Escolar Documentos
Profissional Documentos
Cultura Documentos
Auditoria em Sistemas de Informacao e A Aplicacao Da No
Auditoria em Sistemas de Informacao e A Aplicacao Da No
PORTO ALEGRE
2008
RESUMO
1 INTRODUÇÃO ................................................................................................................................................ 11
3 SEGURANÇA DA INFORMAÇÃO............................................................................................................... 19
5 CONCLUSÃO .................................................................................................................................................. 50
REFERÊNCIAS .................................................................................................................................................. 51
GLOSSÁRIO ....................................................................................................................................................... 52
11
1 INTRODUÇÃO
de punições legais ou admnistrativas. Contudo, este cenário nos leva a uma outra
questão: qual(is) a(s) metodologia(s) aplicável(eis) em um processo de auditoria em
Sistemas de Informação?
A adoção de métricas, práticas de gestão e adequação às leis, normas ou
regulamentações é um desafio para os gestores, mas tornam-se aliadas quando
servem de espinha dorsal na implementação de uma metodologia que garanta a
conformidade com padrões internacionais, prevenindo contra incidentes envolvendo
questões de segurança e os seus conseqüentes impactos dentro da organização.
Conforme Beal (2005, p. 31)1, a aderência a uma norma ou padrão
técnico garante a qualidade de qualquer processo e aumenta a garantia de que este
seja eficiente, eficaz e confiável.
Este documento tem por objetivo apresentar alguns aspectos importantes
da ISO 27002 (antiga ISO 17799), como esta pode ser utilizada para a introdução da
Gestão de Risco como garantia para a Segurança da Informação e, finalmente,
como esta norma poderia servir de base para a implantação de auditoria em
Sistemas de Informação, tanto no âmbito do interno TCE-RS quanto nos órgãos
auditados por esta Corte de Contas.
O trabalho foi dividido em três capítulos. O primeiro capítulo trata de
apresentar conceitos de auditoria e de sistemas de informação. O segundo capítulo
trata sobre os aspectos que envolvem a segurança da informação, a gestão de risco
e apresenta, suscintamente, alguns padrões internacionais que desenvolveram um
sistema formal de gestão da segurança da informação. E, por fim, o terceiro capítulo
trata sobre a norma ISO 27002 e a sua aplicabilidade como garantia para a
segurança da informação na aquisição, manutenção e desenvolvimento de sistemas
de informação.
1
BEAL, Adriana. Segurança da Informação. 1º ed. São Paulo: Atlas, 2005. p. 31
13
2.1 AUDITORIA
2
DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. 1º ed. Rio de Janeiro: Axcel Books, 2000. p. 9.
3
CASSARO, Antonio Carlos. Controles Internos e Segurança de Sistemas. 1º ed. São Paulo: LTR, 1997. p. 32.
14
4
IMONIANA, Joshua Onome. Auditoria de Sistemas de Informação. 1º ed. São Paulo: Atlas, 2005. p. 16
15
Cassaro (1997, p. 34) afirma que existem dois tipos de controles internos,
os de natureza contábil e os de natureza administrativa.
Os controles de natureza contábil preocupam-se com a salvaguarda dos
bens, direitos e obrigações, assim como a fidelidade dos registros. Dentro deste
5
DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. 1º ed. Rio de Janeiro: Axcel Books, 2000. p. 9-10.
6
CASSARO, Antonio Carlos. Controles Internos e Segurança de Sistemas. 1º ed. São Paulo: LTR, 1997. p. 34.
17
7
RAMOS, Anderson (org). Security Officer – 1: Guia oficial para formação de gestores em segurança da informação. 1º
ed. Porto Alegre: Zouk, 2006. p. 35
19
3 SEGURANÇA DA INFORMAÇÃO
3.1 CONCEITOS
8
Segurança é estar livre de perigos e incertezas.
9
Ativo é tudo aquilo que possui um valor para uma organização.
10
Ativo de Informação: qualquer dado ou informação a que esteja associado um valor para o negócio. Representam ativos de
informação as informações relevantes mantidas na mente dos tomadores de decisão, em bases de dados, arquivos de
computador, documentos e planos registrados em papel, etc. BEAL, Adriana. Segurança da Informação. 1º ed. São Paulo:
Atlas, 2005. p. Introdução e Visão geral.
20
11
CASSARO, Antonio Carlos. Controles Internos e Segurança de Sistemas. 1º ed. São Paulo: LTR, 1997. p. 81.
12
Gestão de Riscos é o processo que identifica e trata os riscos de forma sistemática e contínua.
21
13
BEAL, Adriana. Segurança da Informação. 1º ed. São Paulo: Atlas, 2005. p. 11
22
Afirma que a análise e avaliação de riscos deve ser usada para avaliar se
todos os controles citados nas diversas seções da norma são ou não necessários,
para determinar a necessidade de outros controles além dos citados na norma.
garantir a segurança dos ativos. Ativos estes que envolvem ambientes, tecnologias,
processos e pessoas.
