AUDITORIA DE TI

Faculdade de Minas

Sumário

TECNOLOGIA DIGITAL ................................................................................. 4

CONCEITO DE AUDITORIA .......................................................................... 5

AUDITORIA NO BRASIL ................................................................................ 7

AUDITORIA DA INFORMAÇÃO ..................................................................... 8

DEFINIÇÃO DE SEGURANÇA DA INFORMAÇÃO ...................................... 11

PROCESSOS DE AUDITORIA..................................................................... 15

COBIT 4.1 .................................................................................................... 20

SEGURANÇA EM APLICAÇÕES WEB ........................................................ 22

APLICAÇÃO DOS PRINCIPIOS BÁSICOS DA SEGURANÇA DA

INFORMAÇÃO NOS PROCESSOS DE AUDITORIA ............................................. 26

REFERENCIAS ............................................................................................ 27

2
 Faculdade de Minas

FACUMINAS

A história do Instituto Facuminas, inicia com a realização do sonho de um

grupo de empresários, em atender a crescente demanda de alunos para cursos de
Graduação e Pós-Graduação. Com isso foi criado a Facuminas, como entidade
oferecendo serviços educacionais em nível superior.

A Facuminas tem por objetivo formar diplomados nas diferentes áreas de

conhecimento, aptos para a inserção em setores profissionais e para a participação
no desenvolvimento da sociedade brasileira, e colaborar na sua formação contínua.
Além de promover a divulgação de conhecimentos culturais, científicos e técnicos
que constituem patrimônio da humanidade e comunicar o saber através do ensino,
de publicação ou outras normas de comunicação.

A nossa missão é oferecer qualidade em conhecimento e cultura de forma

confiável e eficiente para que o aluno tenha oportunidade de construir uma base
profissional e ética. Dessa forma, conquistando o espaço de uma das instituições
modelo no país na oferta de cursos, primando sempre pela inovação tecnológica,
excelência no atendimento e valor do serviço oferecido.

3
 Faculdade de Minas

TECNOLOGIA DIGITAL

O avanço da Tecnologia da Informação(TI) dentro do ambiente

organizacional tem colocado em evidência o valor que o bem informação tem em
relação aos objetivos da empresa. Em contraponto, busca-se proteger e garantir a
segurança para sua efetiva utilização com a finalidade de atender as necessidades
de gestores.

Segundo Fontes (2006), define-se como segurança da informação o conjunto

de orientações, normas, procedimentos, políticas e demais ações para que o
recurso informação esteja protegido. A segurança da informação existe com a
finalidade de diminuir o risco que um determinado negócio apresenta em relação à
dependência do seu uso para o funcionamento da organização.

De acordo com Rorrato e Dias (2014), cuidados devem ser tomados de tal
forma que se possa verificar a integridade e garantir que os dados estejam
protegidos. A auditoria constitui-se como uma forma eficiente de manter um
ambiente seguro.

Segundo Lento e Guimarães (2012), em termos gerais a auditoria pode ser

compreendida como a atribuição responsável pela fiscalização dos processos, tendo
como função verificar se eles estão sendo executados de forma constante e correta
e se os mesmos são independentes. Aplicada seguindo métodos preestabelecidos,
a auditoria verifica e garante que o objeto auditado está de acordo com o estipulado.

Na área de TI, todos os processos podem e devem ser auditados, desde a

decisão sobre tecnologias a serem adotadas, desenvolvimento de sistemas,
integração entre sistemas, comunicação entre máquinas, mudanças de sistemas e
tecnologias, equipe de desenvolvimento, prioridades, controles organizacionais,
legalidade jurídica, bem como os resultados. A auditoria no setor TI é
imprescindível, haja vista que, hoje, muitas organizações param de operar pelo fato
de a tecnologia de TI adotadas deixar de funcionar.

Com base no conceito de auditoria em Tecnologia da Informação e tendo em

vista a sua importância, este artigo constitui-se de uma revisão bibliográfica voltada

4
 Faculdade de Minas

aos principais aspectos de segurança em ambientes web, através da análise de

vulnerabilidades encontradas e impactos gerados pela inoperabilidade de seus
serviços. A partir da revisão, foi elaborada uma pesquisa experimental, através da
qual se propôs as adequações necessárias para a correção das falhas encontradas.

