Auditoria em Sistemas de Informacao e A Aplicacao Da No

ESTADO DO RIO GRANDE DO SUL
TRIBUNAL DE CONTAS DO ESTADO

ESCOLA SUPERIOR DE GESTÃO E CONTROLE FRANCISCO JURUENA
Credenciamento MEC – Portaria nº 1965/06
CURSO DE ESPECIALIZAÇÃO EM GESTÃO PÚBLICA E

CONTROLE EXTERNO
AUDITORIA EM SISTEMAS DE INFORMAÇÃO

E A APLICAÇÃO DA NORMA ISO 27002:2005
Elaine Candido da Silva
PORTO ALEGRE
2008
RESUMO
O avanço tecnológico, a crescente complexidade dos ambientes computacionais, o

incremento do número de transações por meios virtuais demandam uma constante
preocupação com a segurança das informações que trafegam neste contexto.
Adotar medidas de segurança mediante procedimentos padronizados que garantam
a confiabilidade, a integridade e a disponibilidade das informações torna-se um
desafio para gestores e organizações. Os padrões, normas e marcos reguladores
surgem, ora exigindo, ora contribuindo, para a implementação de regras que, se não
eliminam completamente os riscos, atenuam os seus efeitos. Dentre as diversas
opções de padrões ou normas existentes, optou-se por discutir a ISO 27002:2005
devido à abrangência de seus controles, assim como à sua boa aceitação no
mercado atual de Tecnologia da Informação como instrumento para a
implementação de segurança da informação. Considera-se que ela pode ser
utilizada para orientar na implementação de uma metodologia para Auditoria em
Sistemas de Informação no âmbito do Tribunal de Contas do Estado do Rio Grande
do Sul.
Palavras Chave: NBR ISO/IEC 27002:2005. Segurança da Informação. Sistemas

Aplicativos. Sistemas de Informação. Tecnologia da Informação.
ABSTRACT
Technological advances, the increasing complexity of computational

environments, the increment of the number of transactions for virtual ways demands
a constant concern with the security of the information that travel in this context. To
adopt security measures through standardized procedures that ensure the reliability,
integrity and availability of information becomes a challenge for managers and
organizations. The standards, rules and regulatory frameworks appear, sometimes
demanding, sometimes contributing, for the implementation of rules that, if do not
eliminate the risks completely, attenuate its effect. Among the diverse options of
standards or existing norms, it was opted to discuss the ISO 27002:2005 due to
scope of its controls, as well as its good acceptance in the current market of
Technology of the Information as instrument for the implementation of information
security. It was believed that it can be used to guide the implementation of a
methodology for Auditing in Information Systems within the Court of Accounts of the
State of Rio Grande do Sul.
Keywords: NBR ISO/IEC 27002:2005. Information Security. Applications Systems.

Information Systems. Information Technology.
LISTA DE FIGURAS
Quadro 1 – Alinhamento Estratégico: Documentos da PSI X Nível de Atuação ...................................37

Quadro 2 – Manutenção da PSI.............................................................................................................38
LISTA DE SIGLAS
AAR Análise e Avaliação de Riscos

ABNT Associação Brasileira de Normas Técnicas
ASI Auditoria em Sistemas de Informação
IEC International Electrotechnical Commission
ISO International Organization for Standardization
PDA Personal Digital Assistant
PSI Política de Segurança da Informação
SI Segurança da Informação
TI Tecnologia da Informação
SUMÁRIO
1 INTRODUÇÃO ................................................................................................................................................ 11
2 CONCEITOS DE AUDITORIA E SISTEMAS DE INFORMAÇÃO......................................................... 13
2.1 AUDITORIA ............................................................................................................................................ 13

2.2 SISTEMAS DE INFORMAÇÃO ................................................................................................................... 14
2.2.1 Dado X Informação................................................................................................................ 14
2.3 AUDITORIA EM SISTEMAS DE INFORMAÇÃO .......................................................................................... 15
2.3.1 Controle Interno na Auditoria de Sistemas de Informação.................................................... 15
2.3.2 Internet: um desafio ............................................................................................................... 17
3 SEGURANÇA DA INFORMAÇÃO............................................................................................................... 19
3.1 CONCEITOS ............................................................................................................................................ 19

3.2 GESTÃO DE RISCOS EM SEGURANÇA DA INFORMAÇÃO .......................................................................... 20
3.3 NORMAS E PADRÕES DE SEGURANÇA .................................................................................................... 22
3.3.1 NBR ISO/IEC 27001:2005 - Information Security Management Systems – Requirements
(Sistema de Gestão da Segurança da Informação – Requerimentos).................................................................... 23
3.3.2 NBR ISO/IEC 27002:2005 - Code of Practice for Information Security Management (Código
de Práticas para Gestão da Segurança da Informação) ....................................................................................... 24
4 ÁREAS DE CONTROLE DA ISO/IEC 27002 E A APLICABILIDADE NA POLÍTICA E GESTÃO DA

SEGURANÇA EM SISTEMAS APLICATIVOS............................................................................................. 26
4.1 A ISO 27002 E SUAS ÁREAS DE CONTROLES.......................................................................................... 26

4.2 PORQUE CONTROLAR?........................................................................................................................... 30
4.2.1 Controles Organizacionais .................................................................................................... 31
4.2.1.1 Segregação de Funções ............................................................................................................32
4.2.1.2 Recursos Humanos ..................................................................................................................33
4.2.2 Política de Segurança da Informação (PSI) .......................................................................... 35
4.2.2.1 Escopo da PSI ..........................................................................................................................36
4.2.2.2 Elaboração e Implementação da PSI........................................................................................37
4.2.2.3 Manutenção e Auditoria de conformidade com a PSI..............................................................38
4.2.3 Controles de Desenvolvimento e Manutenção de Sistemas Aplicativos................................. 39
4.2.3.1 Validação dos dados de entrada ...............................................................................................42
4.2.3.2 Controle do processamento interno..........................................................................................43
4.2.3.3 Validação dos dados de saída...................................................................................................44
4.2.3.4 Tratamento de Mensagens .......................................................................................................44
4.2.3.5 Controles Criptográficos ..........................................................................................................45
4.2.3.6 Segurança dos Arquivos do Sistema ........................................................................................45
4.2.3.7 Segurança em processos de desenvolvimento e de suporte......................................................47
4.2.3.8 Gestão de vulnerabilidades técnicas.........................................................................................48
10
5 CONCLUSÃO .................................................................................................................................................. 50
REFERÊNCIAS .................................................................................................................................................. 51
GLOSSÁRIO ....................................................................................................................................................... 52
11
1 INTRODUÇÃO
Em uma época em que a tecnologia da informação está inserida em todas

as áreas do conhecimento, a dinâmica que envolve a informatização de processos é
uma preocupação crescente para os gestores, tanto na Administração Pública
quanto na Administração Privada, e vem trazer um novo desafio para a atividade de
fiscalização: auditar não apenas a informação gerada pela tecnologia, mas também
a própria tecnologia com o propósito de averiguar se o processamento do dado em
informação foi realizado de forma adequada, confiável e segura.
Dada a complexidade tecnológica dos ambientes de Tecnologia da
Informação (TI) atuais, aliado à proliferação de fraudes financeiras e contábeis e os
crimes eletrônicos, trouxeram a necessidade de formar-se uma nova área dentro da
auditoria e uma nova formação dentro da carreira de auditor: a Auditoria em
Sistemas de Informação ou Auditoria da Tecnologia da Informação.
Esta trajetória não é diferente dentro do Tribunal de Contas do Estado do
Rio Grande do Sul (TCE-RS), no qual a crescente demanda por auditores em
sistemas de informação chegou a um ponto crítico. As equipes de auditoria
tradicionais estão enfrentando o desafio de auditar informações produzidas por
sistemas informatizados e tendo que deparar-se com a seguinte dúvida: até que
ponto este ambiente é confiável e seguro?
Estão sendo estabelecidas discussões sobre qual o formato de auditoria
em TI aplicável, qual a metodologia ou framework mais aderente ao processo de
auditoria existente, qual a estratégia de formação da(s) equipe(s) de auditoria em TI
dentro da nossa Corte de Contas.
A maioria dos autores aponta para a formação de equipes híbridas,
compostas por auditores tradicionais e auditores especialistas em Auditoria de
Sistemas de Informação. Recomendam, também, que o treinamento em técnicas e
métodos básicos de Auditoria em Sistemas de Informação (ASI) deveria ser aplicado
a todos os auditores tradicionais já que dificilmente auditarão entidades que não
utilizam a informática em seus processos e controles.
Diante desse contexto, é fácil supor que este é um caminho sem volta,
sendo necessário administrar as responsabilidades para a Segurança da Informação
com o objetivo de preservar organizações e profissionais envolvidos de serem alvos
12
de punições legais ou admnistrativas. Contudo, este cenário nos leva a uma outra
questão: qual(is) a(s) metodologia(s) aplicável(eis) em um processo de auditoria em
Sistemas de Informação?
A adoção de métricas, práticas de gestão e adequação às leis, normas ou
regulamentações é um desafio para os gestores, mas tornam-se aliadas quando
servem de espinha dorsal na implementação de uma metodologia que garanta a
conformidade com padrões internacionais, prevenindo contra incidentes envolvendo
questões de segurança e os seus conseqüentes impactos dentro da organização.
Conforme Beal (2005, p. 31)1, a aderência a uma norma ou padrão
técnico garante a qualidade de qualquer processo e aumenta a garantia de que este
seja eficiente, eficaz e confiável.
Este documento tem por objetivo apresentar alguns aspectos importantes
da ISO 27002 (antiga ISO 17799), como esta pode ser utilizada para a introdução da
Gestão de Risco como garantia para a Segurança da Informação e, finalmente,
como esta norma poderia servir de base para a implantação de auditoria em
Sistemas de Informação, tanto no âmbito do interno TCE-RS quanto nos órgãos
auditados por esta Corte de Contas.
O trabalho foi dividido em três capítulos. O primeiro capítulo trata de
apresentar conceitos de auditoria e de sistemas de informação. O segundo capítulo
trata sobre os aspectos que envolvem a segurança da informação, a gestão de risco
e apresenta, suscintamente, alguns padrões internacionais que desenvolveram um
sistema formal de gestão da segurança da informação. E, por fim, o terceiro capítulo
trata sobre a norma ISO 27002 e a sua aplicabilidade como garantia para a
segurança da informação na aquisição, manutenção e desenvolvimento de sistemas
de informação.
1
BEAL, Adriana. Segurança da Informação. 1º ed. São Paulo: Atlas, 2005. p. 31
13
2 CONCEITOS DE AUDITORIA E SISTEMAS DE INFORMAÇÃO
2.1 AUDITORIA
O conceito genérico de auditoria relaciona-se com o exame das

