VII SEMEAD TRABALHO CIENTÍFICO

POLÍTICA GESTÃO TECNOLÓGICA

AUDITORIA DE SEGURANÇA LÓGICA E DA

CONFIDENCIALIDADE EM COMPUTAÇÃO

Autores:

• Adriana Proença Crudo, Graduando da Faculdade Alfacastelo/Curso Administração

com Gestão em Sistemas de Informação/Barueri-SP
E-mail: adriana.crudo@ig.com.br

• Marcelo da Silva Leite, Graduando da Faculdade Alfacastelo/Curso Administração

com Gestão em Sistemas de Informação/Barueri-SP
E-mail: marceloleite1@hotmail.com

• Vivaldo Batista Vieira, Graduando da Faculdade Alfacastelo/Curso Administração

com Gestão em Sistemas de Informação/Barueri-SP
E-mail: vvieira3@yahoo.com.br

• Josyane Lannes Florenzano de Souza, Professora Mestre (pela PUC/RS) da área de

Sistemas de Informação da Faculdade Alfacastelo, Barueri-SP.
E-mail: josyane@terra.com.br

• Antonio Dimas Evangelista dos Santos, Graduando da Faculdade Alfacastelo/Curso

Administração com Gestão em Sistemas de Informação, Barueri-SP
E-mail: adevangelista@ibest.com.br

• Valdirene Barbosa Silva, Graduando da Faculdade Alfacastelo/Curso Administração

com Gestão em Sistemas de Informação, Barueri-SP
E-mail: valdirenesilva2001@yahoo.com.br

RESUMO

Este trabalho aborda aspectos de auditoria de sistemas de informação, assim como a

segurança lógica e de confidencialidade em computação. A proteção das informações aliada a
uma política de segurança da informação nas organizações tornou-se vital para a manutenção
da confidencialidade e integridade. Neste contexto, surge a importante figura do Security
Officer na gestão de segurança da informação.

PALAVRAS-CHAVE
Auditoria, segurança lógica, logs, vulnerabilidade, confidencialidade.
 AUDITORIA DE SEGURANÇA LÓGICA E DA
CONFIDENCIALIDADE EM COMPUTAÇÃO

1. INTRODUÇÃO E CONTEXTUALIZAÇÃO

O campo de Sistemas de Informação (SI) é relativamente novo comparando a outras

áreas do conhecimento. A importância crescente de seu papel desempenhado nas empresas
modernas permitiu que o processo de auditagem computacional se tornasse essencial devido
sua preocupação em relação à segurança.
Segundo o autor GIL [1], a área de auditoria de Processamento Eletrônico de Dados
(PED) compreende terminologia, conceituação e técnicas das áreas de auditoria, sistemas de
informação e processamento eletrônico de dados.
Para o autor SÊMOLA [6], segurança da informação é uma área do conhecimento
dedicada à proteção de ativos da informação contra acessos não autorizados, alterações
indevidas ou sua indisponibilidade.
Este artigo aborda a auditoria de segurança lógica e da confidencialidade em
computação, onde segurança lógica diz respeito à modificação inadequada dos recursos
tecnológicos, informações e softwares, e a confidencialidade à captação devida desses
mesmos recursos tecnológicos. Para a manutenção da segurança lógica e da confidencialidade
foi necessário validar e avaliar controles lógicos inseridos, bem como proteger informações e
programas.
O trabalho iniciou a partir de uma revisão bibliográfica incluindo o papel do Security
Officer e as características de vulnerabilidades e de ameaças em segurança lógica passando
por algumas ferramentas de log e auditoria, terminando com um exemplo concreto do uso das
técnicas de auditagem.
Muito tem sido feito e implantado nas organizações para evitar o “não controle” dos
processos operacionais. Visando esta problemática, faz parte do escopo deste artigo a
segurança lógica em informática, assim como sua confidencialidade, o comentário de algumas
ferramentas de controle de acesso e as análises de ferramentas de logs e auditoria.
Assim, faz-se necessário conhecer o papel do Security Officer, algumas características
de vulnerabilidades e de ameaças em segurança lógica em informática, a Norma de
Segurança, ferramentas utilizadas para o processo de auditagem de sistemas, assim como
alguns exemplos de sua utilização.
A metodologia utilizada foi através da leitura de muitos livros, periódicos e consulta a
várias urls confiáveis que possibilitaram o entendimento teórico. A pesquisa foi descritiva,
pois é importante o conhecimento sobre tudo que existe inerente a auditoria e segurança
lógica.