CONCEITO DE AUDITORIA

Quando o assunto é auditoria, automaticamente há uma associação com a

contabilidade, pois é um termo muito mais utilizado por profissionais da área
contábil. Entretanto, conforme Botha e Boon (2004), é possível encontrar no mundo
comercial diferentes tipos de auditorias, como a Auditoria da Comunicação,
Auditoria Financeira, Auditoria Técnica, Auditoria da Informação, etc. Cada auditoria
possui suas finalidades próprias e deve atender normas e regras especificas de
cada organização.

A auditoria possui como objetivo principal diagnosticar, descobrir e verificar

recursos da organização. Também pode ser considerada um mecanismo de
controle, assim como apresentar a realidade da organização e confrontar com os
padrões que a organização havia pré-estabelecido e então apontar possíveis
soluções para eventuais divergências identificadas.

Segundo Carneiro (2004), o conceito de auditoria pode ser citado como um

estudo crítico que tem o objetivo de avaliar a eficácia e eficiência de um
departamento ou uma instituição. Dito de outro modo, toda e qualquer auditoria é a
atividade que consiste na emissão de uma opinião profissional sobre o objeto de
análise, a fim de confirmar se cumpre adequadamente as condições que lhe são
exigidas (CARNEIRO, 2004).

Para Neto e Solonca (2007), a auditoria é uma atividade que reúne a análise
das operações, processos, sistemas e responsabilidades gerenciais de uma
determinada entidade, com o intuito de validar sua conformidade com certos
objetivos e políticas institucionais, regras, orçamentos, normas ou padrões.

5
 Faculdade de Minas

segundo Baruque e Santos (2010), no Egito antigo, autoridades

providenciavam averiguações independentes nos registros de arrecadações de
impostos. Na Grécia, eram realizadas inspeções nas contas de funcionários
públicos através da comparação de gastos com autorizações de pagamentos. Já os
nobres castelos medievais ingleses indicavam auditores que revisavam os registros
contábeis e relatórios preparados pelos criados.

Purpura (2008), afirma que a auditoria de empresas começou com a

legislação britânica decretada durante a revolução industrial, em meados do século
XIX. Progressos na tecnologia industrial e de transporte fomentaram novas
economias de escala, empresas maiores, o aparecimento de administradores
profissionais e o crescimento da ocorrência de situações em que os donos de
empresas não estavam presentes nas ações diárias da corporação. No início da
auditoria, este serviço tinha que ser feito por acionistas que não eram
administradores das empresas.

Na época em que as informações eram armazenadas apenas em papel, a

segurança era relativamente simples. Bastava trancar os documentos em
algum lugar e restringir o acesso físico àquele local. Com as
transformações tecnológicas e o uso de computadores de grande porte, a
estrutura de segurança já ficou um pouco mais sofisticada, englobando
controles lógicos, porém ainda concentrados. (TCU, 2012, p.7)

Singleton (2011) informa que auditores de TI vem realizando contribuições

desde o começo da era de TI, quando empresas e órgãos governamentais
passaram a utilizar o computador para aspectos financeiros.

Neto e Solonca (2007) afirmam que o bem mais precioso de uma empresa
pode não ser o produzido pela sua linha de produção ou o serviço prestado, mas as
informações relacionadas com este bem de consumo ou serviço. Ao longo da
história, o ser humano sempre buscou o controle das informações que lhe eram
relevantes de alguma forma. O que mudou desde então foram as formas de
registros e armazenamento das informações. Se na pré-história e até mesmo nos
primeiros milênios da idade antiga o principal meio de armazenamento e registro de
informações era a memória humana, com o início dos primeiros alfabetos isto
começou a mudar. Mas foram somente nos últimos dois séculos que as informações
passaram a ter importância essencial para as organizações humanas.

6
 Faculdade de Minas

Ainda para Neto e Solonca (2007), atualmente, não há organização humana

que não seja altamente dependente da tecnologia de informações, em maior ou
menor grau. E o grau de dependência agravou-se muito em função da tecnologia de
informática, que possibilitou acumular grandes quantidades de informações em
espaços restritos. O meio de registro é, ao mesmo tempo, meio de armazenamento,
meio de acesso e meio de divulgação. Esta característica traz efeitos graves para as
organizações, por facilitar os ataques de pessoas não autorizadas.