operações, processos, sistemas e responsabilidades gerenciais de uma entidade ou
organização com o propósito de verificar a sua conformidade com os objetivos e
políticas organizacionais, orçamentos, normas ou padrões.2
O termo auditoria, historicamente, esteve vinculado quase que
exclusivamente ao campo contábil. Contudo, diversos autores têm um ponto de vista
mais amplo e argumentam que ela engloba toda a organização, estendendo seu
campo de ação com a comunidade: clientes, fornecedores, instituições públicas e
privadas com as quais a empresa se relaciona.
Cassaro (1997, p. 32) afirma que cabe à auditoria a responsabilidade de
examinar e avaliar a ocorrência de atos e fatos empresariais com o objetivo de
assegurar que eles estejam em conformidade com as políticas, diretrizes e normas
da administração.
Auditoria é uma função de assessoria à alta administração que, mediante a

aplicação de procedimentos de trabalho adequadamente planejados,
obedecendo a normas e padrões geralmente aceitos, contribui para o
3
cumprimento das funções de controle das operações da empresa.
2
DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. 1º ed. Rio de Janeiro: Axcel Books, 2000. p. 9.
3
CASSARO, Antonio Carlos. Controles Internos e Segurança de Sistemas. 1º ed. São Paulo: LTR, 1997. p. 32.
14
2.2 SISTEMAS DE INFORMAÇÃO
Para um melhor entendimento do que é um sistema de informação, é

necessário distinguir dado de informação.
2.2.1 Dado X Informação
Dados são os fatos de uma forma primária, tais como: nome de um

servidor, número de dependentes, quantidade de material em estoque, número de
matrícula, etc.
A transformação de dados em informação é um processo ou uma série

de tarefas logicamente relacionadas, executadas para atingir um resultado definido.
O processo de definição das relações entre dados requer conhecimento.
Conhecimento são regras, diretrizes e procedimentos usados para selecionar,
organizar e manipular dados, com a finalidade de torná-los úteis para uma tarefa
específica. Quando estes dados são organizados ou configurados de uma maneira
significativa, eles se tornam uma informação.
Sistemas é um conjunto de elementos inter-relacionados com o objetivo

de produzir informações que ajudarão nas decisões gerenciais.4
Um sistema é produzido após a identificação de um processo que
transforma os dados de entrada em informações de saída que permite a organização
avaliar uma tendência antes da tomada de decisão.
É um processo dinâmico cujo ciclo de manutenção operacional permite
que sejam agregadas novas estratégias empresariais visando à agregação de valor
qualitativo e quantitativo às informações com o objetivo de minimizar a interferência
de variáveis externas à organização, por exemplo, mercado, concorrência,
regulamentações, etc.
Em linhas gerais, um sistema é formado pelos seguintes elementos:
a) Entrada: elementos que entram no sistema para serem processados;
4
IMONIANA, Joshua Onome. Auditoria de Sistemas de Informação. 1º ed. São Paulo: Atlas, 2005. p. 16
15
b) Processamento: processo de transformação que converte a entrada em

produto;
c) Saída: a transferência de elementos produzidos por um processo de
transformação ao seu destino final;
d) Feedback ou realimentação: a saída é usada para fazer ajustes ou
modificações nas atividades de entrada ou processamento para a
correção de erros ou a adequação do sistema a uma nova realidade. A
fase de feedback é uma característica que permite que o sistema se auto-
regule ou se auto-monitore.
Existem várias classificações de sistemas, porém o aprofundamento neste
tema não é o objetivo deste trabalho.
2.3 AUDITORIA EM SISTEMAS DE INFORMAÇÃO
A auditoria em sistemas de informação é um tipo de auditoria operacional

e não muda a formação exigida para a profissão de auditor, ela apenas exige uma
nova percepção já que as informações anteriormente disponíveis em papel agora
são armazenadas em meios eletrônicos. Deste modo, este novo tipo de auditoria
também se vale dos controles internos e agrega não só o fato de averiguar as
informações em si, também verifica se as entradas, o processamento e as saídas
foram feitas de forma adequada e segura. Neste ambiente, estão inseridos recursos
materiais, tecnológicos e humanos. A partir daí, surge uma nova terminologia, muito
importante dentro deste contexto: segurança da informação, tema do próximo
capítulo deste trabalho.
2.3.1 Controle Interno na Auditoria de Sistemas de Informação
O termo controle supõe a fiscalização exercida sobre atividades, pessoas,

entidades ou produtos com o objetivo de verificar se estes estão em conformidade
16
com determinadas normas, regulamentações, regras ou padrões preestabelecidos.

Genericamente, os controles podem classificados em três tipos:
a) Preventivos: previnem erros, omissões ou atos fraudulentos (senhas de
acesso a um sistema);
b) Detectivos: detectam erros, omissões ou atos fraudulentos e relatam a sua
ocorrência (relatórios de tentativas de acesso não autorizado a um
sistema);
c) Corretivos: corrigem os erros detectados e minimizam os impactos da sua
ocorrência (planos de contingências).
Os objetivos de controle são metas de controle a serem alcançadas, ou

efeitos negativos a serem evitados, para cada tipo de transação, atividade
ou função fiscalizada. Esses objetivos de controle, para serem alcançados
na prática, são traduzidos em procedimentos de auditoria. Os
procedimentos de auditoria formam um conjunto de verificações e
averiguações que permitem obter e analisar as informações necessárias à
5
formulação da opinião do auditor.
Já tendo conceituado o termo controle, podemos dizer que controle

interno é realizado pelo pessoal interno da organização e sua principal função é
assessorar a administração no controle (fiscalização) das operações da empresa.
O sistema de controle interno compreende o plano de organização e o

conjunto coordenado de sistemas, métodos e procedimentos adotados por
uma empresa para: a salvaguarda de seu patrimônio, a eficiência
operacional e a exatidão e confiabilidade dos registros e informações
6
contábeis-financeiras.
Cassaro (1997, p. 34) afirma que existem dois tipos de controles internos,
os de natureza contábil e os de natureza administrativa.
Os controles de natureza contábil preocupam-se com a salvaguarda dos
bens, direitos e obrigações, assim como a fidelidade dos registros. Dentro deste
5
DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. 1º ed. Rio de Janeiro: Axcel Books, 2000. p. 9-10.
6
17
escopo, podemos afirmar que o controle de natureza contábil preocupa-se com a

auditoria externa. Exemplos de controles deste grupo:
a) integridade dos dados: os dados são confiáveis?
b) segurança física: existem controles físicos sobre os bens e informações?
c) segurança lógica: existe segregação de funções? existe log de transações
ou trilha de auditoria?
d) confidencialidade: existe sistema de autorização de acesso e aprovação
de transações?
e) conformidade: está obedecendo às normas ou regulamentações?
Os controles de natureza administrativa preocupam-se com a eficiência e

eficácia operacional, assim como com a obediência às diretrizes, políticas, normas e
instruções da administração. Dentro deste escopo, podemos afirmar que o controle
de natureza administrativa preocupa-se com a auditoria interna. Exemplos de
controles deste grupo:
a) eficácia: atendimento adequado dos objetivos;
b) eficiência: produtividade e otimização dos processos e utilização
adequada dos recursos;
c) regras institucionais: obediência às diretrizes da administração.
Os objetivos gerais de controle interno não apresentam diferenças nos
procedimentos de controles internos em ambientes de TI.
2.3.2 Internet: um desafio
A internet é um desafio crescente para os gestores de TI, pois à medida

que as empresas começaram a se conectar na rede mundial para incrementar os
seus negócios, os sistemas ficaram expostos a uma quantidade maior de pessoas e,
a partir daí, explodiram os problemas de segurança. Acrescentando mais
complexidade a este ambiente já conturbado, ainda temos diferentes países, com
diferentes legislações agora interconectados, fazendo surgir um novo ramo das
ciências jurídicas que é o direito digital que, por si só, já seria outro assunto para
uma monografia.
18
A internet fez surgir outros dispositivos que dividem espaço com os

computadores, tais como: smartphones, PDAs, iPods, etc; aparelhos que podem ser
conectados à rede multiplicando o volume de informações que circulam neste meio e
facilitando o acesso de pessoas mal-intencionadas.
De forma bem resumida, saímos de uma situação em que informações

sigilosas eram impressas em papel e protegidas fisicamente em cofres para
um cenário em que agora elas trafegam por ondas viajando pelo ar que
podem ser interceptadas a qualquer momento, muitas vezes de maneira
7
não detectável.
Assim sendo, as empresas devem estar preparadas para lidar com

cenários cada vez mais mutantes e interconectados, com variáveis sempre mais
complexas que elevam o potencial de falhas e problemas de segurança. Tudo isto é
um desafio constante para os profissionais de TI e de auditoria, estes devem manter-
se atualizados e atentos a novas tendências sob pena de ficar á margem deste
mercado em constante evolução.
7
RAMOS, Anderson (org). Security Officer – 1: Guia oficial para formação de gestores em segurança da informação. 1º
ed. Porto Alegre: Zouk, 2006. p. 35
19
3 SEGURANÇA DA INFORMAÇÃO
Dentro de uma organização a segurança8 deve ser aplicada a tudo aquilo

que possui valor e, por este motivo, demanda proteção. São os chamados ativos9.
Na chamada era do conhecimento, a informação tornou-se o principal
patrimônio de uma organização e, pelo seu poder de agregar valor a um processo,
produto ou serviço trouxe a necessidade de preservá-la contra ameaças que possam
destruí-la, corrompê-la, adulterá-la ou deixá-la indisponível.
3.1 CONCEITOS
A Segurança da Informação são procedimentos que visam proteger os