2. REVISÃO BIBLIOGRÁFICA

2.1. SEGURANÇA LÓGICA

Segundo o autor GIL [1], os princípios para o exercício da segurança lógica,

organizacional e de confidencialidade, nos momentos do ciclo administrativo (planejamento,
execução, controle, auditoria) e nível empresarial (operacional, tático, estratégico) são (i)
estabelecer autoridade aos recursos humanos engajados com as plataformas de informática;
(ii) assegurar lealdade e proporcionar confiabilidade aos profissionais e usuários de
informática da organização; (iii) viabilizar meios para o reconhecimento de ações
empresariais autorizadas; (iv) avaliar o grau de segurança que cada informação requer.
 A modificação acidental ou proposital de recursos tecnológicos/ativos intangíveis
(programas de computador integrantes de sistemas aplicativos; software de suporte e básico;
procedimentos praticados para atuação com a tecnologia de informática; dados e informações,
armazenados em banco de dados e arquivos, sustentados por dispositivo de computação),
agregados a recursos humanos e materiais é o objeto das práticas de segurança lógica
exercitadas na empresa em informática.
Para o funcionamento desses ativos intangíveis organizacionais pratica-se atividades de:
• Validação da informação operacional;
• Validação das rotinas de processamento;
• Proteção do sigilo das informações e dos programas;
• Proteção dos procedimentos;
• Indução à correção de rumo.
Os principais momentos sobre problemas em termos de insegurança lógica em PED são:
• Sistemas aplicativos podem revelar relações entre dados que de outra forma
poderiam continuar obscuras;
• Centralização física dos dados, no centro de computação e em áreas de backup de
segurança, concentra o risco de modificações ilegais ou acidentais;
• Há sérias dificuldades na eliminação de erros introduzidos nos sistemas
aplicativos;
• Existe fraca supervisão e segurança em informática exercida pelas demais áreas
organizacionais (gestores, analista de segurança), em fase da margem de “caixa
preta”, de sofisticação, das atividades de informática;
• O tratamento dos dados, por sistemas informatizados via reunião, classificação,
integrados, upgrade de processamento, normalmente, resulta em informação de
maior nível de agregação/refinamento/conteúdo, pondo maior nível de restrição em
termos de sigilo;
• Fraco treinamento dos profissionais de informática e dos usurários com a
tecnologia de segurança, inclusive com dificuldades culturais de assimilação do
espírito e da necessidade da função segurança.

2.2. O PAPEL DO SECURITY OFFICER

O Security Officer é o elemento principal dentro de uma organização, quando refere-se a

Gestão de Segurança da Informação (GSI). É ele que tem por responsabilidade adequar o
nível de segurança e de controle da organização, possibilitando o atendimento das demandas
do negócio dentro de um ambiente que gera oportunidades, mas também ameaças.
Diante deste enorme desafio, este profissional deve estar verticalizado às funções
associadas, sem compartilhar o mesmo foco, e sendo assim não basta um perfil tecnológico
aguçado. Compete a ele ser um multiespecialista, com visão completa e horizontal da
segurança da informação dentro de sólidos conceitos, além de possuir fundamentos em gestão
de projetos, coordenação de equipes e liderança e, alimentar com maestria os relacionamentos
interpessoais com o objetivo da conquista do comprometimento.
O principal fator de sucesso desse profissional é baseado na manutenção do alinhamento
e do foco nas características e necessidades do negócio, e para tal empreitada deve ser
profundo conhecedor dessas necessidades, para que possa constantemente ajustar seu plano de
ação às premissas e definições estratégicas da empresa.
Os macrodesafios a que este profissional deve se submeter são:
• Compreender as fronteiras de autoridade;
• Adequar o Plano de Ação ao Budget da Segurança;
 • Acompanhar as mudanças culturais da empresa;
• Identificar, no mercado, profissionais preparados;
• Organizar as demandas de segurança do negócio;
• Gerenciar mudanças físicas, tecnológicas e humanas.

