Você está na página 1de 54

Auditoria e Testes de Segurança da Informação

Marcelo Veloso

2016
Auditoria e Testes de Segurança da Informação
Marcelo Veloso
©Copyright do Instituto de Gestão em Tecnologia da Informação.
Todos os direitos reservados.

Auditoria e Testes de Segurança da Informação . 2


Sumário

Capítulo 1 - Segurança da Informação e Auditoria de Segurança da Informação 5


Revisão dos Conceitos de Segurança da Informação ....................................... 5
Auditoria – Definição e conceitos .................................................................. 9
Auditoria – Classificação, Tipos e Princípios ................................................. 10
Auditoria de Segurança da Informação – Definição e Conceitos ...................... 13
Perfil do Auditor e Código de Ética .............................................................. 15
Metodologia e Técnicas de Auditoria ........................................................... 17

Capítulo 2 - Compliance: Normativos, Leis e Regulamentação ....................... 22


Sarbanes-Oxley ....................................................................................... 22
Acordos de Basileia .................................................................................. 23
COSO ..................................................................................................... 24
PCI DSS .................................................................................................. 26
Instrução CVM 380/2002 .......................................................................... 28
Resolução 3380/2006 – BACEN .................................................................. 28
HIPPA ..................................................................................................... 29
Resoluções CFM ....................................................................................... 30
Regulamentações Governo Federal ............................................................. 31

Capítulo 3 - ISO 27002 e COBIT: Controles de Auditoria ............................... 34


ABNT NBR ISO 27002:2013 ...................................................................... 34
COBIT .................................................................................................... 35
Controles para Auditoria de Segurança da Informação .................................. 36
Controles de Políticas da Segurança da Informação ...................................... 37
Controles de Organização da Segurança da Informação ................................ 37
Controles de Segurança em Recursos Humanos ........................................... 38
Controles de Gestão de Ativos ................................................................... 39
Controles de Acesso ................................................................................. 40
Controles de Segurança Física e do Ambiente .............................................. 41
Controles de Segurança nas Operações....................................................... 42
Controles para Aquisição, Desenvolvimento e Manutenção de Sistemas .......... 44
Controles para Gestão de Incidentes de Segurança da Informação ................. 45
Controles para Conformidade .................................................................... 46

Auditoria e Testes de Segurança da Informação . 3


Capítulo 4 - Técnicas de Auditoria .............................................................. 47
Técnicas de Auditoria................................................................................ 47
Testes de Invasão .................................................................................... 49
Testes Automatizados ............................................................................... 51

Referências .................................................................................. 53

Auditoria e Testes de Segurança da Informação . 4


Capítulo 1 - Segurança da Informação e Auditoria de Segurança da Informação

A auditoria de segurança da informação visa verificar se medidas de


proteção da segurança das informações são implementadas e efetivamente
alcançando seu objetivo. Assim, neste capítulo, iremos fazer uma breve revisão
dos conceitos que envolvem a segurança da informação, uma vez são
frequentemente citados durante o curso.

Iremos também conhecer a definição, os conceitos tipos de auditoria em


geral e auditoria de segurança da informação. Por fim, vamos apresentar qual o
perfil desejável de um auditor e o código de ética recomendado para auditores
de segurança da informação.

Revisão dos Conceitos de Segurança da Informação

Ativos

Todo elemento que compõe os processos que manipulam e processam a


informação, a contar a própria informação, o meio em que ela é
armazenada, os equipamentos em que ela é manuseada, transportada e
descartada. Os ativos estão presentes em todo o ciclo de vida da informação,
desde a sua criação, até o momento em que ela poderá ser descartada. Os
ativos podem ser divididos e agrupados em:

Equipamentos: computadores, impressoras, mídias etc

Aplicações: sistemas de informação

Usuários: indivíduos que fazem uso da informação

Ambientes: Datacenter, salas de reunião, escritórios etc

Informações: registradas em meio físico ou digital

Processos: atividades para a realização dos objetivos da organização

Ameaças

São os agentes ou condições que causam incidentes que comprometem


as informações e seus ativos por meio da exploração de vulnerabilidades,
provocando perdas de confidencialidade, integridade e disponibilidade,
causando, consequentemente impactos aos negócios de uma organização. As
ameaças podem ser divididas e agrupadas em:

1- Humanas: relacionadas às ações de indivíduos, podendo sofrer nova


divisão em:

Auditoria e Testes de Segurança da Informação . 5


- Intencionais: resultantes de ações deliberadas como sabotagens, invasões,
fraudes etc
- Não intencionais: resultantes de erros e acidentes causados por funcionários

2- Ambientais: compreendidas por hardware, software, dispositivos


tecnológicos, “bugs”, etc.

3- Naturais: são decorrentes de condições da natureza, tais como incêndio,


furacão, inundação, terremoto, etc.

Vulnerabilidades

São as fragilidades presentes ou associadas a ativos que manipulam


e/ou processam informações que, ao serem exploradas por ameaças, permitem
a ocorrência de um incidente de segurança, afetando negativamente um ou
mais princípios da segurança da informação: confidencialidade, integridade e
disponibilidade. As vulnerabilidades podem ser divididas e agrupadas em:

Físicas: são aquelas presentes nos ambientes em que estão sendo armazenadas
ou gerenciadas as informações, como falta de extintores, disposição
desorganizada de cabos de energia e rede, etc.

Naturais: relacionadas às condições da natureza que podem colocar em risco as


informações, como locais próximos a rios propensos a inundações, locais com
históricos de ocorrências de furacões, tempestades, etc.

Hardware: os possíveis defeitos de fabricação ou configuração de equipamentos


que poderiam permitir o ataque ou a alteração dos mesmos, como falta de
atualizações orientadas por fabricantes, conservação inadequada de
equipamentos, etc.

Software: são os pontos fracos dos aplicativos que permitem que ocorram
acessos indevidos aos sistemas de computador, inclusive sem o conhecimento
de um usuário ou administrador de rede, como ausência de atualizações,
configurações e instalações inadequadas, programação insegura, etc.

Meios de Armazenamento: os meios de armazenamento podem ser afetados


por pontos fracos que podem danificá-los ou deixá-los indisponíveis, como uso
incorreto, prazo de validade vencido, etc.

Comunicação: esse tipo de vulnerabilidade abrange todo o tráfego das


informações, como ausência de métodos de criptografia, etc.

Auditoria e Testes de Segurança da Informação . 6


Humanas: relacionadas aos danos que as pessoas podem causar às
informações e ao ambiente tecnológico, como falta de treinamento, senhas
fracas, compartilhamento de credenciais de acesso, etc.

Probabilidade

A probabilidade indica qual a possibilidade de que uma potencial


vulnerabilidade possa ser explorada dentro do ambiente construído. Para sua
mensuração, deve ser considerado: motivação e capacidade da ameaça,
natureza da vulnerabilidade e existência e efetividade dos controles atuais. Pode
ser descrita como alta, média ou baixa.

Incidente

É indicado por um simples ou por uma série de eventos de segurança da


informação indesejados ou inesperados, que tenham uma grande
probabilidade de comprometer as operações do negócio e ameaçar a
segurança da informação.

Impacto

É o resultado adverso do sucesso da exploração de uma


vulnerabilidade por uma potencial ameaça, podendo ser descrito em termos
de perda ou degradação de qualquer, ou uma combinação de quaisquer, dos três
objetivos de segurança: confidencialidade, integridade e disponibilidade. Pode
ser descrito como alto, médio ou baixo.

Medidas de segurança

Práticas, procedimentos e mecanismos usados para a proteção da


informação e seus ativos, que podem impedir que ameaças explorem
vulnerabilidades, a redução das vulnerabilidades, a limitação do impacto ou
minimização do risco de qualquer forma.

As medidas podem ser divididas e agrupadas em:

Preventivas: tem como objetivo evitar que incidentes venham a ocorrer. Visam
manter a segurança já implementada por meio de mecanismos que estabeleçam
a conduta e a ética da segurança na instituição. Ex.: Políticas de Segurança,
treinamento de conscientização de usuários, uso de ferramentas, etc.

Detectáveis: visam identificar condições ou indivíduos causadores de ameaças,


a fim de evitar que as mesmas explorem vulnerabilidades: Ex.: análise de risco,
alertas de segurança, câmeras de vídeo, etc.

Corretivas: ações voltadas à correção de uma estrutura tecnológica e humana


para que as mesmas se adaptem às condições de segurança estabelecidas pela
organização, ou voltadas à redução dos impactos: restauração de backup, Plano
de Continuidade de Negócios, Plano de Recuperação de Desastres, etc.

Auditoria e Testes de Segurança da Informação . 7


Risco

É a probabilidade de que agentes, que são as ameaças, explorem


vulnerabilidades, expondo os ativos a perdas de confidencialidade,
integridade e disponibilidade, causando impactos nos negócios.

Estes impactos são limitados por medidas de segurança que protegem


os ativos, impedindo que as ameaças explorem as vulnerabilidades, diminuindo
assim, o risco.

Na figura 1, essa combinação é expressa através da equação que pode


ser utilizada para mensuração do risco.

Figura 1 - Equação do Risco. Fonte: Elaborado pelo autor

Política de Segurança da Informação

A Política de Segurança da Informação é um conjunto de diretrizes,


normas, procedimentos e instruções, destinadas respectivamente aos níveis
estratégico, tático e operacional, com o objetivo de estabelecer,
padronizar e normatizar a segurança tanto no escopo humano como no
tecnológico. Conforme definido pela norma ABNT NBR ISO/IEC 27002:2013
(ABNT, 2013), seu objetivo é

Prover uma orientação de apoio da direção para a segurança


da informação de acordo com os requisitos do negócio,
com as leis e com as regulamentações relevantes.

Como escopo uma Política de Segurança da Informação tem como


propósito elaborar critérios para o adequado manuseio, armazenamento,
transporte e descarte das informações.

A partir dos conceitos apresentadas acima, pode-se definir que


Segurança da Informação é área do conhecimento dedicada à proteção de
ativos da informação contra acessos não autorizados, alterações indevidas
ou sua indisponibilidade.

Auditoria e Testes de Segurança da Informação . 8


Seu objetivo principal é reduzir os riscos, através da adoção de
controles ou medidas de segurança que visam tratar vulnerabilidades
associadas aos ativos, diminuindo a probabilidade de uma ameaça causar um
incidente que possa trazer impacto à organização.

Auditoria – Definição e conceitos

A norma ABNT NBR ISO/IEC 19011:2012, fornece diretrizes sobre a


gestão de um programa de auditoria, sobre o planejamento e a realização de
uma auditoria de sistema de gestão, bem como sobre a competência e avaliação
de um auditor e de uma equipe auditora. Conforme os termos e definições
apresentados pela norma (ABNT, 2012), auditoria é

Processo sistemático, documentado e independente para


obter evidência de auditoria e avaliá-las, objetivamente,
para determinar a extensão na qual os critérios da auditoria
são atendidos.

Para Paula (1999), a auditoria é

atividade de avaliação independente e de assessoramento


da administração, voltada para o exame e para a avaliação
da adequação, eficiência e eficácia dos sistemas de controle
e da qualidade do desempenho das áreas, em relação às
atribuições e aos planos, metas objetivos e políticas
definidas para elas. (PAULA, 1999).

Outra definição encontrada na literatura é apresentada por Dias (2000),


de auditoria como

uma atividade que engloba o exame das operações,


processos, sistemas e responsabilidades gerenciais de uma
determinada entidade, com intuito de verificar sua
conformidade com certos objetivos e políticas institucionais,
orçamentos, regras, normas e padrões (DIAS, 2000).

Ainda de acordo com a norma ABNT NBR ISO/IEC 19011:2012 (ABNT,


2012), outros conceitos importantes e relacionados ao tema são:

Critério de auditoria: conjunto de políticas, procedimentos ou requisitos


usados como uma referência na qual a evidência de auditoria é comparada.