ativos que contém informações contra as ameaças que poderiam comprometer a
sua integridade, disponibilidade e confidencialidade.
Ela tem como objetivo preservar os ativos de informação10, considerando
três aspectos:
a) Confidencialidade: garantia de que o acesso à informação está restrito aos
usuários autorizados. Neste aspecto, vale lembrar a necessidade de
utilização de trilhas de auditoria e logs para as aplicações críticas que
protegem os ativos contra erros e atos maliciosos cometidos por usuários
autorizados;
b) Integridade: garantia de que os dados não foram modificados por pessoas
não autorizadas;
c) Disponibilidade: garantia de que os ativos são acessíveis aos usuários ou
processos autorizados quando necessários.
8
Segurança é estar livre de perigos e incertezas.
9
Ativo é tudo aquilo que possui um valor para uma organização.
10
Ativo de Informação: qualquer dado ou informação a que esteja associado um valor para o negócio. Representam ativos de
informação as informações relevantes mantidas na mente dos tomadores de decisão, em bases de dados, arquivos de
computador, documentos e planos registrados em papel, etc. BEAL, Adriana. Segurança da Informação. 1º ed. São Paulo:
Atlas, 2005. p. Introdução e Visão geral.
20
Cada organização terá critérios próprios para identificar e priorizar os

ativos cujos componentes desejam assegurar. Ativos com necessidades de
segurança diferentes devem ser protegidos de forma diferente.
Cassarro (1997, p. 81)11 afirma que, dos componentes materiais,
tecnológicos e humanos que compõem uma empresa são os últimos os
responsáveis por todas as fraudes e prejuízos praticados. Ele considera impossível a
existência de um ativo que não possa ser fraudado ou burlado por uma pessoa e
quanto maior o desafio, maior a motivação para vencê-lo. Afirma que não há
segurança total em nada que diz respeito à vida e que ainda não existe um controle
interno que garanta 100% de proteção contra a fraudes e ações dolosas.
Na prática, nem todas as ações indevidas podem ser evitadas, assim
como nem todos os ativos podem ser protegidos, pois isto demandaria muitos
recursos humanos e financeiros. Para minimizar a probabilidade de ocorrência de
uma ameaça é necessário detectar e prevenir falhas de segurança e definir quais os
ativos se deseja proteger. É neste contexto que surge a necessidade de elaboração
de um programa de Política de Segurança da Informação. A política de segurança
da informação será tratada no capítulo 3 deste trabalho.
3.2 GESTÃO DE RISCOS EM SEGURANÇA DA INFORMAÇÃO
Risco é a medida da exposição a qual um ativo está sujeito, depende da

probabilidade de uma ameaça atacá-lo e do impacto resultante deste ataque.
Análise de risco é realizada identificando as ameaças e vulnerabilidades a
que estão sujeitos os ativos, bem como os impactos resultantes caso a sua
segurança fosse violada.
A gestão do risco12 envolve cinco componentes básicos: valor, ameaças,
vulnerabilidades e impactos.
a) Valor: é a importância do ativo para a organização e será avaliado
conforme o seu valor financeiro, o lucro que provê, o custo para substituí-
lo, etc;
11
12
Gestão de Riscos é o processo que identifica e trata os riscos de forma sistemática e contínua.
21
b) Ameaça: é a expectativa de acontecimento acidental ou proposital,

causado por um agente, que pode afetar um ambiente, sistema ou ativo
de informação;
c) Vulnerabilidade: fragilidade que pode ser explorada por uma ameaça para
concretizar um ataque;
d) Impacto: consequência de uma vulnerabilidade ter sido explorada por uma
ameaça para concretizar um ataque;
e) Probabilidade: chance de a ameaça atacar com sucesso os ativos
computacionais.
É importante reconhecer que os riscos podem ser apenas minimizados, já
que é impossível eliminá-los completamente. Uma medida que hoje é eficiente,
amanhã poderá ser violada, pois uma quebra de segurança sempre poderá ocorrer,
é só uma questão de tempo, recursos técnicos e econômicos. As medidas proativas
podem facilitar e tornar menos onerosas as medidas corretivas.
Gestão do Risco é um conjunto de processos que permite às organizações

identificar e implementar as medidas de proteção necessárias para diminuir
os riscos a que estão sujeitos os seus ativos de informação, e equilibrá-los
13
com os custos operacionais e financeiros envolvidos.
A gestão do risco possui várias etapas cíclicas que minimizam a

probabilidade de ataques dos agentes sobre as vulnerabilidades dos alvos. São elas
estabelecimento do contexto, identificação dos riscos, análise do risco (mensurando
ameaças, vulnerabilidades e impactos), estimativa do risco, tratamento do risco e a
aceitação residual do risco.
Conforme a norma ISO 27002, a análise e avaliação de riscos é um dos
aspectos mais importantes da Gestão de Riscos. Um passo anterior à
implementação dos controles é ter mapeado todos os requisitos de segurança. Estes
requisitos são baseados em três fontes:
a) Análise e Avaliação de Riscos;
b) Legislação e Regulamentação;
c) Princípios e Valores da organização.
13
22
Afirma que a análise e avaliação de riscos deve ser usada para avaliar se
todos os controles citados nas diversas seções da norma são ou não necessários,
para determinar a necessidade de outros controles além dos citados na norma.
3.3 NORMAS E PADRÕES DE SEGURANÇA
Conhecer e avaliar os riscos deixou de ser uma necessidade técnica para

se transformar numa questão estratégica para as organizações, em função das
exigências de mercado, governo, agências reguladoras e clientes.
A avaliação de riscos de uma organização passa a ser medida pela
capacidade de proteger seus ativos e isto está relacionado ao atendimento dos
requisitos de Segurança da Informação. As regulamentações podem exigir a
14
implementação de frameworks (ITIL , COBIT16, ISO 27001, ISO 27002) para
15
garantir a segurança dos ativos. Ativos estes que envolvem ambientes, tecnologias,
processos e pessoas.
Estar em conformidade com normas e padrões representa o seguimento
das melhores práticas, pois elas promovem a uniformidade e qualidade aos
processos, produtos ou serviços visando a eficiência e eficácia.
Normas e padrões técnicos representam uma referência importante para a

qualidade de qualquer processo. Quando processos de produção de bens e
serviços são desenvolvidos em conformidade com um padrão de referência
de qualidade, aumentam as garantias de que estes sejam eficientes,
17
eficazes e confiáveis.
Existem diversas metodologias (ou frameworks), padrões e

regulamentações disponíveis no mercado que podem ser utilizados como referência
para implementar a segurança da informação na organização. A aplicação pode
14
Frameworks : são metodologias estruturadas para a implementação de padrões técnicos.
15
ITIL: Information Technology Infrastructure Library.
16
COBIT: Common Objectives for Information and Related Technology.
17
23
variar de empresa para empresa e, mais importante do que a certificação, é o

conhecimento de suas práticas para que cada organização possa extrair delas as
recomendações que mais se adaptam a sua realidade.
A seguir relacionamos dois padrões internacionais que desenvolveram um
sistema formal de gestão da segurança da informação.
3.3.1 NBR ISO/IEC18 27001:2005 - Information Security Management Systems –

Requirements (Sistema de Gestão da Segurança da Informação – Requerimentos)
A ISO 27001 é uma norma que trata da Gestão da Segurança da

Informação, ou seja, ela estabelece, implementa, opera, monitora, mantém e
melhora um Sistema de Gestão da Segurança de Informação (SGSI) dentro das
organizações. Estas podem ser de qualquer tipo, tamanho e natureza.
Esta norma adota o modelo PDCA (plan-do-check-act), sendo:
a) Plan: Estabelecer o SGSI;
b) Do: Implementar o SGSI;
c) Check: Monitorar e revisar o SGSI;
d) Act: Manter e melhorar o SGSI.
Ela está alinhada com outras normas, tais como NBR ISO 9001, NBR ISO
14001 e NBR ISO 15408 para apoiar a implementação e a operação de forma
consistente e integrada com normas de gestão relacionadas.
É o único padrão aceito internacionalmente para a gestão da segurança,
pois é a única norma que permite a certificação das organizações na área de
segurança. Esta questão é uma das diferenças entre a ISO 27001 e a ISO 27002.
Enquanto esta trata de “recomendar”, aquela trata de “requerer”. É quando os
“requerimentos” são implementados, monitorados e melhorados que a empresa
poderá solicitar a certificação na ISO 27001.
Áreas de controle da ISO 27001:

a) Sistema de Gestão da Segurança de Informação;
18
ISO/IEC: International Organization for Standardization / International Electrotechnical Commission
24
b) Responsabilidades da Direção;
c) Auditorias Internas do SGSI;
d) Análise Crítica do SGSI pela direção;
e) Melhoria do SGSI.
Analisando as diversas normas nota-se que existem vários itens em
comum e, em outros, elas se complementam em vários aspectos. Cada organização
deve escolher a norma que mais se adapta a suas características ou realidade.
Antes de mais nada, é necessário identificar o que se quer proteger para
posteriormente planejar em cima deste escopo. A prevenção legal em Segurança da
Informação é um processo de gestão dinâmico, sujeito a atualizações constantes,
por este motivo é importante retroalimentar o processo.
3.3.2 NBR ISO/IEC 27002:2005 - Code of Practice for Information Security

Management (Código de Práticas para Gestão da Segurança da Informação)
A ISO 27002 é um conjunto de recomendações e de boas práticas para

gestão da segurança da informação para uso por aqueles que são responsáveis
pela introdução, implementação ou manutenção da segurança em suas
organizações. Tem como propósito prover uma base comum para o
desenvolvimento de normas de segurança organizacional, das práticas efetivas de
gestão da segurança e prover confiança nos relacionamentos entre as organizações.
A ISO 27002 atua em segurança da informação considerando tecnologia, processos
e pessoas e é publicada no Brasil pela ABNT com o código NBR ISO/IEC
27002:2005. Até 2007, esta norma era conhecida como ISO 17799.
Áreas de controle da ISO 27002:

a) Política de Segurança;
b) Organização da Segurança;
c) Gestão de Ativos (Patrimônio);
d) Segurança dos Recursos Humanos;
e) Segurança Física e Ambiental;
f) Gestão de Operações e Comunicações;
25
g) Controle de Acessos;
h) Aquisição, Manutenção e Desenvolvimento de Sistemas;
i) Gestão de Incidentes de Segurança da Informação;
j) Gestão da Continuidade do Negócio;
k) Conformidade.
A ISO 27002 será discutida no próximo capítulo deste trabalho.
26
4 ÁREAS DE CONTROLE DA ISO/IEC 27002 E A APLICABILIDADE NA

