os aspectos culturais e locais tambm devem ser considerados na


elaborao da poltica de segurana, pois eles influenciam diretamente na
sua efetividade. A poltica de demisso de funcionrios por falha na escolha
de senhas, por exemplo, poderia ser aplicada nos Estados Unidos, mas na
Europa o funcionrio demitido poderia ganhar um processo na justia. Essas

157
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO

peculiaridades existentes em diferentes culturas fazem com que a ajuda de


um profissional local, para o desenvolvimento ou a adequao da poltica
de segurana da organizao, seja um ponto importante a ser considerado.

A poltica de segurana deve definir tambm, do modo mais claro


possvel, as punies e os procedimentos a serem adotados, no caso do
no cumprimento da poltica definida. Esse um aspecto importante que
precisa ser definido, para que os abusos sejam evitados e os usurios tenham
conscincia de que a poltica de segurana importante para o sucesso da
organizao.

FONTE: Nakamura e Geus (2007, p. 197)

7 IMPLEMENTAO DA POLTICA DE SEGURANA


A implementao pode ser considerada a parte mais difcil da poltica
de segurana. Sua criao e definio envolvem conhecimentos abrangentes
de segurana, ambiente de rede, organizao, cultura, pessoas e tecnologias,
sendo uma tarefa complexa e trabalhosa. Porm, a dificuldade maior reside na
implementao dessa poltica criada, quando todos os usurios da organizao
devem ter o conhecimento da referida poltica, todas as mudanas sugeridas
devem ser implementadas e aceitas por todos e todos os controles definidos
devem ser implantados com sucesso. Isso faz com que um ponto importante para
a aceitao e conformidade com a poltica definida seja a educao, pois a falta de
conscientizao dos funcionrios acerca da importncia e relevncia da poltica
torn-la inoperante ou reduzir sua eficcia. (NAKAMURA; GEUS, 2007, p. 198-
199).

importante que a empresa disponha de uma poltica de segurana


atualizada e alinhada s necessidades e estratgias do negcio, mas
fundamental que ela seja reconhecida pelos funcionrios como o
manual de segurana da empresa. Suas diretrizes devem ser conhecidas
por todos, e suas normas, procedimentos e instrues especficas devem
ser apresentados a cada grupo com perfil de atividade semelhante.
Desta forma, cada membro percebe suas responsabilidades dentro de
um modelo de segurana nico, motivando-o a colaborar. Mas no
suficiente. Lembre-se de que os resultados efetivos de comprometimento
ocorrem lentamente e, muitas vezes, requerem aes complementares.
(SMOLA, 2003, p. 130).

De acordo com Nakamura e Geus (2007, p. 199), com a divulgao efetiva, a


poltica de segurana dever tornar-se parte da cultura da organizao, disseminando
as regras estruturais e os controles bsicos da segurana da informao no contexto
da organizao e conscientizando a todos. Alguns exemplos de formas de divulgao
que podem ser utilizadas so:

158
TPICO 3 | POLTICA DE SEGURANA

Comunicao interna (e-mails, painis, pginas na intranet).


Reunies de divulgao e conscientizao.
Treinamento especfico ou incluso em programas vigentes.
Dramatizao de exemplos prticos em curtas peas teatrais.
Incorporao ao programa de recepo a novos funcionrios.
Psteres, protetores de tela e mouse pad podem ser utilizados para oferecer
dicas de segurana, lembrando a todos da importncia da segurana de
informaes.

Sob a tica da auditoria de sistemas, de acordo com Schmidt, Santos e


Arima (2006, p. 43-44), devem ser observados os seguintes aspectos:

Divulgao formal da poltica de segurana aos funcionrios, terceiros e


prestadores de servios.
Monitoramento da adoo, cumprimento, atualizao e acompanhamento
da poltica de segurana determinada pela alta administrao.
Assinatura de Termo de Compromisso relacionado com a
confidencialidade das informaes, cdigos de identificao, senhas
de acesso, utilizao de ativos, responsabilidades quanto segurana
e cincia das punies para os casos de no aderncia s polticas,
com envolvimento direto do departamento jurdico na ocasio de sua
elaborao.

Alm dos programas de divulgao e conscientizao, os executivos


devem seguir fielmente a poltica e valoriz-la, servindo de exemplo para todos os
demais. (NAKAMURA; GEUS, 2007, p. 199).

Os esforos necessrios para a implantao da segurana podem levar


anos at que se consiga o resultado esperado, o que faz com que um planejamento a
longo prazo seja essencial, bem como a aprovao formal de todos os seus passos.
(NAKAMURA; GEUS, 2007, p. 199).

Assim, segundo Nakamura e Geus (2007, p. 199), o ideal que a segurana


tenha seu espao determinado no oramento das organizaes, com seus devidos
planejamentos, equipes e dependncias. Alm disso, interessante que ela seja
considerada como uma rea funcional da organizao, como a rea financeira ou
a rea de marketing, afinal, a segurana cada vez mais estratgica para todas as
organizaes, principalmente em ambientes cooperativos.
Um ponto importante quanto poltica de segurana que, ao contrrio
da percepo inicial, seu desenvolvimento ajuda a diminuir, e no a
aumentar, os custos operacionais. Isso ocorre porque a especificao dos
recursos a serem protegidos, dos controles e das tecnologias necessrias,
e de seus respectivos valores, resulta em um melhor controle. Alm
disso, ela tambm possibilita o gerenciamento da segurana em nvel
organizacional, em oposio dificuldade de gerenciamento de
solues isoladas de fornecedores aleatrios. (NAKAMURA; GEUS,
2007, p. 199-200).

159
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO

Uma vez que todos os funcionrios da organizao conheam a sua


poltica de segurana e passem a aplic-la, necessrio que as aes de todos
passem a ser verificadas quanto conformidade com a poltica definida. Isso
pode ser feito com auditorias peridicas, que devem ser independentes das
pessoas que a estaro implementando.

A poltica de segurana deve ser aplicada de maneira rigorosa e a


no conformidade deve ser punida, de acordo com as aes disciplinares
previstas na poltica.

Alm da auditoria, o monitoramento e a reviso da poltica so


importantes para a melhoria contnua dos procedimentos de segurana da
organizao, assim como so necessrios em caso de qualquer mudana
que venha a afetar a anlise de risco original, tal como um incidente de
segurana significativo, surgimento de novas vulnerabilidades, mudanas
organizacionais ou na infraestrutura tcnica utilizada, que so comuns em
ambientes cooperativos.

Com o passar do tempo, crucial a manuteno da relevncia dos


pontos da poltica de segurana: novos pontos podem ser adicionados,
quando necessrio, como tambm devem ser removidos os pontos que se
tornarem obsoletos.

FONTE: Nakamura e Geus (2007, p. 200)

8 MAIORES OBSTCULOS PARA IMPLEMENTAO DA


POLTICA
De acordo com Nakamura e Geus (2007, p. 200), alm da dificuldade
natural pertinente implementao da segurana, diversos outros obstculos
podem surgir durante o projeto da poltica de segurana.

A falta de verbas o obstculo mais comum, porm, o fato que,


muitas vezes, isso apenas uma desculpa, utilizada para que as razes
verdadeiras no sejam reveladas. O fato de no conseguir os recursos
necessrios reflete, fundamentalmente, a falha em convencer os executivos da
importncia das informaes e dos sistemas de informaes da organizao,
que devem, portanto, ser protegidos. Uma maneira prtica e comum, porm
questionvel, de conscientizar os executivos sobre este problema uma
simulao de ataque, que deve, necessariamente, ser realizado somente
aps uma aprovao prvia por escrito. Alm disso, a indisponibilidade de
recursos significa prejuzos, pois os negcios podem ser interrompidos como
decorrncia de um ataque.

Outro obstculo a dificuldade dos executivos em compreender os


reais benefcios da poltica de segurana para a organizao. Essa poltica

160
TPICO 3 | POLTICA DE SEGURANA

um meio de assegurar que os objetivos de gerenciamento sejam seguidos


consistentemente dentro da organizao, de tal modo que esses executivos
devem ter conscincia de que, se a poltica for adotada, seu prprio trabalho
ficar consideravelmente mais fcil. Ao fazer com que a implementao
da poltica seja, explicitamente, parte do projeto, existe a possibilidade
de descrever os benefcios trazidos com a poltica de segurana. Por isso,
necessrio tratar essa implementao como um assunto especfico, que
precisa, tambm, da aprovao dos executivos.

preciso que os executivos tenham total compreenso de que


somente aprovar e publicar os documentos referentes poltica desenvolvida
no suficiente. Essa compreenso importante para evitar que os demais
funcionrios da organizao tenham uma m impresso de descaso por
parte dos executivos. A implementao da poltica desenvolvida requer
recursos para o suporte tcnico, para os programas de conscientizao e
treinamento dos usurios, para a substituio e compra de tecnologia e para
o estabelecimento de procedimentos adicionais. Por isso, importante que a
implementao faa parte do projeto global de segurana.

FONTE: Nakamura e Geus (2007, p. 201)

Os executivos podem aprovar uma poltica de segurana apenas


para satisfazer os auditores, e isso acaba comprometendo a prpria
organizao, que pode obter uma poltica incoerente e sem os detalhes
essenciais para o seu sucesso. Esse tipo de comportamento faz com
que os executivos devam ser convencidos de que o melhor a fazer
atuar de modo proativo, em oposio ao comportamento reativo. Sendo
reativos, em caso de algum incidente de segurana, os executivos sero
obrigados a agir em circunstncias negativas e de extrema urgncia e
presso, trazendo, como principal consequncia, problemas quanto
confiana de clientes e de parceiros de negcios, e tambm como a
opinio pblica. O ideal mostrar os estudos que provam que mais
barato considerar a perspectiva de prevenir, deter e detectar do que a
de corrigir e recuperar. (NAKAMURA; GEUS, 2007, p. 202).

As dependncias existentes nos diversos tpicos da poltica, das


normas e dos procedimentos devem ser consideradas para que no sejam feitos
esforos em vo. Por exemplo, uma poltica que torna obrigatrio o uso de uma
autenticao eficiente para todo acesso remoto deve tratar tambm dos aspectos
que dela dependem, como a arquitetura da soluo e dos produtos-padro a
serem utilizados. Sem isso, sua implementao fica comprometida; os usurios
iro reclamar que no conseguem trabalhar remotamente (comprometendo sua
produtividade) e os executivos, por sua vez, iro reclamar que os usurios no
podem trabalhar remotamente, porque no existe a tecnologia que possibilita o
acesso remoto seguro (NAKAMURA; GEUS, 2007).

Uma viso abrangente dos problemas relacionados segurana, juntamente


com o conhecimento dos processos de negcios da organizao, fundamental
para o desenvolvimento da poltica. imprescindvel que exista um lder tcnico,
que seja profundo conhecedor dos aspectos de segurana e tenha uma viso sobre

161
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO

as tendncias e tecnologias nessa rea, a fim de possibilitar a implementao das


normas e dos procedimentos definidos na poltica (NAKAMURA; GEUS, 2007).
necessrio conhecer a complexidade que envolve a rede e os sistemas
de informao, para que os recursos adequados sejam alocados no
desenvolvimento da poltica de segurana. O fato de algum desses
aspectos serem complexos no significa que deva ser ignorado. Para
tanto, preciso recorrer ao auxlio de ferramentas para a realizao
dessa tarefa, tais como um software de planejamento de contingncia.
Essa mesma complexidade exige que a organizao aloque recursos
para sistemas de gerenciamento de redes, sistemas de deteco de
intruses, sistemas de automao e distribuio de software, sistemas de
checagem de licenas de software e outros mecanismos de automao, os
quais as pessoas no podem realizar sozinhas. importante demonstrar
para os executivos as novas ferramentas existentes e o porqu de sua
popularidade, a fim de comprovar que essa complexidade especfica
pode ser gerenciada. (NAKAMURA; GEUS, 2007, p. 202-203).

Alguns executivos podem resistir implementao da poltica, por


acharem que isso trar ameaas ao seu poder e prestgio. Mostrar a esses executivos
a importncia da centralizao e coordenao da poltica essencial, para que
eles deem o apoio necessrio para o sucesso da implementao. Um caso tpico
da importncia da centralizao e padronizao refere-se ao controle de acesso,
quando uma coordenao adequada evita o caos, os aborrecimentos e o desperdcio
de esforos para todos os envolvidos (NAKAMURA; GEUS, 2007).
Geralmente, os executivos no gostam de compartilhar e discutir os
detalhes tcnicos sobre segurana. Porm, importante que todos
estejam engajados nesse processo, porque os executivos precisam
entender que a segurana da organizao no ter sucesso se no houver
o apoio necessrio. Alm disso, a participao ativa dos executivos no
desenvolvimento e na implementao da poltica fundamental para
o seu sucesso, principalmente porque diversas decises de negcios
includas na poltica no podem ser tomadas pelo pessoal tcnico, mas
somente pelos executivos. Um exemplo a poltica de privacidade
de um site de comrcio eletrnico, que demonstra que a segurana
multidisciplinar, requerendo a participao de todos dentro da
organizao. (NAKAMURA; GEUS, 2007, p. 203).

Um processo disciplinar especfico para os casos de no cumprimento da


poltica definida importante para a organizao. Por exemplo, se um usurio
cometer um erro, a primeira medida avis-lo de sua falta. Se o erro se repetir, o
chefe do usurio deve receber um comunicado. Se houver um terceiro erro, o usurio
ser suspenso por duas semanas e se esse erro persistir, o usurio ser demitido.
Essa abordagem crucial para evitar situaes em que o usurio seja sumariamente
demitido, logo no seu primeiro erro, somente para mostrar aos outros funcionrios
quem detm o poder na organizao (NAKAMURA; GEUS, 2007).

9 ESTRUTURA DE UMA POLTICA DE SEGURANA


Nakamura e Geus (2007, p. 215) afirmam que a poltica de segurana deve
refletir a prpria organizao, seguindo sua estrutura, sua estratgia de negcios,
sua cultura organizacional e seus objetivos. Assim, a poltica de uma organizao
no pode ser aplicada diretamente em outra organizao, apesar de existirem
162
TPICO 3 | POLTICA DE SEGURANA

diversos pontos em comum em uma poltica. Mesmo em uma multinacional,


onde normalmente a matriz define a poltica e a expande para suas filiais, um
processo de tropicalizao importante, pois cada pas possui alguns aspectos
caractersticos, como o caso da legislao.

Esta seo apresenta um exemplo de estrutura para uma poltica de


segurana, que muda de acordo com cada organizao. Essa poltica,
como deve ser muito abrangente e flexvel o suficiente para que no
sofra alteraes frequentes, no deve conter detalhes tcnicos especficos
de mecanismos a serem utilizados ou procedimentos que devem
ser adotados por indivduos particulares, mas, sim, regras gerais e
estruturais que se aplicam ao contexto de toda a organizao. Alm disso,
ela deve ser curta o suficiente para que seja lida e conhecida por todos
os funcionrios da empresa. Assim, os detalhes necessrios so inseridos
em normas, procedimentos e polticas especficas para cada caso, como
tambm demonstrado no exemplo. (NAKAMURA; GEUS, 2007, p. 215).

QUADRO 16 EXEMPLO DE ESTRUTURA DE POLTICA DE SEGURANA

1 Introduo
1.1 Poltica de segurana
1.1.1 Informaes gerais
1.1.2 Objetivos
1.2 Estrutura de responsabilidade organizacional
1.2.1.1.1 Servios de informao corporativos
1.2.1.1.2 Servios de informao de unidades de negcio
1.2.1.1.3 Organizaes internacionais
1.2.1.1.4 Encarregados
1.2.2 Padres de segurana
1.2.2.1.1 Confidencialidade
1.2.2.1.2 Integridade
1.2.2.1.3 Autorizao
1.2.2.1.4 Acesso
1.2.2.1.5 Uso apropriado
1.2.2.1.6 Privacidade dos funcionrios
2 Descrio do sistema
2.1 Papel do sistema
2.1.1 Tipo de informao manipulada pelo sistema
Tipos de usurio (administrao, usurio normal, controlador de
2.1.2
impresso etc.)
2.1.3 Nmero de usurios
Classificao dos dados (dados acessveis apenas para o departamento
2.1.4
de finanas, se necessrio)
2.1.5 Quantidade de dados (nmero de bytes)

163
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO

2.1.6 Configurao do sistema


2.1.6.1 Nmero de terminais
2.1.6.2 Nmero de consoles de controle

2.1.6.3 Nmero e tipos de terminais (inteligente, ignorante, de impresso etc.)

2.1.6.4 Arranjos para carregamento de mdia


2.1.6.5 Software (sistema operacional e verso)
2.1.6.6 Interconexes (LAN e WAN)
3 Requisitos de segurana e medidas

3.1 Ameaas confidencialidade, integridade e disponibilidade dos dados

Natureza e recursos de possveis atacantes e atratividade do sistema e


3.2
dos dados como alvo
3.3 Impactos do comprometimento acidental dos dados
4 Plano de resposta a incidentes de segurana
4.1 Preparao e planejamento da resposta a incidentes
4.2 Notificao e pontos de contato
4.3 Identificao de um incidente
4.4 Resposta a um incidente
4.5 Consequncias de um incidente
4.6 Forense computacional e implicaes legais
4.7 Contatos de relaes pblicas
4.8 Passos-chave
4.8.1 Conteno
4.8.2 Erradicao
4.8.3 Recuperao
4.8.4 Acompanhamento
4.8.5 Consequncias/Lies aprendidas
4.9 Responsabilidades
5 Contatos e outros recursos
6 Referncias
FONTE: Adaptado de Nakamura e Geus (2007, p. 216-217)

164
TPICO 3 | POLTICA DE SEGURANA

LEITURA COMPLEMENTAR

Seu plano de continuidade operacional pra valer?

Edison Fontes

O desenvolvimento de aes para garantir a continuidade operacional


considerando situaes de desastre e contingncia tem crescido nestes ltimos
anos em nosso pas. Mas, sem tomar uma posio de pessimismo, julgo que
ainda pouco, considerando a quantidade de organizaes que fazem o Brasil
funcionar. Mesmo assim, muitas daquelas que desenvolvem planos, processos e
procedimentos para situaes de indisponibilidade dos recursos de informao
falham em relao a alguns aspectos ou abordagens para a soluo efetiva do
problema. Podemos destacar alguns desses aspectos:

1) Somente por causa da legislao

O desenvolvimento de planos de continuidade comeou a existir mais


fortemente a partir de exigncia da legislao nacional ou internacional (para aquelas
organizaes que possuem aes em Bolsas no exterior). Este fato no mal, porm
necessrio avaliar friamente, de preferncia por profissional independente se o
que est sendo implementado um plano efetivo para continuidade operacional
ou apenas um documento para ser verificado em auditorias ou situao similar.
O patrocinador desse plano dentro da organizao j indica o nvel de seriedade
com que se deseja implementar a soluo. Quanto maior o poder hierrquico
desse patrocinador, maior ser a concretizao efetiva do plano de continuidade
operacional.

2) Muita economia financeira

Economia de recursos financeiros sempre vlida, porm no se pode


buscar apenas o menor preo em um elemento da soluo quando todo o restante
da soluo tem um padro de excelncia. Faz-se uma instalao eltrica de
referncia internacional e no final coloca-se tomadas de terceira categoria. Pode
ser que na sua organizao no acontea isto, mas acredite que isto acontece em
muitas organizaes. Planos de continuidade no podem falhar por causa de uma
economia do departamento de compras que estava olhando apenas a rvore e no
contemplava toda a floresta.

3) Escopo da soluo

Na maioria das vezes o executivo no conhece o escopo dos riscos que a


soluo desenvolvida para situaes de contingncia abrange. Neste caso o executivo
est consciente da necessidade de planos para situaes de indisponibilidade,
aprovou o oramento apresentado e. pensa que a sua organizao est protegida
para todas as situaes. Na realidade a organizao est protegida para um
conjunto de ameaas. de responsabilidade do profissional de segurana esclarecer

165
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO

formalmente que cenrios e que situaes so cobertos na soluo implementada.


Por exemplo, a organizao tem dois locais distintos e distantes de processamento de
informaes. Esse patamar de proteo contempla a maioria de situaes de desastre
ou contingncia, porm, no ser suficiente para uma situao de sabotagem, onde
os malfeitores sabem da existncia dos dois locais e executaro a sabotagem nos dois
locais. A questo a ser decidida : a ameaa sabotagem deve ser considerada nesta
verso do plano?

4) Confiana no parceiro

Evidentemente ter parceiro de renome e reconhecidamente de confiana


pelo mercado um fator que minimiza riscos. Porm, profissionalmente no
podemos apenas acreditar que o parceiro tem uma soluo para situaes de
indisponibilidade dos seus recursos. Recursos esses que afetam diretamente o
funcionamento da nossa organizao. Devemos verificar se possvel, atravs de
uma auditoria independente por empresa ou profissional especializado. Essa
avaliao deve chegar at o ponto de fazermos testes e simulaes em conjunto.
Parceria exige confiana dentro de um profissionalismo saudvel.

5) Planos de continuidade no so caros ou baratos

Planos de continuidade no so caros ou baratos. Eles devem ser adequados


ao porte e tipo de negcio da organizao. Evidentemente se uma organizao de
grande porte, de atuao nacional com um alto nvel de exigncia para recuperao
desenvolver e implementar um plano cujo custo de milhares de dlares, algo
est errado. Este um plano para milhes de dlares. Mas isto no quer dizer
que pequenas empresas ou mesmo ns como pessoa fsica no podemos ter o
nosso plano para enfrentar situaes de contingncia. Tenho absoluta convico
de que todas as organizaes e todas as pessoas que possuem computadores tm
recursos para implementar um plano de continuidade operacional adequado s
suas necessidades.