Evidência de auditoria: registros, apresentação de fatos ou outras


informações, pertinentes aos critérios de auditoria e verificáveis.

Constatações de auditoria: resultados da avaliação da evidência de auditoria


coletada, comparada com os critérios de auditoria.

Conclusão de auditoria: resultado de uma auditoria, após levar em


consideração os objetivos da auditoria e todas as constatações de auditoria.

Auditoria e Testes de Segurança da Informação . 9


Programa de auditoria: conjunto planejado de uma ou mais auditorias para
um período de tempo específico e direcionado a propósito específico.

Escopo de auditoria: abrangência e limites de uma auditoria.

Plano de auditoria: descrição das atividades para uma auditoria.

Risco: efeito da incerteza nos objetivos.

Conformidade: atendimento a um requisito.

Não conformidade: não atendimento a um requisito.

Para a realização de trabalhos de auditoria, o conhecimento destes


termos é importante principalmente para estabelecimento de um vocabulário
comum entre a equipe de auditoria e auditados. Outro conceito a ser explorado
é sobre controles. Considera-se controle como a fiscalização exercida sobre as
atividades de pessoas, órgãos, departamentos ou sobre produtos, para que
estes não se desviem das normas ou objetivos previamente estabelecidos.
Controles podem ser classificados como:

Controles preventivos: são aqueles em que se busca prevenir fraudes, erros


ou vulnerabilidades. Exemplo: acesso aos sistemas de informação através de
senha.

Controles detectivos: buscam detectar fraudes, erros ou vulnerabilidades.


Exemplo: geração de logs de acesso aos sistemas.

Controles corretivos: buscam a correção de erros identificados ou a redução


de eventuais impactos causados por incidentes. Exemplo: criação de um Plano
de Contingência de TIC.

Auditoria – Classificação, Tipos e Princípios

Classificação de Auditorias

Conforme esquema de classificação da norma ABNT NBR ISO/IEC


19011:2012 (ABNT, 2012), auditorias são divididas em internas e externas,
sendo que essas podem ser subdividas em no fornecedor e de terceira parte,
conforme o quadro abaixo:

Auditoria e Testes de Segurança da Informação . 10


Auditoria interna Auditoria externa

Auditoria no fornecedor Auditoria de terceira parte

Algumas vezes Algumas vezes chamada Para propósitos legais,


chamada de de auditoria de segunda regulatórios e similares
auditoria de parte
primeira parte Para fins de certificação

As auditorias internas são conduzidas pela própria organização, ou em


seu nome, para análise crítica pela direção e outros propósitos internos. Esse
tipo de auditoria pode formar a base para uma autodeclaração de conformidade
da organização, oferecendo a terceiros que tenham interesse nos processos
dessa organização evidências de controles implementados e consistentes.
Auditorias externas dividem-se em auditorias de segunda e terceira parte.

Auditorias de segunda parte são realizadas por partes que têm um


interesse na organização, tais como clientes de uma fábrica de software, que
necessitam de garantia de processos bem implementados de segurança da
informação como critério para contratação dessa empresa.

Auditorias de terceira parte são realizadas por organizações de auditoria


independentes, tais como organismos de regulamentação ou certificação.
Normalmente são realizadas para comprovação de conformidade com padrões,
normas ou regulamentos, como, por exemplo, para obtenção do Selo de
Certificação da ISO 9001.

Outros tipos de auditoria que também podem ser realizadas são as


auditorias combinadas, quando dois ou mais sistemas de gestão de disciplinas
diferentes (por exemplo, qualidade, meio ambiente, segurança, etc.) são
auditados juntos; e auditorias conjuntas, quando duas ou mais organizações
de auditoria cooperam para auditar um único auditado.

Tipos de Auditoria

Existem diferentes tipos de auditoria podem que ser realizadas, de


acordo com os propósitos a que se propõem. A seguir são relacionados alguns
desses tipos de auditoria:

Auditoria de programas de governo: acompanhamento, exame e avaliação


da execução de programas e projetos governamentais.

Auditoria contábil: relativa à fidedignidade das contas da organização.

Auditoria financeira: relativa à análise de contas e situação financeira.

Auditoria e Testes de Segurança da Informação . 11


Auditoria operacional: incorre em todos os níveis de gestão, sob a ótica de
eficácia, eficiência e obediência às diretrizes da alta administração.

Auditoria de sistemas: analisa sistemas de informação, ambiente


computacional e segurança de informações.

Auditoria de segurança da informação: analisa a gestão da segurança da


informação e controles relacionados à segurança da informação.

Na disciplina Auditoria e Testes de Segurança da Informação iremos


focar nossos estudos nesse último tipo.

Princípios de auditoria

Na realização de um trabalho de auditoria, alguns princípios devem ser


seguidos, devendo todas as atividades a serem desenvolvidas estarem aderentes
a estes princípios como forma de apresentar resultados pertinentes e confiáveis,
tornando a auditoria uma ferramenta eficaz e confiável para as organizações. A
norma ABNT NBR ISO/IEC 19011:2012 (ABNT, 2012) relaciona seis princípios,
que são:

Integridade: o trabalho de auditoria deve ser realizado com honestidade,


diligência e responsabilidade pelos auditores. Deve estar em conformidade com
quaisquer requisitos legais aplicáveis quando for o caso, e deve ser
desempenhado de forma imparcial, isto é, mantendo–se justo e sem
tendenciosidade em todas as situações.

Apresentação justa: trata da obrigação de reportar com veracidade e exatidão


os resultados. As constatações de auditoria, conclusões de auditoria e relatórios
de auditoria devem refletir com veracidade e com precisão as atividades de
auditoria. A comunicação deve ser verdadeira, precisa, objetiva, em tempo
oportuno, clara e completa.

Cuidado profissional: o trabalho dos auditores deve sempre ser exercido com
o devido cuidado de acordo com a importância da tarefa que executada. O
auditor deve ter capacidade de fazer julgamentos ponderados em todas as
situações da auditoria, com responsabilidade sobre as constatações, conclusões
e emissão de seus relatórios.

Confidencialidade: nos trabalhos de auditoria, o auditor deve sempre observar


a discrição no uso e proteção das informações obtidas no curso do processo. É
preciso manter alta confidencialidade dessas informações, que não devem ser
usadas de forma inapropriada para ganhos pessoais ou benefício de terceiros.

Independência: o auditor deve ter imparcialidade da auditoria e objetividade


das conclusões da auditoria. Quando possível, os auditores devem ser
independentes da atividade que está sendo auditada, principalmente para os
casos de auditorias internas. Deve ainda ter objetividade ao longo de todo o
processo de auditoria para assegurar que as conclusões e constatações estejam
baseadas somente nas evidências de auditoria, nunca em suposições.
Auditoria e Testes de Segurança da Informação . 12
Abordagem baseada em evidência: o auditor deve utilizar-se de método
racional para alcançar conclusões de auditoria que sejam confiáveis e
reproduzíveis. Portanto, a evidência da auditoria deve ser verificável. Como
geralmente auditorias são baseadas em amostras das informações disponíveis,
uma vez que uma auditoria é realizada durante período de tempo finito e
recursos limitados, é importante seja realizado um uso apropriado das amostras.

Auditoria de Segurança da Informação – Definição e Conceitos

Auditoria de segurança da informação pode ser definido como um


processo estruturado de avaliação que tem como objetivo examinar se a
gestão da segurança da informação e os controles relacionados à segurança
da informação são considerados de forma efetiva pela organização. Sua
abordagem concentra-se nos princípios da segurança da informação de
confidencialidade, integridade e disponibilidade.

Sua meta principal é proporcionar aos gestores e equipe de


gerenciamento de segurança da informação como implementar e otimizar a
segurança da informação, evitando modelos inapropriados e ao mesmo tempo
otimizando a eficiência das medidas e processos implementados.

Através deste processo, uma organização pode evitar experiências


conhecidas de insucesso, além de potencializar medidas que comprovadamente
demonstram otimizar a segurança da informação.

A auditoria é, portanto, uma ferramenta para determinar, alcançar e


manter um nível adequado de segurança da informação em uma organização. A
Auditoria de Segurança da Informação é considerada uma subárea da
Auditoria de Tecnologia da Informação, que divide-se ainda em:

 Auditoria de Sistemas
 Auditoria de Governança de TI
 Auditoria de Contratações de TI
 Auditoria de Dados
 Auditoria de Políticas

A auditoria de Tecnologia da Informação possui uma abordagem onde


critérios da segurança da informação, são observados, bem como a
eficiência (processos de TI, organização de TI, garantias de segurança) e
correção (seguindo princípios básicos de contabilidade, tais como integridade,
exatidão, pontualidade, reprodutibilidade, ordem) da TI.

Na auditoria de TI, os três critérios de eficiência, segurança da


informação e exatidão são igualmente importantes. Como esses três objetivos
são ponderados é determinado individualmente pela organização ou pelo
auditor.

Já na auditoria de SI, dado ênfase ao exame global da segurança da


informação, com os critérios de eficiência e exatidão possuindo um peso menor e

Auditoria e Testes de Segurança da Informação . 13


sendo considerados como secundários. A figura 2 ilustra estes critérios e como
são abordados em cada uma das auditorias.

Eficiência

Auditoria
Auditoria Segurança

de TI de SI
Segurança Exatidão

Figura 2 - Auditoria de TI x Auditoria de SI

Na realização de uma auditoria de segurança da informação, diferentes


escopos podem ser utilizados, de acordo com os objetivos propostos para uma
determinada auditoria. Alguns exemplos de diferentes tipos de auditoria de
segurança da informação são:

 Auditoria de Controles Organizacionais e Operacionais


 Auditoria de Controles de Hardware
 Auditoria de Controles de Acesso
 Auditoria de Controles de Operação do Computador
 Auditoria de Controles de Suporte Técnico
 Auditoria de Sistemas Aplicativos
 Auditoria de Redes de Computadores
 Auditoria de Plano de Continuidade de Negócios

O foco dessas auditorias, é verificar a implementação e o nível de


capacidades dos controles implementados. No capítulo 3 serão apresentados
diversos controles baseados na norma ISO 27002 e no framework do COBIT e
como podem ser utilizados para a realização de auditorias. De acordo com a
norma ABNT NBR ISO/IEC 27002:2013 (ABNT, 2013), um controle é

Forma de gerenciar o risco, incluindo políticas,


procedimentos, diretrizes, práticas, ou estruturas
organizacionais, que podem ser de natureza administrativa,
técnica, de gestão ou legal. NOTA: Controle é também
Auditoria e Testes de Segurança da Informação . 14
usado como um sinônimo para proteção ou contramedida
(ABNT, 2013).

Considera-se também como atividades de controle as políticas e os


procedimentos que contribuem para assegurar que as respostas aos riscos
estejam sendo executadas.

Ocorrem em toda a organização, em todos os níveis e em todas as


funções, pois compreendem uma série de atividades – tão diversas, como
aprovação, autorização, verificação, reconciliação e revisão.

Portanto, um controle é a combinação de métodos, políticas, e


procedimentos que asseguram a proteção de ativos da organização, a precisão
e confiabilidade dos seus registos e adesão operacional para normas de gestão.

Já os controles de segurança são uma contramedida de natureza


gerencial, operacional ou técnica com objetivo de garantir a
confidencialidade, integridade e disponibilidade das informações.

Perfil do Auditor e Código de Ética

Perfil do Auditor

Para o desempenho de trabalhos de auditoria, algumas competências


técnicas e comportamentais são atributos que um auditor deve buscar
desenvolver de forma constante, de modo que possa desempenhar suas
atividades de forma independente, apresentando resultados que sejam
consistentes e confiáveis. Dentre essas características, podemos citar:

Independência: atitude que permite ao auditor atuar com liberdade de seu


julgamento profissional, que deve ser livre de qualquer preconceito que possa
limitar a sua imparcialidade.

O auditor não deve ter interesses profissionais alheios, ou estar sujeito


a influências que possam prejudicar tanto a solução das questões que lhe são
submetidas, como a liberdade de manifestar a sua opinião profissional.