POLÍTICA E GESTÃO DA SEGURANÇA EM SISTEMAS APLICATIVOS
Alinhados com a proposta para a criação de uma metodologia que auxilie

na auditoria em sistemas de Informação no âmbito do TCE-RS e nos órgãos
auditados, os controles sugeridos na ISO 27002 podem servir de espinha dorsal
neste processo, já que contém os objetivos e controles necessários para garantir a
segurança dos ativos de informação da organização. Serão apresentados alguns
dos controles considerados relevantes para garantir a segurança dos ativos de
informação em geral, tanto quanto dos aplicativos de software em particular no
âmbito de uma organização.
A ISO 27002 é uma norma que apresenta um código com as melhores
práticas para a gestão da segurança da informação. Ela apresenta uma série de
recomendações de controle para minimizar os riscos envolvendo os ativos de
informação. Esta norma não possui certificação mas, nem por isto, deixa de ser um
dos instrumentos mais utilizados quando o assunto é a implementação da segurança
da informação. Ela é composta por 11 (onze) seções de controles, subdividida em 39
categorias principais de segurança.
A norma em nenhum momento diz que todos os controles nela descritos
devam ser implementados pela organização. Ela deixa à critério da própria
organização escolher o escopo, abrangência e profundidade dos controle que mais
estejam adequados com as suas diretrizes e com a especificidade do seu negócio.
4.1 A ISO 27002 E SUAS ÁREAS DE CONTROLES
a) Política de Segurança da Informação: orienta a organização no

estabelecimento de uma política clara que trate da segurança de
informações, alinhada com as diretrizes do negócio. Requer que a alta
administração demonstre seu apoio e comprometimento com a segurança
da informação por meio da publicação, manutenção e divulgação da
Política de Segurança da Informação (PSI) para toda a organização. São
27
fornecidas ferramentas para a elaboração e implementação do documento

e a sua análise crítica;
b) Organização da Segurança: orienta a organização em como gerenciar a

segurança da informação, assim como a manter a segurança dos recursos
de que são acessados, processados, comunicados ou gerenciados por
partes externas;
c) Gestão de Ativos (Patrimônio): orienta a organização a alcançar e

manter a proteção adequada dos ativos de informação, além de assegurar
que a informação seja classificada de acordo com seu nível adequado de
proteção. São fornecidas diretrizes para a realização de inventário dos
ativos, definição de seus proprietários e regras para o seu uso. A norma
traz algumas recomendações para a classificação da informação e sugere
a definição de procedimentos para rotulação e tratamento da informação;
d) Segurança dos Recursos Humanos: orienta a organização a assegurar

que funcionários, fornecedores e terceiros compreendam suas
responsabilidades, estejam conscientes das ameaças relativas à
segurança da informação e prontos para apoiar a PSI. São fornecidas
diretrizes para a definição de papéis e responsabilidades. Inclusive da
direção, seleção de pessoal, termos e condições de contratação,
conscientização, educação e treinamento em segurança da informação e
processo disciplinar. Assim como diretrizes para casos de encerramento
ou mudança da contratação quando são necessários devolução de ativos
e retirada de direitos de acesso;
e) Segurança Física e Ambiental: orienta a organização a prevenir aceso

físico não autorizado, danos e interferências nas instalações e
informações, tanto quanto impedir perdas, danos, furto ou
comprometimento de ativos e interrupção das atividades da organização.
São fornecidas diretrizes para áreas seguras, incluindo perímetro de
segurança física, controles de entrada física, segurança em escritórios,
28
salas e instalações, proteção contra ameaças externas e do meio

ambiente e acesso do público, áreas de entrega e carregamento. São
dadas recomendações para para instalação e proteção de equipamento,
inclusive contra falta de energia elétrica e outras interrupções provocadas
por falhas das utilidades, segurança do cabeamento, manutenção de
equipamentos, segurança de equipamentos fora das dependências da
organização, reutilização e alienação de equipamentos e, finalmente,
remoção de propriedade;
f) Gestão de Operações e Comunicações: orienta a organização quanto

aos procedimentos e responsabilidades operacionais, incluindo a gestão
de mudança, segregação de funções e separação dos ambientes de
produção, desenvolvimento e teste. São dadas diretrizes para o
gerenciamento de serviços terceirizados, planejamento e aceitação de
sistemas, proteção contra códigos maliciosos e móveis, cópias de
segurança, gerenciamento da segurança em redes, manuseio de mídias,
troca de informações, serviços de correio eletrônico e monitoramento;
g) Controle de Acessos: orienta a organização em relação aos controles de

acesso à informação e aos recursos de processamento das informações.
São dadas diretrizes para a definição de requisitos de negócio para
controle de acesso, gerenciamento de acesso e responsabilidade do
usuário, controle de acesso à rede, sistema operacional, aplicação e
informação e aspectos sobre computação móvel e trabalho remoto. Tais
diretrizes envolvem desde a definição de uma política de controle de
acesso e o gerenciamento de privilégios até o isolamento de sistemas
críticos;
h) Aquisição, Manutenção e Desenvolvimento de Sistemas: orienta a

organização quanto à definição dos requisitos necessários de segurança
nos sistemas de informação, medidas preventivas contra o processamento
incorreto das aplicações, uso de controles criptográficos, além de fornecer
diretrizes para a segurança dos arquivos de sistema, segurança em
29
processos de desenvolvimento e suporte e gestão de vulnerabilidades

técnicas;
i) Gestão de Incidentes de Segurança da Informação: orienta a

organização para que fragilidades e eventos de segurança da informação
associados com sistemas de informação sejam comunicados e
gerenciados de forma consistente e efetiva, permitindo a tomada de ação
corretiva em tempo hábil. São fornecidas diretrizes para a notificação de
eventos e fragilidades de segurança da informação, definição de
responsabilidades e procedimentos de gestão desses eventos e
fragilidades, além da coleta de evidências e do estabelecimento de
mecanismos para análise dos incidentes recorrentes ou de alto impacto
com vistas à sua quantificação e monitoramento;
j) Gestão da Continuidade do Negócio: orienta a organização na tomada

de medidas para prevenir a interrupção das atividades do negócio e
proteger os processos críticos contra defeitos, falhas ou desastres
significativos, assegurando sua retomada em tempo hábil. São fornecidas
diretrizes para incluir a segurança da informação no processo de gestão
da continuidade de negócio e realizar análise e avaliação de riscos, assim
como desenvolver, implementar, testar e reavaliar planos de continuidade
relativos à segurança da informação;
k) Conformidade: orienta a organização a evitar violação de qualquer lei

criminal ou civil, estatutos, regulamentações ou obrigações contratuais e
de qualquer dos requisitos de segurança da informação, além de garantir
a conformidade dos sistemas com as políticas e normas organizacionais
de segurança da informação. São dadas diretrizes para a identificação da
legislação vigente, proteção dos direitos de propriedade intelectual,
proteção dos registros organizacionais, proteção de dados e privacidade
de informações pessoais, prevenção de mau uso de recursos de
processamento da informação e regulamentação de controles de
30
criptografia. Também são feitas algumas considerações sobre a auditoria

de sistemas de informação.
Pela sua complexidade e abrangência, tratar da segurança da informação

ou segurança em tecnologia da informação torna-se um trabalho exaustivo e pode
envolver profissionais de diferentes campos de atuação, tanto quanto diferentes
áreas da organização. Segurança da informação é um assunto que não deve estar
ligado somente à área de TI, mas inserido na cultura organizacional.
Por tratar-se de um assunto que possui um escopo muito abrangente,
optamos por estender a discussão dentro do escopo de aquisição, desenvolvimento
e manutenção de sistemas aplicativos. Trataremos dos controles necessários para a
condução de uma auditoria interna ou externa envolvendo sistemas aplicativos.
4.2 PORQUE CONTROLAR?
Porque os controles são importantes? Porque um trabalho de auditoria em

sistemas de informação envolve, antes de auditar a informação em si, verificar se os
controles ou cuidados sobre o ambiente computacional estão sendo realizados de
forma adequada e segura. Os controles existem para tornar a informação mais
confiável.
Quando o auditor de TI tiver como objetivo auditar um dado aplicativo,
como por exemplo, o sistema de faturamento de uma organização, ele também irá
questionar a equipe de TI sobre quais os controles implementados sobre o
ambiente computacional como um todo. Exemplos de assuntos que poderão ser
tratados pelo auditor: controle de versões, controle de mudança, permissões de
acesso lógico ao sistema, permissões de acesso físico ao código fonte, etc.
O TCU (1998, p. 41) relaciona seis categorias de controles gerais que
devem ser consideradas em auditoria:
a) controles organizacionais;
b) programa geral de segurança;
c) continuidade do serviço;
d) controles de software de sistema;
31
e) controles de acesso;
f) controles de desenvolvimento e alteração de softwares aplicativos.19
Por razões de escopo, optou-se por tratar neste trabalho os aspectos
relacionados aos controles organizacionais, o programa geral de segurança, aqui
tratado como política de segurança da informação e os controles de
desenvolvimento e alteração de softwares aplicativos.
A escolha destes três tópicos deu-se porque considera-se pouco
ilustrativa e de difícil entendimento a discussão sobre os controles de
desenvolvimento de sistemas visto de forma solta e não interligada aos controles
organizacionais e à política de segurança da informação. Esta última, aliás, é
considerada um pré-requisito para a implantação de qualquer programa de gestão
da segurança de informação.
4.2.1 Controles Organizacionais
Podemos começar avaliando alguns aspectos organizacionais

envolvendo o componente humano, tais como segregação de funções e recursos
humanos.
Os elementos críticos para a avaliação dos controles organizacionais são:
a) Unidades organizacionais bem definidas, com níveis claros de autoridade,
responsabilidades e habilidades técnicas necessárias para exercer os
cargos;
b) Atividades dos funcionários controladas através de procedimentos de
operação e supervisão documentados e políticas claras de seleção,
treinamento e avaliação de desempenho;
c) Política de segregação de funções e controles de acesso para garantir na
prática a segregação de funções;
d) Recursos computacionais gerenciados de forma a suprir as necessidades
de informação de forma eficiente e econômica.
19
TRIBUNAL DE CONTAS DA UNIÃO. Secretaria de Controle Externo. Secretaria de Auditoria e Inspeções. Manual de
Auditoria de Sistemas. Brasília, 1998, p. 41.
32
4.2.1.1 Segregação de Funções
A Segregação de Funções é uma questão chave no controle interno pois,

conforme foi mencionado anteriormente, as pessoas são consideradas o aspecto
mais frágil a ser observado na segurança da informação. Segundo Beal, (2005, p.
71), quando se trata de pessoas com acesso a recursos de informação corporativos,
a melhor política é a expressão “confie, mas verifique”. Ela afirma que estudos
demonstram que a maior parte dos incidentes de segurança, sejam eles acidentais
ou intencionais, são provocados por integrantes da própria organização.
Pesquisa global sobre segurança da informação desenvolvida pela Ernst &