Complementa-se com a afirmação de Baruque e Santos (2010) que, a

dependência da TI torna-se cada vez mais crítica, em uma economia baseada no
conhecimento, onde as organizações usam a tecnologia para gerenciar,
desenvolver e reportar sobre ativos intangíveis, tais como informação e
conhecimento. O êxito da empresa só pode ser alcançado quando tais ativos são
seguros, precisos, confiáveis e proporcionados no tempo certo à pessoa certa. Tal
dependência da TI implica uma grande vulnerabilidade que é inerente aos
ambientes complexos de TI. Ameaças, tais como erros e omissões, abusos, crimes
cibernéticos, fraudes, bem como sistemas indisponíveis custam muito caro para
qualquer organização.

AUDITORIA NO BRASIL

No país, há relatos mais significativos a partir da Segunda Guerra Mundial,

que foi quando o país começou a receber empresas multinacionais, muitas das
quais já contavam com a área de auditoria e com o crescimento do mercado de
trabalho. Houve uma necessidade das empresas para se ter um maior controle
sobre suas informações e para preservar a segurança de dados, o que levou à
instauração da área de auditoria e à exigência de que tudo fosse conferido por
esses profissionais.

Há duas formas de praticar a auditoria: interna e externamente. Ambas as

formas dependem das necessidades da sua empresa, sendo levado em conta

7
 Faculdade de Minas

desde o tamanho da corporação até onde ela quer atingir. Empresas grandes,
normalmente, precisam das duas para passar maior credibilidade aos seus clientes,
associados e acionistas.

1. Auditoria interna: é realizada por um departamento interno, responsável

pela verificação e avaliação dos sistemas e procedimentos internos da empresa. Um
de seus objetivos é de garantir o cumprimento de normas e políticas, reduzindo a
probabilidade de ocorrência de fraudes, erros e práticas ineficientes ou ineficazes.

2. Auditoria externa: é realizada por uma empresa externa e independente

da organização que será fiscalizada, sem vínculo algum com ela. O objetivo é emitir
resultados das análises sobre a gestão de recursos da empresa, sobre sua situação
financeira e sobre a legalidade e a regularidade de suas operações.

A auditoria de TI tem o intuito de buscar transparência na área diante da

organização e mostrar que os processos da empresa estão de acordo com as leis e
que não há fraudes neles. Ela existe, sobretudo, para que você tenha controle do
que acontece dentro da sua empresa, deixando sempre “tudo em ordem”.
Certificando que os recursos da TI e os objetivos do negócio sejam alcançados em
conformidade com as leis e regras que o regulamenta, a auditoria de TI é um
processo adequadamente protegido para prover informação confiável no momento
certo e às pessoas certas.

AUDITORIA DA INFORMAÇÃO

Para Henczel (2000), a auditoria da informação tem por objetivos analisar a

situação atual da informação e ajudar a refletir sobre o melhoramento do seu fluxo
dentro da organização. Uma auditoria de informação focaliza os recursos, os
usuários e as suas necessidades de informação.

O objetivo de uma auditoria da Informação deve ser o de ajudar a

organização a contar com a informação correta, no tempo certo, para a pessoa certa
e por um custo justo. Aumatell (2003), destaca que a importância de incorporar a

8
 Faculdade de Minas

prática de auditoria de informações como um padrão na gestão estratégica de ativos

e funções informativas e serviços de informação de qualquer organização.

A maioria das organizações, recebem, processam, armazenam e produzem

também muitas informações, citado por Dante (1998), de o “ciclo da Informação” e
isto não mudará no futuro próximo, ao contrário, tende a crescer cada vez mais com
a utilização contínua da Internet e das redes digitais internas e externas .

Uma auditoria de informação traz grandes benefícios, pois diagnostica e

identifica os pontos fortes e fracos sobre como a informação flui dentro da
organização. Ao mesmo tempo, ela auxilia no foco e na atenção da equipe quanto
ao valor e aos benefícios do uso e da partilha da informação, CEDRON SNI (2006).

A partir da comparação das etapas a autora apresentou as diversas etapas

da auditoria da informação por meio de um ciclo (figura 1), e considerou os demais
processos de auditoria, desta forma não se limitando somente a auditoria da
informação, ressaltando a necessidade de se considerar as demais auditorias como
um processo continuo, visando sempre à melhoria dos processos em questão.