2.3. CARACTERÍSTICAS DE VULNERABILIDADES E DE AMEAÇAS EM

SEGURANÇA LÓGICA

De acordo com o autor GIL [1], as principais vulnerabilidades, em termos de segurança

lógica são identificadas como (i) impedimento de execução de serviço ou descontinuidade
operacional; (ii) perda, revelação e modificação não autorizada de informação e de software;
(iii) uso não autorizado de informações, softwares e plataformas de informática; (iv) criação
não autorizada de informações e relatórios negociais.
As ameaças mais comuns a recursos tecnológicos de informática são:
• Uso indevido e ações destinadas a prejudicar terceiros;
• Acesso não autorizado a dados (penetração);
• Execução/alteração não autorizada de programas na modalidade RJE (remote
job entry – entrada remota de programas);
• Distorções durante as transmissões de dados ou programas;
• Consulta a dados não autorizados;
• Perda de arquivos;
• Erros na alimentação de dados;
• Perda parcial/total de dados durante a transmissão;
• Ambiente misto de testes versos produção;
• Ausência de procedimentos de identificação e autenticação confiáveis;
• Mudança nos controles e fracos procedimentos de segregação de funções;
• Atualizações de arquivos e manutenção de programas.
Segurança lógica é exercida em termos de “processos e resultados do controle” que
buscam evitar, detectar e monitorar “processos e resultados operacionais” em termos dos
momentos e ações estabelecidos conforme figura abaixo.

MOMENTOS DA AÇÔES DE SEGURANÇA

SEGURANÇA
Acesso:
Não deixar intrusos acessarem Dissuadir
os dados armazenados
Uso:
Se o intruso acessar, não deixe Detectar
usar
Monitoração:
Acompanhar as ocorrências Investigar
Tabela 01: Momentos e ações de segurança lógica em informática de acordo com o autor GIL [1].

Avaliar (quando, quem, como), relatar (eventos, ocorrências e situações) e agir (reforçar,
implementar e rever medidas) são providencias de segurança em informática sistemática,
normal e de adoção constante para a qualidade da segurança lógica empresarial e em
informática.
2.4. ISO 17799

A necessidade de organizar a segurança da informação no ambiente corporativo, de

forma que somente serão acessadas as informações pelos respectivos interessados, esta
fazendo com que as organizações estejam cada vez mais interessadas em buscar uma base
comum que facilite a interação e a confiança entre elas e busquem elementos que as projetam
mais, conquistando diferenciais competitivos. Segundo GIL [1], uma norma tem o propósito
de definir regras, padrões e instrumentos de controle que dêem uniformidade a um processo,
produto ou serviço.

A ISO 17799 cobre os mais diversos tópicos da área de segurança, possuindo mais de
100 controles que devem ser atendidos para garantir a segurança das informações de uma
empresa, de forma que a obtenção da certificação pode ser um processo demorado e muito
trabalhoso. A ISO 17799 é bem abrangente, pretendendo contemplar todos os aspectos da
segurança da informação. Divide-se em 12 capítulos ou partes, cada qual abordando um
aspecto da segurança da informação. A norma brasileira segue a mesma estrutura de
capítulos, itens e controles. Os capítulos que compõem a norma são os seguintes:

1- Objetivo
2- Termos e definições
3- Política de segurança
4- Segurança organizacional
5- Classificação e controle dos ativos de informação
6- Segurança em pessoas
7- Segurança ambiental e física
8-Gerenciamento das operações e comunicações
9- Controle de acesso
10- Desenvolvimento de sistemas e manutenção
11- Gestão de continuidade do negócio
12- Conformidade

Aderir a uma norma pode significar um importante diferencial competitivo para as

organizações, pois traria maior confiança entre o cliente e a organização, dando maior
credibilidade com a segurança da informação.