Integridade: Deve ser entendida como a retidão impecável na prática


profissional, o que o obriga a ser honesto e sincero na realização do seu
trabalho e na emissão do seu relatório. Consequentemente, todas e cada uma
das funções que o auditor desempenhar devem ser regidas por uma honestidade
profissional irrepreensível.

Objetividade: envolve a manutenção de uma atitude imparcial em todas as


funções do auditor.

Para tanto, o auditor deve gozar de total independência em suas


relações com a entidade auditada.

Auditoria e Testes de Segurança da Informação . 15


Competência profissional: o auditor deve manter o seu nível de
competências ao longo de toda a sua carreira.

Deve também manter seus conhecimentos e habilidades a um nível


adequado para garantir que a avaliação será adequada.

Confidencialidade: o auditor deve respeitar a confidencialidade sobre as


informações obtidas no desenvolvimento do seu trabalho.

Não deve divulgar qualquer informação a terceiros sem autorização


específica, salvo tenha obrigação profissional ou legal para o fazer.

O auditor deve assegurar que o pessoal sob o seu controle respeite o


princípio da confidencialidade.

Responsabilidade: consiste em aceitar o compromisso que envolve a tomada


de decisões e as consequências previstas pelas ações e omissões no
desempenho do trabalho.

Conduta Profissional: o auditor deve agir de acordo com a boa reputação da


profissão e evitar qualquer conduta que possa desacreditá-la.

Normas Técnicas: o auditor deve realizar uma auditoria em conformidade com


normas e políticas internacionais ou locais.

Estas contêm princípios básicos e procedimentos essenciais, junto


com orientações e funções associadas ao auditor. O conhecimento de tais
normas e políticas é essencial para que a auditoria seja realizada sem apresentar
riscos para o auditado.

Código de Ética – ISACA

Ciente da importância que as características acima representam para os


profissionais auditores, a ISACA (Information Systems Audit and Control
Association – Associação de Auditoria e Controle de Sistemas de Informação),
criou um código de ética a ser seguido por seus associados, o qual estabelece
um guia para a conduta profissional e pessoal para os mesmos, em especial para
aqueles que possuem certificações emitidas por ela.

A ISACA é uma associação global sem fins lucrativos, com mais de


140.000 associados em 180 países, que promove o desenvolvimento de
metodologias e certificações para o desempenho das atividades de auditoria e
controle em sistemas de informação. É responsável pela certificação CISA
(Certified Information Systems Auditor), reconhecida mundialmente como a
mais valorizada certificação auditoria de sistemas de informação, controle e
segurança. Conforme o código da ISACA, seus membros devem:

1. Apoiar a implementação e promover o cumprimento das normas e


procedimentos apropriados de governança e gestão dos sistemas de

Auditoria e Testes de Segurança da Informação . 16


informação e tecnologia da empresa, incluindo a gestão de auditoria,
controle, segurança e riscos.

2. Desempenhar as suas funções com objetividade, diligência e rigor


cuidado/profissional, de acordo com padrões da profissão.

3. Servir no interesse das partes interessadas de uma forma legal e honesta


e, ao mesmo tempo, manter altos padrões de conduta e caráter, e não se
envolver em atos que desacreditem a profissão ou a Associação.

4. Manter a privacidade e confidencialidade das informações obtidas no curso


de seus deveres a menos que a divulgação seja exigida por autoridade
legal. Tais informações não devem ser usadas em benefício próprio ou
reveladas a partes inapropriadas.

5. Manter competência em suas respectivas áreas e assumir apenas as


atividades que razoavelmente espera concluir com as qualificações,
conhecimentos e competências necessárias.

6. Informar os resultados do trabalho realizado para as partes apropriadas,


incluindo a divulgação de todos os fatos relevantes sobre os quais estejam
cientes de que, se não forem divulgados, podem distorcer a comunicação
dos resultados.

7. Apoiar a educação profissional de partes interessadas para ter uma


melhor compreensão da governança e gestão de sistemas de informação e
tecnologia da empresa, incluindo gestão de auditoria, controle, segurança
e riscos.

Metodologia e Técnicas de Auditoria

A seguir apresenta-se uma metodologia capaz de garantir consistência e


alta qualidade em auditorias, além da capacidade de comparar os resultados
entre diferentes auditorias realizadas. Em todas as etapas, todos os
procedimentos devem ser documentados pela equipe de auditoria de uma forma
ordenada e compreensível.

Auditoria e Testes de Segurança da Informação . 17


Recomenda-se que a primeira iniciativa a ser realizada neste processo
seja um planejamento a ser guiado por respostas às perguntas da figura 3, que
empregam um modelo de ação (conhecido como 5W1H) com as atividades a
serem realizadas, a partir das respostas obtidas através das seguintes
perguntas:

Who What When

How Why Where

Figura 3 - Modelo 5W1H - Elaborado pelo autor

Who? (Quem?) – Quem irá realizar as atividades?

What? (O que?) – O que será feito, quais serão as atividades?

When? (Quando?) – Quando as atividades serão executadas?

Where? (Onde?) – Onde as atividades serão realizadas?

Why? (Por que?) – Qual a justificativa para realizar estas atividades?

How? (Como?) – Como estas atividades serão realizadas?

Com isso, o auditor poderá seguir os passos recomendados para a


realização da auditoria, uma vez que terá elementos suficientes para realizar a
preparação e planejamento de todo o processo.

Auditoria e Testes de Segurança da Informação . 18


A figura 4 ilustra os passos a serem seguidos neste processo, sendo
iniciado com a análise dos documentos de referência, os quais irão fornecer qual
o escopo e o propósito da auditoria.

Figura 4 - Passos Auditoria - German Federal Office for Information Security

Os passos que compõe o processo são os apresentados a seguir:

Passo 1: no início do processo, as condições gerais mais importantes são


determinadas e os documentos necessários são solicitados em uma reunião de
abertura entre a organização e a equipe de auditoria de segurança da
informação (SI).

Passo 2: com base nos documentos colocados à disposição, a equipe de


auditoria de SI recebe uma imagem da organização e cria o plano de auditoria
SI.

Passo 3: com base no plano de auditoria, os conteúdos dos documentos


disponíveis são avaliados. Se necessário, documentos e informações adicionais
são solicitados.

Com base na revisão dos documentos e do plano de auditoria de SI (o


qual é atualizado durante este processo), os termos cronológicos e

Auditoria e Testes de Segurança da Informação . 19


organizacionais do exame on-site são coordenados em conjunto com os contatos
responsáveis dentro da organização.

Passo 4: o exame on-site começa com uma reunião de abertura com os


principais participantes. Depois disso, entrevistas são realizadas, o local é
inspecionado, e uma avaliação preliminar é realizada.

O exame no local termina com uma reunião de encerramento.

Passo 5: as informações obtidas durante o exame on-site são consolidas e


avaliadas pela equipe de auditoria de SI.

Passo 6: os resultados da auditoria são resumidos num relatório de auditoria no


final da revisão.

Este relatório é fornecido para a organização auditada.

Para a realização de todas essas atividades, a quantidade estimada de


trabalho necessária para cada etapa pode ser orientada pela seguinte
programação:

Fase Atividades Tempo (%)

Passo 1 Preparação da auditoria de SI 5%

Passo 2 Criação do plano de auditoria de SI 15%

Passo 3 Revisão de documentos 20%

Passo 4 Exame on-site 35%

Passo 5 Avaliação do exame on-site 5%

Passo 6 Criação do relatório de auditoria 20%

Essa metodologia baseia-se no documento Information Security Audit (IS


Audit) desenvolvido pelo German Federal Office for Information Security
(Escritório Federal Alemão para a Segurança da Informação) (GERMAN FEDERAL
OFFICE FOR INFORMATION SECURITY, 2008).

Auditoria e Testes de Segurança da Informação . 20


A metodologia apresentada assemelha-se muito com outras
metodologias existentes, podendo o auditor adaptá-la de forma a desenvolver
um processo que seja o mais adequado possível à realidade da sua organização.

Técnicas de Auditoria

As técnicas de auditoria compreendem todos os métodos utilizados para


determinar os fatos da matéria. São elas que irão permitir que o auditor realize
o levantamento de todas as informações necessárias para elaboração de
constatações e conclusões da auditoria. Diferentes técnicas de auditoria podem
ser utilizadas durante uma auditoria:

 Questionamento verbal: através de entrevistas com os auditados.


 Inspeção visual: de sistemas, espaços, objetos, etc.
 Observações: fatos observados incidentalmente no contexto do exame on-
site, realizado diretamente nos locais.
 Análise de documentos (incluindo dados digitais)
 Análise técnica: por exemplo, testes de sistemas de alarme, sistemas de
controle de acesso, de aplicações, etc.
 Análise de dados: por exemplo, de arquivos de log, avaliações de banco
de dados, etc.
 Perguntas diretas: aplicação de questionários.

Auditoria e Testes de Segurança da Informação . 21


Capítulo 2 - Compliance: Normativos, Leis e Regulamentação

A exigência de estar em conformidade com leis, normativos,


regulamentações, etc., que regem o mercado em que atuam, é uma necessidade
comum em todas as organizações nos dias de hoje.

Neste capítulo, iremos conhecer alguns desses normativos que são


exigidos em diferentes áreas, como financeira, saúde e governo, que exigem das
organizações a implementação de controles e medidas que garantam a
segurança da informação, muitos deles com previsão de auditorias para
comprovação de conformidade. Veremos que auditores de segurança da
informação, para possam desempenhar suas atividades com sucesso,
necessitam ter conhecimentos desses normativos.

Sarbanes-Oxley

A Lei Sarbanes-Oxley, que promulgada em 30 de julho de 2002, que


também é referenciada como Sarbox ou apenas SOX, é uma lei federal dos
Estados Unidos.

É uma lei que se aplica às companhias registradas na SEC (Securities


and Exchange Commission – Comissão de Segurança e Câmbio), a agência
federal dos Estados Unidos responsável pela controle e regulação do mercado de
títulos federais e de valores mobiliários, entre outros. Com isso sua abrangência
se amplia a todas as empresas que sejam listadas na SEC, ou seja, que possuam
ações sendo comercializadas nas bolsas de Nova York ou NASDAQ.

Como exemplo, podemos citar algumas das empresas brasileiras listadas


na SEC que devem se submeter as regras da lei, como: Banco Bradesco, Banco
Itaú, Vale, Pão de Açúcar, CEMIG, etc.

A lei foi criada por dois congressistas americanos, Paul Sarbanes e


Michael Oxley, daí a origem do seu nome. A grande motivação para sua criação
veio de uma sequência de escândalos de fraudes ocorridas em grandes
empresas como Enron e WorldCom, os quais fizeram com que houvesse uma
diminuição da confiança pública nas práticas financeiras e contábeis das
empresas, nas empresas de auditoria externa e no mercado financeiro como um
todo.

Seu principal objetivo é proteger acionistas e o público em geral contra


erros de contabilidade e práticas fraudulentas em organizações, bem como
melhorar a precisão da divulgação de informações corporativas. Nesse ponto,
os trabalhos de auditoria de segurança da informação assumem um papel
fundamental, pois irão garantir a veracidade das informações e consequente
saúde financeira das empresas auditadas.

A lei define que alta administração deve certificar-se individualmente


da precisão das informações financeiras, estabelecendo duras penas para

Auditoria e Testes de Segurança da Informação . 22


atividades financeiras fraudulentas. Além disso amplia o papel de supervisão
dos conselhos de administração e a independência dos auditores externos.

A lei possui 11 Títulos, que possuem um total de 69 seções, ou artigos,


pela legislação brasileira, sendo que as seções que trazem maior impacto para a
auditoria de segurança da informação são:

Seção 302: que trata dos controles de divulgação.

Seção 906: que trata das sanções penais para CEO/CFO, em relação à
certificação das demonstrações financeiras.