6) Plano para situaes de contingncia faz parte do processo de segurana da


informao

No se deve deixar de considerar que o plano para situaes de contingncia


um aspecto do processo de segurana. Sendo assim existem outros elementos do
processo de segurana da informao que so to importantes quanto o plano para
continuidade operacional. Esses elementos so elos que constroem a corrente da
segurana. Se um elo falhar, a corrente rompe e compromete toda a proteo da
informao. Controle de acesso informao e conscientizao dos usurios so
dois exemplos de elementos crticos para a proteo da informao.

7) Devemos buscar o erro zero

Exagero? No! Podemos nos espelhar em um exemplo de segurana fsica,


citado no excelente livro Black Box de Gianfranco Beting, lanado neste ms de
maro em So Paulo, a quem tive o prazer de conhecer: A Air BP, uma empresa
166
TPICO 3 | POLTICA DE SEGURANA

que distribui e comercializa combustvel e lubrificante para o setor aeronutico


tem um nico compromisso: nenhum acidente, nenhum dano s pessoas, nenhum
dano ao meio ambiente. O enfoque do livro para a aviao, mas o aprendizado
para todas as reas. A dependncia que as organizaes possuem dos recursos de
informao j exigem programas sem erros e processos para garantir a continuidade
operacional da organizao quando de situaes de contingncia.

8) O teste para todos

fundamental a participao da rea executiva nas atividades de teste para


que todas as pessoas da organizao entendam que as regras e os procedimentos
foram criados para todos os usurios dos sistemas de informao. A quantidade
de testes e a documentao do teste permitindo que o prximo teste seja melhor do
que o atual uma boa dica de que a organizao busca a continuidade operacional
quando da ocorrncia de situao de contingncia ou desastre.

No devemos ficar neurticos e amedrontados pelas situaes de


contingncia que podem acontecer, porm, profissionalmente devemos analisar
todas as ameaas, desenvolver aes que minimizem o risco dessas ameaas e
explicitar para o executivo qual o escopo e cenrio de contingncia para os quais a
organizao est preparada. No uma tarefa fcil alm de ser um longo caminho
a percorrer. Mas, como em situaes desse tipo o mais importante comear,
progredir sempre e ter a viso holstica da prtica da segurana da informao.
* Consultor, professor e autor de livros de segurana da informao. E-mail: edison@
pobox.com.
FONTE: FONTES, Edison. CISM, CISA. Disponvel em: <http://www.viaseg.com.br/artigo/122-seu_
plano_de_continuidade_operacional_e_pra_valer.html>. Acesso em: 24 jul. 2013.

167
RESUMO DO TPICO 3
Caro(a) acadmico(a)! Neste tpico, voc estudou que:

Todos os usurios de informaes e sistemas de informaes na organizao


precisam conhecer seus papeis e responsabilidades para proteger os ativos da
empresa.

Uma poltica de segurana um documento que registra os princpios de


segurana adotados pela organizao e que devem ser observados por todos os
colaboradores.

A poltica de segurana estabelece linhas-mestres que devem ser seguidas no


processo de implementao da segurana da informao, formalizando aspectos
para proteo, controle e monitoramento dos ativos de informaes.

A poltica de segurana subdividida em trs blocos: diretrizes, normas,


procedimentos e instrues, sendo destinados, respectivamente, s camadas
estratgica, ttica e operacional.

As diretrizes precisam expressar a importncia que a empresa d para a


informao. As normas detalham situaes, ambientes, processos especficos
e fornecendo orientao para o uso adequado das informaes. J os
procedimentos e instrues descrevem cada ao e atividade associada a cada
situao distinta de uso das informaes.

A poltica de segurana o principal elemento para a segurana de qualquer


empresa. o elemento que orienta as aes e as implementaes futuras de uma
maneira global.

Quando uma poltica de segurana planejada e definida, os executivos


demonstram claramente o seu comprometimento e apoio segurana da
informao de toda a organizao.

Os elementos que uma poltica de segurana adequada deve possuir dizem


respeito a tudo aquilo que essencial para o combate s adversidades.

Com a divulgao efetiva da poltica de segurana esta se torna parte da


cultura organizacional, disseminando regras estruturais e controles bsicos da
segurana da informao no contexto da organizao.

Antes de desenvolver a poltica de segurana, os responsveis pela sua


criao devem ter conhecimento dos diversos aspectos de segurana, alm da
familiarizao com questes culturais, sociais e pessoais que envolvem o bom
funcionamento da organizao.

168
AUTOATIVIDADE

1 Quais camadas da estrutura organizacional so contempladas pelos trs


blocos que compem a poltica de segurana, ou seja, diretrizes, normas,
procedimentos e instrues?

2 Quais so os quatro elementos essenciais para a definio da poltica de


segurana e para sua implantao, e o que representa cada um destes?

3 Cite trs consideraes sobre segurana que so importantes para definir


uma boa poltica de segurana.

4 Cite trs exemplos de formas de divulgao da poltica de segurana que


podem ser utilizadas pelas organizaes.

5 Comente dois obstculos que podem surgir durante o projeto da poltica de


segurana.

Assista ao vdeo de
resoluo da questo 4

169
170
UNIDADE 3

AUDITORIA DE SISTEMAS

OBJETIVOS DE APRENDIZAGEM
A partir do estudo desta unidade, ser possvel:

entender a origem, os objetivos, os principais fatores motivadores, a estru-


tura das equipes envolvidas, os controles inerentes ao processo de audito-
ria de sistemas e as principais tcnicas e prticas utilizadas pelas organi-
zaes em auditorias de sistemas;

compreender os mais diferentes tipos de auditorias que podem ser reali-


zadas nas organizaes, visando avaliar os processos de desenvolvimen-
to, implantao e utilizao da tecnologia da informao;

conhecer as principais normas e padres de segurana, nacionais e inter-


nacionais, bem como os benefcios advindos da adoo de uma destas pe-
las organizaes.

PLANO DE ESTUDOS
Esta unidade est dividida em trs tpicos, sendo que ao final de cada um
deles, voc encontrar atividades que auxiliaro na apropriao dos conhe-
cimentos.

TPICO 1 FUNDAMENTOS DE AUDITORIA DE SISTEMAS

TPICO 2 TIPOS DE AUDITORIAS

TPICO 3 NORMAS E PADRES DE SEGURANA

Assista ao vdeo
desta unidade.

171
172
UNIDADE 3
TPICO 1

FUNDAMENTOS DE AUDITORIA DE SISTEMAS

1 INTRODUO
Todo sistema est sujeito a falhas, erros e mal uso de recursos em geral.
Tanto o computador como a mente humana so instrumentos para grandes
realizaes, porm no so infalveis. (SCHMIDT; SANTOS; ARIMA, 2006, p. 11).

Devido existncia desse risco, administradores e proprietrios de


pequenas e grandes empresas devem, de acordo com Schmidt, Santos e Arima
(2006, p. 11), ter um interesse comum pela manuteno da integridade dos
sistemas e das pessoas envolvidas no ambiente de tecnologia de informao.

O sistema de informao um grande e valioso recurso para a organizao.


Segundo Schmidt, Santos e Arima (2006, p. 11), para que ele seja utilizado da melhor
forma possvel e esteja protegido contra eventuais atos de violao e sinistros,
necessrio que os controles sejam considerados desde a fase de concepo.

Ainda de acordo com Schmidt, Santos e Arima (2006, p. 11),

todos os controles so ferramentas que podem estar integradas ou no


a determinado sistema de informao aplicativo, visando obteno de
segurana contra as ameaas presentes ou potenciais no ambiente de
informtica. A garantia de funcionamento desses controles, bem como
da reviso e avaliao do controle interno, por sua vez, resultado do
bom trabalho de auditoria.

2 CONCEITOS DE AUDITORIA DA TECNOLOGIA DE


SISTEMAS
A auditoria em ambiente de tecnologia de informao no muda a formao
exigida para a profisso de auditor, apenas percebe que as informaes at ento
disponveis em forma de papel so agora guardadas em forma eletrnica e que o
enfoque de auditoria, segundo Imoniana (2011, p. 16) teria que mudar para se
assegurar de que essas informaes em forma eletrnica sejam confiveis antes de
emitir sua opinio.

173
UNIDADE 3 | AUDITORIA DE SISTEMAS

De acordo com Imoniana (2011, p. 17), a filosofia da auditoria de


tecnologia de informao est calada em confiana e em controles internos. Estes
visam confirmar se os controles internos foram implementados e se existem. Caso
existam, ento verificado se eles so efetivos.

As atividades de auditoria de tecnologia de informaes, alm de tentar


utilizar os recursos de informtica para auditar o prprio computador, tambm
visam automatizar todos os processos de auditoria. Imoniana (2011, p. 17) comenta
que como em qualquer outra atividade, as empresas de auditoria tambm buscam
um diferencial competitivo. Entre outros objetivos, so considerados:

a) Melhorar a eficincia e reduzir os custos.


b) Melhorar a qualidade do trabalho de auditoria, reduzindo, assim, os
nveis de risco de auditoria.
c) Atender s expectativas dos clientes, que esperam de seus auditores o
mesmo grau de automatizao que utilizam em seu prprio negcio.
d) Preparar-se para a globalizao dos negcios, que vem exigindo uma
globalizao dos auditores.
e) Manter-se entre as maiores e mais reconhecidas pelo mercado.

Schmidt, Santos e Arima (2006, p. 19) afirmam que geralmente, os objetivos


da auditoria tm em vista:

a) Assegurar a adequao do sistema de controles que est implantado e


que est sendo utilizado.
b) Determinar se os recursos esto sendo utilizados em funo da anlise de
custo e benefcio.
c) Checar se os ativos esto salvaguardados apropriadamente.
d) Revisar a integridade, confiabilidade e eficincia do sistema de informao
e dos relatrios financeiros nele produzidos.

De acordo com Imoniana (2011, p. 17), os benefcios da automao


compreendem:

Treinamento de pessoal e superao de resistncias tecnologia.


Decises de quais tarefas devem ser automatizadas primeiro.
Avaliao, escolha e implantao de softwares e hardwares.
Gerenciamento de arquivos eletrnicos: dispositivos de segurana e
backup.
Disponibilizao de equipamentos para toda a equipe de auditores,
podendo trabalhar em redes.
Instalao e manuteno de uma malha de comunicaes.
Maior transferncia de conhecimento entre os membros da equipe e entre
trabalhos de equipes diferentes.

174
TPICO 1 | FUNDAMENTOS DE AUDITORIA DE SISTEMAS

Independncia das limitaes impostas pelos arquivos de auditoria em


papel.
Economia de tempo das atualizaes.
Melhor qualidade na apresentao.
Liberao de funcionrios mais experientes para que se dediquem a reas
mais tcnicas e de maior risco.
Agregao de valor ao trabalho de auditoria.
Formao de equipes virtuais (groupware), maximizando a especializao.
Fluxo de informaes mais rpido.
Maior satisfao profissional.
Maior respeito pelo auditado.
Maior produtividade.
Realizao das tarefas sem a automatizao pelos profissionais menos
experientes. Antes, somente, poderiam ser executadas por profissionais
mais experientes.

3 ABORDAGEM DE AUDITORIA DE SISTEMAS DE


INFORMAO
Para auditar as informaes em ambiente de TI, o auditor poder desenhar
as abordagens que lhe convm. Segundo Imoniana (2011, p. 18), as abordagens
mais comuns so: abordagens ao redor do computador, atravs do computador e
com o computador.

A auditoria tradicional sempre foi conhecida por sua responsabilidade


nos testes de confiabilidade dos registros de acordo com os documentos-fonte (os
documentos que geram todas as transaes econmicas, financeiras e contbeis)
disponveis atravs de quaisquer dados intermedirios que possam existir e para
os quais so produzidos relatrios para a tomada de decises gerenciais. Porm,
conforme Imoniana (2011, p. 18), devido evoluo das tecnologias de informao,
que interfere nas tecnologias gerenciais, gerao a gerao, necessrio guardar as
informaes para que sejam acessveis para auditoria quando forem requisitadas.
Sabe-se que, devido complexidade dos ambientes e expanso dos negcios
que atingiram implementaes em ambiente de intranet e internet, h grandes
problemas quanto vulnerabilidade de computadores e alguns casos comuns de
fraudes.

Imoniana (2011, p. 18) comenta que, dependendo da sofisticao do sistema


computadorizado, em que se supe que o auditor seja operativo, e considerando
as caractersticas do auditor de tecnologia de informaes, este pode usar qualquer
das trs abordagens nomeadas a seguir:

175
UNIDADE 3 | AUDITORIA DE SISTEMAS

1. Abordagem ao redor do computador.


2. Abordagem atravs do computador.
3. Abordagem com o computador.

3.1 ABORDAGEM AO REDOR DO COMPUTADOR


Auditoria ao redor do computador, no passado, era uma abordagem muito
solicitada pelos auditores, devido ao no envolvimento de muita tecnologia de
informao. De acordo com Imoniana (2011, p. 19), a abordagem requer que o auditor
examine os nveis de anuncia associados aplicao dos controles organizacionais,
no que concerne tecnologia de informao.

Isso significa a auditoria de documentos-fonte com as funes de entrada


subjacentes e dominando as funes de sada, que se encontram em formatos de
linguagem legvel por leigos em informtica. Segundo Imoniana (2011, p. 19),

O sistema de processamento eletrnico de dados nesta era foi somente


usado para tarefas menores, tais como obteno de nveis de estoque
e sugestes para realimentao quando forem reais. As operaes
simples, tais como o isolamento de estoques com pouca movimentao
e estoques obsoletos, so executadas pelos computadores s funes de
impresso dos relatrios.

H, geralmente, um questionamento quanto operao deste mtodo, no


qual, se indaga se de fato uma boa prtica de auditoria. Todavia, a dificuldade
para decidir deu-se devido capacidade de tais sistemas serem programados para
executar operaes contbeis simples e os auditores conduzirem como tarefas,
avaliando simples entradas e sadas dos sistemas. Para Imoniana (2011, p. 19), deve-
se notar que, apesar de essa abordagem no ser to apropriada para ambientes
complexos, ela ainda bastante conveniente para sistemas menores, onde a maior
parte das atividades de rotina executada manualmente.

De acordo com Imoniana (2011, p. 19), as vantagens associadas ao uso desta


abordagem so:

a) No exige conhecimento extenso de tecnologia de informao para que o


auditor possa operar convenientemente este mtodo, e isto faz com que as
tcnicas e ferramentas de auditoria sejam vlidas.

b) Tambm sua aplicao envolve custos baixos e diretos.

Ainda de acordo com Imoniana (2011, p. 20), as desvantagens no uso desta


abordagem so:

176
TPICO 1 | FUNDAMENTOS DE AUDITORIA DE SISTEMAS

a) Restrio operacional quanto ao conhecimento de como os dados so


atualizados faz com que a auditoria seja incompleta e inconsistente, uma vez
que o processo operacional dinmico, atendendo s necessidades sociais.
b) A eficincia operacional de auditoria pode ser avaliada com maior
dificuldade, visto que no h parmetros claros e padronizados.
c) Uma vez no sendo necessria que o auditor possua maior capacidade
profissional adequada, no que se refere tecnologia de informao,
para capacit-lo a executar uma reviso mais lgica, o sistema pode ser
enquadrado em limites de grande risco, quando houver uma evoluo e os
documentos-fonte sarem de seu controle.
d) As avaliaes de tecnologia de informaes, seja ambiente de uso pequeno,
significativo ou complexo, no importa, se executar algum procedimento de
auditoria que exclua as Unidades Centrais de Processamento (CPU) e suas
funes aritmtica a lgica, no podemos afirmar que tal abordagem de
auditoria tenha sido representativa e global de toda tecnologia de informao
daquela organizao. Assim, as decises tomadas baseadas em relatrios de
tais auditorias podem ser distorcidas.

3.2 ABORDAGEM ATRAVS DO COMPUTADOR


O uso desta abordagem envolve mais do que mera confrontao de
documentos-fonte com os resultados esperados, uma vez que os sistemas tm
evoludo muito. No entanto, segundo Imoniana (2011, p. 20), este mtodo alerta
quanto ao manuseio de dados, aprovao e registro de transaes comerciais,
sem deixar evidncias documentais razoveis atravs dos controles de programas
construdos junto aos sistemas. Por esta razo o auditor precisa acompanhar o
processamento atravs de dentro do computador.

A abordagem melhora o mtodo de auditoria ao redor do computador.


Assim, auditando com este mtodo, uma pessoa poderia requisitar, de muitas
maneiras, como praticada na abordagem ao redor do computador, a verificao
dos documentos-fonte com dados intermedirios. Porm, de acordo com Imoniana
(2011, p. 20), estabelece ao auditor uma maior nfase em todas as tcnicas que
utilizam o computador como uma ferramenta para testar a si prprio e, tambm,
testar uma entrada de dados.

As pessoas a favor do uso de abordagem atravs do computador apoiam o


uso de test data. Para Imoniana (2011, p. 20) o processamento de um dispositivo
capaz de simular todas as transaes possveis.

Imoniana (2011, p. 21) indica as seguintes vantagens quanto ao uso desta


abordagem:

a) Capacita melhor o auditor a respeito de habilidade profissional no que


tange a conhecimento de processamento eletrnico de dados.
b) Capacita o auditor a verificar com maior frequncia as reas que necessitam
de reviso constante.

177
UNIDADE 3 | AUDITORIA DE SISTEMAS

As desvantagens desta abordagem, segundo Imoniana (2011, p. 20) so:

a) Se a operao for efetuada incorretamente, pode levar a perdas


incalculveis.
b) O uso da abordagem pode ser caro, principalmente no que diz respeito
ao treinamento de auditores, aquisio e manuteno dos pacotes de
software.
c) Partindo do pressuposto de que os pacotes so completos, podem estar
errados. As tcnicas manuais podem ser necessrias como complementos
para que a abordagem funcione efetivamente.
d) H risco de que os pacotes possam estar contaminados pelo uso frequente
na auditoria organizacional.

3.3 ABORDAGEM COM O COMPUTADOR


A primeira abordagem, ao redor do computador, de acordo com Imoniana
(2011, p. 21), no eficiente devido ao fato de que negligencia algumas das
qualidades dos controles internos dos sistemas e propicia falta de disponibilidade
de testes substantivos convincentes que visam ajudar na concluso sobre os
sistemas.

Ainda conforme Imoniana (2011, p. 21), a segunda abordagem, atravs do


computador, preferida como superior primeira, pode tambm produzir registros
incompletos. Ao invs de efetuar uma verificao de equilbrio com as ferramentas,
ela tende a negligenciar os procedimentos manuais, deixando incompleta a maioria
das tarefas normalmente efetuadas manualmente.

Devido a estas razes, Imoniana (2011, p. 21) afirma que as empresas de


auditoria e pesquisadores da rea contbil propuseram um meio de auditar as
tecnologias de informao com a maior perfeio possvel, utilizando a abordagem
com o computador completamente assistida.

Fazendo uma sntese do processo, alguns objetivos tm sido alcanados.


So eles:

a) A utilizao das capacidades lgicas e aritmticas do computador para verificar se


os clculos das transaes econmicas e financeiras ou aqueles que dizem respeito
s responsabilidades, como, por exemplo, o clculo das depreciaes, taxas e
impostos, multiplicaes e contabilizaes (footings), so feitos corretamente.
b) A utilizao das capacidades de clculos estatsticos e de gerao de amostras que
facilitem confirmaes de saldos necessrias para aferir a integridade de dados
de contas a receber, estoques imobilizados, advogados, entre outros.
c) A utilizao de capacidades de edio e classificao do sistema computadorizado,
a fim de ordenar e selecionar os registros de contabilidade. Por exemplo, atravs
de varredura de base de dados de sistema de estoque, um auditor pode ser capaz

178
TPICO 1 | FUNDAMENTOS DE AUDITORIA DE SISTEMAS

de apontar com preciso os itens de movimento mais vagarosos, obsoletos, e


isol-los dos itens de movimentos rpidos, para facilitar anlises mais complexas
e substantivas.
d) A utilizao das capacidades matemticas do computador para analisar e
fornecer listas de amostras de auditoria. Pode, tambm, incluir a confirmao dos
resultados de auditoria executada manualmente, como dos clculos globais.

Uma grande facilidade do uso desta abordagem, de acordo com Imoniana


(2011, p. 22) a disponibilidade e uso vantajoso de:

a) Capacidades de auditoria de aplicar Tcnicas de Auditoria Assistida por


Computadores (TAAC), em outro momento chamadas CAAT (Computer Assisted
Audit Techniques).
b) Possibilidades de desenvolver programas especficos para serem usados pelo
auditor quando da necessidade de evidenciar uma opinio sobre o processo
contbil.
c) Ganhar tempo sobre os passos aplicados com o uso de pacote generalizado de
auditoria de tecnologia de informao.

4 ORGANIZAO DE TRABALHO DA AUDITORIA DE TI


O processo de organizao dos trabalhos de auditoria de tecnologia de
informaes segue a norma de execuo de trabalhos, o principal componente
das normas de auditoria geralmente aceitas. Segundo Imoniana (2011, p. 22), essa
norma contempla:

Planejamento de auditoria.
Avaliao de riscos de auditoria.
Superviso e controle de qualidade.
Estudo e avaliao do sistema contbil e de controles internos e
aplicao dos procedimentos de auditoria.
Documentao da auditoria.
Avaliao da continuidade normal dos negcios da entidade.
Aplicao de amostragens estatsticas.