2.5. CONFIDENCIALIDADE EM INFORMÁTICA

De acordo com o autor GIL [1], informações e software dizem respeito à captação
devida de recursos tecnológicos, permitindo e monitorando acessos autorizados.
As informações e programas armazenados em meios magnéticos são ativos intangíveis
fundamentais para o sucesso e a continuidade empresarial.
É importante destacar que o acesso indevido/ indiscriminado, estimulado pela facilidade,
volume e rapidez de consulta a dados, disponibilizados pela tecnologia de processamento
eletrônico de dados, pode revelar novas relações de dados. Portanto, a combinação de
informações pode resultar em nova informação, mais sensível à organização.
Uma mecânica de proteção pode ser exercida através da concessão de autorização de acesso
em função de:
• Grau de sigilo necessário à informação ou programa;
• Nível de confiança pessoal adquirido pelo profissional;
• Fidelidade, Cargo e nível hierárquico do funcionário;
 • Uma sistemática para segregação de funções e correspondente controle de
acesso a programas e informações implica a atribuição de níveis de
confidencial idade, consoante, por exemplo, a seguinte estrutura;
• Controle especial (ultra-secreto);
• Confidencial (secreto);
• Privado (confidencial/pessoal);
• Uso interno (restrito);
• Divulgação (conhecimento geral).;
• A atribuição de grau de sigilo deve ser responsabilidade conjunta dos
proprietários da informação, da área de informática e da administração da
organização.

Algumas providências para manutenção do sigilo das informações implicam:

• Armazenagem de ativos intangíveis confidenciais consoante procedimentos

padronizados, particularmente no tocante a não-disseminação de sua existência
e de limitação de seu tempo de exposição em locais de segurança fragilizada,
como normalmente quando de seu transporte;
• Utilizada de mensageiros especiais para a distribuição de ativos
computacionais intangíveis sensíveis;
• Envelopar e usar recipientes adequados para o transporte de ativos intangíveis
críticos;
• Cuidados especiais devem ser dedicados a alienação de volumes magnéticos,
microfichas, microcomputadores, principalmente, portáveis;
• Criptografia do conteúdo de transações e registro, em momentos de
transmissão de dados e transporte de meios magnéticos.

De acordo com o autor GIL [2], alguns dos controles lógicos são:

Programa de crítica e de consistência que, através de um conjunto de rotinas, são

verificadas a integridade do dado e sua compatibilidade com as informações constantes do
cadastro. Essas rotinas de controle lógico são:

• verificação de numeração/seqüência;
• dado só será aceito se houver dupla informação a seu respeito;
• formato dos dados:
• preenchimento dos dados nos campos;
• verificação de datas:
• bidigitação de campos alfanuméricos;
• verificação de coerência;
• verificação de transações pendentes;
• dígito de verificação;
• verificação de limites;
• verificação de totais de lote;
• formulários pré-preenchidos;
• entrada por exceção;

Nos programas de processamento é verificada a correção do funcionamento do sistema e

a alimentação dos arquivos corretos. Alguns desses controles são:
 • verificação da identificação dos arquivos:
• verificação da integridade do arquivo:
• verificação de totais entre processamentos:
• verificação de estouro de campo:
• balanceamento entre arquivos analítico e sintético:
• verificação de totais de fechamento dentro do ciclo de processamento;
• sugestão automática para correção de erros;
• apontar erros mantidos em processamento a “n” ciclos.

Nos programas de saída são feitas verificações para evitar a passagem de informações
erradas para os usuários. Alguns desses controles são:
• classificação de relatório quanto ao nível de sigilo;
• destruição de relatórios sigilosos;
• fixação de horários e estabelecimento de protocolo de tramitação de relatórios;
• tempo de resposta em terminal/micro.

A segurança lógica e a confidencialidade dos recursos tecnológicos devem ser

institucionalizadas:
• quando se der o desenvolvimento do sistema;
• quando se der a tramitação, via canal de voz, ou manualmente, de programas e
informações;
• quando se der o funcionamento dos sistemas na produção.