Ambas as seções estabelecem sanções civis e penais em relação às


demonstrações financeiras apresentadas pelas empresas, com responsabilização
direta de seus principais executivos.

Seção 303: que trata da influência indevida na condução de auditorias, ou


seja, interferências nos trabalhos dos auditores.

Seção 404: que trata da avaliação do controle interno. É considerada a seção


mais controversa da SOX, que exige do auditor externo informar sobre a
adequação dos controles internos da empresa sobre relatórios financeiros. Em
termos de implementação, é o aspecto mais custoso da legislação para as
empresas alcançarem conformidade com a lei.

Acordos de Basileia

Os Acordos de Basileia foram criados pelo BIS (Bank for International


Settlements – Banco de Compensações Internacionais), que se trata de
uma organização internacional que fomenta a cooperação entre os bancos
centrais e outras agências, em busca da estabilidade monetária e financeira para
os países participantes.

Os Acordos de Basileia formam um conjunto de acordos bancários


firmados entre vários bancos centrais de todo o mundo para prevenir o risco
de crédito criando exigências mínimas de reserva de capital.

O primeiro acordo foi firmado 1998 e ficou conhecido como Basileia I.


Posteriormente, foram criadas outras duas versões, o Basileia II (2004) e
Basileia III (2010).

Em termos de relação com a auditoria de segurança da informação, uma


vez que é considerado um framework, o Basileia III, possui um documento
chamado Principles for the Sound Management of Operational Risk (Princípios
para a boa gestão do risco operacional), onde são apresentados vários
princípios, com destaque para os seguintes:

Princípio 9: Controle e mitigação: diz que os bancos devem ter um ambiente de


forte controle que utilize políticas, processos e sistemas; controles

Auditoria e Testes de Segurança da Informação . 23


internos adequados e mitigação de riscos adequada e/ou estratégias de
transferência de riscos.

Trata, portanto, da implementação de controles que também estão


relacionados à segurança da informação e ao gerenciamento do risco
relacionado.

Princípio 10: resiliência de negócios e continuidade: diz que os bancos devem


ter resiliência de negócios e planos de continuidade para garantir uma
capacidade de operação na ocorrência de casos de grave perturbação das
atividades

Trata especificamente dos planos de continuidade de negócios, o que em


termos de bancos, envolve controles consistentes para garantia da segurança da
informação.

COSO

COSO é a sigla para The Comitee of Sponsoring Organization


(Comitê das Organizações Patrocinadoras). Originalmente fundado em
1985, COSO é uma iniciativa conjunta de cinco organizações do setor privado
dedicada a fornecer liderança de pensamento através do desenvolvimento de
frameworks e orientações sobre gerenciamento de risco corporativo,
controle interno e dissuasão de fraude.

O COSO é uma entidade sem fins lucrativos, formada por organizações


reconhecidas por suas atuações nas áreas de auditoria, contabilidade COSO:
Institute of Internal Auditors – IIA (Instituto dos Contadores Gerenciais),
American Accounting Association – AAA (Associação Americana de
Contadores), American Institute of Certified Public Accountants – AICPA
(Instituto Americano de Contadores Públicos Certificados), Financial
Executives International – FEI (Executivos Financeiros Internacionais), e
Institute of Management Accountants – IMA (Instituto dos Auditores
Internos).

O principal trabalho produzido pelo COSO, é conhecido como Controle


Interno – Estrutura Integrada (Internal Control – Integrated Framework),
que teve a primeira versão publicada em 1992. Uma atualização foi lançada em
2013, visando adequação dos controles propostos às mudanças nos ambientes
operacionais e corporativos que se tornaram mais complexos, globais e
orientados pela tecnologia (PWC, 2013).

Assim, o material Controle Interno – Estrutura Integrada do COSO


permite que as organizações desenvolvam, de forma efetiva e eficaz, sistemas
de controle interno adaptáveis aos ambientes operacionais e corporativos em
constante mudança, reduzam os riscos para níveis aceitáveis e apoiem um
processo sólido de tomada de decisões e de governança da organização. A
Estrutura apresenta três categorias de objetivos:

Auditoria e Testes de Segurança da Informação . 24


Operacional: relacionam-se à eficácia e à eficiência das operações da entidade,
inclusive as metas de desempenho financeiro e operacional e a salvaguarda de
perdas de ativos (PWC, 2013).

Divulgação: relacionam-se a divulgações financeiras e não financeiras, internas


e externas, podendo abranger os requisitos de confiabilidade, oportunidade,
transparência ou outros termos estabelecidos pelas autoridades normativas,
órgãos normatizadores reconhecidos, ou às políticas da entidade (PWC, 2013).

Conformidade: que se relacionam ao cumprimento de leis e regulamentações


às quais a entidade está sujeita (PWC, 2013).

Além dos objetivos, a estrutura apresenta cinco componentes do controle


interno, que se encontram integrados. São eles:

Ambiente de controle: formado pelo conjunto de normas e processos


estabelecidos pela administração da organização.

Avaliação de riscos: que trata do gerenciamento dos riscos.

Atividades de controle: os controles efetivamente implementados para


atendimento das diretrizes traçadas.

Informação e comunicação: processos relacionados com o uso e divulgação


de informações

Atividades de monitoramento: relacionadas com atividades para garantia do


funcionamento dos componentes.

A estrutura é representada por um cubo, com os objetivos são


apresentados nas colunas, os componentes nas linhas e os níveis de
organização, apresentados na terceira dimensão. Os níveis representam a
estrutura da organização, como unidades operacionais, divisões, funções ou a
organização como um todo. A figura 5 ilustra o cubo da versão atualizada do
COSO.

Auditoria
Figura 5 - Cubo COSO - e Testesofde
Comitee Segurança
Sponsoring da Informação
Organization . 25
PCI DSS

O Padrão de Segurança de Dados da Indústria de Cartões de


Pagamento (Payment Card Industry (PCI) Data Security Standard (DSS)) é um
padrão que foi desenvolvido para incentivar e aprimorar a segurança dos
dados do portador do cartão e promover a ampla adoção de medidas de
segurança de dados consistentes no mundo todo.

Ele foi desenvolvido pelo PCI Security Standards Council, um fórum


global para o contínuo desenvolvimento, aprimoramento, armazenamento,
disseminação e implementação de padrões de segurança para proteção de dados
de pagamento. Ele foi fundado pelas empresas American Express, Discover
Financial Services, JCB International, MasterCard Worldwide e Visa Inc.

O PCI DSS oferece a base de requisitos técnicos e operacionais


elaborados para proteger os dados do portador do cartão, e se aplica a todas as
entidades envolvidas nos processos de pagamento do cartão – incluindo
comerciantes, processadores, adquirentes, emissores e prestadores de serviço,
bem como todas as entidades que armazenam, processam ou transmitem os
dados do portador do cartão e/ou dados de autenticação confidenciais.

Sua primeira versão foi publicada 2004, e desde então vem sofrendo
atualizações para acompanhar as mudanças no mercado e nas tecnologias
empregadas na indústria de cartões de pagamento, conforme o histórico abaixo:

 1.0 (dezembro de 2004)


 1.1 (setembro de 2006)
 1.2 (outubro de 2008)
 1.2.1 (agosto de 2009)
 2.0 (outubro de 2010)
 3.0 (novembro de 2013)
 3.1 (abril de 2015)
 3.2 (abril de 2016)

Conforme o PCI Security Standards Council (PCI SSC, 2013), o padrão é


composto por 12 requisitos, compostos por diversos requisitos e procedimentos
detalhados de teste que fazem parte do processo de validação de conformidade
de uma entidade. A tabela abaixo apresenta uma visão de alto nível dos
requisitos.

Auditoria e Testes de Segurança da Informação . 26


Melhores práticas para implementar o PCI DSS nos processos de
cenários de referência

O PCI SSC recomenda que o PCI DSS seja implementado nos cenários de
referência (todas as entidades integrantes da cadeia de cartões de pagamento)
como parte da estratégia global de segurança da entidade (PCI SSC, 2013). Isso
irá garantir que a implementação adequada dos controles de segurança.

A entidade poderá assim monitorar a efetividade de seus controles de


forma contínua e mantenha seu ambiente compatível com o PCI DSS entre as
avaliações de conformidade ao PCI DSS que são realizadas (PCI SSC, 2013).

Conforme o PCI SSC (PCI SSC, 2013), alguns exemplos de como o PCI
DSS deve ser incorporado incluem:

1. Monitoramento de controles de segurança (como firewalls, sistemas de detecção


de invasão/sistemas de prevenção contra invasão (IDS/IPS), monitoramento da
integridade do arquivo, antivírus, controles de acesso, etc.) para assegurar que
eles estejam funcionando de maneira efetiva e conforme o planejado.
2. Assegurar que todas as falhas nos controles de segurança sejam detectadas e
resolvidas em tempo hábil.
3. Revisar alterações no ambiente (por exemplo, acréscimo de novos sistemas,
mudanças nas configurações de rede ou do sistema) antes de concluir a
alteração.
4. Alterações na estrutura organizacional (por exemplo, aquisição ou fusão de uma
empresa) devem resultar em revisão formal do impacto ao escopo e requisitos
do PCI DSS.
5. Comunicações e revisões periódicas devem ser realizadas para confirmar que os
requisitos do PCI DSS continuam em vigor e que os funcionários estão seguindo
os processos seguros.
6. Revisar tecnologias do software e hardware pelo menos uma vez ao ano para se
certificar se eles continuam com suporte do fornecedor e se podem atender aos
requisitos de segurança da entidade, incluindo o PCI DSS.

Auditoria e Testes de Segurança da Informação . 27


Instrução CVM 380/2002

A Comissão de Valores Mobiliários (CVM) é uma entidade autárquica,


em regime especial, vinculada ao Ministério da Fazenda, criada pela Lei nº
6.385, de 7 de dezembro de 1976, com a finalidade de disciplinar, fiscalizar e
desenvolver o mercado de valores mobiliários.

Nesse sentido, a CVM estabelece instruções que se aplicam a todas as


corretoras eletrônicas que exercem atividade de intermediação ou corretagem
com valores mobiliários, sendo estas operações realizadas através da Internet.

Assim, visando ampliar a segurança das transações realizadas pelo


público investidor, a CVM instituiu a Instrução CVM nº 380, em 23 de
dezembro de 2002, com as alterações introduzidas posteriormente pela
Instrução 545/2014.

A instrução estabelece normas e procedimentos a serem observados


nas operações realizadas em bolsas e mercados de balcão organizado por meio
da rede mundial de computadores e dá outras providências

Para a segurança da informação, essa instrução define regras passíveis


de auditorias para comprovação de conformidade, entre elas, a seção que trata
DA SEGURANÇA DOS SISTEMAS, em seu artigo 7º, que diz:

Compete às corretoras eletrônicas garantir a segurança e o


sigilo de toda a informação sobre seus clientes, suas ordens
de compra ou venda de valores mobiliários e sua carteira de
valores mobiliários, bem como sua comunicação com os
clientes, devendo utilizar elevados padrões tecnológicos de
segurança de rede (CVM, 2002).

O não atendimento do disposto neste artigo é considerado infração


grave, portanto, exige das corretoras eletrônicas a implementação de controles
de forma a garantir a segurança e o sigilo de toda a informação dos clientes.

Resolução 3380/2006 – BACEN

O Banco Central do Brasil é uma autarquia federal vinculada ao


Ministério da Fazenda, que tem por missão assegurar a estabilidade do poder de
compra da moeda e um sistema financeiro sólido e eficiente.

Algumas das suas principais atividades são a condução das políticas


monetária, cambial, de crédito, e de relações financeiras com o exterior; a
regulação e a supervisão do Sistema Financeiro Nacional (SFN); e a
administração do sistema de pagamentos e do meio circulante.

Como a CVM, o BACEN estabelece normativos legais a serem seguidos,


nesse caso, pelas instituições financeiras e demais instituições que ele autoriza a
funcionar, em especial pelos bancos.