4.1 PLANEJAMENTO
A atividade de planejamento em auditoria de sistemas de informaes
imprescindvel para melhor orientar o desenvolvimento dos trabalhos. De acordo
com Imoniana (2011, p. 23),

como o trabalho de auditoria representa processo contnuo de


avaliao de risco ao qual se adicionam as experincias individuais
dos profissionais e a evoluo da prtica e metodologias, aliadas aos
resultados dos trabalhos e processos de negcios, anteriormente
objetos de avaliao dos auditores, o planejamento caracterizado para
evitar quaisquer surpresas que possam acontecer tanto nas atividades
empresariais, objetivo de auditoria, como tambm em relao
responsabilidade dos auditores.

179
UNIDADE 3 | AUDITORIA DE SISTEMAS

Ainda de acordo com Imoniana (2011, p. 23),

desde os primeiros trabalhos deve ser desenhada uma matriz de risco


que seja permanentemente atualizada a partir dos resultados obtidos
nos testes e nas avaliaes dos auditores, assim como do impacto das
mudanas ocorridas no negcio resultante de alteraes estatutrias,
legislaes, mudanas nas leis ambientais, social e econmica ou
qualquer outro fator que tenha reflexo nas demonstraes financeiras,
continuidade operacional, qualidade dos controles e, sobretudo, nos
processos operacionais.

4.2 ESCOLHER A EQUIPE


Um planejamento detalhado e atualizado com base nas principais
mudanas de negcio permite indicar o perfil bsico da equipe de auditoria TI, o
qual, segundo Imoniana (2011, p. 25) contempla o seguinte:

a) Perfil e histrico profissional.


b) Experincia acumulada por ramos de atividade.
c) Conhecimentos especficos.
d) Apoio do grupo de especializao.
e) Formao acadmica.
f) Lnguas estrangeiras.
g) Disponibilidade para viagens etc.

4.3 PROGRAMAR A EQUIPE


O encarregado de auditoria deve programar a equipe para executar os
trabalhos. Para Imoniana (2011, p. 25), a programao de uma equipe de auditores
com o perfil adequado para a realizao do trabalho previsto no suficiente
para garantir que todos os riscos de auditoria sejam minimizados pelos testes de
auditoria, no entanto, devem-se observar as habilidades que permitem:

a) Gerar programas de trabalho que extraiam dados corretos para testes.


b) Selecionar procedimentos mais apropriados.
c) Incluir novos procedimentos.
d) Classificar trabalhos por visita.
e) Orar tempo e registrar o real.
f) Evidenciar corretamente os trabalhos realizados; utilizando-se softwares
de amostragens estatsticas, entre outros, para otimizar os trabalhos.
g) Gerar relatrios em consonncia com os trabalhos efetuados.

180
TPICO 1 | FUNDAMENTOS DE AUDITORIA DE SISTEMAS

4.4 EXECUO DE TRABALHOS E SUPERVISO


As tarefas devero ser realizadas por auditores que tenham formao,
experincia e treinamento adequados no ramo de especializao. Para Imoniana
(2011, p. 25),

dependendo da complexidade do ambiente operacional, aparente


risco envolvido, os trabalhos sero desenvolvidos conforme vivncia
profissional, ou seja, tarefas mais simples e de menor risco sero
desempenhadas por membros menos experientes, e tarefas mais
complexas ou de maior risco sero de responsabilidade dos membros
mais experientes e de melhor formao da equipe.

A questo de superviso inerente ao processo de auditoria para garantir


a qualidade e certificar que as tarefas foram adequadamente feitas. Isto ainda
permite cobrir os riscos provveis identificados.

4.5 REVISO DOS PAPIS DE TRABALHOS


Como tarefa para atingir a qualidade exigida pelas prticas de auditoria,
os papis de trabalhos so revisados pelos superiores, que tm a incumbncia de
assinar junto com seus subordinados o cumprimento de cada passo de auditoria
concludo. Segundo Imoniana (2011, p. 26), eventualmente, em decorrncia dos
trabalhos de auditoria, falhas ou recomendaes para melhorias so identificadas
e limitam a concluso do auditor, assim como determinados procedimentos que
no tenham sido cumpridos por restries do prprio cliente.

No entanto, Imoniana (2011, p. 26) afirma que, o revisor, no identificando


outros passos de auditoria independentes, poder solicitar uma nova visita
para completar os trabalhos. Contudo, para as pendncias de reviso, deve ser
analisado o reflexo do aumento ou alterao do escopo, novos trabalhos, nova
abordagem, impacto no parecer final, na carta de representao da gerncia.

181
UNIDADE 3 | AUDITORIA DE SISTEMAS

4.6 ATUALIZAO DO CONHECIMENTO PERMANENTE


O conhecimento em determinado perodo de auditoria, dito como aquele
que muda com pouca frequncia, sempre fundamental e serve como ponto de
partida para o perodo subsequente. Para Imoniana (2011, p. 26), a manuteno
em forma eletrnica, a documentao da descrio e a avaliao do ambiente de
controle interno, controles gerais e dos sistemas aplicativos e processos de negcios
contribuiro para a reduo das horas de auditoria do perodo seguinte.

Para Imoniana (2011, p. 27), entre as informaes relevantes destacam-se:

a) Descrio do processo de negcios.


b) Levantamento e avaliao do ambiente de controle.
c) Documentao e concluso sobre a avaliao dos controles dos processos
relevantes.
d) Matriz de risco que pontue riscos aparentes para todos os principais
componentes da demonstrao financeira.
e) Excees dos testes.
f) Falhas ou fraquezas nos testes de controles internos.
g) Programas de trabalho.

4.7 AVALIAO DA EQUIPE


A fim de garantir a evoluo e o aprimoramento tcnico dos profissionais
da equipe de auditoria de TI, Imoniana (2011, p. 27) afirma:

Deve-se avaliar o desempenho, elogiando os pontos fortes do


auditor, auxiliar no reconhecimento das fraquezas e na elaborao
de um plano para super-las para que se desenvolva um profissional
qualificado e consciente. Como de praxe, para cada trabalho no qual
um profissional programado, o sistema que controla a programao
emitir eletronicamente uma avaliao de desempenho j preenchida
pelo superior, isto fundamental para nortear a promoo ou no do
profissional.

5 DOCUMENTAO DOS PAPIS DE TRABALHO


Os papis de trabalhos constituem um conjunto de formulrios preenchidos
logicamente no processo de auditoria de sistemas, com seus anexos, que
evidenciem os fatos relatados. Se esses anexos forem provas documentais, podem
ser escaneados para serem documentados eletronicamente. Contm informaes
coligidas durante o teste, os procedimentos executados e as opinies formadas
sobre o objeto de auditoria. (IMONIANA, 2011, p. 27).

182
TPICO 1 | FUNDAMENTOS DE AUDITORIA DE SISTEMAS

Os papis de trabalhos, independentemente de seu enfoque ser sistmico


ou manual, devem ser autossuficientes e no devem necessitar, subsequentemente,
de explicaes verbais e adicionais do preparador a fim de detalhar a metodologia
adotada. Imoniana (2011, p. 27) afirma que, como o objetivo desta seo se restringe
a aspectos de documentao eletrnica de papis, no esto sendo abordados os
critrios minuciosos de elaborao de papis.

6 DESENVOLVIMENTO DA EQUIPE DE AUDITORIA


A crescente complexidade dos ambientes de tecnologia de informaes
tem criado uma preocupao por parte dos usurios dos servios de auditoria,
gerando uma expectativa quanto ao desenvolvimento da capacidade de auditoria
para atenuar os riscos, tais como, fraudes intencionais ou no intencionais.
(IMONIANA, 2011, p. 33).

No passado recente, os profissionais de auditoria e de tecnologia de
informaes desenvolveram-se em suas atividades independentes um do outro.
No entanto, segundo Imoniana (2011, p. 33), com as necessidades de sinergias
operacionais e a demanda perptua para interao interdisciplinar, os prprios
auditores menos qualificados em questes de tecnologia de informaes solicitam
apoio dos especialistas em Cincia da Computao para melhor auditar este ambiente.
Esses trabalhos em grupo iniciam-se com a avaliao ao redor do computador.

Para que o auditor venha a atuar apropriadamente como auditor de


tecnologia de informaes, seu know-how relativo tecnologia avanada precisa
ser aprimorado. Conforme Imoniana (2011, p. 33), abaixo seguem as estratgias
normalmente implementadas para compor a equipe de auditoria de TI:

Treinar um nmero de auditores internos ou independentes em conceitos


e prticas de tecnologia de informaes e mtodos para a aplicao das
tcnicas e ferramentas de auditoria em ambiente computadorizado.
Treinar alguns analistas de sistemas em prtica e princpios de auditoria
geral e no uso de tcnicas e ferramentas de auditoria.
Contratar e treinar auditores, fornecendo-lhes tanto conhecimento de
auditoria como de tecnologia de informaes para compor a equipe desde
o incio.
Contratar auditores com larga experincia com objetivo de torn-los
auditores de tecnologia de informaes.

Geralmente, dificuldades tm sido encontradas pelos auditores com relao


s vrias estratgias. Para Imoniana (2011, p. 34), os auditores so cticos e andam
com relutncia quanto proposta de se adequarem tecnologia de informaes para

183
UNIDADE 3 | AUDITORIA DE SISTEMAS

auditar os sistemas computadorizados. Por outro lado, os analistas de sistemas


veem a alternativa de estudar a auditoria para atuar como auditor de tecnologia
de informaes como um redirecionamento de suas carreiras. Entretanto, com
ausncia de relutncia, os auditores sentem-se incumbidos de se atualizar para
atender nova ordem da atuao profissional, ou seja, adquirir um know-how de
TI.

NOTA

Numa outra viso sobre a opo de treinar analistas de sistemas, o profissional


no est totalmente maduro por um curto prazo de treinamento para adquirir um senso crtico
e de julgamento profissional do auditor, podendo comprometer os propsitos. (IMOANIANA,
2011, p. 34).

7 CONTROLES INTERNOS E AVALIAO


Segundo o Instituto Americano dos Contadores Pblicos Certificados,
atravs do Relatrio Especial da Comisso de Procedimentos de Auditoria, controle
interno o "plano de organizao e todos os mtodos e medidas coordenados,
aplicados em uma empresa, a fim de proteger seus bens, conferir a exatido e a
fidelidade de seus dados contbeis, promover a eficincia e estimular a obedincia
s diretrizes administrativas estabelecidas pela gesto". (SCHMIDT; SANTOS;
ARIMA, 2006, p. 12).

Essa definio, de acordo com Schmidt, Santos e Arima (2006, p. 12),


identifica a principal estrutura do ciclo gerencial em termos de planejamento,
execuo e controle, relacionando uma diversidade de meios disposio da
alta administrao para a devida aplicao das funes gerenciais dentro da
organizao.

Ao analisar a extenso dessa definio, Schmidt, Santos e Arima (2006, p.


12) observa a existncia dos seguintes itens, ao qual o controle deve atender:

Proteo dos bens.


Conferncia da exatido e da fidelidade dos dados contbeis.
Promoo da eficincia operacional.
Estmulo obedincia das diretrizes administrativas estabelecidas.

Esses itens, conforme Schmidt, Santos e Arima (2006, p. 12) possibilitam


a determinao de diversos parmetros de controle interno, permitindo o
estabelecimento de objetivos de desenvolvimento do trabalho da auditoria de
sistemas.
184
TPICO 1 | FUNDAMENTOS DE AUDITORIA DE SISTEMAS

7.1 FUNDAMENTOS DE CONTROLES INTERNOS EM SI

O conceito de Controle Interno em um sistema de informao,


conforme declarao do Instituto Americano de Contadores Pblicos,
significa "planos organizacionais e coordenao de um conjunto de mtodos
e medidas adotado numa empresa, a fim de salvaguardar o ativo, verificar
a exatido e veracidade de registros contbeis, promover a efetividade de
sistema de informao contbil e eficincia operacional, assim como fomentar
uma grande adeso s polticas da organizao".

FONTE: Adaptado de: <http://everson.com.br/files/Auditoria%20-%20impress%C3%A3o.pdf>.


Acesso em: 14 ago. 2013.

Segundo Imoniana (2011, p. 40), o uso do computador de forma alguma


altera os conceitos bsicos de um sistema de controle interno. O que muda so
as abordagens diferentes, usadas em um ambiente de tecnologia de informao,
distintas das do ambiente manual.

Com o aumento no uso de tecnologia de informaes nos negcios, o


auditor incorpora a nova tarefa, inclui reviso de controles em sua cobertura de
riscos empresariais, assim como enfatiza o evangelho de anuncia s caractersticas
essenciais de controle. Para Imoniana (2011, p. 40), a auditoria de sistema de controle
interno de uma organizao inclui verificaes dos processos e confirmao quanto
sua efetividade, e por isso que regido pela lei da variedade de requisitos.
Agora, o problema repousa na semelhana de variedade de sistemas contbeis
existentes e seus processos de apoio deciso gerencial.

Entretanto, esta ltima caracterstica deveria ser observada se a organizao,


devido a seu sistema dinmico operacional claramente definido, tem que manter
fidelidade e/ou integridade de informao, eficiente e eficaz. De acordo com
Imoniana (2011, p. 40), a eficcia de um sistema tem sido visualizada quanto ao
que concerne consecuo da misso de tecnologia de informao.

NOTA

Se o objetivo do sistema for reduzir o headcount ou agilizar o processo de tomada


de deciso, este tem que ser atingido, ou o sistema no vir ao encontro da sua expectativa, e
pode ser julgado a partir da funo de fornecer informao necessria ao processo de tomada
de deciso da gerncia. (IMONIANA, 2011, p. 41).

185
UNIDADE 3 | AUDITORIA DE SISTEMAS

Para Imoniana (2011, p. 41), os principais objetivos de um sistema geral de


controle interno so:

Salvaguardar o ativo de uma organizao.


Manter a integridade.
Correo e confiabilidade dos registros contbeis.
Promover a eficincia operacional.
Encorajar o cumprimento dos procedimentos e polticas da gerncia.

NOTA

Esses objetivos no apresentam diferenas nos procedimentos de controles


internos em ambientes de tecnologia de informaes. (IMONIANA, 2011, p. 41).

Ao falar sobre princpios de controles internos geralmente aceitos em


ambiente de tecnologia de informao, que constituem a parte integral dos
objetivos e princpios de controles internos em mbito global, segundo Imoniana
(2011, p. 41), alguns destes princpios esto em operao, dentro dos ambientes
computadorizados, e so aceitos em tais ambientes. Dentre eles esto os seguintes:

Superviso
A gerncia por objetivos, procedimentos e tomada de decises deve
manter um controle que a capacite a uma superviso efetiva dentro do
ambiente de tecnologia.
Registro e comunicao
A gerncia da empresa deve estabelecer critrios para criao,
processamento e disseminao de informao de dados atravs de
autorizao e registro de responsabilidade.
Segregao das funes
As responsabilidades e ocupaes incompatveis devem estar segregadas
de maneira a minimizar as possibilidades de perpetuao de fraudes e at
de suprimir erro e irregularidade na operao normal.
Classificao de informao
A gerncia deve estabelecer um plano para classificao de informao
que melhor sirva s necessidades da organizao, em conformidade com
os princpios da contabilidade e tambm padres de auditoria geralmente
aceitos.

186
TPICO 1 | FUNDAMENTOS DE AUDITORIA DE SISTEMAS

Tempestividade
A gerncia deve delinear procedimentos, monitorar os registros
corretos das transaes econmicas, financeiras e contbeis das empresas,
processando-as e comunicando os resultados s pessoas necessrias em
tempo hbil.
Auditoriabilidade
Os procedimentos operacionais devem permitir a programao
e verificao peridica no que concerne preciso do processo de
processamento de dados e de gerao do relatrio, de acordo com as
polticas.
Controle independente
Os sistemas em funcionamento devem ter procedimentos adequados
para identificao e correes de erros no fluxo de processamento,
inclusive nos processos executados concomitantemente.
Monitoramento
A gerncia deve possuir acesso master ao sistema e controle de uso que
lhe permita fazer o acompanhamento pari passu das transaes.
Implantao
A gerncia deve planejar a aquisio, o desenvolvimento, a manuteno
e a documentao de sistema, de forma a coincidir com as metas
empresariais.
Contingncia
A gerncia deve implementar um plano adequado e procedimentos de
implantao para prevenir-se contra as falhas de controles que podem
surgir durante especificaes de sistema, desenho, programao, testes e
documentao de sistemas e nas fases ps-implantaes.
Custo efetivo
Investimentos em tecnologia da informao devem ser propriamente
planejados, a fim de coincidirem com o custo efetivo.
A natureza e extenso de controles necessrios em ambiente de tecnologia
de informao variam, paulatinamente, de acordo com a complexidade da
tecnologia de informao em operao. Para algum que diligentemente
acompanhe o sistema de controle em um ambiente particular, imperativo
que determine e padronize os tipos de equipamentos em operao, a
natureza dos dados que so processados e os procedimentos metodolgicos
existentes. Num ambiente de sistema computadorizado bsico, que
processe seus dados mais manualmente do que computacionalmente,
pode haver uma necessidade de procedimentos tais como: identificao,
autorizao, autenticao e classificao de dados que sejam realizados
manualmente. Evidentemente, o sistema necessitar mais de controles
convencionais do que de controles modernos e computadorizados, que
so bastante direcionados para ambientes de tecnologia de informao
mais complexos.

187
UNIDADE 3 | AUDITORIA DE SISTEMAS

Para isso, vrios tipos de controles so estabelecidos pela gerncia de


uma organizao para manter uma administrao prpria de um sistema
computadorizado. Eles envolvem os controles organizacionais, controles
de segurana e privacidade, controles de preparao, controles de entrada
e controles de processamento. Outros so controles de recuperao e
armazenamento de dados e controles de sada.

7.2 AVALIAO DOS CONTROLES INTERNOS


A avaliao dos procedimentos de controles internos em ambientes de
sistemas de informaes de uma organizao um trabalho executado pelo auditor
que tenha habilidade em tecnologia de informaes.

No contexto normal de auditoria financeira, ele tem o propsito de certificar


a veracidade das demonstraes financeiras para fins de pareceres, quando este
examina o nvel de aderncia aos controles internos em tecnologia de informao na
consecuo das transaes econmicas e financeiras, contbeis, ambiental e social.
Envolve os testes de observncia e testes substantivos. Os testes de observncia
fornecem a segurana adequada de que os controles operacionais dos sistemas
de informaes esto sendo estritamente aderidos. Podem surgir questes a esse
respeito como as seguintes:

Os procedimentos necessrios concebidos nos sistemas foram executados?


Para que foram executados?
O auditor, quando do incio da avaliao dos sistemas, leva em
considerao suas concluses sobre os riscos de controles, a fim de que
venha a ter viso preliminar com respeito efetividade dos controles e de
que so confiveis e possuem um grau razovel de segurana?

FONTE: Imoniana (2011, p. 51)

Supondo que um sistema tpico seja colocado em teste de observncia,


o auditor, ento, faz julgamento a partir da evidncia que est sua disposio,
a fim de verificar se h necessidade de executar um teste analtico substantivo.
Conforme Imoniana (2011, p. 51), se ocorrer a ltima probabilidade, o auditor,
ento, executa os testes preliminares e aprofunda-os em tais reas.

Para Imoniana (2011, p. 51), quanto mais fortes os reflexos de controle


interno dentro de uma organizao, menor ser a intensidade dos trabalhos de
avaliao dos controles internos e tambm a relao com a integridade de dados e
vice-versa.

188
TPICO 1 | FUNDAMENTOS DE AUDITORIA DE SISTEMAS

Cr-se que os sistemas computadorizados, ao inverso dos sistemas manuais,


tm maior consistncia, mas estes no excetuam a execuo do teste de anuncia.
Segundo Imoniana (2011, p. 51), algum pode sempre pegar alguns dados e tra-
los corretamente a partir do input, direcionando-os atravs do processamento
at o output, para ver se houve adequado procedimento de processamento e em
conformidade com as polticas de gerenciamento.

Para Imoniana (2011, p. 51), sabido que alguns destes sistemas so mais
vulnerveis do que outros. Por exemplo: consideram-se as fases de manuseio
de dados fsicos como mais susceptveis a fraudes por computador do que
outros controles, e sugere-se ateno especial no processo de sua avaliao. A
discriminao dos subsistemas tambm no novidade. Isto tende a atribuir maior
importncia ao relacionamento entre custos e benefcios de um ponto de controle
ao qual se deve prestar mais ateno.

Em qualquer sistema de informao complexo ou moderado, segundo


Imoniana (2011, p. 51), sua avaliao pelos auditores internos se processa atravs
do uso de ferramentas adequadas de auditoria, mtodos e tcnicas.

Imoniana (2011, p. 52) aconselha que, para maior eficincia dos trabalhos,
sejam concentradas as tarefas de avaliao das atividades de monitoramento
geralmente executadas pelos gerentes em nveis hierrquicos estratgicos e tticos
e nos procedimentos de controles relacionados com as transaes econmicas e
financeiras em nveis operacionais.

Imoniana (2011) recomenda testar os controles internos no nterim, para


auxiliar o direcionamento dos trabalhos de testes substantivos e analticos nos
finais. Para os trabalhos de auditoria interna devem-se testar os controles internos,
conforme o planejamento dos trabalhos medida que surjam as necessidades
gerenciais.

8 FERRAMENTAS DE AUDITORIA DE TI
O principal objetivo do uso de "Tcnicas de Auditoria Assistida por
Computador" (TAAC) , segundo Imoniana (2011, p. 54), auxiliar o auditor para
auditar 100% a populao da rea ou transao revisada, considerando o limite de
tempo que possui, aproveitando os recursos de softwares e as tcnicas de auditoria
em ambiente de computao. Essas tcnicas so importantes, pois auxiliam na
avaliao deste ambiente, que geralmente processa os volumes de transaes
muito grandes. Alm disso, as trilhas de auditorias nem sempre so visveis,
ou por falta de hardcopy, ou em casos de autorizaes atravs de voz, imagens e
impresso digital. A simples confirmao de crditos pode no gerar nenhuma
trilha de auditoria.