9
 Faculdade de Minas

O ciclo inicia com a etapa de “planejamento”, tem como finalidade apresentar

um plano de como a auditoria deverá ser executada, desde aspectos relacionados à
compreensão e revisão de práticas destinadas aos fluxos de informação, aspectos
de custos e tempo para execução, definição do método para a ação, todos visando
minimizar os erros e problemas durante a execução da auditoria da Informação.

A segunda etapa é a “Coleta e análise das necessidades do ambiente”, a

qual deve fornecer todas as informações pelas quais será possível conhecer a
organização ou o setor que deseja atuar, Vieira (2010), considera essa etapa crucial
para o andamento das demais, pois ela aponta os possíveis problemas existentes
na organização.

A próxima etapa apresentada é o “Mapeamento dos recursos de informação”,

essa etapa objetiva fornecer um inventário dos recursos de informação, onde é
possível verificar sua utilização de acordo com as necessidades identificadas, assim
como os padrões adotados pela organização.

A etapa “Análise crítica dos dados coletados”, tem como intenção final avaliar
os requisitos coletados, comparando com os recursos informacionais já existentes e
a partir daí apresentar soluções que se façam necessários para preencher as
lacunas existentes.

Na penúltima etapa “Relatório”, deve ser apresentado todas as não

conformidades encontradas, assim como a soluções passiveis de execução para
empresa em questão. Também é nesta etapa que se decide a forma de ser
entregue e/ou apresentar a auditoria e quem terá acesso a mesma.

Por fim a etapa “Recomendações”, apresentado no ciclo das etapas de

auditoria por Vieira (2010), pelo fato de ser estudado por Henczel e CEDROM- SNI
(2006). Essa etapa sugere possíveis medidas para a resolução dos problemas
apontados na etapa relatório, e pretende sugerir um roteiro de sugestões e
modificações, para ser apresentado e aceito pelo proprietário da informação, essas
recomendações devem ser elaborados pensando nos “problemas” apresentados.

10
 Faculdade de Minas

DEFINIÇÃO DE SEGURANÇA DA INFORMAÇÃO

A ABNT NBR ISO/IEC 27002 (2005), define segurança da informação como

sendo a proteção contra vários tipos de ameaças, garantindo a continuidade e
minimizando o risco do negócio.

Ainda, segundo a ABNT NBR ISO/IEC 27002 (2005), a segurança da

informação é adquirida a partir da implantação de um conjunto de controles
apropriados, incluindo políticas, processos, procedimentos, estruturas
organizacionais e funções de software e hardware. Estes controles precisam ser
estabelecidos, implantados, monitorados, analisados criticamente e melhorados,
onde necessário, para garantir que os objetivos do negócio e de segurança da
organização sejam atingidos.

Conforme descrito na ABNT NBR ISO/IEC 27002 (2005), muitos sistemas de

informação não foram projetados para serem seguros. A segurança da informação
que pode ser obtida por meios técnicos é limitada e deve ser amparada por uma
gestão e por procedimentos adequados. A identificação de controles a serem
implantados requer um planejamento cuidadoso e uma atenção aos detalhes.

Segurança da informação segundo Beal (2005), é o processo de proteção da

informação das ameaças a sua integridade, disponibilidade e confidencialidade.
Sêmola (2003), define segurança da informação como uma área do conhecimento
dedicada à proteção de ativos da informação contra acessos não autorizados,
alterações indevidas ou sua indisponibilidade.

A ABNT NBR ISO/IEC 27002:2005, em sua seção introdutória, define

segurança da informação como “a proteção da informação de vários tipos de
ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio,
maximizar o retorno sobre os investimentos e as oportunidades de negócio”. Assim,
podemos definir segurança da informação como a área do conhecimento que visa à
proteção da informação das ameaças a sua integridade, disponibilidade e
confidencialidade e autenticidade, a fim de garantir a continuidade do negócio e
minimizar os riscos, Figura 2.

11
 Faculdade de Minas

Atualmente o conceito de segurança da informação está padronizado pela

norma ISO/IEC 27002:2005, influenciada pelo padrão inglês (British Standard) BS
7799. A série de normas ISO/IEC 27000, foram reservadas para tratar de padrões
de segurança da informação, incluindo a complementação ao trabalho original do
padrão inglês. A ISO/IEC 27002:2005 continua sendo considerada formalmente
como 17799:2005 para fins históricos.