3. FERRAMENTAS DE LOG E AUDITORIA

Conforme o livro SEGURANÇA MÁXIMA [5], os logs são um conjuntos de software

que residem dentro dos sistemas de importância subestimada que ajudam a solucionar
problemas, detectar anomalias na rede, rastrear os passos de um invasor ou ajudar a solidificar
seu caso em um tribunal caso seja necessário.

3.1. FERRAMENTAS QUE INFORMAM DADOS DE LOG E COLETAM

DADOS

As seguintes ferramentas não somente informam dados de logs, como também coletam
tais dados de fontes diversas:

3.1.1. SWATCH
Baseia-se em arquivos de configurações locais, onde qualquer usuário com privilégios
adequados podem utilizá-lo. Esta ferramenta fornece monitoração, registro em log, informe
em tempo real, é portável e extensível.
Autor: Stephen E. Hansen e E. Todd Atkins
URL: http://packetstorm.securify.com/UNIX/IDS/swatch-3.0b4.tar.gz

3.1.2. WATCHER
Analisa vários logs em processos, procurando por atividades radicalmente anormais.
Autor: Kenneth Ingham
URL: http://www.i-pi.com/watcher.html
 3.2. FERRAMENTAS QUE ANALISAM ARQUIVOS DE LOG, EXTRAEM
DADOS E FAZEM RELATÓRIOS

As seguintes ferramentas analisam arquivos de log, extraem dados e fazem relatórios:

3.2.1. LOGSURFER
É uma ferramenta de análise de log abrangente. O programa analisa arquivos de log
em texto simples e, com base no que se encontra (e as regras que o administrador fornece),
pode realizar varias ações, incluindo criar um alerta, executar um programa externo ou mesmo
tomar parte dos dados de log e enviá-los para alimentar comandos ou processos externos.
Autor: Univ. Hamburg, Dept. of Computer Science
ftp://ftp.cert.dfn.de/pub/tools/audit/logsurfer/

3.2.2. ANALOG
É provavelmente o único analisador de arquivos de log realmente multiplataforma,
também tem suporte embutido para uma ampla variedade de idiomas, faz pesquisas reversas
de DNS, tem linguagem de script embutida e suporta a maioria dos mais conhecidos formatos
de log de servidor da Web.
Autor: Stephen Turner
URL: http://www.statslab.cam.ac.uk/~sretl/analog/

4. A FRÁGIL CONFIDENCIALIDADE DO SISTEMA DE VOTAÇÃO DO SENADO

BRASILEIRO

O sistema de votação do Senado brasileiro era tido como seguro e inviolável, já que era
informatizado. Porém, havia um “botão suspeito”, encomendado e acobertado por quem
poderia dele se beneficiar, registrando jetons (palavra de origem francesa, que significa
dinheiro extra) e votos de senadores ausentes, quando da votação do senado sobre a cassação
do senador Luis Estevão, em junho de 2000. E das dezoito formas de nele se violar o sigilo
de votações, como ficou provado, os “caciques” escolheram a mais complexa, numa véspera e
com inúmeros rastros.
As revelações da quebra do sigilo da votação secreta no Senado Federal tornaram-se
manchete dos principais jornais e capa das revistas semanais, com desdobramentos políticos
até então desconhecidos. Foi examinado mais especificamente o lado técnico da questão,
dando ênfase ao papel fundamental dos profissionais de informática envolvidos no caso, e
discutindo as responsabilidades destes profissionais perante a sociedade. Precisa-se esclarecer
que, como profissionais de informática, a profissão foi denegrida e é preciso mostrar que
existe um lado mais iluminado da questão.
O painel do Senado é uma “engenhoca” cuja função é facilitar o registro dos votos dos
senadores. O software do computador que controla o painel foi feito por uma empresa
especializada, e posteriormente foi confiado ao Prodasen (serviço de informática do Senado),
após o término do contrato de manutenção pelo fabricante. O software original incluía
mecanismos para preservar o sigilo dos votos dos senadores em votações secretas, em acordo
com o artigo 55º da Constituição Federal para votar a cassação de um senador por falta de
decoro parlamentar. Segundo as declarações em abril de 2001, da Sra. Regina Célia Borges,
ex-diretora da Prodasen, profissional de informática, foi ela mesma quem comandou o
processo de adulteração destes mecanismos, realizado durante a madrugada que antecedia a
votação da cassação do senador Luís Estêvão. Ela alega que apenas cumpria ordens
superiores, apesar da flagrante inconstitucionalidade de qualquer ordem neste sentido. E só
foram dadas estas suas declarações depois da perícia realizada por profissionais da Unicamp
(Universidade de Campinas), demonstrando cabalmente a adulteração efetuada,
provavelmente porque um dos seus subordinados iria denunciá-la como mandante do crime.
Antes da realização da perícia da Unicamp, ela mentira sobre o caso. Foi assistido a derrocada
da carreira profissional desta senhora, que traiu a ética e a lei no exercício da sua profissão, e
pagou ou está pagando por isto. Ela se achava soberana no manejo dos computadores sob sua
responsabilidade, sem nada dever à sua profissão e à comunidade (a nação, neste caso), e
esqueceu que poderia ser realizada uma auditoria destes computadores por outros
profissionais não comandados por ela.
O programa era seguro em relação a ações externas, mas vulnerável a agentes do próprio
sistema, especificamente pelo Security Officer, como ocorreu neste episódio, com um
agravante: o desdém no discurso oficial à possibilidade de fraudes de origem interna.
Fonte: www.estadão.com.br/ext/especiais/tempestade/tempestade.htm