As tcnicas de auditoria assistida por computador podem ser aplicadas nas


seguintes tarefas:

189
UNIDADE 3 | AUDITORIA DE SISTEMAS

a) Testes de controles gerais:


Testes de configurao de um sistema operacional ou utilizando um
software de comparao de verses para confirmar se as verses aprovadas
so aquelas implementadas e em uso em ambiente de produo.
b) Testes de detalhes de transaes
Calcular os saldos novamente ou gerar juros sobre uma conta cliente,
levando-se em conta todas as caractersticas ou fatos que geraram seu
lanamento.
c) Analtico e substantivo
Identificar inconsistncias ou flutuaes anormais nas contas e grupos
de contas contbeis.
d) Amostragem
Gerar amostras para alimentao dos programas de auditoria.

FONTE: Imoniana (2011, p. 54)

NOTA

As ferramentas normalmente auxiliam na extrao, sorteio, seleo de dados e


transaes, atentando para as discrepncias e desvios. (IMONIANA, 2011, p. 55).

8.1 SOFTWARE GENERALISTA DE AUDITORIA DE TI


De acordo com Imoniana (2011, p. 55),

envolve o uso de software aplicativo (um conjunto de programas) em


ambiente batch, que pode processar, alm de simulao paralela, uma
variedade de funes de auditoria nos formatos que o auditor desejar.
As funes so tais como extrao de dados de amostra, testes globais,
gerao de dados estatsticos para anlise, sumarizao, composio de
um outro arquivo a partir de um arquivo mestre de dados, apontamento
de duplicidade de registros ou sequncia incorreta, entre outras.

Os softwares generalistas so:

a) ACL (Audit Command Language): um software para extrao e anlise de


dados, desenvolvido no Canad.
b) IDEA (Interactive Data Extraction & Analysis): software para extrao e
anlise de dados, tambm desenvolvido no Canad.
c) Audimation: a verso norte-americana de IDEA, da Caseware-IDEA, que
desenvolve consultoria e d suporte sobre o produto.

190
TPICO 1 | FUNDAMENTOS DE AUDITORIA DE SISTEMAS

d) Galileo: um software integrado de gesto de auditoria. Inclui gesto de


riscos de auditoria, documentao e emisso de relatrios para auditoria
interna.
e) Pentana: software de planejamento estratgico de auditoria, sistema de
planejamento e monitoramento de recursos, controle de horas, registro de
checklist e programas de auditoria, inclusive de desenho e gerenciamento
de plano de ao.

FONTE: Imoniana (2011, p. 55)

As vantagens destes softwares generalistas, segundo Imoniana (2011, p. 56)


so:

a) O software pode processar vrios arquivos ao mesmo tempo.


b) Pode processar vrios tipos de arquivos com formatos diferentes. Por
exemplo: EBCDIC ou ASCII.
c) Possibilidade de fazer integrao sistmica com vrios tipos de software e
hardware.
d) Reduz a dependncia de o auditor ser especialista de informtica para
desenvolver aplicativos especficos que tm carter generalista para todos
os auditores de tecnologia de informao.

E as desvantagens so:
a) Como processamento das aplicaes envolve gravao de dados (arquivos)
em separado para ser analisada em ambientes distintos, poucas aplicaes
poderiam ser feitas em ambiente on-line.
b) Se o auditor precisar rodar clculos complexos, o software no poder dar este
apoio, pois tal sistema, para dar assistncia generalista a todos os auditores,
evita aprofundar as lgicas e matemticas muito complexas, principalmente
da rea de seguros e arrendamento mercantis.

8.2 SOFTWARE ESPECIALIZADO DE TI


Segundo Imoniana (2011, p. 56), consiste no programa desenvolvido
especificamente para executar tarefas numa circunstncia definida. O programa
pode ser desenvolvido pelo prprio auditor, pelo especialista da empresa auditada
ou pelo terceiro contratado pelo auditor.

Ainda segundo Imoniana (2001, p. 56), as vantagens destes softwares so:

a) Pode ser interessante para atender aos sistemas ou s transaes incomuns


que no tm contemplados nos softwares generalistas. Por exemplo: leasing,
carto de crdito, crdito imobilirio, entre outros;

191
UNIDADE 3 | AUDITORIA DE SISTEMAS

b) O auditor, quando consegue desenvolver softwares especficos numa rea


muito complexa, pode utilizar isso como vantagem competitiva.

As desvantagens destes softwares so:


a) Pode ser muito caro, uma vez que seu uso ser limitado e normalmente
restrito somente a um cliente;
b) A atualizao deste software pode ser problemtica por falta de recursos
que acompanhem as novas tecnologias.

8.3 PROGRAMAS UTILITRIOS


O auditor utiliza os softwares utilitrios para executar algumas funes muito
comuns de processamento. Por exemplo: sortear arquivo, sumarizar, concatenar,
gerar relatrios. Geralmente, os bancos de dados SQL, DBase 2 etc., possuem
esses recursos. Para Imoniana (2011, p. 57), vale ressaltar que esses programas
no foram desenvolvidos para executar as funes de auditoria, portanto, no
tm recurso tais como verificao de totais de controles ou gravao das trilhas de
auditoria.

As vantagens destes programas utilitrios, de acordo com Imoniana


(2011, p. 57), so:

a) Pode ser utilizado como quebra-galho na ausncia de outros recursos.

E as desvantagens so:

a) Sempre necessitar do auxlio do funcionrio da empresa auditada para


operar a ferramenta.

9 TCNICAS DE AUDITORIA DA TI
Para a execuo de trabalhos, na fase de validao dos Pontos de Controle,
h necessidade de conhecimento da tecnologia de computao e da forma como
aplicar essa tecnologia para a verificao do sistema/ambiente computacional,
segundo o conceito de controle interno (GIL, 2000, p. 67).

Segundo Gil (2000, p. 67), as tcnicas de computao so aplicadas tanto


em nvel de anlise de sistemas quanto de programao, ou seja, o leque de
tecnologia necessria ao auditor de sistemas amplo.

Para Imoniana (2011, p. 57), as variadas metodologias podem ser chamadas


de tcnicas. Elas proporcionam aos usurios vrias vantagens. So elas:

192
TPICO 1 | FUNDAMENTOS DE AUDITORIA DE SISTEMAS

Produtividade
Com a melhoria no processo de planejamento, ajuda na reduo do
ciclo operacional de auditoria, focalizando o exerccio nas funes mais
importantes. Ainda com algumas tarefas repetitivas sendo eliminadas
evitam o estresse do auditor.
Custo
Reduz custos relacionados com auditoria, pois no necessita de gerao
de relatrios e listagens para anlise. Adicionalmente, o auditor tem acesso
remotamente, eliminando a necessidade de deslocamento e poupando
custo de viagens. Evita tambm o gasto referente ao desenvolvimento de
programas pelas firmas de auditoria com a disponibilidade de softwares
generalistas.
Qualidade assegurada
Com o uso de softwares que tm padres devidamente testados, o
auditor aproveita para adequar seus trabalhos aos padres internacionais
geralmente aceitos obrigatoriamente, aumentando a qualidade dos
servios prestados. Ademais, 100% dos dados podem ser testados,
consequentemente, aumentando a cobertura dos riscos de auditoria.
Valor agregado
Disponibiliza tempestivamente resultados para a tomada de decises
que necessitam de mudanas de rumos mais urgentes, facilitando a
correo tambm dos desvios ou irregularidades em tempo hbil. Ainda,
possibilita a execuo do procedimento analtico e sinttico das contas
e subcontas das demonstraes financeiras, preparao dos papis de
trabalho, possibilitando reflexo sobre impactos em mbito global.
Benefcios corporativos
Proporcionam s empresas de auditoria os seguintes benefcios:
Eficincia nos trabalhos.
Eficcia em termos de execuo, de somente aqueles passos que atenuam
riscos aparentes.
Otimizao dos recursos disponveis principalmente a respeito de
compartilhamento de ambientes entre vrios auditores em mltiplas
localidades.
Melhoria na imagem do auditor, por utilizar tecnologia mais apropriada.
Benefcios para o auditor
Proporcionam aos auditores os seguintes benefcios:
Independncia, pois no depender do auditor ou do seu funcionrio de
processamento de dados para gerar relatrios.
Renovao do foco de auditoria, visando atender s expectativas e
tendncias do mercado.
Eliminao das tarefas mais repetitivas, que geralmente podem ser
automatizadas.
Mais tempo para pensar e ser criativo nas sugestes para seus clientes, visto
que o processo de emisso de relatrios costuma ser muito corriqueiro.
Reduo do risco de auditoria, uma vez que, tudo sendo programado,
nada passar despercebido.

193
UNIDADE 3 | AUDITORIA DE SISTEMAS

9.1 QUESTIONRIO
Corresponde elaborao de um conjunto de perguntas com o objetivo de
verificao de determinado ponto de controle do ambiente computacional. (GIL,
2000, p. 78).

Essas questes, segundo Gil (2000, p. 78), buscam verificar a adequacidade


do ponto de controle aos parmetros do controle interno (segurana lgica,
segurana fsica, obedincia legislao, eficcia, eficincia etc.).

Para Gil (2000, p. 78), existem dois aspectos que so crticos na aplicao da
tcnica questionrio:

Caracterstica do ponto de controle.


Momento histrico empresarial ou objetivos da verificao do ponto de
controle.

De acordo com Gil (2000, p. 78), os objetivos de verificao do ponto de


controle vo determinar a nfase a ser dada ao parmetro do controle interno.

As caractersticas do ponto de controle tm agregada a natureza da


tecnologia computacional e o correspondente perfil tcnico do auditor que ir
aplicar o questionrio. (GIL, 2000, p. 79).

Dessa forma, segundo Gil (2000, p. 79), podem-se ter questionrios voltados
para pontos de controles cujas perguntas guardaro caractersticas intrnsecas
referentes :

a) Segurana em redes de computadores


Segurana fsica dos equipamentos computacionais.
Segurana lgica e confidencialidade do software/informaes que
trafegam nos canais de comunicao.
b) Segurana do centro de computao
Controle de acesso fsico e lgico s instalaes de processamento de
dados.
Segurana ambiental no tocante infraestrutura de combate a incndio,
para enfrentar inundao, contra atentados e sabotagem, em situaes de
greve etc.
c) Eficincia no uso dos recursos computacionais
Tempo mdio de resposta em terminal.
Tempo de uso dos equipamentos a cada dia.
Quantidade de rotinas catalogadas existentes.
d) Eficcia de sistemas aplicativos
Quantidades de informao geradas pelo computador e consumidas
pelos usurios.

194
TPICO 1 | FUNDAMENTOS DE AUDITORIA DE SISTEMAS

Prazo de atendimento de novos sistemas, aos usurios.


Tempo mdio de soluo dos problemas dos usurios da rede de
computao, provida pelo help-desk.

A tcnica questionrio , normalmente, aplicada de forma casada a outras


tcnicas de auditoria como entrevistas, visita in loco etc. Entretanto, conforme
Gil (2000, p. 79), o questionrio pode ser aplicado a distncia, ou seja, pode ser
enviado ao auditado, respondido e analisado pelo auditor centralizadamente.

Segundo Gil (2000, p. 79), esta abordagem permite ao auditor varrer um


amplo universo de auditados. Particularmente, em ambiente de microinformtica,
devido quantidade, intensidade de disperso dos equipamentos e quantidade
de usurios por equipamento a aplicao de questionrios a distncia permite uma
auditagem constante com menor nmero de auditores.

Para Gil (2000, p. 80), esta auditoria bsica via aplicao de questionrios a
distncia possibilita o diagnstico de pontos relevantes que possam ser auditados
em maior nvel de detalhamento em momento posterior no processo de arbitragem.

Ainda segundo Gil (2000, p. 80), um inconveniente da abordagem aplicao


de questionrios a distncia a possibilidade de interpretaes subjetivas tanto
para questes quanto para respostas.

9.2 SIMULAO DE DADOS


a tcnica por excelncia aplicada para teste de processos computacionais.
Para Gil (2000, p. 81), corresponde elaborao de um conjunto de dados de
teste a ser submetido ao programa de computador ou a determinada rotina que o
compe, que necessita ser verificada em sua lgica de processamento.

Segundo Gil (2000, p. 81), os dados simulados de teste necessitam prever


situaes corretas e situaes incorretas de natureza:

Transaes com campos invlidos.


Transaes com valores ou quantidades nos limites de tabelas de clculos.
Transaes incompletas.
Transaes incompatveis.
Transaes em duplicidade.

Gil (2000, p. 82) afirma que a mecnica de aplicao do test-check implica as


etapas:

195
UNIDADE 3 | AUDITORIA DE SISTEMAS

1. Compreenso do mdulo do sistema a ser avaliado/identificao de


programas e arquivos.
2. Simulao de dados de teste pertinentes. Este momento impe o alcance
do parmetro do controle interno e objetivado.
3. Elaborao dos formulrios de controle do teste.
4. Transcrio dos dados de teste para um meio aceito pelo computador. Uma
opo do auditor de sistemas copiar partes do arquivo real de entrada no
programa e fazer, via programa de computador, as alteraes desejadas
para alimentao da simulao de dados necessrios.
5. Preparao do ambiente necessrio para execuo do teste. Criao
de comandos de operao do programa de computador sob auditoria.
Alimentao dos arquivos de dados simulados, com labels e cdigos
especficos desses arquivos de teste de auditoria.
6. Processamento dos dados de teste com utilizao do programa real que
contm as rotinas do sistema sob auditoria a serem validadas.
7. Avaliao dos resultados do teste via anlise das listagens obtidas a partir
do arquivo magntico gerado.
8. Emisso de opinio acerca do ponto de controle processo computadorizado
(rotina ou programa) com a elaborao da documentao, ou seja, papis
de trabalho referentes simulao de dados realizada.

9.3 VISITA IN LOCO


Corresponde atuao pessoal do auditor junto a sistemas, procedimentos
e instalaes do ambiente computadorizado (GIL 2000).

Normalmente, segundo Gil (2000), essa tcnica combinada com outras


tcnicas de auditoria de computador, particularmente questionrio, a visita in loco
implica o cumprimento da seguinte sequncia de procedimentos:

a) Marcar data e hora com a pessoa responsvel que ir acompanhar as verificaes,


ou convoc-la no momento da verificao quando o fator surpresa se tornar
necessrio;
b) Anotar procedimentos e acontecimentos, coletar documentos, caracterizar
graficamente a situao via elaborao de fluxo de rotinas e de layout de
instalaes.
c) Anotar nomes completos das pessoas e a data e hora das visitas realizadas.
d) Analisar os papis de trabalho obtidos, avaliar respostas e a situao identificada.
e) Emitir opinio via relatrio de fraquezas de controle interno.

Para Gil (2000, p. 86), a presena do auditor fundamental para a


constatao fsica da existncia de ativos computacionais da empresa, bem como
seu estado de conservao e qualidade dos procedimentos de utilizao.

196
TPICO 1 | FUNDAMENTOS DE AUDITORIA DE SISTEMAS

9.4 MAPEAMENTO ESTATSTICO DE PROGRAMAS

De acordo com Gil (2000, p. 87), a tcnica de computao que pode ser utilizada
pelo auditor para efetuar verificaes durante o processamento dos programas,
flagrando situaes como:

Rotinas no utilizadas.
Quantidades de vezes que cada rotina foi utilizada quando submetida a
processamento de uma quantidade de dados.

Segundo Gil (2000, p. 87), a anlise dos relatrios emitidos pela aplicao
do mapeamento estatstico permite a constatao de situaes:

Rotinas inexistentes em programas j desativadas ou de uso


espordico.
Rotinas mais utilizadas, normalmente, a cada processamento do
programa.
Rotinas fraudulentas e de uso em situaes irregulares.
Rotinas de controle acionadas a cada processamento.

Para a utilizao desta tcnica, Gil (2000) indica que h necessidade de ser
processado um software de apoio em conjugao com o processamento do sistema
aplicativo, ou rotinas especficas devero estar embutidas no sistema operacional
utilizado.

9.5 RASTREAMENTO DE PROGRAMAS


Tcnica que possibilita seguir o caminho de uma transao durante o
processamento do programa. (GIL, 2000, p. 87).

Para Gil (2000, p. 88), quando o teste de alimentao de determinada


transao a um programa realizado, pode-se identificar as inadequaes e
ineficincia na lgica de um programa. Esta abordagem, como consequncia,
viabiliza a identificao de rotinas fraudulentas, pela alimentao de transaes
particulares.

9.6 ENTREVISTA
Segundo Gil (2000, p. 88), este mtodo corresponde realizao de reunio
entre o auditor e os auditados profissionais usurios e de computao envolvidos
com o ambiente ou o sistema de informao computadoriza sob auditoria.

Para Gil (2000, p. 88), a sequncia de procedimentos correspondente a essa


tcnica so:

197
UNIDADE 3 | AUDITORIA DE SISTEMAS

a) Analisar o ponto de controle e planejar a reunio com os profissionais


envolvidos.
b) Elaborar um questionrio para realizao da entrevista.
c) Realizao da reunio, com aplicao do questionrio e anotao das
respostas e comentrios dos entrevistados a cada questo efetuada.
d) Elaborao de uma ata de reunio com o registro dos principais pontos
discutidos a cada questo apresentada.
e) Anlise das respostas e formao de opinio acerca do nvel de controle
interno do ponto de controle.
f) Emisso do relatrio de fraquezas de controle interno.

NOTA

A tcnica de entrevistas frequentemente casada com outras tcnicas de


auditoria, visita in loco, aplicao de questionrios, test-desk etc. (GIL, 2000, p. 89).

9.7 ANLISE DE TELAS E RELATRIOS


Segundo Gil (2000, p. 89), implica a anlise de documentos, relatrios e
telas do sistema sob auditoria no tocante a:

Nvel de utilizao pelo usurio.


Esquema de distribuio e nmero de vias emitido.
Grau de confidencialidade de seu contedo.
Forma de utilizao e integrao entre relatrios/telas/documentos.
Distribuio das informaes segundo o layout vigente.

A mecnica de aplicao da tcnica, de acordo com Gil (2000, p. 89), implica


o cumprimento das seguintes etapas:

a) Relacionar por usurio todos os relatrios/telas/documentos que


pertenam ao ponto de controle a ser analisado.
b) Obteno de modelo ou cpia de cada relatrio/documento/tela para
compor a pasta de papis de trabalho.
c) Elaborar um questionrio para a realizao dos levantamentos acerca dos
relatrios/telas/documentos.

198
TPICO 1 | FUNDAMENTOS DE AUDITORIA DE SISTEMAS

d) Marcar antecipadamente a data e hora com as pessoas que fornecero


opinio acerca dos relatrios.
e) Realizar as entrevistas e anotar as observaes e comentrios dos usurios.
f) Analisar as respostas, formar e emitir opinio acerca do nvel de controle
interno.

Na utilizao desta tcnica, segundo Gil (2000, p. 90), possvel encontrar


as seguintes principais fraquezas:

Relatrios/telas/documentos no mais utilizados;


Layout inadequado;
Distribuio indevida de vias;
Confidencialidade no estabelecida ou no respeitada.

As concluses do trabalho, frequentemente, de acordo com Gil (2000, p. 90),


possibilitam reduzir os custos com a desativao parcial ou total de relatrios/
telas/documentos.

E
IMPORTANT

Esta tcnica primordial para avaliao do parmetro eficcia do sistema. (GIL,


2000, p. 90).

9.8 SIMULAO PARALELA


Conforme Gil (2000, p. 90), esta tcnica consiste na elaborao de um
programa de computador para simular as funes de rotina do sistema sob
auditoria. Esta tcnica utiliza-se dos dados rotineiros alimentados rotina do
sistema sob auditoria como entrada do programa de computador para auditoria,
simulado e elaborado pelo auditor.

Enquanto na tcnica de test-desk simular dados e os submeter ao programa


de computador que, normalmente, processado na produo, Gil (2000, p. 90)
afirma que na simulao paralela simulamos o programa e submetemos ao mesmo
os dados que foram alimentados ao programa em processamento manual.

A estrutura de aplicao desta tcnica, segundo Gil (2000) a seguinte:

199
UNIDADE 3 | AUDITORIA DE SISTEMAS

a) Levantamento e identificao via documentao do sistema, da rotina a ser


auditada e os respectivos arquivos de dados trabalhados.
b) Elaborao de programa de computador com a lgica da rotina a ser auditada.
Compilao e teste deste programa ir simular em paralelo a lgica do programa
de computador.
c) Preparao do ambiente de computao para processamento do programa de
computador elaborado pelo auditor.

9.9 ANLISE DE LOG/ACCOUNTING

O Log/Accounting um arquivo, gerado por uma rotina componente


do sistema operacional, que contm registros do hardware e do software que
compem um ambiente computacional.

A tabulao deste arquivo Log/Accounting permite a verificao da


intensidade de uso dos dispositivos componentes de uma configurao ou
rede de computadores, bem como o uso do software aplicativo e de apoio
vigente.

Tanto a rotina quanto o correspondente arquivo de Log/Accounting


foram desenvolvidos para serem usados pelo pessoal da computao.
Entretanto, representam tambm, uma excelente ferramenta para a auditoria
de sistemas para:

Identificao de ineficincia, no uso do computador.