Confidencialidade

Para Beal (2005), a confidencialidade é a garantia de que o acesso à

informação é restrito aos seus usuários legítimos, ou seja, quando uma informação
representa uma vantagem de mercado, um diferencial competitivo, diz-se que a
informação possui um valor de restrição, a ser mantido por meio de preservação de
sua confidencialidade.

No âmbito da administração pública federal, o decreto nº 4.553/2002

classifica os documentos públicos em 4 categorias sendo um deles de confidencias,
que são aqueles que, no interesse do Poder Executivo e das partes, devem ser de
conhecimento restrito, e cuja revelação não autorizada possa frustrar seus objetivos
ou acarretar dano à segurança da sociedade e do estado.

12
 Faculdade de Minas

Segundo Ferreira (2003), a informação dever ser protegida, independente da

mídia que a mesma esteja contida, como por exemplo, documentos impressos ou
mídia digital. Que além de cuidar da informação como uma todo também deve-se
preocupar com a proteção de partes de informação que podem ser utilizadas para
interferir sobre o todo. Beal (2005), apresenta um exemplo de classificação da
informação quanto aos requisitos de confidencialidade mostrado no quadro 2.

Integridade

Garantia da criação legítima e da consistência da informação ao longo do seu

ciclo de vida: em especial, prevenção contra criação, alteração ou destruição não
autorizada de dados e informações. A integridade consiste em proteger a
informação contra modificação sem a permissão explícita do proprietário.
“Proprietário da informação é o executivo de negócio ou gerente de uma
determinada área responsável pelos ativos da informação da organização.”
(Ferreira, 2003, pg. 25).

Dados e informações perdem sua integridade em tentativas de fraudes,

quanto maior for o impacto para a organização da perda de integridade de uma
informação, maior o investimento a ser feito em controles para prevenir, detectar e
corrigir a produção errada ou a alteração indevida de informações. (Beal, 2005, pg.
67).

A integridade pode ser definida como de: alta exigência de integridade, que é
a criação com erro ou alteração indevida e assim comprometer as operações e

13
 Faculdade de Minas

objetivos da organização, acarretando em descumprimentos de leis, prazos e

normas, levando a mesma ter prejuízos; de média exigência de integridade, onde a
criação com erro ou alteração indevida das informações não compromete as
operações nem traz impactos muitos grandes, apenas pode causar algum tipo de
prejuízo; e de baixa exigência de integridade é a criação com erro ou indevida, que
é facilmente detectada e os riscos que oferece são praticamente desprezíveis.

Autenticidade

Para Ferreira (2003), o serviço de autenticação em um sistema deve

assegurar ao usuário que recebe a informação, que a mensagem é realmente
procedente da origem informada em seu conteúdo. A verificação da autenticidade
faz-se necessário após todo processo de identificação, seja do sistema para o
usuário, do usuário para o sistema ou do sistema para outro sistema.

O objetivo da autenticidade é englobado pelo de integridade, quando se

assume que este visa garantir não só que as informações permaneçam completas e
precisas, mais também que a informação capturada do ambiente externo tenha sua
fidedignidade verificada e que a criada internamente seja produzida apenas por
pessoas autorizadas e atribuída unicamente ao seu autor legítimo.

A implementação para o processo de autenticidade geralmente é

implementado a partir de mecanismos de senhas e assinaturas digitais. Beal (2005),
cita que a segmentação dos ativos por característica como: tipo de usuário, tipo de
aplicação, ambiente de uso etc., permite a criação de estratégias diferenciadas de
armazenamentos, controle de acesso, controles e recuperação de serviços, assim
aplica os controles adequados conforme o nível de proteção requerido por cada
segmentação.

Disponibilidade

Garantia de que a informação e os ativos associados estejam disponíveis

para os usuários legítimos de forma oportuna. Beal (2005), apresenta como objetivo
da disponibilidade, o controle de acesso que permite identificar os usuários legítimos
da informação para então liberar o acesso solicitado.

14
 Faculdade de Minas

Quando analisado a disponibilidade é considera-se questões como: “quanto

custa para produzir”, “quanto custa para recuperar” e quais consequências gera
para a organização se a informação não está mais disponível. Conclui-se que a falta
de informações pode afetar a organização e o que deve ser considerado é quanto
tempo levaria para superar esse impacto.