Young (2003) cita diversos estudos para concluir que os incidentes de
segurança internos acarretam prejuízos financeiros substancialmente
maiores do que ataques externos. Quando se fala em ‘incidentes internos’,
é importante considerar também as falhas de segurança provocadas por
terceiros com acesso legítimo a recursos de informação da organização:
20
fornecedores, prestadores de serviço, consultores, etc.
No âmbito do desenvolvimento de sistemas, é uma boa prática:
a) quem desenvolve uma aplicação não deveria testá-la ou mantê-la sob

pena de adquirir tal domínio sobre a mesma que se tornaria imprescindível
ou “proprietária” do sistema. Tendo estas facilidades seria muito fácil
incorporar código fraudulendo ou danoso que poderiam trazer prejuízos
para a organização;
b) a atividade de manutenção de sistemas deveria ser realizada em rodízio,

para que uma mesma pessoa não efetuasse duas manutenções seguidas
em um mesmo sistema ou programa. As razões são as mesmas do item
anterior;
20
33
A segregação de funções é que irá orientar na definição dos privilégios de

acesso às diversas funcionalidades do sistema, pois o privilégios devem ser
compatíveis com a função do usuário.
O acesso à aplicação deve ser garantida pelo uso de senha de caráter
pessoal e instransferível. A aplicação deve conter mecanismos de tratamento das
senhas de forma a não permitir a inclusão de senhas de fácil descoberta, tais como:
data de aniversário, o próprio nome, o nome dos pais ou dos filhos, etc.
4.2.1.2 Recursos Humanos
O dimensionamento da equipe deve ser pensado para atender às

demandas operacionais de curto prazo e àquelas voltadas para atender as
demandas de médio prazo definidas no planejamento estratégico.
Cassaro (1997, p. 98) cita a Lei de Parkinson para ilustrar que o número
de profissionais que trabalham na área de sistemas está diretamente ligado com a
qualidade do atendimento dado aos usuários, ele cita que “o tempo de resposta e a
qualidade da resposta que a área de telemática dá aos seus usuários são
inversamente proporcionais à quantidade de pessoas da área”.
Quando a equipe da área de sistemas de uma organização é pequena, o
resultado é a sobrecarga de trabalho e as pessoas acabam por tornarem-se
imprescindíveis. Já vimos quando tratamos da segregação de funções o aspecto
negativo de um colaborador imprescindível.
Beal (2005, p. 73) relaciona algumas medidas que uma organização pode
adotar para minimizar os riscos provocados pelo elemento humano em seus quadros
de colaboradores:
a) Processos confiáveis de seleção de pessoal, isenta de simpatias pessoais,
mas voltada para as reais habilidades demonstradas pelo candidato.
Deve abranger uma investigação dos antecendentes do funcionário, do
temporário ou prestador de serviço;
b) Contrato de trabalho incluindo a documentação das responsabilidades de
segurança e normas e políticas de segurança da organização;
34
c) Assinatura de acordos de confidencialidade com definição clara de termos

e condições de trabalho relativos à segurança da informação, direitos
autorais e proteção de dados;
d) Supervisão gerencial suficiente para permitir a detecção e reação à
situações de risco (problemas pessoais e financeiros, sinais de estresse)
ou atitudes suspeitas (mudança no estilo de vida, recusa em tirar férias);
e) Segregação de funções para evitar que uma mesma pessoa se torne
responsável por todas as etapas de um processo;
f) Treinamento e conscientização dos funcionários;
g) Expectativa de controle e de punição em caso de descumprimento de
normas de segurança, incluindo a demissão e a retirada dos privilégios de
acesso físico e lógico aos ativos de informação.
Outros controles relacionados pelo TCU (1998, p. 50) envolvem questões
de transferência e demissão de funcionários. Nele são indicados alguns cuidados
dispensados pela organização no término do vínculo empregatício.
Maiores detalhamentos sobre os assuntos segregação de funções,
segurança em recursos humanos e privilégios de acessos podem ser encontrados
em outras seções da ISO 27002.
A seção 8 da ISO 27002 trata, especificamente, da Segurança em
Recursos Humanos, seus papéis e responsabilidades, seleção, termos e condições
de contratação.
A seção 10 trata do Gerenciamento das Operações e Comunicações
envolvendo, entre outras coisas, a segregação de funções, a separação dos
ambientes de desenvolvimento, teste e produção, a proteção contra códigos
maliciosos, o controle de redes, o monitoramento do uso dos sistemas e de serviços
terceirizados. E a seção 11 trata sobre o Controle de Acessos.
Nós tópicos seguintes serão tratados aspectos mais técnicos envolvendo
os requisitos iniciais que devem ser observados no desenvolvimento de sistemas.
35
4.2.2 Política de Segurança da Informação (PSI)
Não há como tratar da gestão da segurança se a organização não tiver

definida uma política de segurança tratada na seção 5 da norma. Torna-se
necessário que a alta administração pense, trate e patrocine a PSI como um ítem
dentro do planejamento estratégico. A definição e a divulgação da PSI é de
fundamental importância para o sucesso da gestão da segurança no âmbito da
organização. A segurança deve ser incorporada na cultura organizacional.
Conceitualmente, a Política de Segurança da Informação é um conjunto
de documentos que descreve quais são os princípios e as diretrizes ligados à
Segurança da Informação adotados pela organização e que devem ser observados
pelos seus colaboradores e aplicados a todos os sistemas e processos corporativos
e, principalmente, deve estar alinhados às estratégias da organização.
Dias (2000, p. 44), aponta que antes de implementá-la é necessário
responder às seguintes perguntas:
a) O que se quer proteger?
b) Contra o que ou quem?
c) Quais as ameaças mais prováveis?
d) Qual a importância de cada recurso?
e) Qual o grau de proteção desejado?
f) Quanto se pretende investir (tempo, recursos financeiros e humanos) para
atingir os objetivos de segurança desejados?
g) Quais as expectativas dos usuários e clientes em relação à segurança de
informações?
h) Quais as consequências para a organização se seus ativos e informações
forem corrompidos ou roubados?
As respostas a estas perguntas servirão de base para a definição de uma
PSI. As medidas preventivas deverão ser definidas de forma a atender os requisitos
de segurança da PSI, considerando o equilíbrio entre necessidades de segurança e
custos.
36
A política de segurança é um mecanismo preventivo de proteção dos dados

e processos importantes a uma organização que define um padrão de
segurança a ser seguido pelo corpo técnico e gerencial e pelos usuários,
internos ou externos. Pode ser usada para definir as interfaces entre
usuários, fornecedores e parceiros e para medir a qualidade e a segurança
21
dos sistemas atuais.
A PSI é a diretriz ou espinha dorsal para todas as atividades de

Segurança da Informação executadas em uma organização e é através dela que a
estratégia de Segurança da Informação será planejada e passada para todas as
áreas envolvidas, nas diferentes esferas da organização. E, principalmente, é a PSI
que reflete o comprometimento da alta direção com a segurança, pois este é um
fator fundamental para que a política seja assimilada pelo maior número possível de
colaboradores.
4.2.2.1 Escopo da PSI
Embora o conteúdo de uma PSI possa variar conforme o tamanho ou grau

de informatização de uma organização, ela deve ser abrangente o suficiente para
identificar as responsabilidades em relação à segurança da informação em todos os
níveis organizacionais.
Sugere-se, como ponto de partida para a formulação do escopo da PSI,
utilizar os pontos de controle relacionados nas dez seções da ISO 27002 como
conteúdo para o documento da PSI. Os pontos de controle foram citados na página
24 deste trabalho, são eles: Organização da Segurança; Gestão de Ativos
(Patrimônio); Segurança dos Recursos Humanos; Segurança Física e Ambiental;
Gestão de Operações e Comunicações; Controle de Acessos; Aquisição,
Manutenção e Desenvolvimento de Sistemas; Gestão de Incidentes de Segurança
da Informação; Gestão da Continuidade do Negócio; Conformidade.
O ser humano é considerado o elo mais mais frágil quando o assunto é
segurança. Assim, além de identificar os objetivos da organização em relação à
Segurança da Informação, é muito importante para o sucesso da PSI a atribuição de
21
DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. 1º ed. Rio de Janeiro: Axcel Books, 2000. p. 48
37
responsabilidades entre os colaboradores da organização a fim de criar uma cultura

de segurança e disseminar a importância deste documento para os resultados da
organização.
4.2.2.2 Elaboração e Implementação da PSI
A PSI deve ser planejada e implementada com base nos objetivos

alinhados às necessidades da organização, após torna-se necessário identificar
quais os ativos são importantes para alcançar estes objetivos, já que toda
organização possui aspectos críticos e específicos em que deseja direcionar seu
foco de proteção: alta disponibilidade, informações sigilosas, proteção da imagem,
etc.
TIPO DE DOCUMENTO NÍVEL DE ATUAÇÃO

Diretrizes Estratégico
Normas Tático
Procedimentos e Instruções Operacional
Quadro 1 – Alinhamento Estratégico: Documentos da PSI X Nível de Atuação22
Fonte: Ramos (2006, p. 93)
Pode-se dividir os documentos da PSI em três tipos:

a) Diretrizes: são os princípios que norteiam a organização alinhados com a
visão estratégica da alta admnistração;
b) Normas: são representadas pelos controles implementados no nível tático
direcionados para atingir a estratégia definida nas diretrizes;
c) Procedimentos e instruções: é a implementação dos controles
estabelecidos nas normas detalhados no plano operacional.
A norma recomenda que seja utilizado para esta tarefa a Análise e
Avaliação de Risco (AAR), considerada fundamental para o desenvolvimento da PSI.
Os autores recomendam que a abordagem da AAR deva ser gradual, dos itens mais
22
38
relevantes e críticos para a organização, para facilitar a sua implementação, já que

uma tentativa de englobar toda a organização pode ser tornar inviável.
Uma boa prática para a elaboração da PSI é a utilização da metodologia
5W2H (Who, What, When, Where, Why, How, How Much / Quem, O que, Quando,
Onde, Porque, Como, Quanto), sempre tendo em mente que os documentos
produzidos para a PSI devem estar adequados ao público ao qual se destinam:
gestores, técnicos, usuários, etc.
4.2.2.3 Manutenção e Auditoria de conformidade com a PSI
É importante que a PSI retrate as dinâmicas e mudanças organizacionais,

ou seja, ela deve sofrer as atualizações necessárias para acompanhar as mudanças
de cenários, tanto tecnológicos quanto administrativos, pois novos problemas de
segurança aparecem quase que diariamente.
Além disto, o envolvimento e colaboração de todos os envolvidos é
fundamental para que uma política de segurança seja bem-sucedida, como esta
participação universal nem sempre é possível, a norma recomenda a adoção de
mecanismos para a avaliação do grau de conformidade por parte dos usuários com
as práticas exigidas pela PSI. Estes mecanismos podem ser obtidos através do
monitoramento de incidentes de segurança ou outros eventos relevantes.
Mudança na Deve-se atualizar Freqüência Volume