Apurao do desbalanceamento da configurao do computador, pela
caracterizao de dispositivos que esto com folga ou sobrecarregados.
Determinao dos erros de programas ou de operao do computador.
Flagrar uso de programas fraudulentos ou utilizao indevida do
computador.
Captar tentativas de acesso a arquivos indevidos, ou seja, senhas/passwords
no autorizados.

Deve haver na rea da computao, profissionais responsveis pela


anlise do uso do computador e o trabalho desses profissionais precisa ser
auditado, atravs da anlise dos registros histricos e dos relatrios por eles
produzidos.

O trabalho da rea de computao sobre o Log/Accounting deve


gerar Indicadores da Qualidade (IQ) do monitoramento do computador,
bem como estudos e planejamento de capacidade da configurao/rede
de equipamentos, com a finalidade de obter maior rendimento do parque
computacional dentro de um nvel de segurana adequado.

FONTE: Gil (2000, p. 91)

200
TPICO 1 | FUNDAMENTOS DE AUDITORIA DE SISTEMAS

Para Gil (2000, p. 93), a observao crtica da qualidade da anlise do Log/


Accounting e a discusso dos dados obtidos, com a aplicao da mecnica pessoal de
computao, em dado intervalo de tempo, e a consequente concluso da adequacidade
ou no da utilizao de hardware e de software a tarefa do auditor de sistemas.

A tcnica de auditoria anlise do Log/Accounting um poderoso instrumento


de auditoria, porm sua aplicao requer grande conhecimento de computao.
Uma de suas aplicaes identificar o uso de programas fraudulentos ou no
pertencentes empresa. Segundo Gil (2000, p. 93), neste caso, uma srie de anlises
complementares precisam ser feitas para a constatao da irregularidade.

9.10 ANLISE DO PROGRAMA-FONTE


Esta tcnica, de acordo com Gil (2000, p. 94), implica a anlise visual do
cdigo-fonte (linguagem em que o usurio ou programador escreve o programa)
do programa de computador componente do sistema sob auditoria.

O auditor de sistemas necessita assegurar-se de que est testando a verso


correta do programa que "rodou" ou ir "rodar". Para tal, segundo Gil (2000, p. 94),
o auditor compara o label do programa-fonte gravado na biblioteca-fonte com o
label do programa-objeto gravado na biblioteca-objeto (onde os programas esto
em linguagem de mquina, ou seja, mdulo de carga executvel).

O auditor pode, conforme Gil (2000), ainda, para maior certeza de que
verifica as instrues que efetivamente compem o programa em linguagem de
mquinas, executar os seguintes procedimentos:

a) Preencher uma Ordem de Servio determinando produo que compile o


mdulo-fonte que se encontra na biblioteca-fonte.
b) Executar um software especfico que compare o cdigo-objeto gerado em a, com
o cdigo-objeto do programa que se encontra gravado na biblioteca-objeto da
produo.
c) Efetuar verificaes em eventuais divergncias que ocorram em b.

E
IMPORTANT

importante ressaltar que esta tcnica exige profundos conhecimentos de


processamento eletrnico de dados por parte do auditor de sistemas. (GIL, 2000, p. 95).

201
UNIDADE 3 | AUDITORIA DE SISTEMAS

9.11 SNAPSHOT
Tcnica que fornece uma listagem ou gravao do contedo das variveis do
programa (acumuladores, chaves, reas de armazenamento) quando determinado
registro est sendo processado. Para Gil (2000, p. 95), a quantidade de situaes a
serem extradas predeterminada.

Essa tcnica, segundo Gil (2000) corresponde na realidade a um dump


parcial da memria, basicamente, das reas de dados.

semelhana do mapping e do tracing, necessita de um software especial


"rodando" junto com o programa aplicativo, ou que as caractersticas SNAPSHOT
estejam embutidas no sistema operacional. (GIL 2000, p. 95).

De acordo com Gil (2000, p. 95), esta uma tcnica usada como auxlio
depurao de programas, quando h problemas e realmente exige fortes
conhecimentos de processamento eletrnico de dados por parte do auditor de
sistemas.

202
RESUMO DO TPICO 1

Caro(a) acadmico(a)! Neste tpico, voc estudou que:

Todo sistema est sujeito a falhas, erros e mal uso de recursos em geral. Tanto o
computador como a mente humana so instrumentos para grandes realizaes,
porm no so infalveis.

A filosofia da auditoria de tecnologia de informao est calcada em confiana


e em controles internos.

Dependendo da sofisticao do sistema computadorizado e considerando as


caractersticas do auditor de tecnologia de informaes, poder ser usado para
auditar qualquer uma das trs abordagens: ao redor do computador, atravs do
computador e com o computador.

Auditoria ao redor do computador no passado era uma abordagem muito


solicitada pelos auditores, devido ao no envolvimento de muita tecnologia de
informao.

O uso da auditoria atravs do computador envolve mais do que mera confrontao


de documentos-fonte com os resultados esperados, uma vez que os sistemas tm
evoludo muito.

A atividade de planejamento em auditoria de sistemas de informaes


imprescindvel para melhor orientar o desenvolvimento dos trabalhos.

A fim de garantir a evoluo e o aprimoramento tcnico dos profissionais da


equipe de auditoria de TI, deve-se avaliar o desempenho, elogiando os pontos
fortes do auditor, auxiliar no reconhecimento das fraquezas e na elaborao de
um plano para super-las para que se desenvolva um profissional qualificado e
consciente.

A avaliao dos procedimentos de controles internos em ambientes de sistemas


de informaes de uma organizao um trabalho executado pelo auditor que
tenha habilidade em tecnologia de informaes.

Em qualquer sistema de informao complexo ou moderado, sua avaliao


pelos auditores internos se processa atravs do uso de ferramentas adequadas
de auditoria, mtodos e tcnicas.

203
AUTOATIVIDADE

1 Cite trs objetivos de um sistema geral de Controle Interno.

2 Quais so as estratgias normalmente adotadas para constituir uma equipe


de auditoria de TI?

3 Quais so as trs abordagens de auditoria de sistemas de informaes?

4 Cite trs vantagens proporcionadas pelas tcnicas de auditoria.

5 Comente sobre duas tcnicas de auditoria que voc utilizaria e o motivo.

Assista ao vdeo de
resoluo da questo 1

204
UNIDADE 3
TPICO 2

TIPOS DE AUDITORIAS

1 INTRODUO
Caro(a) acadmico(a)! Neste tpico ser possvel conhecer alguns tipos de
auditoria. So os seguintes: auditoria de controles organizacionais; de aquisio,
desenvolvimento e manuteno de sistemas; de controle de hardwares, acesso e
de suporte tcnico; de operao do computador; procedimentos de auditoria de
sistemas aplicativos; auditoria de planos de segurana e redes e relatrios de
auditoria.

2 AUDITORIA DE CONTROLES ORGANIZACIONAIS


Os controles organizacionais e operacionais so os controles instalados
nos processos de fluxo das transaes econmicas e financeiras dos sistemas
de informaes, auxiliando-os na consecuo dos objetivos dos negcios. Para
Imoniana (2011, p. 76), a efetividade deste controle depende da experincia
organizacional dos gestores, uma vez que exige demonstrao de prticas e
habilidades gerenciais. Poucas so as interferncias e as influncias externas que
afetam a implementao dos controles.

A responsabilidade de controles organizacionais repousa, segundo


Imoniana (2011), nas seguintes tarefas:

Delineamento das responsabilidades operacionais.

Coordenao de oramento do capital de informtica e bases.

Desenvolvimento e implementao das polticas globais de informtica.

Intermediao com terceiros (networking).

Gerenciamento de suprimentos.

Desenvolvimento de plano de capacitao.

205
UNIDADE 3 | AUDITORIA DE SISTEMAS

Os gestores, na medida do possvel, tentam delinear as funes para, em


primeiro lugar, identificar responsabilidades para todas as tarefas realizadas na
organizao e, em segundo lugar, amenizar conflitos que certamente surgiro no
decorrer do dia a dia operacional. Para Imoniana (2011, p. 77),

esse desmembramento das atividades caracterizado por agregao


das funes incompatveis e uma medida de controle para enfatizar o
evangelho de responsabilidades, fazendo com que cada um seja cobrado
por suas tarefas de acordo com seus resultados. Esse controle geral
vital tanto no ambiente manual como no ambiente computadorizado.
Entretanto, a segregao de funes (autorizao, gravao e acesso
para ativos) pode no ser efetivamente possvel em um ambiente de
computador.

Para que os controles organizacionais sejam efetivos, deve haver lealdade


e confiana mtua entre a empresa e os funcionrios. Os funcionrios devem ser
tratados com respeito, justia e, sobretudo, honestidade; deve-se fazer com que
eles percebam que assim cultura da empresa, evitando-se percepo da falta
de motivao que fomenta ingerncia. Salrios baixos e condies subumanas
de trabalho podem propiciar o descumprimento dos controles organizacionais
da rea de informtica que, normalmente, devido natureza das atividades, tem
acesso privilegiado s informaes estratgicas da empresa (IMONIANA, 2011).

Embora exista ambiente complexo de computao que acompanhe todas as


tendncias de tecnologia de informao de que o estabelecimento precisa, isto por
si no garante segurana se as polticas organizacionais e operacionais no forem
implementadas com rigor. Imoniana (2011) diz que no ambiente de alta tecnologia,
quando segregamos as funes, apenas dificultamos a propenso para fraudes dos
fluxos operacionais. Portanto, os ciclos operacionais, que tm tarefas de originar
as transaes e as autorizaes segregadas, para que ocorra fraude, necessitariam
de conivncias de mais de duas pessoas, ao invs de concentrar todo o ciclo de
transaes crticas na mo de apenas uma. Deve-se ressaltar que os usurios finais
apenas precisam de acesso aos dados, aplicaes e funes para atender somente a
suas atribuies de tarefas e nada mais.

Entretanto, para que os objetivos administrativos sejam alcanados,


imprescindvel, conforme Imoniana (2011, p. 77),

estabelecer claramente as polticas de tecnologia de informaes e, a


partir dessas, cabe aos gerentes traduzir isso em linguagem operacional
atravs de procedimentos administrativos, detalhando inclusive
as definies e os princpios, evitando-se dupla interpretao. De
acordo com nfases dadas pela organizao, sistemas e mtodos, cada
procedimento administrativo deve descrever quais so as entradas do
ciclo operacional, o processamento a ser feito e os resultados que este
dever proporcionar ao prximo ciclo.

206
TPICO 2 | TIPOS DE AUDITORIAS

3 AUDITORIA DE AQUISIO, DESENVOLVIMENTO


E MANUTENO DE SISTEMAS
As funes de aquisio, desenvolvimento, manuteno e documentao
de sistemas so atribudas aos indivduos que tm competncias para conceber e
implantar sistemas. Conforme Imoniana (2011, p. 92), isso feito naturalmente
junto com os usurios com o propsito de atender aos objetivos dos negcios e,
assim, cumprir obrigaes da rea de desenvolvimento de sistemas e garantir
tambm as funes de ps-implantao de sistemas.

De forma analtica, segundo Imoniana (2011, p. 92), as funes de aquisio,


desenvolvimento, manuteno e documentao de sistemas incluem:

Planejamento de sistemas de informaes.


Aquisio de sistemas.
Especificao, programao, teste e implementao de sistemas novos.
Modificao dos programas das aplicaes existentes.
Manuteno preventiva dos sistemas aplicativos.
Documentao e controle sobre verses de programas em produo.

A funo de desenvolvimento bem controlada tem procedimentos


estabelecidos para a aquisio e o desenvolvimento de novos sistemas. Tambm
permitem alterao dos sistemas existentes, inclusive teste e documentao
de sistemas novos. Para Imoniana (2011, p. 92), Quando os usurios no
esto familiarizados com operao de um sistema novo ou com os relatrios,
encontraro dvidas frequentes de processamento ou dificuldades para sugesto
de modificaes nos sistemas que podem ter deficincias significativas no seu
controle.

Normalmente, quando novos sistemas ou modificaes significativas nos


sistemas existentes so implementados, o risco de erros relacionados a transaes
processadas por esses sistemas pode ser aumentado. Para tais sistemas que no
possuam histrico de confiana ou preciso no seu processamento para suportar
um ceticismo sobre existncia de risco, o usurio preocupa-se com relao
onde efetivamente esto ocorrendo as modificaes promovidas nos sistemas.
Consequentemente, quando novos sistemas ou sistemas que sofreram mudanas
significativas so auditados como parte dos trabalhos definidos nos planejamentos
de auditoria de uma empresa, pode-se desejar rever controles sobre a aquisio, o
desenvolvimento e a modificao de sistemas atentando para seu impacto sobre
negcios (IMONIANA, 2011).

207
UNIDADE 3 | AUDITORIA DE SISTEMAS

3.1 CONTROLES DE DESENVOLVIMENTO


E MANUTENO DE SISTEMAS
O desenvolvimento efetivo de um sistema requer participao da alta
cpula da administrao. Para Imoniana (2011, p. 93), isso pode ser alcanado
por um comit de direo composto de representantes de alto nvel de usurios
de sistemas. O comit aprova ou recomenda alteraes nos projetos e revisa o
progresso deles.

Imoniana (2011) afirma que, para desenvolver um sistema, deve-se


promover o estudo de viabilidade econmica, operacional e tcnica de aplicaes
novas necessariamente requerendo avaliaes e tambm propondo sistemas.

Imoniana (2011) tambm afirma que outro controle necessrio nessa fase
o estabelecimento de padres para sistema. Esses padres so cumpridos pelos
usurios ao preencher os requerimentos de sistema e determinados durante a
anlise de sistemas.

NOTA

De acordo com as tendncias e o lapso do tempo, as mudanas naturalmente


ocorrero; essas mudanas nos sistemas deveriam estar sujeitas a controles rgidos.
(IMONIANA, 2011, p. 93).

O armazenamento de programas um fator que garante a continuidade


das operaes. Para Imoniana (2011, p. 94), devem ser armazenadas verses de
programas de aplicao crtica em cdigo de objeto.

Para assegurar a aderncia aos propsitos dos sistemas em desenvolvimento,


durante seu teste, deveriam ser testados no s programas propostos com dados
incorretos ou incompletos, como tambm dados tipicamente errados para determinar
se foram implementados controles corretos nos sistemas. Segundo Imoniana (2011,
p. 94), os dados de teste deveriam testar todas as funes do sistema, inclusive as
capacidades de edies e consistncia de dados. A funo de edio inclui sucesso
de dilogos que confere, valida e testa a racionalidade de dados.

A fim de evitar o uso de softwares piratas, que resultem em contingncia


legal, devem ser implementados tambm controles que previnam o uso de software
sem licena no domnio pblico e da empresa em geral. Normalmente, software com
as devidas licenas estabelecem um nmero mnimo ou em alguns casos ilimitado
de cpias permitidas de software em determinados locais, mquinas particulares ou
redes em unidade ou em toda a companhia, se o uso for livre. Segundo Imoniana

208
TPICO 2 | TIPOS DE AUDITORIAS

(2011, p. 94), o acordo pode restringir reproduo ou revenda, e pode prover


apoio para subsequente melhoria do produto. Assim, uma brecha do acordo
de licenciamento ou o uso de software sem licena pode expor uma companhia a
risco. Consequentemente, deveriam ser desenvolvidas polticas de software para
a companhia, e os usurios deveriam estar atentos s consequncias negativas de
violar essas polticas, e deveriam ser ministrados, inventariados periodicamente
para determinar se software sem licena est em uso.

3.2 CONTROLES DE DOCUMENTAO DE SISTEMAS


A documentao um conjunto de artefatos que apoiam, explicam e
descrevem a aplicao dos programas. Existem documentaes prprias para cada
momento do processo de software, ou seja, antes das implementaes, durante a
execuo do projeto de implementao e depois. Esta documentao do aps,
destina para auxiliar no uso dos softwares, com objetivo de orientao sobre o
funcionamento destes sistemas. Segundo Imoniana (2011, p. 95), til no s
para os prprios analistas de sistemas como tambm para os usurios, controle
pessoal, empregados novos, auditores, programadores, entre outros, que desejam
conhecer o funcionamento de sistemas. Entre os padres necessrios para uma
boa documentao, esto as seguintes:

a) Documentao deveria ser guardada em uma biblioteca que tenha um


controle de acesso.
b) Documentao deveria estar sujeita a padres uniformes relativos a
tcnicas de flowcharting, codificao e procedimentos de modificao
(incluindo prpria autorizao).
c) Documentao de sistema inclui narrativas, flowcharts, que a definio
de sistema usou para seu desenvolvimento, contribuio e formas
de produo, arquivo e planos de registro, controles, autorizaes de
mudana e procedimentos posteriores.
d) Documentao de programas contm descrio, flowcharts de programa
e mesas de deciso, listings de programa de fonte, dados de teste,
contribuio e produo, arquivos detalhados e planos de registro,
pedidos de mudana, instrues de operador e controles.
e) Documentao operacional (manual de operao do computador) prov
informao sobre organizao, arquivos necessrios e dispositivos,
procedimentos de contribuio, mensagens do console e aes de operador
responsvel, tempos necessrios, procedimentos de recuperao,
disposio de produo e controles.
f) Documentao processual inclui o plano-mestre do sistema e operaes
a serem executados, padres de documentao, procedimentos para
controlar arquivos e padres para anlise de sistemas, programao,
operaes, segurana e definio de dados.
g) Documentao de usurio descreve o sistema e procedimentos para
entrada de dados, conferncia e correo de erros, formatos e usos de
relatrios.

FONTE: Imoniana (2011, p. 95)

209
UNIDADE 3 | AUDITORIA DE SISTEMAS

3.3 OBJETIVOS DA AUDITORIA


Para Imoniana (2011, p. 95), as seguintes questes referentes aos objetivos de
auditoria de controle de aquisio, desenvolvimento, manuteno e documentao
de sistemas aplicativos devem ser respondidas:

H procedimento de formalizao da real necessidade para um novo


sistema?
As especificaes so feitas de forma diligente, confrontando os
conhecimentos dos usurios com os de analista de sistema, visando dar
suporte aos projetos?
Os desenvolvimentos de testes e instalao na produo so feitos sem
traumas para os usurios?
H informaes apresentadas para que os usurios possam decidir entre
aquisio e desenvolvimento interno?
O desenvolvimento segue os padres e utiliza todas as ferramentas para
alinh-lo com os sistemas j existentes?
As questes bsicas operacionais/funcionalidade, tecnologia, ps-vendas,
segurana e de anlise de custo e benefcios, entre outras, so esclarecidas
quando da deciso de compras externas?
Os usurios so treinados para utilizar os sistemas com todos os potenciais
que possuem?
As manutenes so feitas sem interrupo das operaes normais da
empresa?
As documentaes so consistentes e disponveis para orientar os
usurios?

4 AUDITORIA DE CONTROLES DE HARDWARE


O controle de hardware objetiva implantar procedimentos de segurana
fsica sobre os equipamentos instalados em ambiente de informtica de uma
organizao. Aponta como os contatos fsicos dos usurios aos variados recursos
so controlados, alm de auxiliar no monitoramento de seu uso adequado para
agregar valor aos negcios (IMONIANA, 2011).

NOTA

As funes que possuem mecanismo adequando para restringir acessos de


pessoas ao ambiente de computador so conhecidas por segurana fsica. (IMONIANA, 2011,
p. 102).

210
TPICO 2 | TIPOS DE AUDITORIAS

O controle envolve aplicao do prprio equipamento para se proteger


contra riscos estruturais, seja ele relacionado ao componente especfico ou complexo
e miniatura de unidade palmtop. Segundo Imoniana (2011, p. 102), abrange
tambm os controles referentes proteo da vida de pessoas, alm de unidades
perifricas cuja manuteno limita-se a certos empregos-chave. Essa funo evita
perda de hardwares e os protege contra o no funcionamento que gera parada nas
operaes, que resulta na desvantagem competitiva e em perdas financeiras.

4.1 COMPREENSO DO PROCESSO DE


CONTROLE DE HARDWARES
Para Imoniana (2011, p. 102), os controles podem ser fsicos e automatizados.
Fsicos implicam a diversidade de procedimentos que orientam o manuseio dos
equipamentos, enquanto os controles automatizados representam os controles
construdos junto com os equipamentos pelo fabricante, que ajudam a descobrir e
controlar erros que surgem do uso do prprio equipamento.

O significado de controles de hardware para auditores que eles asseguram


a execuo correta de instrues dadas para as mquinas atravs de programas
representados pelos sistemas de aplicao. De acordo com Imoniana (2011, p. 103),
sem procedimentos de controles de hardware, auditores teriam dificuldades em
levantar modus operandi dos hardwares que operam em ambiente de informtica.
Alm de implementar os recursos preventivos, vale questionar se h recursos
corretivos que evitam paradas bruscas, sem prejuzo aos workflows das transaes
empresariais.

Para que os controles de hardware sejam efetivos, necessrio fazer


inventrios de hardwares.

Segundo Imoniana (2011, p. 103), essa atividade caracterizada pela


verificao automtica dos recursos construdos no hardware ou at adicionados
ao prprio equipamento durante sua aplicao dia a dia. Inclui o diagnstico de:

a) BIOS.
b) Processadores (chips).
c) Sistemas operacionais e linguagens.
d) Fabricante/modelo e sries.
e) Monitor e resoluo.
f) Placas de modem, som, vdeo etc.

Ainda segundo Imoniana (2011, p. 103), quando esta funo embutido no


computador, com programao peridica, rotinas podem diagnosticar e conferir
os problemas de hardware e permitir que o prprio sistema d o aviso prvio sobre
os problemas eminentes.