Auditoria e Testes de Segurança da Informação . 28


Em 29 de junho de 2006 o Bacen instituiu a RESOLUÇÃO N°3380,
dispõe sobre a implementação de estrutura de gerenciamento do risco
operacional.

Para profissionais de segurança da informação, o conhecimento da


resolução é importante, uma vez que ela apresenta diversos artigos diretamente
relacionados à segurança da informação e as auditorias de segurança da
informação que são realizadas conforme legislação vigente. Alguns dos artigos
que podem ser destacados da Resolução 3380 são (BACEN, 2006):

Art. 1º Determinar às instituições financeiras e demais instituições autorizadas a


funcionar pelo Banco Central do Brasil a implementação de estrutura de
gerenciamento do risco operacional.

Art. 2º Para os efeitos desta Resolução define-se como risco operacional a


possibilidade de ocorrência de perdas resultantes de falha, deficiência ou
inadequação de processos internos, pessoas e sistemas, ou de eventos externos.

§ 2º Entre os eventos de risco operacional, incluem-se:

I - fraudes internas

II - fraudes externas

...

V - danos a ativos físicos próprios ou em uso pela instituição

VI - aqueles que acarretem a interrupção das atividades da instituição

VII - falhas em sistemas de tecnologia da informação

Já o art. 3º define os requisitos a serem adotados, prevendo entre


outros:

 Implementação de estrutura de gestão de riscos.


 Elaboração e disseminação da política de gestão de riscos.
 Realização (mínimo anual) de testes de avaliação dos sistemas de
controle de riscos implementados.
 Existência de Plano de contingência.

HIPPA

HIPAA é a sigla para o Health Insurance Portability and


Accountability Act (Lei de Portabilidade de Seguro de Saúde e Prestação de
Contas), aprovado pelo Congresso dos EUA em 1996. Seus principais pontos:

 Oferece a capacidade de transferir e continuar com a cobertura de


seguro de saúde para milhões de trabalhadores americanos e suas
famílias quando elas mudam de plano ou perdem seus empregos.
Auditoria e Testes de Segurança da Informação . 29
 Reduz a fraude e abuso dos cuidados de saúde.
 Requer a proteção e tratamento confidencial de informações de
saúde protegidas.

O último ponto encontra-se diretamente relacionado à segurança da


informação, sendo que o HIPPA é organizado em três partes: regras de
privacidade, padrões de transação e regulações de segurança (AAMA, 2004).

Ele define regras específicas que são exigidas de serem seguidas


entidades, médicos, consultórios, farmácias, empresas de registro eletrônico de
saúde, etc., para (SECURITYMETRICS, 2013):

 Implementar políticas para proteger dados


 Garantir conformidade (análise de risco)
 Limitar o acesso a Informações de Saúde Protegidas
 Conduzir treinamento da força de trabalho
 Salvaguarda de Informações de Saúde Protegidas

HIPAA Privacy

A regra de privacidade HIPAA fornece proteções federais para


informações privadas protegidas de saúde e dá aos pacientes uma série de
direitos com respeito a essas informações (SECURITYMETRICS, 2013):

 Interpreta as responsabilidades administrativas sobre a garantia da


segurança dessas informações.
 Discute acordos por escrito entre entidades abrangidas e parceiros de
negócio.
 Discute a necessidade e implementação de políticas e procedimentos
de privacidade.

HIPAA Security

A regra de segurança HIPPA estabelece um conjunto nacional de


padrões mínimos de segurança para proteger toda informação de saúde
protegida que uma entidade criar, receber, manter ou transmitir
(SECURITYMETRICS, 2013).

Ela contém as salvaguardas administrativas, físicas e técnicas que


devem ser postas em prática para garantir a proteção de informações de saúde
que sejam protegidas.

Resoluções CFM

O Conselho Federal de Medicina (CFM) é um órgão que possui atribuições


constitucionais de fiscalização e normatização da prática médica. Criado em

Auditoria e Testes de Segurança da Informação . 30


1951, sua competência inicial reduzia-se ao registro profissional do médico e à
aplicação de sanções do Código de Ética Médica.

Atualmente exerce um papel mais expressivo, atuando na defesa da


saúde da população e dos interesses da classe médica. Assim, é a entidade
responsável pela normatização da profissão, através de pareceres, resoluções,
leis e decretos, além do Código de Ética Médica e do Código de Processo Ético-
Profissional.

Algumas resoluções instituídas pelo CFM relacionam-se diretamente com


a segurança da informação, sendo importante o seu conhecimento por parte de
auditores de segurança da informação, uma vez que os profissionais e empresas
que atuam na área podem ser auditados para comprovação de conformidade
com as regras impostas.

Dentre essas resoluções, as Resoluções 1605/2000, 1638/2002 e


1821/2007, trazem artigos que tratam diretamente da confidencialidade de
informações relacionadas a informações de prontuários médicos e sigilosas de
pacientes.

Resolução 1605/2000

Art. 1º - O médico não pode, sem o consentimento do paciente, revelar o


conteúdo do prontuário ou ficha médica (CFM, 2000).

Resolução 1638/2002

Art. 1º - Definir prontuário médico como o documento ... sobre a saúde do


paciente e a assistência a ele prestada, de caráter legal, sigiloso e científico, que
possibilita a comunicação entre membros da equipe multiprofissional e a
continuidade da assistência prestada ao indivíduo (CFM, 2002).

Resolução 1821/2007

Art. 3° Autorizar o uso de sistemas informatizados para a guarda e manuseio de


prontuários de pacientes e para a troca de informação identificada em saúde,
eliminando a obrigatoriedade do registro em papel, desde que esses sistemas
atendam integralmente aos requisitos do “Nível de garantia de segurança 2
(NGS2)”, estabelecidos no Manual de Certificação para Sistemas de Registro
Eletrônico em Saúde (CFM, 2007).

Regulamentações Governo Federal

Assim como organizações privadas, a administração pública, seja em


nível federal, estadual ou municipal, também possui uma série de
regulamentações tais como leis, decretos, normas, etc., que regem a segurança
da informação e também são passíveis de auditorias de segurança da

Auditoria e Testes de Segurança da Informação . 31


informação, como frequentemente as auditorias realizadas pelo Tribunal de
Contas da União (TCU).

Alguns exemplos destes normativos são apresentados a seguir, com


destaque para os artigos diretamente relacionados aos princípios da segurança
da informação de confidencialidade, integridade e disponibilidade.

Lei nº 12.527, de 18 de novembro de 2011

Conhecida como Lei de Acesso à Informação, onde diz que toda


informação sob a tutela da administração pública tem como regra a publicidade
e o sigilo como exceção,

Regula o acesso a informações previsto no inciso XXXIII do art. 5º, no inciso II


do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal; altera a Lei no
8.112, de 11 de dezembro de 1990; revoga a Lei no 11.111, de 5 de maio de
2005, e dispositivos da Lei no 8.159, de 8 de janeiro de 1991; e dá outras
providências.

Art. 6º Cabe aos órgãos e entidades do poder público, observadas as normas e


procedimentos específicos aplicáveis, assegurar a:

II - proteção da informação, garantindo-se sua disponibilidade, autenticidade e


integridade.

III - proteção da informação sigilosa e da informação pessoal, observada a sua


disponibilidade, autenticidade, integridade e eventual restrição de acesso.
(BRASIL, 2011)

Decreto nº 3.505, de 13 de junho de 2000

É o decreto que institui a Política de Segurança da Informação nos


órgãos e entidades da Administração Pública Federal,

Art. 4º Para os fins deste Decreto, cabe à Secretaria-


Executiva do Conselho de Defesa Nacional, ..., adotar as
seguintes diretrizes:

VII - realizar auditoria nos órgãos e nas entidades da Administração Pública


Federal, envolvidas com a política de segurança da informação, no intuito de
aferir o nível de segurança dos respectivos sistemas de informação (BRASIL,
2000).

Decreto nº 7.845, de 14 de novembro de 2012

Este decreto regulamenta procedimentos para credenciamento de


segurança e tratamento de informação classificada em qualquer grau de
sigilo, e dispõe sobre o Núcleo de Segurança e Credenciamento. Trata

Auditoria e Testes de Segurança da Informação . 32


essencialmente da classificação das informações quanto às suas necessidades de
confidencialidade,

Art. 7º Compete ao órgão de registro nível 1:

V - fiscalizar o cumprimento das normas e procedimentos de


credenciamento de segurança e tratamento de informação classificada, no
âmbito de suas competências (BRASIL, 2012).

Instrução Normativa GSI/PR nº 1, de 13 de junho de 2008

Instrução do Gabinete de Segurança Institucional da Presidência da


República faz referência à obrigatoriedade de realização de auditorias da Gestão
de Segurança da Informação e Comunicações, que deverão ser realizadas pelos
órgãos/entidades da administração pública federal,

Disciplina a Gestão de Segurança da Informação e Comunicações na


Administração Pública Federal, direta e indireta, e dá outras providências.

Art. 5º Aos demais órgãos e entidades da Administração Pública Federal, direta e


indireta, em seu âmbito de atuação, compete:

VIII - remeter os resultados consolidados dos trabalhos de auditoria de Gestão


de Segurança da Informação e Comunicações para o GSI (GSI/PR, 2008).

Auditoria e Testes de Segurança da Informação . 33


Capítulo 3 - ISO 27002 e COBIT: Controles de Auditoria

Neste capítulo, iremos apresentar um conjunto de controles de


segurança da informação baseados na norma ISO 27002 e no framework do
COBIT, duas referências mundialmente reconhecidas como boas práticas no
mercado de segurança da informação.

Apresentaremos também uma série de exemplos de pontos de auditoria


para esses controles, que podem servir de guia para o desenvolvimento de
novos pontos de auditoria pelos auditores.

ABNT NBR ISO 27002:2013

A norma ABNT NBR ISO 27002:2013 – que tem o título de “Tecnologia


da informação — Técnicas de segurança — Código de prática para controles de
segurança da informação” é uma norma de padrão internacional, onde,
conforme sua própria definição:

é projetada para as organizações usarem como uma


referência na seleção de controles dentro do processo de
implementação de um sistema de gestão da segurança da
informação (SGSI), baseado na ABNT NBR ISO/IEC 27001
ou como um documento de orientação para as organizações
implementarem controles de segurança da informação
comumente aceitos (ABNT, 2013, p. 4).

Ela faz parte da família de normas da série 27000, todas relacionadas à


segurança da informação, como mostra a figura 6.

Figura 6 - Família ISO 27000 - Elaborado pelo autor

Auditoria e Testes de Segurança da Informação . 34


A norma contém 14 seções de controles de segurança da informação,
que juntos totalizam 35 objetivos de controle e 114 controles.

Cada objetivo de controle contém:

a) um objetivo de controle que define o que deve ser alcançado

b) um ou mais controles que podem ser aplicados para se alcançar o objetivo do


controle

Abaixo, é exibido um exemplo de como a norma é estruturada em


relação a seção, objetivo de controle e controle:

17 - Aspectos da segurança da informação na gestão da continuidade do negócio


(Seção)

17.1 - Continuidade da segurança da informação (Objetivo de controle)

17.1.1 - Planejando a continuidade da segurança da informação (Controle)

COBIT

COBIT é um modelo corporativo para a governança e gestão de TI da


organização, sendo uma referência para profissionais de segurança, risco,
garantia e governança de TI da organização. Ele é formado por um conjunto de
publicações, como demonstrado na figura 7.

® © ®
Fonte: COBIT 5. Figura 1. 2012 ISACA .
Todos os direitos reservados.

Figura 7 - Família de Produtos COBIT 5 - ISACA

Auditoria e Testes de Segurança da Informação . 35


COBIT é um framework de sucesso, com suas práticas e recomendações
sendo adotadas por organizações de todo mundo, desde o lançamento da sua
primeira versão em 1996. Ao longo do tempo, passou por atualizações,
conforme exibido na figura 8.