Rotina Procedimentos e Alta Baixo
Instruções
Tecnologia Normas Média Médio
(e Procedimentos)
Empresa Diretrizes Baixa Alto
(e normas
e procedimentos)
Quadro 2 – Manutenção da PSI23
Fonte: Ramos (206, p. 104)
23
39
...A garantia de conformidade com a política de segurança depende ainda

de uma verificação periódica do comportamento de todos os envolvidos na
implementação dos controles, de modo que eventuais desvios em relação
às diretrizes estabelecidas possam ser identificados e corrigidos (etapas de
avaliação e ação corretiva do ciclo PDCA da gestão da segurança). Essa
avaliação deve abranger todos os processos críticos da organização, e é
provável que as responsabilidades precisem ser divididas entre as áreas
responsáveis pelos diferentes aspectos da segurança (humanos,
tecnológicos, físicos, administrativos, etc). Eventuais auditorias de
conformidade com a PSI devem ser desempenhadas por indivíduos que não
participem diretamente das atividades auditadas, para garantir a isenção da
24
análise...
Pode-se concluir que uma PSI bem implementada deve ser abrangente o
suficiente para estar inserida em todo o ambiente organizacional, e não apenas aos
recursos computacionais. Ela deve integrar-se às políticas institucionais relativas à
segurança em geral e ao planejamento estratégico da informática, tais como
planejamento de contingências, planejamento de desenvolvimento ou aquisição de
novos sistemas, planejamento de aumento do parque de máquinas instalada, entre
outros.
4.2.3 Controles de Desenvolvimento e Manutenção de Sistemas Aplicativos
Sistemas aplicativos podem ser entendidos como um conjunto de

programas desenvolvidos para executar determinado tipo de operação, por exemplo:
faturamento ou folha de pagamento.
O foco deste trabalho é apresentar algumas recomendações da ISO
27002 dentro da auditoria de sistemas tratados na seção 12 da norma. Ela trata que
a segurança deve estar inserida em todas as etapas do processo de
desenvolvimento e manutenção de sistemas: especificação, projeto,
desenvolvimento, teste, implementação em produção, operação, manutenção e
inativação. De forma abrangente, estas tarefas incluem:
a) Planejamento de sistemas de informações;
b) Aquisição de sistemas;
c) Especificação, programação, teste e implementação de sistemas novos;
24
40
d) Modificação dos programas das aplicações existentes;

e) Manutenção preventiva dos sistemas aplicativos;
f) Documentação e controle sobre versões de programas em produção.
Inicialmente, é importante ressaltar que os sistemas devem estar
alinhados com as diretrizes da organização e, por este modo, devem ser
desenvolvidos para alcançar os objetivos relacionados no planejamento estratégico.
Imoniana (2005, p. 93)25 afirma que o desenvolvimento de um novo
sistema deve ser patrocinado pela alta administração da organização. Cassaro
(1997, p. 109) se alinha a este argumento quando considera que os trabalhos de
desenvolvimento de sistemas devem ocorrer através da formação de uma equipe
multidisciplinar composta por especialista em TI, por representantes dos principais
usuários e, sempre que possível, com alguém da auditoria e da contabilidade. A
administração deve estar presente pois partirá dela a disponibilização dos recursos
econômicos que viabilizarão o início do projeto, assim como a priorização das
demandas que deverão ser trabalhadas para o atingimento das estratégias.26
É recomendável que haja uma reunião formal quando o sistema será
oficialmente iniciado, com uma ata estabelecendo os responsáveis e suas
atribuições e o escopo do sistema. A seguir, deve ser definido um cronograma de
atividades e a devida alocação dos tempos e recursos envolvidos.
No âmbito do TCE-RS existe a figura do Gerente do Sistema que deve
servir de intermediário entre as necessidades dos usuários finais e a área de
sistemas, filtrando as demandas mais urgentes e essenciais dos usuários e
auxiliando o analista de sistemas nas especificações do projeto. Por causa destas
atividades, o gerente do sistema deve ser um usuário mais qualificado e conhecedor
da(s) área(s) de negócio envolvida(s). Contudo, na prática, a figura do Gerente do
Sistema não funciona de forma efetiva já que as funções e cargos alteram-se
constantemente e as atividades não são passadas aos substitutos. Outra causa
provável pode ser a falta de comprometimento com o projeto em si, os gerentes não
pegam para si esta função, acarretando, no final das contas, com que as atividades
do gerente sejam incorporadas às demais atividades da área de sistemas.
25
IMONIANA, Joshua Onome. Auditoria de Sistemas de Informação. 1º edição. São Paulo: Atlas, 2005. p. 93.
26
41
Mais recentemente, está sendo implantado no TCE-RS o Escritório de

Projetos que terá como função principal orientar e acompanhar a execução dos
projetos desenvolvidos pelos vários setores deste órgão de controle.
Nos tópicos seguintes iremos discutir alguns aspectos de segurança na
aquisição, manutenção e desenvolvimento de sistemas de informações baseados
nas recomendações da ISO 27002.
É recomendável que as questões de segurança sejam consideradas já no
início da especificação do sistema e que os controles necessários sejam
incorporados nos estágios iniciais dos trabalhos pois neste ponto eles são menos
custosos de implementar e manter.
Muitas das vulnerabilidades dos sistemas ocorrem por falhas no estágio
de levantamento de requisitos. Alguns cuidados devem ser tomados para que o
produto entregue pela área de desenvolvimento de sistemas corresponda ao
proposto no escopo inicial.
O estabelecimento de padrões em desenvolvimento de sistemas, como
em qualquer outra área do conhecimento, uniformiza o processo de desenvolvimento
e manutenção de sistemas. A utilização de metodologias comprovadamente
eficientes pode reduzir a incidência de variáveis indesejáveis no ciclo de
desenvolvimento e manutenção de sistemas.
A metodologia pode incluir desde documentação padrão para
levantamento de requisitos até ferramentas de modelagem de dados, geradores de
aplicações, frameworks de desenvolvimento, entre outras.
Na fase de especificação e projeto é que devem ser levantadas as
questões de segurança em relação à(s) tecnologia(s) escolhida(s). Atualmente, o
número de camadas de software que envolvem uma aplicação é cada vez maior e,
se as questões de segurança não forem pensadas com antecedência, podem deixar
expostas fragilidades que irão comprometer os ativos de informação envolvidos. A
norma recomenda que os controles de segurança reflitam o valor dos ativos de
informação para a organização.
A recomendação para sistemas comprados de terceiros é que uma
bateria de testes sejam aplicados em produtos de diferentes fornecedores. Os testes
devem responder a um checklist dos requisitos de segurança que devem estar
implementados nos produtos. Se algum dos produtos avaliados não corresponder
42
aos requisitos de segurança desejados, a norma recomenda que o risco introduzido

seja considerado antes da compra do produto.
É recomendável testar várias opções oferecidas pelo mercado até que
seja encontrada a opção mais aderente às necessidades da organização.
4.2.3.1 Validação dos dados de entrada
Para testes em sistemas desenvolvidos internamente, Imoniana (2005, p.

94)27 recomenda que sejam introduzidos dados incorretos, incompletos ou
inconsistentes para verificar se foram implementados os controles esperados.
Neste ponto, os controles pretendem identificar os valores fora de faixa,
caracteres inválidos, volume de dados excedendo limites superiores ou inferiores,
dados de controle inconsistentes ou não autorizados, procedimentos para tratar
erros de validação, entre outros.
As rotinas de validação de dados testam a presença de: códigos de

aprovação e autorização, dígitos de verificação em todas as chaves de
identificação, dígitos de verificação ao final de uma seqüência (string) de
dados numéricos, códigos válidos, valores alfanuméricos ou numéricos
válidos, tamanhos válidos de campo, campos combinados, limites válidos,
razoabilidade dos valores ou faixa de valores válida, campos obrigatórios
preenchidos, símbolos, registros de entrada completos, campos repetitivos,
eliminando a necessidade da entrada dos mesmos dados mais de uma
28
vez.
Cabe mecionar novamente que os testes devem ser realizados por

pessoas que não participaram do processo de desenvolvimento do sistema.
É recomendável a utilização de padrões para a construção das telas,
obdecendo a regras de ergonomia de software e de entrada de dados, tais como a
facilidade de identificação dos campos obrigatórios, o agrupamento de campos
relacionados ao mesmo assunto, utilização de abas ou guias para a separação dos
27
IMONIANA, Joshua Onome. Auditoria de Sistemas de Informação. 1º edição. São Paulo: Atlas, 2005. p. 94.
28
TRIBUNAL DE CONTAS DA UNIÃO. Secretaria de Controle Externo. Secretaria de Auditoria e Inspeções. Manual de
Auditoria de Sistemas. Brasília, 1998, p. 71.
43
assuntos, padronização de teclas de atalho e botões com a devida identificação de

suas funções, etc.
A autorização para a entrada de dados deve ser feita via permissões de
acesso através do uso de senhas às diversas funcionalidades do aplicativo, assim
como através do uso de validações internas aos dados inseridos. Log de transações
podem ser incorporados aos aplicativos para identificar quem realizou determinada
operação durante a utilização do aplicativo.
Outra consideração importante é verificar se a aplicação possui
mecanismos para prevenir a inviolabilidade do princípio da segregação de funções,
ou seja, um mesmo usuário executando atividades que deveriam ser realizadas por
usuários diferentes.
E por fim, é necessário definir um adequado tratamento de erros para as
operações indevidas sobre o aplicativo.
4.2.3.2 Controle do processamento interno
A norma recomenda uma série de controles para garantir o correto