211
UNIDADE 3 | AUDITORIA DE SISTEMAS

Imoniana (2011) afirma que a padronizao dos modelos de equipamentos


um procedimento fundamental para auxiliar na implantao de controle efetivo.
Caso a empresa decidir adquirir equipamentos diferentes, deve-se atentar para
configurar de forma homognea todas as estruturas dos hardwares operacionais.

Deve-se atentar para o risco de instalao de softwares piratas nos


equipamentos da empresa. Para isso, as empresas devem implementar poltica de
segurana abrangente que contemple penalidades para sua infringncia. Todavia,
Imoniana (2011, p. 103) afirma que existem recursos de auditoria que possibilitam
descobrir softwares executveis sem as devidas licenas, seja em ambiente stand
alone, seja em ambiente de rede.

Segundo Imoniana (2011, p. 103),

entre os recursos utilizados para amenizar os riscos de segurana no


controle de hardware incluem-se: extintores de incndio, sprinklers, gs
halon etc. Com relao restrio de pessoas externas, cabe ressaltar
a importncia de utilizar recursos tais como: Trasnportable Access Keys,
Firewalls etc. Para certos extremos deve-se isolar totalmente o ambiente
de computao.

Firewall um recurso (software ou hardware) aplicado pelos administradores


de segurana de rede para impedir acessos lgicos de fora para dentro do ambiente
empresarial, para controlar os acessos de pessoas no autorizadas, e de dentro
para fora, o controle e limitaes de acesso grande rede. De acordo com Imoniana
(2011, p. 104), ele atua como se estivesse constituindo um muro com painel de
ao, por volta do ambiente de computao da empresa. Ele restringe acesso dos
hackers e tambm limita extenso da infeco de vrus.

E
IMPORTANT

Para que sejam evitadas paradas no previstas, aconselha-se implementar


contratos de manuteno preventiva ou manter equipes de manuteno. A ttulo de plano mais
abrangente, deve-se implementar um plano de desastre, contingncia e de recuperao de
dados, testados periodicamente para garantir sua operacionalidade. (IMONIANA, 2011, p. 104).

NOTA

Sucateamento dos equipamentos obsoletos questo importante a ser tratada,


para atender a questes de meio ambiente e para manter os equipamentos renovados,
atentando para desafios de tecnologia da informao. (IMONIANA, 2011, p. 104).

212
TPICO 2 | TIPOS DE AUDITORIAS

4.2 OBJETIVOS DA AUDITORIA DE


CONTROLES DE HARDWARES
Segundo Imoniana (2011, p. 104), h dois eixos preocupantes quando se
discute auditoria de controles de hardwares:

Primeiro, no tocante aos equipamentos capazes de restringir acessos


internamente dentro da organizao, por consequncia garantindo
proteo de terminais, CPUs, servidores, unidades de converso de
dados, fitas, vidas etc.
Segundo, se h equipamentos que restrinjam acessos fsicos de pessoas
alheias ao ambiente de processamento. Pessoas que tm interesse pelas
informaes da organizao e que no tm permisso para acess-las.

Para Gil (2000, p. 146), os seguintes aspectos devem ser validados pelo
auditor de sistemas no que tange segurana fsica e ambiental:

a) Sistema de alimentao eltrica.


b) Controle de condies ambientais.
c) Segurana contra fogo e outros riscos.
d) Sistema de controle de acesso.
e) Localizao de construo de um centro de computao.
f) Segurana dos recursos humanos.
g) Segurana dos recursos materiais.

5 AUDITORIA DE CONTROLES DE ACESSO


As atividades de controle de acesso lgico s informaes, softwares, e dados
so atribudas tarefa de desenvolvimento, implementao e acompanhamento
de polticas de segurana de informaes. Para Imoniana (2011, p. 114), essa
tarefa cabe ao administrador de segurana de informaes, indivduo que tem
a responsabilidade de supervisionar a rea de segurana das informaes e
implementar todas as polticas de controle de acessos.

Segurana de acesso lgico refere-se proteo dada pelos recursos


tecnolgicos de um ambiente de sistema computadorizado contra acessos no
autorizados aos dados ou informaes no permitidas aos usurios especficos,
com exceo do proprietrio, ou seja, informaes que no so pblicas. Segundo
Imoniana (2011, p.114), normalmente, a regra de need-to-know aplicada uma vez
que somente aquele usurio que tenha necessidades operacionais ter acesso.

213
UNIDADE 3 | AUDITORIA DE SISTEMAS

Para Gil (2000, p. 150), a segurana lgica diz respeito modificao dos
recursos tecnolgicos, informaes e software, e a confidencialidade diz respeito
captao indevida desses mesmos recursos tecnolgicos. Para a manuteno da
segurana lgica e da confidencialidade necessrio validar e avaliar controles
lgicos inseridos, bem como proteger informaes e programas.

NOTA

O controle de segurana de acesso feito com o auxlio de senhas, estabelecidas


para cada usurio adequadamente identificado no sistema. (IMONIANA, 2011, p. 114).

Para Imoniana (2011, p. 114),


o uso de senha nmeros de identificao um controle efetivo em um
sistema on-line para prevenir acesso sem autorizao a arquivos de
sistemas. So mantidas tabelas de pessoas autorizadas no computador
na qual deve haver uma confrontao quando requisitado acesso.
A entrada de senhas ou nmeros de identificao um jogo pr-
programado de perguntas pessoais que pode ter, alm do uso de
distintivos, cartes magnticos ou leituras pticas, outras formas como
palma da mo, retina etc.

Ainda de acordo com Imoniana (2011, p. 115), um carto de segurana


pode ser usado num sistema de forma que usurios tenham que alimentar sua
ID e uma senha. A permisso dada para aquele usurio lhe privilegia acesso de
registros quantas vezes quiser, mas atentando para suas caractersticas (data,
tempo, durao etc.).

Imoniana (2011) ainda afirma que a prpria autenticao de usurio por


meio de senha requer para tais procedimentos gerados para assegurar aquelas
senhas so vlidos e que s so conhecidos pelos prprios indivduos. Assim, uma
senha no deveria ser exibida quando digitada num teclado, necessitando de
uma mscara para esconder os caracteres digitados.

Ainda de acordo com Imoniana (2011, p. 114), para ter eficcia no


procedimento de controles de acesso lgico, recomenda-se adquirir e implantar
softwares de segurana de informaes, tais como: Access Control Facility (ACF2),
Top Secret, Resource Access Control Facility (RACF) entre outras diversidades de
softwares existentes no mercado. Estes devem ser customizados para atender s
polticas de segurana de cada organizao. A complexidade da customizao
dos parmetros de segurana depender do nvel de conscientizao e uso de
tecnologia de informao de cada ambiente.

Uma funo de segurana bem controlada, segundo Imoniana (2011) tem


mecanismos para restringir o acesso fsico aos recursos de computao, programas
214
TPICO 2 | TIPOS DE AUDITORIAS

para restringir acesso lgico a esses recursos e procedimentos estabelecidos para


monitorar e assegurar a segurana de informaes. Perda de hardware ou meios
fsicos de arquivo de dados, alteraes no autorizadas de dados ou programas,
ou controles programados ineficientes, podem indicar ineficincia no controle da
segurana de acessos lgicos.

Existem dois aspectos que so importantes para avaliao dos controles de


acesso:

Acesso fsico controle sobre o acesso fsico ao hardware, incluindo a CPU,


unidade de disco, terminais e arquivos de dados.
Acesso lgico controle sobre acessos aos recursos do sistema, incluindo
a possibilidade de acesso aos dados ou ao processamento de programas e
transaes.

O controle de acesso pode ser particularmente importante em clientes com


sistemas complexos que tenham numerosos controles programados ou executem
autorizaes automticas e rotinas de aprovao para contabilizar transaes como
aprovaes de pagamento. Segundo Imoniana (2011, p. 115), o acesso aos sistemas
computadorizados por pessoas desautorizadas pode afetar o processamento de
dados, que resulta em erros e perda de ativos.

Para Imoniana (2011, p. 115), para execuo de auditoria de acesso lgico,


algumas perguntas devem ser feitas, incluindo as seguintes:

a) A empresa possui rotinas de aprovao e autorizao automtica


que podem causar a movimentao de grande quantidade de ativos,
incluindo caixa, investimentos ou estoques?
b) Um nmero significativo de procedimentos de controle programados
depende da existncia de controles de acesso adequados, isto , de
conhecimento dos proprietrios dos sistemas?
c) As competncias exigidas dos funcionrios so disponveis no
ambiente que o sistema operar?

6 AUDITORIA DE OPERAO DO COMPUTADOR


A operao do computador compreende funo da rea de informtica
que aciona Inicial Program Loader (IPL), os programas que ligam os computadores
e tambm os desligam. Quando da ligao dos computadores, todos os recursos
atualmente elencados nos scripts so acionados junto com o sistema operacional.
Vale ressaltar que entre os itens que podem constar nos scripts esto todos os
sistemas aplicativos ou sistemas de apoio tomada de deciso que se deseja usar
na consecuo dos objetivos empresariais e os recursos perifricos que se deve
usar (IMONIANA 2011).

O auditor necessita conhecer todas as operaes e servios disponibilizados


pelos centros de processamento e documentar os controles organizacionais.
Imoniana (2011, p. 125) destaca as operaes mais comuns:

215
UNIDADE 3 | AUDITORIA DE SISTEMAS

Planejamento, controle e monitoramento das operaes.


Planejamento da capacidade.
Monitoramento de todos os sistemas e as redes.
Inicializao do sistema e do desligamento.
Gravao, rastreamento dos problemas e monitoramento de tempo de
respostas.
Gerenciamento de mudanas estruturais e pessoais.
Gesto das unidades, dos perifricos e inclusive dos equipamentos
remotos.
Gerenciamento de bibliotecas.
Programao dos processamentos e acompanhamento das operaes.
Automao da produo.
Backup de sistemas, programas, dados e banco de dados.
Gerenciamento de help desk.
Coordenao e programao de upgrades dos equipamentos.
Gesto de restart/recovery.

Vale destacar que os controles exercidos em relao s mudanas que


ocorrem em ambiente de processamento de dados que geralmente impactam
significativamente nas operaes do dia a dia da empresa devem ser tratados com
bastante cuidado. Normalmente, para se fazer mudana preciso estabelecer com
as reas e usurios os dois extremos, a saber: o momento crucial (pico das operaes)
e o momento de pouca movimentao e do uso reduzido do computador. De posse
dessas informaes, podem-se programar as modificaes significativas sem causar
impactos negativos ou atravancar as transaes da empresa (IMONIANA, 2011).

6.1 OBJETIVOS DE AUDITORIA


De acordo com Imoniana (2011, p. 127), o objetivo de auditoria dos
processos operacionais de informtica garantir que todos os passos envolvidos
na originao de dados, as lgicas envolvidas no processamento das tarefas e os
procedimentos mnimos de emisso de relatrios sejam obedecidos.

Entretanto, o objetivo da auditoria de controles de operao de


computadores tem como foco principal levantar a existncia de controles que
assegurem que as operaes das transaes econmicas e financeiras executadas
na empresa sejam fidedignas. Ainda, segundo Imoniana (2011) visa confirmar o
nvel de confiabilidade dos auditores, das demonstraes financeiras ou auditoria
interna neste ambiente.

216
TPICO 2 | TIPOS DE AUDITORIAS

6.2 PROCEDIMENTOS DE CONTROLES INTERNOS


De acordo com Imoniana (2011, p. 127),

uma funo de operao bem controlada tem procedimentos para


assegurar que os jobs (servios) sejam programados e processados
adequadamente; consequentemente, relatrios e outros outputs (sadas ou
relatrios) so distribudos em tempo e de forma controlada, e os meios
de arquivo de dados, inclusive backups, so adequadamente protegidos.
Falhas frequentes dos sistemas, erros de processamento significativos e
atrasos ou perdas de dados podem indicar a existncia de deficincias
significativas no controle de operao.

Procedimentos adequados de operao, quando executados


consistentemente por pessoal competente, contribuem para a confiabilidade do
processamento. Operao inadequada do computador pode causar processamentos
incompletos, atrasados ou incorretos.

7 AUDITORIA DE CONTROLES DE SUPORTE TCNICO

A funo de suporte refere-se aos usurios de tecnologia de


informaes e ao nome dos indivduos com responsabilidade de implantar,
manipular e supervisionar os recursos de alta tecnologia e de dar apoio sua
utilizao nas empresas (IMONIANA, 2011).

As funes das atividades de suporte tcnico podem ser separadas


em dois blocos principais: as funes rotineiras e as funes espordicas.
Funes rotineiras:
Gerenciamento de help desk.
Socorro aos problemas de instalao de redes.
Monitoramento das ocorrncias de problemas.
Treinamento dos usurios dos softwares.
Reviso preventiva dos equipamentos.
Substituio dos equipamentos antigos.
Segurana de informaes quando no h administrador de segurana
de informaes.
Funes espordicas:
Dimensionamento do banco de dados.
Instalao de softwares utilitrios.
Manuteno dos sistemas operacionais.
Instalao de upgrades.
Avaliao de softwares para fins de compras.
Padronizao dos recursos de TI.
Ativao de redes (estaes etc.).

FONTE: Imoniana (2011, p. 133)

217
UNIDADE 3 | AUDITORIA DE SISTEMAS

7.1 COMPREENSO DO PROCESSO


DE SUPORTE TCNICO
A compreenso do processo de suporte tcnico, segundo Imoniana (2011)
de fundamental importncia no decorrer das atividades de auditoria de sistemas
para que possamos levantar todos os recursos existentes, nveis de complexidade,
qualificao dos empregados, frequncias de prestao de suporte para os
usurios e as tendncias empresariais em acompanhar os avanos de tecnologia
de informaes.

Imoniana (2011) afirma que uma funo de suporte bem controlada tem
procedimentos estabelecidos para a manuteno do sistema que controla o sistema
operacional e outros recursos importantes, como o gerenciador de banco de dados e
redes de comunicao. Falhas frequentes no sistema, tais como: incapacidades dos
sistemas aplicativos de acessarem as transaes on-line, para acessar o computador
central, ou outros problemas genricos que indicam desativao das capacidades
de compartilhamento dos recursos de redes, tais como impressoras, entre outros,
podem indicar a existncia de deficincias no controle de suporte ao sistema de
informaes.

7.2 OBJETIVOS DE AUDITORIA


De acordo com Imoniana (2011, p. 134), o objetivo de auditoria de
suporte tcnico de constatar se os recursos de alta tecnologia da empresa esto
sendo utilizados adequadamente. Ou seja, confirmar se os referidos recursos
desenvolvidos e implementados esto contribuindo para o aumento de valor
agregado ou ajudando a destruir o valor da empresa.

Ainda de acordo com Imoniana (2011, p. 134), importante ressaltar,


s vezes, as empresas adquirem equipamentos de alta gerao, softwares mais
utilizados atualmente e equipes bastante qualificadas, mas devido falta de
cumprimento das obrigaes de suporte tcnico, os recursos no esto disponveis
quando so mais necessitados.

7.3 PROCEDIMENTOS DE CONTROLES INTERNOS


Segundo Imoniana (2011), geralmente, se tem maior dificuldade com a
documentao dos procedimentos de controles de suporte tcnico no processo
de auditoria de sistemas de informaes, visto que envolve todos os recursos de
tecnologia de informaes utilizados no ambiente. Esses recursos so fabricados
por diversos fornecedores com propsitos diferentes e o tcnico que d suporte
precisa estar atuante para acompanhar as atualizaes, por conseguinte, o auditor
tambm precisar acompanhar as tendncias, alis, espera-se que ele esteja frente
para proporcionar a seu cliente elementos de aconselhamento para melhoria de
seus negcios.

218
TPICO 2 | TIPOS DE AUDITORIAS

Para Imoniana (2011), se a empresa tem um sistema de banco de dados,


utiliza redes de comunicao ou tem uma configurao de software de sistema
operacional complexa, pode ser importante que o auditor revise os controles sobre
essas funes. Entretanto, para que o auditor faa sua avaliao sob o enfoque
de confiabilidade dos sistemas que opera nesses ambientes, a aplicao tem que
ser abrangente e ter reflexos nas operaes econmicas e financeiras. Os controles
e os procedimentos de controles encontrados, em geral, nesses ambientes, so
frequentemente muito tcnicos por natureza e podem requerer o envolvimento
de especialista altamente tcnico, tambm em auditoria de sistemas. Por isso os
custos de avaliao destes controles podem ser altos. No entanto, recomendado
selecionar entre vrios recursos e avaliar seus controles com base rotativa. Ou seja,
revisar o sistema operacional num perodo, noutro perodo os bancos de dados, e
assim sucessivamente.

Se as funes de banco de dados, sistema operacional e comunicao


de dados no so adequadamente controladas, dados e programas podem ser
perdidos ou alterados, controles de segurana lgica podem ser ignorados, falhas
de sistema podem ocorrer mais frequentemente e, em geral, os sistemas podem
no processar de forma confivel as transaes econmicas e financeiras. Para
Imoniana (2011, p. 135), em ambientes de processamento menores, muitas dessas
funes so feitas por fornecedores e as mudanas nesses sistemas so mnimas.
Em ambientes grandes, muito complexos, o controle sobre essas funes pode se
tornar muito importante.

8 PROCEDIMENTOS DE AUDITORIA
DE SISTEMAS APLICATIVOS
Os procedimentos de auditoria de sistemas aplicativos referem-se queles
executados para averiguar se os sistemas que constituem o cerne de negcio de uma
empresa registram as transaes rotineiras adequadamente. uma abordagem
baseada na avaliao dos sistemas das transaes rotineiras para obteno de
evidncias significativas da operao de tais sistemas. Essa auditoria pode ser
feita quando da aquisio de um aplicativo ou quando do seu desenvolvimento
interno, caracterizando uma reviso de pr-implementao. feita tambm
depois que o sistema colocado em operao, entendida como ps-implantao. A
efetividade dos controles internos esperados nos ambientes de sistemas aplicativos,
normalmente depende dos controles de acessos a informaes, controles de
hardwares, controles organizacionais da rea de processamento de dados, suporte
tcnico e os controles de aquisio, desenvolvimento, manuteno e documentao
de sistemas refletem nos aplicativos (IMONIANA, 2011).

Conforme os sete critrios do modelo COBIT de informaes, os objetivos


de auditoria de sistemas, no qual aplicativos devem ser elaborados atentando para:
efetividade, eficincia, confiabilidade, integridade, disponibilidade, compliance e
confiana. Essa prescrio do modelo COBIT vlida e bastante aplicada pelos

219
UNIDADE 3 | AUDITORIA DE SISTEMAS

profissionais de auditoria de sistemas. Imoniana (2011) afirma que vale ressaltar


que quando o auditor tenha ajudado na concepo e implementao dos sistemas
isto o incapacita a auditar tais procedimento de controles.

8.1 COMPREENSO DO FLUXO


DE SISTEMAS APLICATIVOS

Consiste na avaliao do uso de computadores para definir se sua


aplicao baixa, significativa ou alta no processamento dos sistemas
aplicativos. Durante a auditoria, as documentaes das informaes
referentes s estruturas dos sistemas aplicativos devem contemplar, entre
outros, os seguintes pontos:

a) Identificao de sistemas-chaves:
A identificao de sistemas-chaves fundamental para que o auditor
possa direcionar seus esforos de avaliao aos sistemas mais importantes
para a consecuo dos objetivos dos negcios, os quais, quando propensos
a erros, poderiam apresentar variaes materiais nas demonstraes
financeiras. Geralmente, apresentam os fluxos de informaes mais
significativas.
b) Descrio do sistema:
Levanta-se a finalidade do sistema na conduo do negcio. So controles
que atenuam os riscos, sejam eles controles manuais ou controles
programados.
c) Descrio do perfil do sistema:
Cita-se o volume aproximado de transaes processadas por ms.
Menciona os softwares em uso. Especifica tambm se o sistema foi
desenvolvido internamente ou externamente, qual a linguagem de
programao e quantos programas contm.
d) Documentao da viso geral do processamento:
Workflow das funes-chaves no processamento das informaes
significativas e a frequncia de seu uso. Deve-se observar a necessidade
de documentar o fluxo das transaes atravs de Diagrama de Fluxo de
Dados, enfatizando entradas-chave, lgica dos processamentos e sadas-
chaves.
e) Descrio de riscos dos sistemas aplicativos:
Deve-se documentar se o sistema opera em ambiente de produo ou de
desenvolvimento; em ambas as situaes, quem o responsvel? Verifique
se existem verses da aplicao em uso. Se houver, quantas verses so e
verifique se h planos para a eliminao de verses indesejveis. Verifique
tambm se h processos testados para contingncias e desastres.

FONTE: Imoniana (2011, p. 140)

220
TPICO 2 | TIPOS DE AUDITORIAS

8.2 OBJETIVOS DE AUDITORIA


De acordo com Imoniana (2011), a auditoria de sistemas aplicativos no s
tem objetivos de identificar os controles e avaliar os riscos de confidencialidade,
privacidade, acuidade, disponibilidade, auditabilidade e manutenibilidade dos
sistemas, mas tambm de concluir a respeito dos sistemas aplicativos classificados
como chaves e das funes-chaves dos sistemas consecuo das misses
empresariais. Os objetivos devem ser definidos em formas globais e especficas.

Segundo Imoniana (2011, p. 142), os objetivos globais referentes auditoria


de sistemas aplicativos so:

Integridade.
Confidencialidade.
Privacidade.
Acuidade.
Disponibilidade.
Auditabilidade.
Versatibilidade.
Manutenibilidade.