®
Fonte: ISACA . Todos os direitos reservados.
Figura 8 - Evolução do COBIT - ISACA

Na sua versão COBIT 5, além de todos os controles de segurança da


informação que são apresentados na publicação principal COBIT 5 (a “OBRA”),
possui uma publicação focada na segurança da informação, fornecendo
orientações mais detalhadas e mais práticas para profissionais de segurança da
informação, auditores de segurança da informação e outras partes interessadas
(ISACA, 2012).

Controles para Auditoria de Segurança da Informação

Na sequência deste capítulo, serão apresentados alguns dos campos


onde a segurança da informação atua, sugerindo alguns dos controles que
recomendações tanto pela norma ABNT NBR ISO 27002:2013 e o COBIT, e
alguns dos respectivos pontos de auditoria de segurança da informação que
podem ser empregados em uma auditoria, possibilitando aos auditores a
realização de um trabalho alinhado com as melhores práticas do mercado.

Será apresentada uma breve descrição dos controles, áreas de alcance e


logo em seguida os possíveis pontos de auditoria que poderão ser objeto de
auditorias de segurança da informação.

Auditoria e Testes de Segurança da Informação . 36


Controles de Políticas da Segurança da Informação

Nesse campo, os controles irão verificar a existência de uma Política de


Segurança da Informação que esteja instituída, aprovada e divulgada entre
funcionários e partes interessadas, além de verificar se estas políticas são
analisadas e revisadas em intervalos planejados ou após mudanças significativas
na organização.

Pontos de Auditoria:

 Existe uma política de segurança da informação formalmente instituída?


 A política de segurança da informação contempla requisitos de
regulamentações, legislação, contratos?
 A política atribui responsabilidades sobre a gestão da SI?
 A política é comunicada aos funcionários e partes externas?
 Existe um gestor nomeado para o desenvolvimento, análise crítica e
avaliação das políticas de segurança da informação?
 As revisões nas políticas de SI são formalmente aprovadas pela direção?
 A política estipula um prazo máximo para realização de revisões?

Controles de Organização da Segurança da Informação

Os controles irão tratar da estrutura responsável pelo gerenciamento e


implementação da segurança da informação na organização. Verificam se existe
definição de responsabilidades pela segurança da informação e se estão
atribuídas. Se existe segregação de funções para evitar situações de modificação
não autorizada ou não intencional, ou uso indevido dos ativos da organização.

Verificam ainda se existem contatos com autoridades relevantes que


estejam estabelecidos e mantidos, de forma a permitir uma comunicação rápida
e eficaz em caso de possíveis incidentes.

O uso de dispositivos móveis e o trabalho remoto também fazem parte


campo. Deverá ser verificado a implementação de uma política e medidas em
apoio à segurança da informação para gerenciar os riscos decorrentes do uso de
dispositivos móveis e proteção das informações acessadas, processadas ou
armazenadas em locais de trabalho remoto.

Pontos de Auditoria:

 Existe uma estrutura de gerência da segurança da informação


independente, com autoridade e conhecimentos suficientes?
 As responsabilidades pela proteção de cada ativo foram definidas?
 Atividades de gerenciamento de risco estão definidas?
 Existem procedimentos que impedem que uma única pessoa acesse,
modifique ou utilize ativos sem autorização ou detecção?
 A ocorrência de um evento é separada da sua autorização?

Auditoria e Testes de Segurança da Informação . 37


 Existem processos de monitoramento, trilhas de auditoria e supervisão
implementados?
 Existem procedimentos implementados indicando quando e quais
autoridades serão contactadas?
 Existem procedimentos que garantem que incidentes serão reportados em
tempo hábil em caso de violações identificadas?
 Os dispositivos móveis utilizados estão registrados?
 Existe restrição para instalação de softwares?
 Os dispositivos possuem controle de acesso implementado?
 Existe recursos para desativação, bloqueio e exclusão de dados de forma
remota implementados?
 Existe política de backups implementada?
 Existem procedimentos de proteção física?
 Existe segurança física no local de trabalho remoto?
 Existem requisitos de proteção contra vírus e requisitos de firewall nos
equipamentos utilizados?
 O acesso aos sistemas corporativos ocorre de forma segura?
 Existem regras sobre o acesso de familiares ao equipamento utilizado?
 Existe política de backups implementada?

Controles de Segurança em Recursos Humanos

Este campo apresenta controles que irão tratar de questões relacionadas


a recursos humanos antes de sua contratação, durante o período de contratação
e após o término do contrato.

Assim, controles para verificações do histórico dos candidatos a


emprego, a definição das obrigações contratuais, declaração das
responsabilidades e da organização para a segurança da informação são
utilizados antes da contratação.

Controles para conscientização, educação e treinamento em segurança


da informação, implantação e comunicação de processo disciplinar formal para
ações contra funcionários que tenham cometido uma violação de segurança da
informação se agrupam durante a fase de vigência dos contratos.

A garantia de que os interesses da organização em termos de segurança


permanecem válidos e continuam sendo cumpridos será verificada no
encerramento dos contratos.

Pontos de Auditoria:

 Existe procedimento de verificação das informações do curriculum vitae


dos candidatos?
 Existem procedimentos de validação das qualificações acadêmicas e
experiências profissionais?

Auditoria e Testes de Segurança da Informação . 38


 São realizadas verificações financeiras e de antecedentes criminais do
candidato?
 Existem procedimentos para seleção de fornecedores?
 Funcionários, fornecedores e partes externas com acesso a informações
sensíveis assinam termo de confidencialidade?
 Existe obrigação contratual em relação a responsabilidades legais e com
relação às leis de direitos autorais?
 Responsabilidades pela segurança da informação são comunicados
durante o processo de contratação?
 Existe um programa de conscientização em segurança da informação
estabelecido?
 O programa de conscientização contempla diferentes formas de educação?
 Novos funcionários recebem treinamento em SI antes de iniciarem suas
atividades?
 Avaliações de entendimento são realizadas ao final dos treinamentos?
 Existe definição de penalidades a serem empregadas para violações de
segurança da informação?
 O processo disciplinar apresenta respostas de forma gradual para as
violações cometidas?
 O processo disciplinar prevê políticas de incentivos e recompensas para
comportamentos exemplares?
 Existe acordo de confidencialidades que garantem sigilo de informações
confidenciais?
 Mudanças de trabalho são gerenciadas para garantia de responsabilidades
sobre a segurança da informação?
 O departamento de Recursos Humanos atua de forma alinhada com a
equipe de segurança da informação para comunicação de encerramentos
de contratos?

Controles de Gestão de Ativos

Para a gestão de ativos, são sugeridos controles para identificação e


definição das responsabilidades para a proteção dos mesmos. Envolve inventário
dos ativos, definição dos proprietários, de políticas de uso aceitável dos ativos e
devolução de ativos.

A classificação da informação será avaliada nesse campo, devendo a


mesma receber níveis adequados de proteção, de acordo com a sua importância
para a organização.

Pontos de Auditoria:

 Existe inventário completo, atualizado e consistente dos ativos?


 Todos os ativos identificados possuem um responsável e proprietário?
 Existem critérios de responsabilização pelo uso dos ativos?

Auditoria e Testes de Segurança da Informação . 39


 Existe processo para garantia de devolução de equipamentos no
encerramento de atividades?
 Existe um esquema definido de classificação de informação? (Critérios de
CID)
 O esquema de classificação está alinhado com a política de controle de
acesso?
 Existe definição formal dos responsáveis pela classificação da informação?
 Existem procedimentos definidos para rotulagem da informação de acordo
com o esquema de classificação?

Controles de Acesso

Os controles de acesso limitam o acesso à informação e aos recursos de


processamento da informação, através do estabelecimento de uma política de
controle de acesso, documentada e analisada criticamente, baseada nos
requisitos de segurança da informação e dos negócios.

Serão verificados também os controles implementados para garantir que


a concessão de acesso aos usuários ocorra somente às redes e aos serviços de
rede que tenham sido especificamente autorizados a usar; o gerenciamento do
acesso do usuário, com controles para registro e cancelamento de contas,
concessão e revisão de direitos de acesso, etc.

E também controles de acesso ao sistema e aplicações, prevenção contra


acessos não autorizados, restrição de acesso à informação, sistema de
gerenciamento de senha, acesso ao código-fonte de programas, etc.

Pontos de Auditoria:

 Existe política formal estabelecendo controles de acesso à informação?


 Obrigações legais/contratuais são consideradas na política?
 Existe segregação de funções para concessão de acessos?
 Existem procedimentos definidos para remoção de direitos de acesso?
 Existe uma política formal definindo as redes e serviços permitidos de
serem acessados?
 A política define quais os meios usados para acessar as redes e serviços?
(Ex.: VPN)
 Os acessos às redes e serviços são feitos através de autenticação?
 Existe procedimentos implementados de monitoramento do uso das redes
e serviços?
 Os acessos são feitos a partir de um ID único?
 Existe procedimentos para retirada/desabilitação imediata de contas de
usuários que deixaram a organização?
 Os direitos de acesso são revistos para usuários que mudaram de função
ou atividade?
 Direitos de acesso privilegiados são identificados?
Auditoria e Testes de Segurança da Informação . 40
 Acessos privilegiados são concedidos para IDs diferentes dos usados em
atividades normais?
 Existe procedimentos para controle dos dados que podem ser acessados
por um usuário?
 Existem controles de acesso de outras aplicações?
 Existe processos contra tentativas forçadas de entrada no sistema?
 Todas as tentativas de acesso são registradas?
 Existe política de senha forte implementada?
 Existem controles para proteção do código-fonte?

Controles de Segurança Física e do Ambiente

Controles de segurança física irão tratar de definição de áreas seguras e


segurança de equipamentos.

A definição de áreas seguras cuida da prevenção do acesso físico não


autorizado, danos e interferências com os recursos de processamento das
informações e as informações da organização. Os controles relacionam-se com a
definição de perímetro de segurança física, controles de entrada física,
segurança em escritórios, salas e instalações, proteção contra ameaças externas
e do meio-ambiente, o trabalho em áreas seguras, etc.

Pontos de Auditoria:

 O edifício ou local do DC apresenta estrutura sólida (paredes, portas,


barras, fechaduras, alarmes, etc.)?
 Existem barreiras físicas que impedem o acesso físico não autorizado?
 Acessos de visitantes são controlados e registrados?
 Funcionários, fornecedores, visitantes utilizam identificação visível?
 Áreas de informações sensíveis possuem mecanismos de autenticação de
dois fatores?
 O edifício ou local do DC evita identificação e indicação de sua finalidade?
 Existem recursos de proteção contra danos causados por fogo, inundação,
explosão, manifestações, etc.?
 Todo o trabalho realizado em áreas seguras é supervisionado?
 Existe proibição explícita para uso de máquinas fotográficas, gravadores
de vídeo, etc., em áreas seguras?

Já a segurança de equipamentos preocupa-se com controles relacionados


à escolha do local e proteção do equipamento, segurança de utilidades,
segurança do cabeamento, manutenção dos equipamentos, remoção de ativos,
segurança de equipamentos e ativos fora das dependências da organização,
reutilização e alienação segura de equipamentos, cuidados com equipamento de
usuário sem monitoração, e política de mesa limpa e tela limpa.