processamento da aplicação sobre os dados de forma a minimizar inconsistências e
a perda da integridade.
É recomendável que as manipulações que implicam em incluir, alterar ou
remover os dados sejam realizadas através de funções. Esta funcionalidade
padroniza e facilita a manutenção da aplicação para os casos de adição ou remoção
de colunas em tabelas, por exemplo, já que a referida manutenção será feita em um
único local.
Também devem ser implementados controles que impeçam que os
programas sejam executados em ordem errada ou que continuem a execução após
uma falha de processamento.
Em implementações onde ocorra a atualização ou transferências de
dados ou programas entre computadores centrais e remotos, devem ser realizadas
verificações de integridade e autenticidade.
A norma recomenda o registro em arquivos de log das atividades
envolvidas no processamento, as exceções e outros eventos de segurança da
44
informação. Por tratar-se de um recurso custoso, por exigir grande espaço de

armazenamento e implicar em maior tempo de processamento das aplicações, a
área de sistemas deve avaliar quais os processos serão monitorados por log pelo
seu grau de complexidade, criticidade ou pelo valor que este representa para a
organização.
Pela possibilidade de conter informações confidenciais, a norma
recomenda que medidas apropriadas de proteção de privacidade sejam tomadas,
assim como considera que administradores de sistemas não tenham permissão de
remoção ou desativação dos registros de log de suas próprias atividades.
4.2.3.3 Validação dos dados de saída
A norma recomenda que os dados de saída das aplicações sejam

validados para assegurar que o processamento dos dados de entrada está correto.
Não há garantias que aplicações onde tenham sido realizados validações de entrada
e controles sobre o processamento, irão produzir saídas confiáveis. Mesmo quando
existe um grande número de controles na entrada e processamento, é importante a
realização de testes sobre o produto final de um sistema feitos a partir de uma
massa de dados confiável e por pessoas conhecedoras do negócio tratado pelo
sistema.
4.2.3.4 Tratamento de Mensagens
Por fim, o aplicativo deve oferecer um tratamento adequado às

mensagens de um modo geral, tanto as mensagens de erro quanto as mensagens
de natureza informativa.
No tratamento de erros, as mensagens devem ser claras e indicar
objetivamente a natureza do problema de modo a facilitar o diagnóstico e a correção
do erro. O aplicativo deve ser capaz de suspender o processamento até que uma
45
ação seja tomada, ou seja, a revisão ou correção do dado de entrada ou

processamento.
4.2.3.5 Controles Criptográficos
A criptografia pode desempenhar um importante papel na proteção da

informação e da comunicação. A ISO 27002 recomenda que seja considerado o
desenvolvimento e implementação de controles criptográficos com o propósito de
proteger a informação no âmbito do desenvolvimento de sistemas aplicativos,
incluindo o gerenciamento das chaves e os procedimentos para determinar o nível
adequado de proteção criptográfica.
A criptografia visa proteger:

a) Confidencialidade: proteção da informação crítica nos meios de
armazenamento e em processo de transmissão de um computador para
outro;
b) Integridade/autenticidade: impedir e detectar alterações indevidas em
dados (intencionais ou acidentais);
c) Não repúdio: verificar a autenticidade da ocorrência ou não ocorrência de
um evento ou ação.
Beal (2005, p. 100) lembra que processos criptográficos não são 100%
seguros pois os algoritmos podem ser quebrados e que diferentes técnicas de
criptografia oferecem diferentes níveis de segurança.
4.2.3.6 Segurança dos Arquivos do Sistema
Neste tópico a norma trata sobre os cuidados necessários sobre os

diversos arquivos de software utilizados pela organização.
46
A principal medida para prevenir o acesso indevido aos arquivos do

sistema é feita através do controle de acesso lógico implementado através das redes
de computadores.
Os ativos a serem protegidos dentro do contexto de Arquivos do Sistema

são:
a) Programas Fonte e Objeto: a norma recomenda que o acesso ao
código-fonte dos aplicativos seja restrito e controlado para minimizar a
introdução de funcionalidade não autorizada e evitar mudanças não
intencionais. Recomenda que qualquer alteração no código fonte de um
aplicativo esteja atrelado a procedimentos de controle de mudanças e
controle de versões;
b) Arquivos de Dados: as bases de dados, arquivos ou transações de

banco de dados devem ser protegidos para evitar que os dados sejam
removidos ou modificados sem autorização. A norma também trata da
proteção dos dados de teste ressaltando a preocupação da equipe de
desenvolvimento em criar uma massa de testes que seja o mais fiel
possível aos dados de produção. Deste modo, a norma recomenda que
estes dados sejam tão protegidos quanto possível já que podem conter
informações confidenciais e, quando finalizados os testes, sejam
removidos do ambiente de testes;
c) Utilitários e Sistema Operacional: a norma recomenda que as

atualizações dos sistemas operacionais e utilitários, tais como
compiladores, softwares de manutenção e diagnóstico sejam realizadas
por profissional especializado. Orienta que a organização adote apenas
softwares homologados pela área de TI após a realização de testes
extensivos e bem-sucedidos. Os testes devem envolver aspectos de
segurança, efeitos sobre outros sistemas e utilização. A fragilidade do
sistema operacional pode comprometer a segurança de todo o conjunto de
aplicativos. Recomenda a separação da área dos utilitários da área dos
47
aplicativos, assim como a remoção do ambiente de TI de todos os

utilitários que não estejam em uso.
4.2.3.7 Segurança em processos de desenvolvimento e de suporte
Neste tópico a ISO 27002 trata, principalmente, sobre o controle de

mudanças nos ambientes de projeto e suporte. Ela recomenda a aprovação formal
das mudanças propostas, o controle de versões de software e procedimentos que
garantam o mínimo de impacto possível para as atividades da organização. Prevê a
documentação atualizada de qualquer alteração realizada no sistema. Há uma
categoria específica que trata do controle de mudanças nos recursos de
processamento da informação. É recomendável que os procedimentos de controle
de mudanças sejam integrados sempre que possível.
Cuidados referentes ao controle de mudanças do ambiente computacional

em geral:
a) Identificação e registro das mudanças significativas;
b) Planejamento e testes das mudanças;
c) Avaliação do impacto potencial das mudanças;
d) Procedimento formal de aprovação das mudanças propostas;
e) Comunicação dos reflexos das mudanças para todos os envolvidos;
f) Procedimentos e indicação de responsáveis para a interrupção das
mudanças e recuperação em caso de insucesso ou na ocorrência de
eventos inesperados.
Cuidados referentes ao controle de mudanças em processos de

desenvolvimento e suporte em particular:
a) Manutenção de um registro dos níveis acordados de autorização;
b) Garantia de que as mudanças sejam submetidas por usuários autorizados;
c) Análise crítica dos procedimentos de controle e integridade para assegurar
que as mudanças não os comprometam;
48
d) Identificação de todo software, informação, entidades em bancos de dados

e hardware que precisam de emendas;
e) Aprovação formal para a proposta das mudanças antes da
implementação;
f) Aceitação das mudanças por usuários autorizados antes da
implementação;
g) Atualização da documentação do sistema após a conclusão de cada
mudança e de que a documentação antiga seja arquivada ou descartada;
h) Manutenção do controle de versão de todas as atualizações de softwares;
i) Manutenção de uma trilha para auditoria de todas as mudanças
solicitadas;
j) Garantia de que toda a documentação operacional e procedimentos dos
usuários sejam alterados conforme necessário;
k) Garantia de que as mudanças sejam implementadas em horários
adequados.
Por impactarem no ambiente operacional, a norma recomenda que as

mudanças de softwares sejam testadas em ambiente diferente dos ambientes de
produção e de desenvolvimento pois fornece uma proteção adicional à informação
operacional utilizada para fins de teste. Isto também vale para correções, aplicações
de patches e outras atualizações.
O controle de versão é uma variável importante para o correto
funcionamento das aplicações, pois é uma garantia de que todos os usuários
utilizam a mesma versão de um software ou aplicativo. A versão mais atual de um
aplicativo deve ser armazenada em uma biblioteca de programas com acesso
controlado e distribuída para todos os usuários.
4.2.3.8 Gestão de vulnerabilidades técnicas
A gestão de vulnerabilidades técnicas envolve a avaliação das

fragilidades técnicas dos sistemas de informação que expõem a organização a
riscos indesejados.
49
A norma recomenda, como ponto de partida, que seja feito um inventário

dos ativos de informação de modo a identificar os aplicativos e softwares em uso
pela organização e avaliar o grau de vulnerabilidade de cada um. A partir daí, será
possível implementar medidas de proteção àqueles que a organização considera
como sensíveis, críticos e de alto risco. Além destas medidas, a norma sugere que
sejam estabelecidas as funções e responsabilidades para o monitoramento de
vulnerabilidades, a análise de riscos de vulnerabilidades, patches, acompanhamento
dos ativos e outras medidas necessárias para minimizar ou eliminar a
vulnerabilidade técnica.
Um inventário completo e atualizado dos ativos de informação é um pré-
requisito para uma gestão efetiva de vulnerabilidade técnica.
50
5 CONCLUSÃO
O entedimento retirado ao término deste trabalho é de que existem alguns

pré-requisitos essenciais que devem ser observados para a efetiva implementação
de qualquer modelo de metodologia relativa à segurança da informação.
O primeiro refere-se ao estabelecimento de controles organizacionais que
criem a cultura da segurança no âmbito da organização.
O segundo diz respeito ao comprometimento da alta administração no que
tange à compra e ao patrocínio da idéia de uma política de segurança da informação
alinhada com o planejamento estratégico. Esta PSI deve apontar os ativos que a
organização considera importantes que sejam resguardados, além de definir os
responsáveis pela sua execução.
Finalmente, o terceiro pré-requisito está relacionado à efetiva atuação do
controle interno para a garantia de que os controles organizacionais estão sendo
respeitados pelos colaboradores.
A ISO 27002 recomenda que a organização avalie quais os ativos devem
ser resguardados de modo que a segurança seja estabelecida aos poucos, de
acordo com os recursos (financeiros e humanos) disponíveis.
No âmbito do Tribunal de Contas do Estado do Rio Grande do Sul é
importante a criação de uma comissão permanente da segurança cujos membros
não seriam afetados pelas trocas de gestão. Além de representantes da área de TI,
esta comissão também poderia compôr representantes da área de controle interno,
do escritório de projetos e da área de controle e fiscalização. Os servidores
escolhidos como representantes de suas áreas de atuação deverão estar
comprometidos com a atividade da segurança, assim como com a preocupação de
disseminá-la nesta Corte de Contas.
Ciente da crescente demanda da figura do Auditor em Sistemas de
Informação que possa efetivamente auxiliar na Auditoria tradicional, esta comissão
da segurança deverá iniciar a discussão, para a consequente definição, de uma
metodologia eficiente e eficaz para implementação da Auditoria em Sistemas de
Informação nos jurisdicionados.
51
REFERÊNCIAS
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Tecnologia da Informação:

Técnicas de Segurança: Código de prática para a gestão da segurança da
informação: NBR ISO/IEC 27002:2005. Rio de Janeiro, 2005.
BEAL, Adriana. Segurança da Informação: Princípio e Melhores Práticas para a

proteção dos Ativos de Informação nas Organizações. 1º edição. São Paulo:
Atlas, 2005.
CASSARO, Antônio Carlos. Controles Internos e Segurança de Sistemas. 1º

edição. São Paulo: LTR, 1997.
DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. 1º edição.