5. CONSIDERAÇÕES FINAIS

A proteção de informações e dados tornou-se uma tarefa muito difícil atualmente. São
incontáveis os exemplos de pessoas e empresas que negligenciaram o risco e acabaram tendo
muitos prejuízos. Alguns porque foram atacados por Hackers Black Hat, outros simplesmente
porque demoraram a fazer backup. É necessário que haja uma política de Auditoria e
Segurança nas empresas pois, segundo PORTER [7], a informação alavanca negócios, cria
vantagens competitivas, traz diferencial para o negócio, torna a empresa mais competitiva.
Enfim, a informação é peça chave no mundo globalizado e competitivo desta época.
A confidencialidade é um fator muito importante para a segurança dos ativos intangíveis
de uma organização, pois o acesso às informações deve ser restrito às pessoas autorizadas,
conforme estabelecido na atribuição de grau de sigilo.
À medida que os sistemas de segurança se sofisticam, também o fazem as técnicas de
invasão. Se as empresas quiserem manter a integridade de seus dados, o preço desta segurança
será a constante auditoria.
Não foi possível inserir neste trabalho os sistemas especialistas nem os sistemas
multiagentes, que se acredita serem úteis para a minimização de problemas de segurança de
informações.

6. REFERÊNCIAS BIBLIOGRÁFICAS
[1] GIL, Antonio de Loureiro. Segurança em Informática. 2. Ed. São Paulo: Atlas, 1998.
[2] GIL, Antonio de Loureiro. Auditoria de Computadores. 4. Ed. São Paulo: Atlas, 1999.
[3] SCHNEIER, Bruce. Segurança.com, Tradução de “Secrets & Lies”, Segredos e
Mentiras sobre a Proteção na Vida Digital, Criptografia, Criptografia no Contexto,
Identificação e Autenticação.
[4] BUCHMANN, Johannes A. Introdução à Criptografia, Codificação Criptográfica ou
Cifragem, Chave Pública, Assinaturas Digitais.
[5] Segurança Máxima. 3. ed. Rio de Janeiro: Campus, 2001.
[6]. SÊMOLA, Marcos. Gestão da Segurança da Informação. 1. Ed. Rio de Janeiro:
Campus, 2003.
[7] PORTER, Michael E. Estratégia Competitiva: Técnicas para Análise de Indústrias e
da Concorrência. 7. Ed. Rio de Janeiro: Campus, 1986.

Fonte de pesquisa:
STANTON, Marcos. A ética e o profissional de Informática. Online. Disponível na Internet
em 12 de maio de 2004 na URL
http://www.estadão.com.br/ext/especiais/tempestade/tempestade.htm - acessado em
09/05/2004 às 23:15 hs. Jornal “O Estado de São Paulo” – 21/04/2001.