J em forma especfica, a auditoria de sistema aplicativo tem por objetivo


certificar-se de que:

As transaes registradas nos sistemas so provenientes das operaes


normais da empresa.
As transaes estejam corretamente contabilizadas nos sistemas, de
conformidade com os princpios fundamentais emanados das legislaes
vigentes.
Os princpios sejam uniformemente aplicados nos sistemas, subsistemas
e sistemas consolidadores das contas ou grupos de contas contbeis, e
ainda em relao aos exerccios anteriores.
Os controles independentes embutidos nos sistemas aplicativos sejam
plenamente aplicados para certificar as consistncias dos lanamentos,
garantia dos processamentos e emisso dos relatrios que reflitam o
resultado das transaes.
O sistema aplicativo tenha possibilidade de integrar-se inteiramente
com a contabilidade geral. Ou seja, no h como se fechar as transaes
econmicas, financeiras e contbeis de um ms sem processar um
mdulo importante de sistema-chave para a gerao das demonstraes
financeiras.

FONTE: Imoniana (2011, p. 143)

221
UNIDADE 3 | AUDITORIA DE SISTEMAS

8.3 PROCEDIMENTOS DE CONTROLES INTERNOS


A documentao dos procedimentos de controle dos sistemas aplicativos
que se deseja revisar fundamental para facilitar o apontamento dos pontos de
controles que devem ser testados (IMONIANA, 2011).

Para tanto, a compreenso do fluxo de sistemas aplicativos citados


anteriormente importante. Quando da documentao desse fluxo, alguns pontos
de uma forma ou de outra devem ser evidenciados. Como nfase, Imoniana (2011,
p. 143) menciona os seguintes pontos:

a) Atribuio de responsabilidades e autoridades com perfis de acessos


s pessoas e aos sistemas.
b) Segregao das funes incompatveis.
c) Registro das transaes de forma dependente com suas consistncias
de forma ntegra.
d) Contabilizao em tempo hbil.
e) Monitoramento das operaes.
f) Levantamento de relatrios.

9 AUDITORIA DE PLANOS DE SEGURANA


Primeiramente, plano de segurana ou de contingncia, para Imoniana
(2011) significa medidas operacionais estabelecidas e documentadas para serem
seguidas, no caso de ocorrer alguma indisponibilidade dos recursos de informtica,
evitando-se que o tempo no qual os equipamentos fiquem parados acarrete perdas
materiais aos negcios da empresa.

O plano de continuidade, como conhecido, numa viso secundria


muito mais que somente recuperao das atividades de informtica. Segundo
Imoniana (2011, p. 167), contempla tambm as preocupaes concernentes vida
dos funcionrios, impactos sobre meio ambiente, imagens junto aos clientes e
fornecedores e o pblico geral.

A responsabilidade bsica da diretoria da rea de TI, se o ambiente for


muito complexo. De acordo com Imoniana (2011), se o ambiente for moderado,
do gerente de TI, e se for ambiente pequeno, do encarregado ou dos analistas
responsveis pela administrao da rede. No entanto, para que sejam efetivas, a
alta direo precisa oferecer apoio s medidas, visto que tm intuito estratgico.

Ao implement-lo efetivamente, deve-se estabelecer os responsveis pela


consecuo das aes de contingncia, normalmente, as pessoas designadas a
assumir aes de contingncias no momento de desastres so pessoas diferentes
daquelas que executam funes operacionais no dia a dia em um ambiente de TI.
Segundo Imoniana (2011, p. 167), para evitar conflitos, as responsabilidades so
delineadas, documentadas e colocadas disposio do grupo chamado de equipe
de contingncia.

222
TPICO 2 | TIPOS DE AUDITORIAS

A disponibilizao dos dados de vital importncia para o workflow dos


sistemas das empresas; por isso, a adoo de um plano de contingncia visa garantir
a busca e transformaes dos mesmos sem causar descontinuidade operacional da
empresa, em caso da quebra de equipamentos ou ocorrncia de algum sinistro
(IMONIANA, 2011).

Para Imoniana (2011, p. 168), no processo de implementao do plano de


contingncia, recomendado que o usurio avalie-se quanto ao nvel de risco a que
est sujeito, observando a importncia de sua atividade para as funes crticas
dos negcios, as quais se enquadram numa das trs categorias a seguir: alto risco,
risco intermedirio e baixo risco.

Ainda de acordo com Imoniana (2011, p. 168), aps esta avaliao, o


usurio deve verificar que tipo de proteo a mais recomendada para cada caso.

9.1 OBJETIVOS DE AUDITORIA


Os objetivos da avaliao dos planos de contingncias de uma empresa,
segundo Imoniana (2011, p. 168), so certificar-se de que:

H planos desenvolvidos que contemplem todas as necessidades de


contingncias.
Esses planos so suficientemente abrangentes para cobrir aspectos
fsicos, lgicos, de redes, de propriedades intelectuais, de pessoas, entre
outros.
A equipe de contingncia est preparada para as eventualidades.
Esses planos so testados periodicamente.
Os backups podem ser recuperados com pouca ou nenhuma
dificuldade.
H relatrios gerenciais que facilitam o acompanhamento dos
procedimentos.
Os relatrios so confiveis.

10 AUDITORIA DE REDES
A rede empresarial onde habita a informao que alimenta as transaes
e os processos de negcios. , de acordo com Imoniana (2011, p. 177), o local em
que existem as informaes mais importantes para a execuo de transaes no
s econmicas, mas tambm financeiras.

A gesto efetiva desta rede concentra-se nos controles relacionados com


comunicao de dados e informaes nas camadas fsicas e de enlace utilizando-
se dos protocolos de camada de rede IP e OSI, de camadas de transporte TCP e
UDP e dos protocolos de aplicao DNS, SNMP, HTTP, entre outros, para que seja
confirmado o objetivo da rede na consecuo das metas empresariais (IMONIANA,
2011).

223
UNIDADE 3 | AUDITORIA DE SISTEMAS

A avaliao, portanto, do processo de concepo da rede e de suas


operaes visa testar se suas atividades esto proporcionando aos usurios os
servios esperados. (IMONIANA, 2011, p. 177).

Outros contextos da implementao da rede e de sua operao avaliados


no processo de auditoria, de acordo com Imoniana (2011, p. 177) incluem:

Planejamento da concepo da rede com viso estratgica ao integrar


o plano diretor da empresa.
Desenho das arquiteturas e da topologia da rede.
Implementao dos projetos fsicos e lgicos.
Monitoramento dos desempenhos e possveis interceptaes nas
redes.
Replanejamento de capacidade.
Levantamento dos problemas operacionais e sua resoluo.

Imoniana (2011) diz que vale ressaltar que as questes fundamentais


relacionadas com segurana, ou seja, vulnerabilidade do TCP/IP e aplicaes,
deficincias, ataques s rotas, ICMP, UDP, sequncia, TCP, DNS, fragmentao ou
saturao de portas ou buffer/stack overflow, entre outras, so fundamentalmente
consideradas para assegurar a confiana dos auditores com relao aos controles
internos.

10.1 OBJETIVOS DE AUDITORIA


O principal objetivo de auditoria de redes, segundo Imoniana (2011, p. 178)
certificar-se da confiabilidade da rede em relao :

Segurana fsica: que contemple os equipamentos e perifricos,


arquitetura da rede, sua construo e distribuio.
Segurana lgica: que contemple as customizaes dos recursos de
softwares, em geral os rendimentos da rede, seu acompanhamento e
avaliao de desempenho operacional.
Segurana de enlace: que assegure as linhas e canais de transmisses
entre unidades e localidades remotas obedecendo aos limites
estabelecidos.
Segurana de aplicao: disponibilidade da rede poder confiar e
contar com os recursos da rede quando o usurio mais precisa dela.

224
TPICO 2 | TIPOS DE AUDITORIAS

11 RELATRIOS DE AUDITORIA

Vrios relatrios so emitidos em decorrncia dos trabalhos de auditoria de


sistemas de informaes. Esses relatrios podem ser classificados em dois grupos,
os que so direcionados para a consecuo dos objetivos de auditoria independente
e outros para atender s necessidades de auditoria interna (IMONIANA, 2011).

Quando for para atender auditoria independente, os responsveis pela


definio dos escopos de auditoria financeira precisam dos relatrios de auditoria
de sistemas enfocando aspectos de controles internos para ajudar no processo
de determinao da extenso de testes substantivos e analticos substantivos
(IMONIANA, 2011).

Vale ressaltar que somente quando a estratgia de confiana nos controles for
adotada e os controles que mitigam os riscos que podem existir forem identificados
se recomenda avaliao dos controles internos; se no houver estabelecimento
de nvel aceitvel e de confiana nos controles internos no se recomenda sua
avaliao, pois no adianta avali-los, visto que a reviso apenas visa confirmar
se os controles funcionam e se so efetivos. Por sua vez, quando for atender s
necessidades de auditoria interna, seus relatrios ajudaro na compreenso da
extenso da efetividade dos controles implementados no processo de gesto
empresarial (IMONIANA, 2011).

Segundo Imoniana (2011, p. 189), os relatrios de auditoria de sistemas,


em razo das facilidades do uso de informtica, podem ser gerados em vrios
momentos das fases de auditoria:

Aps uma execuo do procedimento de auditoria e constatao de fatos


relevantes que podem gerar prejuzos materiais e precisam de ateno
imediata e de medidas de correo urgentes.
Relatrios interinos do processo de auditoria que visam reportar
gradativamente o processo da evoluo dos trabalhos e situao dos
achados. Isso fundamental no processo de auditoria interna que tem
enfoque construtivo e colaborativo para aprimorar o processo de gesto.
Relatrios preliminares emitidos aps a concluso dos trabalhos de
auditoria, porm antes que o auditor saia totalmente do campo.
Relatrios finais ou pareceres que so o produto final do trabalho de
auditoria de sistemas.

De acordo com Imoniana (2011, p. 190), os relatrios podem ser emitidos


em forma final seguindo orientaes de cada empresa ou at padres de empresas
auditadas. H empresas multinacionais que possuem polticas de auditoria que
definem formatos especiais de emisso desses relatrios; nesses casos, o auditor de
sistemas dever solicitar o formato para emitir o relatrio.

225
UNIDADE 3 | AUDITORIA DE SISTEMAS

Segundo Imoniana (2011), geralmente os relatrios finais seguem os


seguintes formatos padres e apresentam os seguintes itens: Observao
constatao do processo de auditoria; Consequncias risco em que a empresa
incorre em decorrncia das fraquezas apontadas; Recomendaes sugestes e
medidas de correo; Comentrios da gerncia concordncia ou no com o ponto
levantado e apontamento de prazo para implementao das medidas.

NOTA

Quando os relatrios so entregues para os responsveis pela auditoria das


demonstraes financeiras, ainda necessrio um memorando de encaminhamento
apresentando os sumrios dos trabalhos efetuados e as principais concluses. (IMONIANA,
2011, p. 190).

226
RESUMO DO TPICO 2

Caro(a) acadmico(a)! Neste tpico, voc estudou que:

A efetividade dos controles organizacionais e operacionais depende da experincia


organizacional dos gestores, uma vez que exige demonstrao de prticas e
habilidades gerenciais.

As funes de aquisio, desenvolvimento, manuteno e documentao de


sistemas so atribudas aos indivduos que tm competncias para conceber e
implantar sistemas.

O desenvolvimento efetivo de um sistema requer participao da alta cpula da


administrao.

O controle de hardware objetiva implantar procedimentos de segurana


fsica sobre os equipamentos instalados em ambiente de informtica de uma
organizao.

Para que os controles de hardware sejam efetivos necessrio fazer inventrios


de hardwares.

Segurana de acesso lgico refere-se proteo dada aos recursos tecnolgicos


de um ambiente de sistema computadorizado contra acessos no autorizados
aos dados ou informaes, no permitidas a qualquer usurio, com exceo do
seu proprietrio. a concesso de privilgios de acesso somente a quem tem
direito ao acesso.

A funo de suporte destina-se aos usurios de TI e aos indivduos com


responsabilidade de implantar, manipular e supervisionar os recursos da
tecnologia e de fornecer apoio sua utilizao nas empresas.

Os procedimentos de auditoria de sistemas aplicativos referem-se queles


executados para averiguar se os sistemas que constituem o cerne de negcio de
uma empresa registram as transaes rotineiras adequadamente.

O plano de continuidade muito mais que somente recuperao das atividades


de informtica. Ele contempla tambm as preocupaes concernentes vida
dos funcionrios, impactos sobre meio ambiente, imagens junto aos clientes e
fornecedores e o pblico geral.

227
AUTOATIVIDADE

1 Cite trs controles de documentao utilizados na auditoria de aquisio,


desenvolvimento e manuteno de sistemas.

2 Quais os itens que normalmente so apresentados nos relatrios finais de


auditoria?

3 Cite algumas operaes comuns na auditoria de operao do computador.

4 Cite trs funes rotineiras e trs funes espordicas na auditoria de


controles de suporte tcnico.

5 Quais os dois aspectos que so importantes para avaliao dos controles de


acesso?

Assista ao vdeo de
resoluo da questo 2

228
UNIDADE 3
TPICO 3

NORMAS E PADRES DE SEGURANA

1 INTRODUO
Normas e padres tcnicos representam uma referncia importante para a
qualidade de qualquer processo. Quando processos de produo de bens e servios
so desenvolvidos em conformidade com um padro de referncia de qualidade,
aumentam as garantias de que estes sejam eficientes, eficazes e confiveis (BEAL,
2008).

E
IMPORTANT

Existem diversas referncias internacionais criadas para auxiliar as organizaes a


implementar as melhores prticas na gesto da segurana da informao e da TI. (BEAL, 2008,
p. 31).

2 BENEFCIOS TRAZIDOS PELA


ADOO DE UM PADRO
Normas e padres tm por objetivo definir regras, princpios e critrios,
registrar as melhores prticas e prover uniformidade e qualidade a processos,
produtos ou servios, tendo em vista sua eficincia e eficcia. (BEAL, 2008, p. 36).

Em alguns casos, a certificao com relao BS 17799:2 pode ser necessria


para confirmar a qualidade do sistema de gesto da segurana da informao para
parceiros, clientes ou fornecedores, mas para a maioria das organizaes, mais
importante do que buscar conformidade total ou certificao em relao a uma
norma procurar conhecer os padres e melhores prticas disponveis para deles
extrair aquilo que puder ser til para aprimorar seu sistema de gesto da segurana
(BEAL, 2008).

Os fatores a serem considerados na adoo de um ou mais padres


de segurana incluem os objetivos de negcio, como, melhorar as operaes,
uniformizar processos, reduzir os riscos e que representam os recursos necessrios
para atingir a conformidade total ou parcial e tambm as vantagens de se buscar

229
UNIDADE 3 | AUDITORIA DE SISTEMAS

uma certificao. Na falta de um padro mundial de segurana, a ISO 17799,


que no oferece certificao, til para fornecer as diretrizes para a criao de um
sistema formal de segurana da informao nas organizaes (BEAL, 2008).

3 ISO GUIDE 73
A ISO/IEC Guide 73 (Risk Management vocabulary guidelines for use in
standards), publicada em 2002, define 29 termos da Gesto de Riscos, os quais
foram agrupados nas seguintes categorias: termos bsicos; termos relacionados
a pessoas ou organizaes afetadas por riscos; termos relacionados avaliao de
riscos; termos relacionados a tratamento e controle dos riscos. A norma til para
uniformizar o entendimento em relao aos conceitos relacionados ao risco (BEAL,
2008).

4 ITIL
A IT Infrastructure Library (ITIL) foi inicialmente publicada em 1989 pela
Central Computer Telecommunication Agency (CCTA) (atualmente denominada
de Office of Government Commerce (OGC)), agncia do Reino Unido. Desde
sua publicao original, a ITIL se prope a ser uma fonte de boas prticas de
gerenciamento de ambientes de TI, baseada na experincia de centenas de empresas
de classe mundial e organizadas por um grupo de renomados especialistas em
computao e administrao (FOINA, 2009).

O Information Technology Infrastructure Library (ITIL) uma estrutura


fornecida pelo governo do Reino Unido com oito conjuntos de procedimentos de
gesto: (1) prestao de servios, (2) suporte tcnico, (3) gerenciamento de servios,
(4) gesto de infraestrutura de Tecnologia de Informao e Comunicao (TIC), (5)
gesto de ativos de software, (6) perspectiva de negcio, (7) gesto de segurana e
(8) de gerenciamento de aplicaes. O ITIL uma boa opo para organizaes
preocupadas com suas operaes (BALTZAN; PHILLIPS, 2012).

O ITIL um conjunto de documentos desenvolvidos pelo governo do Reino


Unido para registrar as melhores prticas na rea de gesto de servios de TI.
Embora no represente exatamente um padro de segurana da informao, o ITIL
contempla as reas de gesto de incidentes, problemas, configurao, atendimento
ao usurio final, nvel de servio e desenvolvimento, implantao e suporte de
software, colaborando assim tanto para a padronizao e a melhoria da qualidade
do servio ofertado pela rea de TI, quanto para o estabelecimento de processos
voltados para o alcance dos objetivos de segurana da informao (BEAL, 2008).

A filosofia ITIL adota uma estratgia orientada a processos para atender a


qualquer tipo de organizao. Ela considera o Gerenciamento de Servios em TI
como um conjunto de processos estreitamente relacionados e altamente integrados.

230
TPICO 3 | NORMAS E PADRES DE SEGURANA

Para atingir os objetivos-chaves do Gerenciamento de Servios em TI, devem ser


utilizadas: as pessoas, processos e tecnologias (FERREIRA; ARAJO, 2008).

Dessa forma, as organizaes podero estar seguras da entrega de servios


de TI inovadores e de alta qualidade, alinhados com os processos de negcio.
(FERREIRA; ARAJO, 2008, p. 65).

Desde o incio, a ITIL foi disponibilizada sem restries, ou seja, qualquer


organizao pde utilizar a estrutura descrita nos livros. Por esse motivo, a
ITIL tem sido utilizada por uma grande quantidade de organizaes, como os
rgos pblicos e entidades privadas (manufatura, instituies financeiras e etc.)
(FERREIRA; ARAJO, 2008). Os processos da ITIL podem ser utilizados como
base para alcanar conformidade com as normas BS 15000 (British Standard for IT
Service Management) e ISO/IEC 20000. (FERREIRA; ARAJO, 2008, p. 66).

5 COBIT
Segundo Beal (2008, p. 32),

o COBIT um conjunto de diretrizes para a gesto e auditoria de


processos, prticas e controles de TI. Desenvolvido pela Information
Systems Audit and Control Association (ISACA) e pelo IT Government
Institute, o COBIT oferece um modelo de maturidade para o controle dos
processos de TI e abrange prticas em quatro domnios: planejamento
e organizao, aquisio e implementao, entrega e suporte e
monitorao.

um conjunto de orientaes e ferramentas de apoio para a governana


de TI que aceito em todo o mundo e geralmente utilizado por auditores e
empresas como uma forma de integrar a tecnologia para aplicao de controles e
cumprimento de objetivos de negcio especficos. (BALTZAN; PHILLIPS, 2012,
p. 305).

NOTA

O COBIT contm mais de 300 pontos de controle para 34 processos, sendo um


deles o de segurana da informao. Seu principal objetivo auxiliar a organizao a equilibrar
risco e retorno de investimentos de TI. (BEAL, 2008, p. 32).

231
UNIDADE 3 | AUDITORIA DE SISTEMAS

Sua estrutura de controles possui padres aceitos mundialmente como os


melhores praticados para o estabelecimento de controles e padres de segurana
para a rea de Tecnologia da Informao das empresas dos mais variados
segmentos de negcio. O COBIT, segundo o site da ISACA, foi adotado pelo Federal
Reserve (EUA) como fonte de referncia para a reviso dos sistemas de informao
do sistema bancrio norte-americano, demonstrando claramente sua abrangncia
(FERREIRA; ARAJO, 2008).

O CobiT est dividido em quatro domnios, dos quais 34 processos


estabelecem os objetivos de controle necessrios para a manuteno de uma
estrutura de controles internos que possibilitem organizao atingir seus
objetivos de negcio de maneira confivel (do ponto de vista de TI). Os
quatro domnios so:

Planejamento e Organizao (Plan and Organise): abrange as estratgias


e tticas, preocupando-se com a identificao da maneira pela qual a TI
pode contribuir para atingir os objetivos do negcio.

Aquisio e Implementao (Acquire and Implement): mudanas em um


sistema aplicativo existente so cobertas por este domnio para garantir
que a soluo continue a atender os objetivos de negcio.

Entrega e Suporte (Delivery and Support): este domnio se preocupa com


a entrega dos servios solicitados, incluindo o Service Delivery, a gesto
da segurana da informao e continuidade, o suporte aos usurios, e o
gerenciamento dos dados e das instalaes.

Monitorao e Avaliao (Monitor and Evaluate): os processos de TI precisam


ser auditados regularmente, em sua qualidade e adequao, com os
requerimentos de controle. Este domnio abrange a gesto de performance,
monitorao de controles internos, conformidade regulatria.

FONTE: Ferreira e Arajo (2008, p. 58)

6 BS7799 E ISO/IEC 17799


O BS 7799 um padro reconhecido internacionalmente para implementao
de controles de segurana.

A famlia de padres BS 7799 trata da gesto da segurana da informao.


A parte 1 desse conjunto de padres, que corresponde a um cdigo de prticas
para a gesto da segurana da informao, foi inicialmente publicada em 1995
pelo British Standards Institution (BSI) e tornou-se um padro internacional em
2000, com sua adoo pela International Organization for Standardization (ISO)
sob o nome ISO/IEC 17799 (BEAL, 2008).