Estar em conformidade com normas e padrões representa o seguimento
das melhores práticas, pois elas promovem a uniformidade e qualidade aos
processos, produtos ou serviços visando a eficiência e eficácia.
14
Frameworks : são metodologias estruturadas para a implementação de padrões técnicos.
15
ITIL: Information Technology Infrastructure Library.
16
COBIT: Common Objectives for Information and Related Technology.
17
BEAL, Adriana. Segurança da Informação. 1º ed. São Paulo: Atlas, 2005. p. 31
23
18
ISO/IEC: International Organization for Standardization / International Electrotechnical Commission
24
b) Responsabilidades da Direção;
c) Auditorias Internas do SGSI;
d) Análise Crítica do SGSI pela direção;
e) Melhoria do SGSI.
Analisando as diversas normas nota-se que existem vários itens em
comum e, em outros, elas se complementam em vários aspectos. Cada organização
deve escolher a norma que mais se adapta a suas características ou realidade.
Antes de mais nada, é necessário identificar o que se quer proteger para
posteriormente planejar em cima deste escopo. A prevenção legal em Segurança da
Informação é um processo de gestão dinâmico, sujeito a atualizações constantes,
por este motivo é importante retroalimentar o processo.
g) Controle de Acessos;
h) Aquisição, Manutenção e Desenvolvimento de Sistemas;
i) Gestão de Incidentes de Segurança da Informação;
j) Gestão da Continuidade do Negócio;
k) Conformidade.
A ISO 27002 será discutida no próximo capítulo deste trabalho.
26
e) controles de acesso;
f) controles de desenvolvimento e alteração de softwares aplicativos.19
Por razões de escopo, optou-se por tratar neste trabalho os aspectos
relacionados aos controles organizacionais, o programa geral de segurança, aqui
tratado como política de segurança da informação e os controles de
desenvolvimento e alteração de softwares aplicativos.
A escolha destes três tópicos deu-se porque considera-se pouco
ilustrativa e de difícil entendimento a discussão sobre os controles de
desenvolvimento de sistemas visto de forma solta e não interligada aos controles
organizacionais e à política de segurança da informação. Esta última, aliás, é
considerada um pré-requisito para a implantação de qualquer programa de gestão
da segurança de informação.
19
TRIBUNAL DE CONTAS DA UNIÃO. Secretaria de Controle Externo. Secretaria de Auditoria e Inspeções. Manual de
Auditoria de Sistemas. Brasília, 1998, p. 41.
32
20
BEAL, Adriana. Segurança da Informação. 1º ed. São Paulo: Atlas, 2005. p. 71
33
21
DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. 1º ed. Rio de Janeiro: Axcel Books, 2000. p. 48
37
22
RAMOS, Anderson (org). Security Officer – 1: Guia oficial para formação de gestores em segurança da informação. 1º
ed. Porto Alegre: Zouk, 2006. p. 93
38
23
RAMOS, Anderson (org). Security Officer – 1: Guia oficial para formação de gestores em segurança da informação. 1º
ed. Porto Alegre: Zouk, 2006. p. 104
39
Pode-se concluir que uma PSI bem implementada deve ser abrangente o
suficiente para estar inserida em todo o ambiente organizacional, e não apenas aos
recursos computacionais. Ela deve integrar-se às políticas institucionais relativas à
segurança em geral e ao planejamento estratégico da informática, tais como
planejamento de contingências, planejamento de desenvolvimento ou aquisição de
novos sistemas, planejamento de aumento do parque de máquinas instalada, entre
outros.
24
BEAL, Adriana. Segurança da Informação. 1º ed. São Paulo: Atlas, 2005. p. 49
40
25
IMONIANA, Joshua Onome. Auditoria de Sistemas de Informação. 1º edição. São Paulo: Atlas, 2005. p. 93.
26
CASSARO, Antonio Carlos. Controles Internos e Segurança de Sistemas. 1º ed. São Paulo: LTR, 1997. p. 109.
41
27
IMONIANA, Joshua Onome. Auditoria de Sistemas de Informação. 1º edição. São Paulo: Atlas, 2005. p. 94.
28
TRIBUNAL DE CONTAS DA UNIÃO. Secretaria de Controle Externo. Secretaria de Auditoria e Inspeções. Manual de
Auditoria de Sistemas. Brasília, 1998, p. 71.
43
Beal (2005, p. 100) lembra que processos criptográficos não são 100%
seguros pois os algoritmos podem ser quebrados e que diferentes técnicas de
criptografia oferecem diferentes níveis de segurança.
5 CONCLUSÃO
REFERÊNCIAS
GLOSSÁRIO
DIRETRIZ: descrição que orienta o que deve ser feito e como, para se alcançarem
os objetivos estabelecidos nas políticas.