Auditoria e Testes de Segurança da Informação . 41


Pontos de Auditoria:

 Existem diretrizes que restringem ações de comer, beber e fumar próximo


a instalações de processamento?
 Existem proteções contra raios nas instalações?
 Existem garantias contra falta de utilidades (energia elétrica,
telecomunicação, água, esgoto, ar-condicionado, etc.)?
 As garantias são testadas de forma regular?
 Linhas de energia e telecomunicações do DC são subterrâneas (ou abaixo
de piso elevado)?
 O cabeamento de energia é segregado do cabeamento de comunicações?
 Existem procedimentos de inspeções técnicas e físicas para identificação
de dispositivos não autorizados?
 As manutenções dos equipamentos são realizadas conforme
recomendações do fornecedor?
 Falhas e operações de manutenções preventivas e corretivas são
registradas?
 Os equipamentos são inspecionados após manutenções para garantia de
que não foram alterados indevidamente?
 Os ativos são removidos somente por funcionários ou fornecedores
autorizados?
 A retirada dos equipamentos é controlada e registrada, assim como seu
retorno?
 Equipamentos utilizados fora da organização possuem supervisão em
locais públicos?
 Existem registros de transferência de custódia de equipamentos usados
fora da organização?
 Informações contidas em equipamentos a serem reutilizados são
destruídas?
 Dispositivos defeituosos que contenham informações sensíveis são
destruídos fisicamente?
 Equipamentos desacompanhados possuem mecanismos de proteção de
tela com senha?
 Conexões de serviços de rede ou aplicações são encerradas quando não
são mais utilizadas?
 Existe política de mesa limpa e tela limpa implementada e divulgada?
 Informações sensíveis são guardadas em lugar seguro?

Controles de Segurança nas Operações

Para garantia de operações seguras e corretas de recursos de


processamento, responsabilidades e procedimentos operacionais devem ser
considerados, como documentação dos procedimentos de operação,
gerenciamento de mudanças, gerenciamento de capacidade, separação de

Auditoria e Testes de Segurança da Informação . 42


ambientes (desenvolvimento, teste e de produção). Nesse campo, os seguintes
pontos de auditoria podem ser considerados:

Pontos de Auditoria:

 Existem procedimentos documentados para operações de instalação e


configuração de sistemas?
 Existem procedimentos para tratamentos de erros?
 Existem procedimentos para manuseio de mídias?
 Existem procedimentos para reinício e recuperação em caso de falhas?
 Existem procedimentos para contatos de suporte e escalação para eventos
inesperados?
 Existe processo formal para gestão de mudanças?
 Mudanças são planejadas e testadas?
 Existe procedimento formal para aprovação de mudanças?
 As mudanças incluem procedimentos para recuperação em caso de
insucesso?
 Nas mudanças implementadas o atendimento de requisitos de segurança
são verificados?
 Existe processo de gestão de capacidades dos sistemas?
 Existe política para exclusão de dados obsoletos?
 Foi implementado processo de desativação de aplicações, sistemas
obsoletos?
 A capacidade dos sistemas é monitorada para identificação de tendências?
 Existe restrição de largura de banda para serviços não críticos?
 Existem regras definidas para transferência de software do ambiente de
desenvolvimento para a produção?
 Os ambientes de execução são segregados?
 Existe ambiente de testes para mudanças em aplicações e sistemas
operacionais?
 Os usuários possuem perfis diferenciados para ambientes de
desenvolvimento e produção?

Além destes, são recomendados a implementação de controles para


proteção contra códigos maliciosos, para garantia de que cópias de segurança
das informações e softwares são efetuadas e testadas regularmente e também
que controles para registros e monitoramentos, como registros de eventos,
proteção das informações dos registros de eventos (logs), registros de eventos
de Administrador e operador, sincronização dos relógios, etc.

Pontos de Auditoria:

 Existe política formal de proibição de uso de software não autorizado?


 Existem procedimentos para gerenciamento de vulnerabilidades (Ex.:
Patch Management)?

Auditoria e Testes de Segurança da Informação . 43


 Existe ferramentas automatizadas para verificação de software malicioso
antes do uso?
 Existem procedimentos para tratamento recuperação de ataques de
códigos maliciosos?
 Existe política de backup definida e implementada?
 Existem recursos adequados para geração de cópias e recuperação em
caso de desastre?
 As cópias de segurança são armazenadas em localidade remota e de
forma segura?
 Procedimentos de teste de restauração são executados para garantir que
as mídias são confiáveis?
 São produzidos registros de atividades de usuário, falhas e eventos de
segurança da informação?
 Os registros apresentam informações de: ID de usuário, data/horário de
acesso, etc.?
 Os registros de eventos são protegidos contra acesso não autorizado?
 Todos os sistemas de processamento são sincronizados?

Controles para Aquisição, Desenvolvimento e Manutenção de Sistemas

Os controles para aquisição, desenvolvimento e manutenção de sistemas


devem inicialmente garantir que a segurança da informação é parte integrante
de todo o ciclo de vida dos sistemas de informação, verificando se requisitos de
segurança de sistemas de informação estão sendo atendidos, como análise e
especificação dos requisitos de segurança da informação, que informações
trafegam por serviços seguros em redes públicas, que existe proteção de
transações nos aplicativos, etc.

Pontos de Auditoria:

 Existem processos instituídos de autorização e provisionamento de


acessos?
 Os usuários são informados de suas obrigações e responsabilidades na
utilização dos sistemas?
 Existe processo de testes de segurança antes da aquisição de produtos?
 As recomendações de segurança dos fabricantes estão implementadas?
 Os requisitos de proteção de informações confidenciais são atendidos?
 Existem autorizações formais para aprovação e publicação de conteúdos?
 As formas de pagamento implementadas no sistema oferecem proteção
contra fraudes?
 Existe prevenção contra duplicação de informações nas transações?
 As transações nos aplicativos exigem uso de assinatura eletrônica?
 A comunicação entre as partes utiliza criptografia?
 Os protocolos utilizados são seguros?

Auditoria e Testes de Segurança da Informação . 44


 As informações da transação são armazenadas fora de ambiente
publicamente acessível?
 Requisitos de conformidade legal e regulamentares são atendidos?

Eles devem ainda garantir a segurança da informação encontra-se


implementada no desenvolvimento do ciclo de vida dos sistemas de informação,
com segurança em processos de desenvolvimento e de suporte, como política de
desenvolvimento seguro, existência de ambiente seguro para desenvolvimento,
controles para desenvolvimento terceirizado, teste de segurança de sistemas e
teste de aceitação de sistemas.

Pontos de Auditoria:

 Existe uma política implementada para desenvolvimento seguro de


sistemas?
 Requisitos de segurança são verificados durante a fase do projeto?
 Existe segurança no processo de controle de versões?
 Existem procedimentos implementados para suporte ao desenvolvimento
seguro?
 Os ambientes de desenvolvimento são segregados?
 Existem controles de acesso ao ambiente de desenvolvimento?
 Os backups dos produtos de desenvolvimento são armazenados em local
seguro?
 Funcionários terceirizados assinam acordos de licença, propriedade do
código e direitos autorais?
 Existem evidências de proteção contra conteúdo malicioso?
 Testes de segurança são realizados para todos os sistemas novos e
atualizados?
 Os testes são realizados em ambiente de teste realístico?
 Testes de aceitação são realizados para todos os sistemas novos e
atualizados?

Controles para Gestão de Incidentes de Segurança da Informação

O gerenciamento consistente e efetivo de incidentes de segurança da


informação envolve o estabelecimento de responsabilidades e procedimentos
para tratar incidentes, notificação de eventos de segurança da informação e
notificação de fragilidades de segurança da informação.

Devem ser estabelecidos também processos para resposta aos incidentes


de segurança da informação, métodos para aprendizado com os incidentes de
segurança da informação e coleta de evidências.

Pontos de Auditoria:

Auditoria e Testes de Segurança da Informação . 45


 Existem procedimentos definidos de resposta a incidentes?
 Foram definidos procedimentos para monitoramento, detecção, análise e
notificação de incidentes?
 Os procedimentos oferecem garantia de preservação de evidências
forenses?
 Os funcionários estão cientes sobre os possíveis eventos de segurança e
sua responsabilidade de notificá-los?
 Evidências são coletadas tão logo as ocorrências são identificadas?
 Existem procedimentos que garantem a cadeia de custódia, segurança e
preservação das evidências?
 Todas as atividades de tratamento dos incidentes são registradas para
análise futura?
 Existem processos para monitorar os tipos, volumes e custos dos
incidentes?

Controles para Conformidade

A implementação de controles para conformidade busca evitar a


violação de quaisquer obrigações legais, estatutárias, regulamentares ou
contratuais relacionadas à segurança da informação que a organização tenha
que cumprir. Para tanto, controles de identificação da legislação aplicável e
de requisitos contratuais são necessários, assim como identificação de direitos
de propriedade intelectual, proteção de registros e proteção e privacidade de
informações de identificação pessoal.

Pontos de Auditoria:

 Os requisitos estatutários, regulamentares e contratuais foram


identificados e documentados para cada sistema de informação?
 Foram definidos controles e responsabilidades para atender estes
requisitos?
 Existe uma política de conformidade com direitos de propriedade
intelectual?
 As aquisições de software são feitas através de fontes confiáveis?
 Os ativos de licenças são controlados e armazenados em local seguro?
 Inventários de softwares são realizados?
 Os termos e condições de uso dos softwares são cumpridos?
 Os registros com exigência de retenção são armazenados de forma segura
e de acordo com os prazos legais?
 Existe uma política para proteção e privacidade de informações pessoais?

Auditoria e Testes de Segurança da Informação . 46


Capítulo 4 - Técnicas de Auditoria

Veremos neste capítulo quais são as técnicas que podem ser utilizadas
para a realização de uma auditoria de segurança da informação, e como elas são
empregadas para apoiar o trabalho do auditor.

Vamos discutir também sobre testes de invasão, quais os principais tipos


e uma metodologia tipicamente usada por invasores para efetuar um teste de
invasão. Para finalizar, aprenderemos sobre testes automatizados e como eles
auxiliam auditores na realização de auditorais em ambientes de sistemas de
informação.

Técnicas de Auditoria

Conforme define o German Federal Office for Information Security


(Escritório Federal Alemão para a Segurança da Informação), técnicas de
auditoria são entendidas como todos os métodos empregados para determinar
os fatos da matéria sob análise (GERMAN FEDERAL OFFICE FOR INFORMATION
SECURITY, 2008).

Assim, diferentes técnicas podem ser utilizadas durante o processo de


auditoria, sendo que a definição de qual a técnica mais indicada a ser utilizada
dependerá do caso estudado. Normalmente uma combinação de técnicas é
empregada, especificadas pela equipe de auditoria.

A seguir são apresentadas as técnicas que frequentemente são utilizadas


em auditorias de segurança da informação.

Entrevistas

São reuniões realizadas entre o auditor e o auditado. Em certas


circunstâncias, as entrevistas são utilizadas para esclarecer eventuais dúvidas
que tenham surgido após a análise de documentos pelo auditor. Em outras
situações, podem ser utilizadas como ponto de partida para os trabalhos de
auditoria.

Questionários

A aplicação de questionários para auditoria é uma verificação executada


à distância. Tendo em vista restrições de tempo e recursos que uma auditoria
tenha, trata-se de uma técnica que terá a vantagem de possibilitar que um
número maior de auditados sejam questionados durante a auditoria, se
comparado com entrevistas.

Na sua execução, as perguntas são elaboradas e os questionários


enviados aos auditados, e após a devolução, os dados são tabulados e
consolidados para a elaboração dos relatórios de conclusões.
Auditoria e Testes de Segurança da Informação . 47
Visita in loco

Trata-se de verificação executada diretamente nos locais onde ocorre a


auditoria. Quase sempre é uma técnica que irá possibilitar uma avaliação mais
realística do cenário e dos fatos, pois em entrevistas ou questionários, por
exemplo, os auditados podem omitir ou negar fatos reais.

Análise de Logs

A análise de logs é uma técnica empregada principalmente para


auditorias em sistemas de informação, onde serão verificados registros digitais.
Busca identificar o que foi feito, quem fez e quando fez.

Análise de relatórios e telas

Relatórios e telas também são típicos de auditorias de sistemas de


informação, buscando verificar principalmente quais são os reais níveis de
acesso de usuários, para identificar eventuais falhas nos controles de acesso,
quebra de confidencialidade de informações, etc.

Análise de código fonte

Nos processos de desenvolvimento de sistemas de informação, vários


artefatos são produzidos, antes da geração do código fonte. A análise
comparativa destes artefatos e o sistema efetivamente desenvolvido e que se
encontra em produção pode indicar falhas na segurança da informação que não
estejam sendo percebidas pela simples utilização do sistema pelos usuários.