O BS 7799 foi atualizado em 1999, com o objetivo de incorporar prticas de


segurana em comrcio eletrnico. A poltica de segurana pode ser definida com

232
TPICO 3 | NORMAS E PADRES DE SEGURANA

base nessa referncia, levando-se em considerao os pontos especficos relevantes


para o contexto e a realidade de cada organizao (NAKAMURA; GEUS, 2007).

De acordo com Nakamura e Geus (2007, p. 191), o padro da British Standard


foi desenvolvido por um comit composto por rgos governamentais e empresas
privadas, como HSBC, Lloyds, KPGM, Shell e Unilever, e dividido em duas partes:

BS 7799 Parte 1, de 1995: conjunto de prticas para o gerenciamento da


segurana da informao.

BS7799 Parte 2, de 1998: especificao para sistemas de gesto de segurana


da informao.

NOTA

No Brasil, a ISO/IEC 17799 publicada pela ABNT Associao Brasileira de


Normas Tcnicas sob a denominao NBR ISO/IEC 17799.

A segunda parte do padro, BS 7799-2, voltada para a definio de um sistema


de gesto de segurana da informao (ISMS, de Information Security Management
System). A BS 7799-2 especifica uma srie de processos voltados para garantir no s
a avaliao e o tratamento dos riscos, mas tambm a reviso e melhoria dos processos
para garantir que o ISMS seja atualizado frente s mudanas no ambiente de negcios
e seus efeitos na organizao, e oferece certificao (BEAL, 2008).

NOTA

ISMS o acrnimo de Information Security Management System, o qual, traduzido


para o portugus, quer dizer Sistema de Gesto em Segurana da Informao.

Segundo Beal (2008, p. 33),


a certificao da parte 2 envolve uma auditoria do ISMS para verificar
se a organizao dispe de processos adequados para gerenciar riscos,
manter o sistema atualizado e garantir o desenvolvimento da segurana
da informao. O sistema de controle implementado para gerenciar
riscos deriva dos controles mencionados na ISO/IEC 17799 (o cdigo
de prtica). O modelo de certificao e auditoria utilizado para a

233
UNIDADE 3 | AUDITORIA DE SISTEMAS

parte 2 equivale aos das normas ISO 9001 e ISO 14000, e exemplos de
entidades certificadoras para a BS 7799-2 so BSI, Certification Europe,
KEMA, KPMG e SAI Global Limited.

O ISO/IEC 17799 uma verso internacional do BS 7799, adotado pela


International Standardization Organization (ISO) e pelo International Electricaltechnical
Comission (IEC), resultante de diversas sugestes e alteraes, e existe desde 10 de
dezembro de 2000. No Brasil, a Associao Brasileira de Normas Tcnicas (ABNT)
traduziu a norma da ISO e conferiu-lhe a denominao de NBR ISO/IEC 17799, em
2001 (NAKAMURA; GEUS, 2007).

Assim, segundo Nakamura e Geus (2007, p. 191),


a poltica de segurana pode ser definida com base em padres de
referncia, como o NBR ISO/IEC 17799. Assim como as certificaes em
qualidade, como o ISO 9000, certificaes em segurana da informao,
como o ISO/IEC 17799, possuiro um valor cada vez mais crescente
como diferenciais competitivos na Era da Informao. Isso demonstra
a importncia da poltica de segurana, que no Brasil realidade em
39% das organizaes. Segundo a pesquisa, 16% das organizaes
possuem uma poltica desatualizada, 30% possuem uma poltica em
desenvolvimento e 15% no possuem uma poltica formalizada.

6.1 AS DEZ REAS DE CONTROLE DA ISO/IEC 17799

Estas so as dez reas de controle da ISO/IEC 17799:

Poltica de segurana: recomendaes para a formalizao de uma poltica


contendo diretrizes, princpios e regras que iro prover orientao e apoio
para a implantao e manuteno da segurana.

Segurana organizacional: recomendaes para o estabelecimento de uma


estrutura de gesto para planejar e controlar a implementao da segurana
da informao na organizao.

Classificao e controle dos ativos de informao: recomendaes sobre


a realizao de inventrio dos ativos informacionais e atribuio de
responsabilidades pela manuteno dos controles necessrios para proteg-los.

Segurana em pessoas: recomendaes para reduzir os riscos de erro


humano, roubo, fraude ou uso indevido das instalaes.

Segurana fsica e do ambiente: recomendaes para a proteo dos


recursos e instalaes de processamento de informaes crticas ou
sensveis do negcio contra acesso no autorizado, dano ou interferncia.

Gesto das operaes e comunicaes: recomendaes para garantir a


operao correta e segura dos recursos de processamento de informaes
e proteger a integridade de servios e informaes.

234
TPICO 3 | NORMAS E PADRES DE SEGURANA

Controle de acesso: recomendaes para o monitoramento e controle do


acesso a recursos computacionais, para proteg-los contra abusos internos
e ataques externos.

Manuteno e desenvolvimento de sistemas: recomendaes para o uso de


controles de segurana em todas as etapas do ciclo de vida foram que, com
todos os esforos de TI, tudo seja implementado e mantido com a segurana
em mente, usando controles de segurana em todas as etapas do processo.

Gesto da continuidade do negcio: recomendaes para preparar a


organizao para neutralizar as interrupes das atividades comerciais e
proteger os processos crticos em caso de ocorrncia de falha ou desastre.

Conformidade: recomendaes para a preservao da conformidade com


requisitos legais (tais como direitos autorais e direito privacidade), com
as normas e diretrizes internas e com os requisitos tcnicos de segurana.

FONTE: Beal (2008, p. 33)

QUADRO 17 COMPARATIVO ENTRE ISO/IEC 17799 E BS 7799-2

ISO 17799 BS 7799-2


Especificao para um sistema de
Viso generalista lista de gesto de segurana da informao
recomendaes genricas, no baseado nas prticas da BS 7799-1
mensurveis. (ISO 17799), cuja implementao
mensurvel.
No oferece certificao. Dispe de processo de certificao.
Usa o termo should (em portugus,
Usa o termo shall (deve) ao descrever
traduzido por convm que) ao
prticas de segurana.
descrever prticas de segurana.
Exemplo: Devem ser implementados
Exemplo: Convm que sejam
controles de deteco e preveno
implantados controles para a deteco e
para proteo contra cdigo malicioso
preveno de software malicioso, assim
e procedimentos apropriados de
como procedimentos para a devida
conscientizao dos usurios.
conscientizao dos usurios.
FONTE: Adaptado de BEAL (2008, p. 35)

NOTA

De acordo com Ferreira e Arajo (2008), em julho de 2007, foi alterado apenas o
nome da norma NBR ISO/IEC 17799 para NBR ISO/IEC 27002.

235
UNIDADE 3 | AUDITORIA DE SISTEMAS

7 ISO/IEC 13335
A ISO/IEC 13335 (Guidelines for the management of IT security) um conjunto
de diretrizes de gesto de segurana voltadas especificamente para a tecnologia
da informao. A norma composta de cinco partes, que tratam de conceitos e
modelos para a segurana de TI, da administrao e planejamento de segurana
de TI, das tcnicas para a gesto da segurana de TI, da seleo de medidas de
proteo e da orientao gerencial em segurana de redes. A ISO 13335 tem por
objetivo no s servir de base para o desenvolvimento e o aprimoramento de uma
estrutura de segurana de TI, como tambm estabelecer uma referncia comum de
gesto de segurana para todas as organizaes. (BEAL, 2008, p. 35).

8 NBR ISO/IEC 27001:2006


Atualmente, existem no Brasil empresas com equipes de auditores e
consultores com amplo conhecimento da norma e certificados como BS 7799 Lead
Auditor e ISO 27001 Lead Auditor. Esses profissionais preparam as empresas para
a certificao e acompanham o trabalho dos auditores durante o processo. Por
motivos ticos, a empresa que presta consultoria no processo de preparao no
efetua a auditoria de certificao (FERREIRA; ARAJO, 2008).

Diversas empresas no mundo j foram certificadas na norma NBR ISO/IEC


27001:2006, como bancos, empresas de telecomunicaes, indstrias, prestadores de
servios, consultorias e organizaes governamentais. So empresas que optaram
pela certificao por vrios motivos e benefcios que variam desde a reduo de
prmios de seguro, at uma estratgia de marketing utilizando a certificao como
diferencial competitivo e como demonstrao pblica do compromisso da empresa
com a segurana das informaes de seus clientes. O certificado um atestado
pblico de capacidade (FERREIRA; ARAJO, 2008).

De acordo com Ferreira e Arajo (2008, p. 56-57), o processo de certificao,


resumidamente, est dividido em:

Reviso da documentao do ISMS de acordo com as normas NBR


ISO/IEC 27001:2006 e NBR ISO/IEC 27002:2005.
Visita inicial para a obteno de informaes antes da auditoria, e
determinao do escopo.
Auditoria de Certificao que consiste na realizao de entrevistas e
anlise do ISMS em operao.
Emisso do Certificado, desde que o ambiente esteja em conformidade
com a norma.
Auditoria anual, para certificar que o ISMS continua operando
satisfatoriamente.

Vale ressaltar que a renovao do certificado deve ser efetuada a cada trs
anos e exige-se que seja realizada uma nova Auditoria de Certificao (FERREIRA;
ARAJO, 2008). O custo da certificao depende de vrios fatores, tal como quanto

236
TPICO 3 | NORMAS E PADRES DE SEGURANA

tempo o responsvel pela certificao levar para se convencer sobre a conformidade


das instalaes da organizao com relao norma, ao tamanho e complexidade da
empresa e de seus sistemas (FERREIRA; ARAJO, 2008).

9 SARBANES-OXLEY
O ato Sarbanes-Oxley, elaborado pelo senador americano Paul Sarbanes e pelo
deputado Michael Oxley, tornou-se lei em 30 de julho de 2002 e introduziu mudanas
significativas governana corporativa e ao cenrio financeiro, visando proteger
os investidores atravs da melhoria dos processos que geram as demonstraes
financeiras. (FERREIRA; ARAJO, 2008, p. 143).

Foi criada para aperfeioar os controles internos financeiros das organizaes


que possuem aes na Bolsa de Nova York (New York Stock Exchange). Esta lei,
que tambm atinge empresas brasileiras, veio em decorrncia dos escndalos
financeiros das empresas Enron, Worldcom e outras, que acabaram com as
economias pessoais de muitos norte-americanos (FERREIRA; ARAJO, 2008).

A SOX, como conhecida, prev multas que variam de US$ 1 milho a


US$ 5 milhes e penas de recluso entre 10 e 20 anos para seus executivos, CEOs
(Chief Executive Officer), CFOs (Chief Finance Officer) e outros demais envolvidos
(FERREIRA; ARAJO, 2008).

O principal objetivo da lei estimular as organizaes a buscarem


mais eficincia na Governana Corporativa, o que tambm depende de um
gerenciamento de riscos bem-sucedido. Alm de garantir maior controle com as
contas das organizaes, a lei tambm contribuiu para as companhias acelerarem
seus processos de gesto de riscos corporativos (FERREIRA; ARAJO, 2008).

A SOX est organizada em 11 partes, cada qual contendo um nmero


de sees. As sees consideradas mais significativas da SOX com relao
conformidade e controles internos so: 302, 404 (mais visada), 401, 409, 802 e 906
(FERREIRA; ARAJO, 2008).

A partir dessa lei, os Executivos Financeiros tm de assinar os relatrios


financeiros da empresa. Tambm, significa que atestam a veracidade das
informaes pessoalmente, ou seja, podem pagar at mesmo com o patrimnio
pessoal se forem descobertas irregularidades FRAUDES (FERREIRA; ARAJO,
2008).

Cada vez mais os sistemas de TI esto automatizando as atividades de


negcio e fornecendo mais funcionalidades que permitem ter maior ou menor
controle. Consequentemente, h necessidade de incluir controles de TI para os
sistemas financeiros existentes (FERREIRA; ARAJO, 2008, p. 144).

Ferreira e Arajo (2008, p. 144) comentam que, resumidamente, os


executivos tm os seguintes desafios:

237
UNIDADE 3 | AUDITORIA DE SISTEMAS

Aprimorar o seu conhecimento sobre controles internos.


Entender como estar em conformidade com a SOX.
Desenvolver um plano especfico de conformidade para
aprimoramento dos controles internos de TI.
Integrar este plano estratgia da organizao.
Entender o programa de controles internos da organizao e o
processo de demonstraes financeiras.
Mapear os sistemas de TI que suportam o processo de reporte
financeiro para elaborao das demonstraes e os controles internos.
Identificar os riscos relacionados a esses sistemas.
Desenhar e implementar controles para minimizar os riscos
identificados e monitor-los continuamente.
Documentar e testar os controles de TI.
Assegurar que os controles de TI estejam atualizados e sejam alterados
quando necessrio.

O tema segurana da informao foi amplamente beneficiado com o advento


SOX, pois muitos dos requisitos de segurana, que antes no eram justificados,
em virtude da lei conseguiram sua respectiva aprovao oramentria, alm da
priorizao de execuo (FERREIRA; ARAJO, 2008).

LEITURA COMPLEMENTAR

Caros(as) acadmicos(as)! Como leitura complementar, segue um texto


sobre a importncia de uma auditoria de sistemas independentes. Veremos
como o assunto tratado sob a tica de Carlos Marcelo Lauretti, profissional com
extensa experincia como gestor de TI em empresas de grande porte dos setores
de engenharia civil e editorial.

A importncia de uma auditoria de sistemas independente

A maioria das grandes empresas est obrigada a se submeter a auditorias


independentes durante as quais normalmente est includa uma auditoria de
sistemas. Lamentavelmente, muitas empresas, especialmente as de pequeno
e mdio porte no esto obrigadas s auditorias externas, portanto, a rea de
informtica no tem que prestar contas de seus procedimentos e aes alm da
prpria direo.

A auditoria independente o instrumento que as empresas tm para


assegurar aos seus acionistas de que seguem as melhores prticas de governana
corporativa. Sem uma auditoria independente no h como garantir a confiabilidade
das informaes que so disponibilizadas. Assim como no se pode confiar nos
demonstrativos contbeis de uma empresa se eles no passarem por um controle
independente, tambm no possvel confiar nos sistemas de informaes destas
organizaes se no estiverem sujeitos a auditorias de sistemas independentes e
rotineiras.

238
TPICO 3 | NORMAS E PADRES DE SEGURANA

Em muitos anos frente da TI de vrias empresas, sempre me defrontava com


a suspeita se as informaes disponibilizadas pelos sistemas eram confiveis. Meus
problemas terminaram quando passei a ser submetido auditoria independente.
A auditoria independente assegurava empresa, que eu adotava todas as prticas
necessrias para garantir a integridade dos sistemas.

Profissionais de TI no devem ver auditorias externas como ameaas ao


seu trabalho. Ao contrrio, bons profissionais querem demonstrar empresa que
podem confiar em seus sistemas de informao. Em muitas situaes, a auditoria
externa at mesmo corrobora as solicitaes de TI para implantar solues mais
robustas, como por exemplo, relativas tolerncia a falhas, segurana de acessos
e outras necessidades que muitas vezes no somos capazes de convencer a alta
direo de efetuar os investimentos necessrios.

Para as empresas que no esto sujeitas obrigatoriedade de uma auditoria


de sistemas, extremamente vantajoso que as faam espontaneamente. Os resultados
so ainda melhores quando a iniciativa desta auditoria parte da prpria rea de TI.
Muitos profissionais de TI equivocadamente veem a auditoria de sistemas como
uma ameaa. extremamente preocupante empresas nas quais a TI v a auditoria
como uma ameaa e no como uma aliada.

Uma experincia muito interessante a alta direo propor TI a utilizao


de uma auditoria de sistemas. Sem dvida, naquelas que houver uma rejeio muito
grande, ou disserem que jogar dinheiro fora, deve-se iniciar imediatamente esta
auditoria independente. Aquelas que tiverem o apoio de TI se pode deixar para
um momento mais oportuno.
FONTE: Disponvel em: <http://www.tiespecialistas.com.br/2011/02/a-importancia-de-uma-
auditoria-de-sistemas-independente/>. Acesso em: 24 jul. 2013.

239
RESUMO DO TPICO 3

Caro(a) acadmico(a)! Neste tpico, voc estudou o seguinte:

Normas e padres tcnicos representam uma referncia importante para a


qualidade de qualquer processo.

Os fatores a serem considerados na adoo de um ou mais padres de


segurana incluem os objetivos de negcio, os recursos necessrios para atingir
conformidade total ou parcial e as vantagens de se buscar uma certificao.

A norma ISO/IEC Guide 73 til para uniformizar o entendimento em relao


aos conceitos relacionados ao risco.

O ITIL um conjunto de documentos desenvolvidos pelo governo do Reino


Unido para registrar as melhores prticas na rea de gesto de servios de TI
e adota uma estratgia orientada a processos para atender a qualquer tipo de
organizao.

A estrutura de controles do COBIT possui padres aceitos mundialmente como


melhores prticas para estabelecer controles e padres de segurana para a rea
de TI das empresas dos mais variados segmentos de negcio.

O BS 7799 um padro reconhecido internacionalmente para implementao


de controles de segurana.

A ISO/IEC 17799 uma verso internacional do BS 7799, resultante de diversas


sugestes e alteraes. No Brasil, a ABNT traduziu a referida norma sob a
denominao de NBR ISO/IEC 17799.

A ISO/IEC 13335 um conjunto de diretrizes de gesto de segurana voltadas


especificamente para a tecnologia da informao.

O principal objetivo da lei Sarbanes-Oxley garantir a fidedignidade nos


resultados das companhias e tambm estimular as organizaes a buscarem
mais eficincia na Governana Corporativa.

240
AUTOATIVIDADE

1 Explique o que vem a ser o ITIL e qual seu objetivo.

2 Cite os quatro domnios do COBIT.

3 O que vem a ser a norma ISO/IEC 13335?

4 Qual a verso mais atual da norma NBR ISO/IEC 17799?

5 O que motivou a criao da Lei Sarbanes-Oxley?

Assista ao vdeo de
resoluo da questo 3

241
242
REFERNCIAS
BALTZAN, Paige; PHILLIPS, Amy; Sistemas de informao. Porto Alegre:
AMGH, 2012.

BEAL, Adriana. Segurana da informao: princpios e melhores prticas para a


proteo dos ativos de informao nas organizaes. So Paulo: Atlas, 2008.

BERNSTEIN, Terry; BHIMANI, Anish B.; SCHULTZ, Eugene; SIEGEL, Carol A.


Segurana na internet. Rio de Janeiro: Campus, 1997.

BRASIL. Manual de auditoria de sistemas tribunal de contas da unio.


Braslia: TCU, Secretaria de Auditoria e Inspees, 1998. Disponvel em: <www.
facape.br/cynara/sas/Manual_TCU_Audit_Sistemas.pdf>. Acesso em: 18 jan. 2013.

CARMONA, Tadeu. Segurana e espionagem digital. 2. ed. So Paulo: Digerati


Books, 2007.

CARUSO, Carlos A. A.; STEFFEN, Flvio Deny. Segurana em informtica e de


informaes. 2. ed. rev. e ampl. So Paulo: Editora SENAC So Paulo, 1999.

COULOURIS, George; DOLLIMORE, Jean; KINDBERG, Tim. Distributed


systems: concepts and design. 3. ed. England: Addison Wesley, 2001.

COULOURIS, George; DOLLIMORE, Jean; KINDBERG, Tim. Sistemas


distribudos: conceitos e projeto. 4. ed. Porto Alegre: Bookman, 2007.

CYCLADES Brasil. Guia internet de conectividade. 8. ed. So Paulo: SENAC,


2001.

FERREIRA, Fernando Nicolau Freitas; ARAJO, Mrcio Tadeu de. Poltica de


segurana da informao guia prtico para elaborao e implementao. 2. ed.
revisada. Rio de Janeiro: Editora Cincia Moderna Ltda., 2008.

FOINA, Paulo Rogrio. Tecnologia da informao: planejamento e gesto. So


Paulo: Atlas, 2009.

FONTES, Eduardo. Segurana da informao: o usurio faz a diferena. So


Paulo: Saraiva, 2006.

GIL, Antonio de Loureiro. Auditoria de computadores. 5. ed. So Paulo: Atlas,


2000.

GROSS, Jan Charles. Sistemas distribudos. Indaial: Ed. Asselvi, 2008.

243
IMONIANA, Joshua Onome. Auditoria de sistemas de informao. 2. ed. So
Paulo: Atlas, 2011.

LAUDON, Kenneth C.; LAUDON, Jane P. Sistemas de informaes gerenciais:


administrando a empresa digital. So Paulo: Pearson Prentice Hall, 2004.

MONTEIRO, Emiliano Soares. Segurana em ambientes corporativos.


Florianpolis: Visual Books, 2003.

NAKAMURA, Emilio Tissato; GEUS, Paulo Lcio de. Segurana de redes em


ambientes cooperativos. So Paulo: Novatec Editora, 2007.

SCHMIDT, Paulo; SANTOS, Jos Luiz dos; ARIMA, Carlos Hideo. Fundamentos
de auditoria de sistemas. So Paulo: Atlas, 2006.

SMOLA, Marcos. Gesto da segurana da informao: uma viso executiva.


Rio de Janeiro: Elsevier, 2003.

STAIR, Ralph M.; REYNOLDS, George W. Princpios de sistemas de informao.


9. ed. So Paulo: Cengage Learning, 2011.

VERTON, Dan. Dirio hacker: confisses de hackers adolescentes. So Paulo:


Berkeley Brasil, 2002.

WEBER, Kival Chaves. ROCHA, Ana Regina Cavalcanti da; NASCIMENTO, Clia
Joseli do. Qualidade e produtividade em software. 4. ed. renovada. So Paulo:
Makron Books, 2001.

244