Rio de Janeiro: Axcel Books, 2000.
FACULDADE ASSIS GURGACZ. Balanced Scorecard. Gerência Estratégica

(Segundo Bimestre). Disponível em
http://www.fag.edu.br/professores/rozane/Balanced%20Scorecard.ppt#5 Acesso em 27 out 2007.
IMONIANA, Joshua Onome. Auditoria de Sistemas de Informação. 1º edição. São

Paulo: Atlas, 2005.
RAMOS, Anderson (Org). Security Officer: Guia Oficial para Formação de

Gestores em Segurança da Informação: 1º edição. Porto Alegre: Zouk, 2006.
TRIBUNAL DE CONTAS DA UNIÃO (Brasil). Secretaria-Geral de Controle Externo.

Secretaria de Fiscalização de tecnologia da Informação. Boas Práticas em
Segurança da IInformação. 2º edição. Brasília, 2007.
TRIBUNAL DE CONTAS DA UNIÃO (Brasil). Secretaria-Geral de Controle Externo.

Secretaria de Auditoria e Inspeções. Manual de Auditoria de Sistemas. Brasília,
1998.
52
GLOSSÁRIO
AMEAÇA: causa potencial de um incidente indesejado, que pode resultar em dano

para um sistema ou organização.
ANÁLISE DE RISCOS: uso sistemático de informações para identificar fontes e

estimar o risco.
AVALIAÇÃO DE RISCOS: processo de comparar o risco estimado com critérios de

risco pré-definidos para determinar a importância do risco
ANÁLISE E AVALIAÇÃO DE RISCOS (AAR): processo completo de análise e

avaliação de riscos. Faz parte da Gestão de Riscos e trata da indentificação dos
riscos e seus elementos: alvos, agentes, ameaças, vulnerabilidades e impactos.
ATIVO: qualquer coisa que tenha valor para a organização.
ATIVOS DE INFORMAÇÃO: qualquer dado ou informação a que esteja associado

um valor para o negócio. Representam ativos de informação as informações
relevantes mantidas na mente dos tomadores de decisão, em bases de dados,
arquivos de computador, documentos e planos registrados em papel, etc. BEAL,
Adriana. Segurança da Informação. 1º ed. São Paulo: Atlas, 2005. p. Introdução e
Visão geral.
CONFORMIDADE LEGAL: como parte da Gestão de Riscos, o atendimento e

conformidade legal visam garantir a perenidade e resiliência da Empresa, de
maneira a competir nos mercados locais e globais. O principal benefício deste tipo
de ação é o gerenciando adequada do impacto relativo a requisitos regulatórios na
rotina da Empresa, balanceando seus investimentos em Conformidade e Auditoria
com riscos presentes e futuros, nos âmbitos tributários, cíveis, trabalhistas,
financeiros e de imagem da Empresa.
53
CONTROLE: forma de gerenciar o risco, incluindo políticas, procedimentos,

diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza
administrativa, técnica, de gestão ou legal.
DIRETRIZ: descrição que orienta o que deve ser feito e como, para se alcançarem
os objetivos estabelecidos nas políticas.
FEEDBACK: na teoria dos sistemas é o procedimento através do qual parte do sinal

de saída de um sistema (ou circuito) é transferida para a entrada deste mesmo
sistema, com o objetivo de diminuir, amplificar ou controlar a saída do sistema. Este
processo é chamado de .retroalimentação ou realimentação. Nas organizações,
feedback é o procedimento que consiste no provimento de informação à uma pessoa
sobre o desempenho, conduta ou eventualidade executada por ela e objetiva
reprimir, reorientar e/ou estimular uma ou mais ações determinadas, executadas
anteriormente¹
FRAMEWORKS: são metodologias estruturadas para a implementação de padrões

técnicos.
GESTÃO DE RISCOS: atividades coordenadas para direcionar e controlar uma

organização no que se refere a riscos.
GOVERNANÇA DE TI: são controles de processos e procedimentos através da

implementação de um framework de responsabilidades para estimular
comportamentos desejáveis e éticos na utilização de TI.
PERSONAL DIGITAL ASSISTANT (PDA): Assistente Digital Pessoal, é um

computador de bolso.
POLÍTICA: inteções e diretrizes globais formalmente expressas pela direção.
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (PSI): é um conjunto de

documentos que descreve quais são os princípios e as diretrizes ligadas a
54
Segurança da Informação adotados pela organização e que devem ser observados

pelos seus colaboradores e aplicados a todos os sistemas e processos corporativos
e, principalmente, deve estar alinhado às estratégias da organização.
RISCO: combinação da probabilidade de um evento e de suas consequências.
SEGURANÇA DA INFORMAÇÃO (SI): preservação da confiabilidade, da

integridade e da disponibilidade da informação; adicionalmente, outras propriedades,
tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem
também estar envolvidas.
TECNOLOGIA DA INFORMAÇÃO (TI): solução ou conjunto de soluções

sistematizadas baseadas no uso de métodos, recursos de informática, de
comunicação e de multimídia que visam a resolver problemas relativos à geração,
tratamento, processamento, armazenamento, veculação e reprodução de dados, e a
subsidiar processos que convertem dados em informação.
TRATAMENTO DO RISCO: processo de seleção e implementação de medidas para
modificar um risco.
VULNERABILIDADE: fragilidade de um ativo ou grupo de ativos que pode ser

explorada por uma ou mais ameaças.

Auditoria em Sistemas de Informacao e A Aplicacao Da No

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Auditoria em Sistemas de Informacao e A Aplicacao Da No

Enviado por

Direitos autorais:

Formatos disponíveis

ESTADO DO RIO GRANDE DO SUL

TRIBUNAL DE CONTAS DO ESTADO

CURSO DE ESPECIALIZAÇÃO EM GESTÃO PÚBLICA E

AUDITORIA EM SISTEMAS DE INFORMAÇÃO

Elaine Candido da Silva

O avanço tecnológico, a crescente complexidade dos ambientes computacionais, o

Palavras Chave: NBR ISO/IEC 27002:2005. Segurança da Informação. Sistemas

Technological advances, the increasing complexity of computational

Keywords: NBR ISO/IEC 27002:2005. Information Security. Applications Systems.

Quadro 1 – Alinhamento Estratégico: Documentos da PSI X Nível de Atuação ...................................37

AAR Análise e Avaliação de Riscos

2 CONCEITOS DE AUDITORIA E SISTEMAS DE INFORMAÇÃO......................................................... 13

2.1 AUDITORIA ............................................................................................................................................ 13

3.1 CONCEITOS ............................................................................................................................................ 19

4 ÁREAS DE CONTROLE DA ISO/IEC 27002 E A APLICABILIDADE NA POLÍTICA E GESTÃO DA

4.1 A ISO 27002 E SUAS ÁREAS DE CONTROLES.......................................................................................... 26

Em uma época em que a tecnologia da informação está inserida em todas

2 CONCEITOS DE AUDITORIA E SISTEMAS DE INFORMAÇÃO

O conceito genérico de auditoria relaciona-se com o exame das

Auditoria é uma função de assessoria à alta administração que, mediante a

2.2 SISTEMAS DE INFORMAÇÃO

Para um melhor entendimento do que é um sistema de informação, é

2.2.1 Dado X Informação

Dados são os fatos de uma forma primária, tais como: nome de um

A transformação de dados em informação é um processo ou uma série

Sistemas é um conjunto de elementos inter-relacionados com o objetivo

b) Processamento: processo de transformação que converte a entrada em

2.3 AUDITORIA EM SISTEMAS DE INFORMAÇÃO

A auditoria em sistemas de informação é um tipo de auditoria operacional

2.3.1 Controle Interno na Auditoria de Sistemas de Informação

O termo controle supõe a fiscalização exercida sobre atividades, pessoas,

com determinadas normas, regulamentações, regras ou padrões preestabelecidos.

Os objetivos de controle são metas de controle a serem alcançadas, ou

Já tendo conceituado o termo controle, podemos dizer que controle

O sistema de controle interno compreende o plano de organização e o

escopo, podemos afirmar que o controle de natureza contábil preocupa-se com a

Os controles de natureza administrativa preocupam-se com a eficiência e

2.3.2 Internet: um desafio

A internet é um desafio crescente para os gestores de TI, pois à medida

A internet fez surgir outros dispositivos que dividem espaço com os

De forma bem resumida, saímos de uma situação em que informações

Assim sendo, as empresas devem estar preparadas para lidar com

Dentro de uma organização a segurança8 deve ser aplicada a tudo aquilo

A Segurança da Informação são procedimentos que visam proteger os

Cada organização terá critérios próprios para identificar e priorizar os

3.2 GESTÃO DE RISCOS EM SEGURANÇA DA INFORMAÇÃO

Risco é a medida da exposição a qual um ativo está sujeito, depende da

b) Ameaça: é a expectativa de acontecimento acidental ou proposital,

Gestão do Risco é um conjunto de processos que permite às organizações

A gestão do risco possui várias etapas cíclicas que minimizam a

3.3 NORMAS E PADRÕES DE SEGURANÇA

Conhecer e avaliar os riscos deixou de ser uma necessidade técnica para

Normas e padrões técnicos representam uma referência importante para a

Existem diversas metodologias (ou frameworks), padrões e

variar de empresa para empresa e, mais importante do que a certificação, é o

3.3.1 NBR ISO/IEC18 27001:2005 - Information Security Management Systems –

A ISO 27001 é uma norma que trata da Gestão da Segurança da

Áreas de controle da ISO 27001:

3.3.2 NBR ISO/IEC 27002:2005 - Code of Practice for Information Security

A ISO 27002 é um conjunto de recomendações e de boas práticas para

Áreas de controle da ISO 27002:

4 ÁREAS DE CONTROLE DA ISO/IEC 27002 E A APLICABILIDADE NA

Alinhados com a proposta para a criação de uma metodologia que auxilie