Simulação de dados

A simulação de dados trata-se da submissão de massa de dados ao


sistema de informação sendo auditado, com objetivo de verificar quais os
resultados produzidos após seu processamento, o comportamento do sistema,
validação de dados, etc.

Auditorias de Sistemas de Informação

Conforme Imoniana (2016), para auditorias de segurança da informação


em ambientes de tecnologia da informação, o auditor poderá utilizar as
abordagens que mais lhe parecerem adequadas, sendo as mais comuns a
abordagem ao redor do computador, a abordagem através do computador e a
abordagem com o computador, apresentadas a seguir.

Abordagem ao redor do computador

No passado era uma abordagem muito solicitada pelos auditores, devido


ao não envolvimento de muita tecnologia de informação. A abordagem requer
que o auditor examine os níveis de anuência associada à aplicação dos controles
organizacionais, no que concerne à tecnologia da informação. Isso significa a
auditoria de documentos-fonte com as funções de entrada subjacentes e

Auditoria e Testes de Segurança da Informação . 48


dominando as funções de saída, que se encontram em formatos de linguagem
legível por leigos em informática (IMONIANA, 2016).

Abordagem através do computador

O uso desta abordagem envolve mais do que mera confrontação de


documentos-fonte com os resultados esperados, uma vez que os sistemas têm
evoluído muito. No entanto, este método alerta quanto ao manuseio de dados,
aprovação e registro de transações comerciais, sem deixar evidências
documentais razoáveis através dos controles de programas construídos juntos
aos sistemas (IMONIANA, 2016).

Abordagem com o computador

As empresas de auditoria e pesquisadores da área propuseram um meio


de auditar as tecnologias de informações com a maior perfeição possível,
utilizando a abordagem com o computador completamente assistida. Uma das
grandes facilidades do uso desta abordagem esta a capacidade de auditoria de
aplicar Técnicas de Auditoria Assistida por Computador (TAAC), em outros
momentos chamada de CATT – Computer Assisted Audit Techniques (IMONIANA,
2016).

Testes de Invasão

Testes de invasão podem ser definidos como o processo de verificação


dos controles de segurança da informação implementados em um ambiente,
rede, ou sistema, utilizando a abordagem de um invasor, ainda que não exista a
intenção de causar danos ou perdas às informações da organização.

Atualmente, é comum empresas contratarem profissionais especializados


para a realização deste tipo de teste, com o objetivo de identificar da forma mais
real possível, quais são as possíveis vulnerabilidades existentes em seus
controles que podem resultar em incidentes graves caso sejam exploradas por
indivíduos mal-intencionados.

Normalmente, são divididos em três tipos: Black Box, Gray Box e White
Box.

Black Box

Nos testes Black Box, o invasor não tem conhecimento da estrutura que
irá invadir. Nessa perspectiva, não conhece quais são os sistemas, aplicações,
banco de dados, topologia de rede etc.

Gray Box

Nesse tipo de teste, o invasor tem conhecimento parcial da estrutura,


porém não em sua totalidade. Isso exigirá um esforço de investigação, porém,
menor que no caso anterior.

Auditoria e Testes de Segurança da Informação . 49


White Box

Os White Box são testes onde o invasor tem conhecimento completo da


estrutura. Aqui é utilizada a perspectiva de um invasor interno da organização,
como um funcionário que tem conhecimento amplo do ambiente interno.

Processo de Invasão

Normalmente, processos de invasão seguem uma sequência de


atividades por parte do invasor, conforme a figura 9.

Varredura
Informações Acesso aos Manter o Eliminar
dos
do Alvo Sistemas Acesso Evidências
Sistemas

Figura 9 - Processo de Invasão - Elaborado pelo autor

Varredura dos Sistemas

Compreende a etapa onde o invasor utiliza seus conhecimentos técnicos


para levantar mais informações sobre o alvo, buscando assim vulnerabilidades
nos sistemas que permitam sua exploração e a consequente invasão.
Informações sobre os sistemas operacionais, banco de dados, serviços ativos,
defesas implementadas, topologia da rede, etc.

Acesso aos Sistemas

Com todas as informações adquiridas, o invasor inicia o processo de


ataque através de técnicas que sejam adequadas conforme as possíveis
vulnerabilidades mapeadas. Engenharia social, ataque a aplicações Web,
exploração de vulnerabilidades são algumas das técnicas utilizadas.

Manter o Acesso

Atingir esta etapa significa que o invasor obteve sucesso e conseguir


quebrar as defesas do alvo, obtendo assim aos seus sistemas. Neste momento,
realiza atividades que visam garantir que o acesso aos sistemas estará
disponível posteriormente, sem necessidade de empreender o mesmo esforço
novamente.

Auditoria e Testes de Segurança da Informação . 50


Eliminar Evidências

Na última etapa, o invasor busca apagar seus rastros, eliminando todas


as evidências que indiquem que o sistema foi invadido, por exemplo, apagando
arquivos de Logs.

Testes Automatizados

Conhecidos como Computer-Assisted Audit Techniques and Tools


(CAATTs) (Técnicas de Auditoria Assistidas por Computador e Ferramentas) são
testes de invasão que fazem uso da tecnologia para auxiliar na conclusão de
uma auditoria. Permitem ao auditor automatizar o processo de auditoria através
do uso de ferramentas específicas, conforme a auditoria que será realizada.
Conforme Imoniana (2016), seu principal objetivo é

Auxiliar o auditor para auditar 100% a população da área ou


transação revisada, considerando o limite de tempo que
possui, aproveitando os recursos de softwares e as técnicas
de auditoria em ambiente de computação (IMONIANA,
2016, p. 54).

Benefícios

Dentre os benefícios que oferecem, as ferramentas de auditoria assistida


por computador permitem que auditores gastem menos tempo nos processos de
auditoria, reduzem a chance de erros em análises de transações e diminuem a
quantidade de documentos a serem verificados.

Utilização

Essas ferramentas podem ser utilizadas para executar vários


procedimentos de auditoria, incluindo:

 Testes de detalhes de transações


 Testes de conformidade de controles gerais de SI
 Testes de conformidade de controles de aplicação
 Testes de penetração

Classificação

Normalmente, são classificados de acordo com o propósito dos seus


testes, como por exemplo:

 Softwares de análise de dados


 Softwares de avaliação de segurança de rede
 Softwares de avaliação de sistemas operacionais
 Softwares de teste de código

Auditoria e Testes de Segurança da Informação . 51


Conforme esclarece a Isaca (2008), algumas considerações devem ser
feitas, considerando-se inclusive o seu emprego em conjunto com técnicas
manuais de auditoria. Dentre essas considerações, o nível de conhecimento em
informática, a perícia e a experiência do auditor de segurança da informação e
tecnologias da informação; a disponibilidade de CAATTs adequados aos
propósitos; a eficiência e eficácia do uso de CAATTs sobre técnicas manuais;
limitações de tempo que o auditor possui para concluir a auditoria e também a
integridade dos sistemas de informação e ambientes de TI, garantindo que o uso
das ferramentas não apresentam riscos à segurança das informações sendo
auditadas.

Imoniana (2016) apresenta alguns exemplos dessas ferramentas


disponíveis no mercado:

ACL (Audit Command Language): software de extração e análise de dados

IDEA (Interactiva Data Extraction & Analysis): também para extração e


análise de dados

Audimation: também para extração e análise de dados

Galileo: software integrado de gestão de auditoria, que inclui gestão de riscos


de auditoria, documentação e emissão de relatórios para auditoria interna

Pentana: software de planejamento estratégico da auditoria, sistema de


planejamento e monitoramento de recursos, controle de horas, registro de
checklists e programas de auditoria, inclusive de desenho e gerenciamento de
plano de ação

Auditoria e Testes de Segurança da Informação . 52


Referências

AAMA. Health Insurance Portability and Accountability Act of 1996.


Chicago:[s.n.], 2004.

ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 19011 –


Diretrizes para auditoria de sistemas de gestão. [s.l.]: ABNT, 2012.

ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC


27002 – tecnologia da informação – técnicas de segurança – código de
prática para a gestão de segurança da informação. [s.l.]: ABNT, 2013.

BACEN. Resolução n. 3380, de 29 de junho de 2006. Dispõe sobre a


implementação de estrutura de gerenciamento do risco operacional. Diário
Oficial da União, Brasília, 29 jun. 2006.

BRASIL. Decreto n. 3.505, de 13 de junho de 2000. Institui a Política de


Segurança da Informação nos órgãos e entidades da Administração Pública
Federal. Diário Oficial da União, Brasília, 14 jun. 2000.

BRASIL. Decreto n. 7.845, de 14 de novembro de 2012. Regulamenta


procedimentos para credenciamento de segurança e tratamento de informação
classificada em qualquer grau de sigilo, e dispõe sobre o Núcleo de Segurança e
Credenciamento. Diário Oficial da União, Brasília, 16 nov. 2012.

BRASIL. Lei n. 12.527, de 18 de novembro de 2011. Regula o acesso a


informações previsto no inciso XXXIII do art. 5o, no inciso II do § 3o do art. 37
e no § 2o do art. 216 da Constituição Federal; altera a Lei no 8.112, de 11 de
dezembro de 1990; revoga a Lei no 11.111, de 5 de maio de 2005, e
dispositivos da Lei no 8.159, de 8 de janeiro de 1991; e dá outras providências.
Diário Oficial da União, Brasília, 18 nov. 2011.

CFM. Resolução n. 1605/2000, de 15 de setembro de 2000. O médico


não pode, sem o consentimento do paciente, revelar o conteúdo do prontuário
ou ficha médica. Diário Oficial da União, Brasília, 29 set. 2000.

CFM. Resolução n. 1638/2002, de 10 de julho de 2002. Define prontuário


médico e torna obrigatória a criação da Comissão de Prontuário nas instituições
de saúde. Diário Oficial da União, Brasília, 09 ago. 2002.

CFM. Resolução n. 1821/2007, de 23 de novembro de 2007. Aprova as


normas técnicas concernentes à digitalização e uso dos sistemas informatizados
para a guarda e manuseio dos documentos dos prontuários dos pacientes,
autorizando a eliminação do papel e a troca de informação identificada em
saúde. Diário Oficial da União, Brasília, 23 nov. 2007.

CVM. Instrução CVM n. 380, de 23 de dezembro de 2002. Estabelece normas e


procedimentos a serem observados nas operações realizadas em bolsas e
Auditoria e Testes de Segurança da Informação . 53
mercados de balcão organizado por meio da rede mundial de computadores e dá
outras providências. São Paulo, 23 dez. 2002.

DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio


de Janeiro: Axcel Books, 2000.

GERMAN FEDERAL OFFICE FOR INFORMATION SECURITY. Information


security audit (IS audit). Bonn: [s.n.], 2008.

GSI/PR. Instrução Normativa GSI/PR nº 1, de 13 de junho de 2008.


Disciplina a Gestão de Segurança da Informação e Comunicações na
Administração Pública Federal, direta e indireta, e dá outras providências.
Brasília, 13 jun. 2008.

IMONIANA, Joshua Onome. Auditoria de sistemas de informação. 3. ed.


São Paulo: Atlas, 2016.

ISACA. G3 use of computer-assisted audit techniques (caats). Rolling


Meadows: [s.n.], 2008.

ISACA. Cobit 5 for information security. Rolling Meadows: [s.n.], 2012.

PAULA, Maria Goreth Miranda Almeida. Auditoria interna. 1. ed. São


Paulo: Atlas, 1999.

PCI SSC. Indústria de cartões de pagamento (PCI) Padrão de Segurança de


Dados: Requisitos e procedimentos da avaliação de segurança. [s.l.]:[s.n.],
2013.

PWC. Controle interno - estrutura integrada. [s.l.]:[s.n.], 2013.

SECURITYMETRICS. An introduction to hipaa compliance. [s.l.]:[s.n.],


2013.

Auditoria e Testes de Segurança da Informação . 54