Desta forma a classificação das informações e a ordem de prioridade de

recuperação em caso de indisponibilidade são muito importantes e a organização
deve atribuir a cada categoria as informações conforme o grau de importância do
ativo para a organização. Essa ordem de importância é expressa por Beal (2005),
começando pelas mais importantes categoria 1 e menos importantes categoria 6,
conforme Figura 3.

Considera-se que pode abranger as categorias 1 e 2 informações que exigem

recuperação em um curto espaço de tempo, as quais mesmo indisponíveis em um
curto período podem causar prejuízos inaceitáveis. Nas categorias 2, 3 e 4 cabe
informações com exigência de recuperação em médio espaço de tempo, sendo que
as indisponibilidades temporárias não afetam o desempenho dos processos críticos,
porém que ao longo período de tempo pode causar atrasos ou decisões erradas.
Categoria 5 o tempo de recuperação depende do tipo de informações, é aceitável a
indisponibilidade variada. E a categoria 6 não possui exigência de tempo para
recuperação, pois a perda ou indisponibilidade por períodos longos não traz
consequências negativas consideráveis, seja pela pouca relevância da informação
ou pela facilidade de recuperação da mesma.

PROCESSOS DE AUDITORIA

15
 Faculdade de Minas

Para Neto e Solonca (2007), a crescente utilização de soluções

informatizadas nas distintas áreas de serviços exige maior exposição dos valores e
das informações, além de níveis de segurança adequados. O avanço da tecnologia
da informação, migrando de um ambiente centralizado para um ambiente
distribuído, interligando redes internas e externas, adicionada à revolução da
Internet, modificou a forma de se fazer negócios. Isto fez com que as empresas se
preocupassem mais com o controle de acesso às suas informações bem como a
proteção dos ataques, tanto internos quanto externos.

Ainda para Neto e Solonca (2007), com o advento dos computadores

pessoais e das redes de computadores que são capazes de conectar o mundo
inteiro, os aspectos de segurança atingiram tal complexidade que há a necessidade
de desenvolvimento de equipes cada vez mais especializadas para a sua gerência.

Paralelamente, os sistemas de informação também adquiriram uma suma

importância para a sobrevivência da maioria das organizações modernas, uma vez
que, sem computadores e redes de comunicação, a prestação de serviços de
informação pode se tornar impraticável. Um exemplo prático da afirmação acima é
citado por Neto e Solonca (2007), dizendo que um banco não trabalha exatamente
com dinheiro, mas com 13 informações financeiras relacionadas com valores seus e
de seus clientes. A maior parte destes dados é de natureza sigilosa, por força de
determinação legal ou por se tratar de informações de natureza pessoal, que
inspecionam ou mostram a vida econômica dos clientes, os quais podem vir a sofrer
danos, caso elas sejam levadas a público.

Ainda concluem que, independente do setor da economia em que a empresa

atue, as informações estão relacionadas com seu processo de produção e de
negócio, políticas estratégicas, marketing, cadastro de clientes, etc. Não interessa o
meio físico em que as informações estão armazenadas, elas são de valor
incalculável não só para a empresa que as gerou, como também para seus
concorrentes. Em último caso, mesmo que as informações não sejam sigilosas, na
maioria das vezes elas estão relacionadas às atividades diárias da empresa que,
sem elas, poderia ter complicações.

16
 Faculdade de Minas

Na visão da ISACA (2010), a auditoria de TI é responsável por fazer uma

revisão e avaliação dos riscos do ambiente de trabalho dos sistemas de informação
que suportam os processos de negócio. A atividade da auditoria de TI tem como
intuito ajudar a organização por meio da identificação e avaliação de exposições ao
risco que sejam significativas, bem como contribuir para o avanço dos mecanismos
de gestão de risco e de controle dos sistemas de informação.

No ponto de vista do IIA (2005), a auditoria de TI tem que aferir a capacidade

dos controles dos sistemas de informação para resguardar a organização contra as
ameaças mais relevantes e deve fornecer evidência de que os riscos residuais são
pouco prováveis de causar danos significativos à organização e às suas partes
interessadas, os stakeholders. Segundo Neto e Solonca (2007), os tipos de auditoria
mais comuns são classificados quanto à forma de abordagem, ao órgão fiscalizador
e à área envolvida.

No Figura 4, estão inseridas as classificações dos tipos de auditoria quanto a

forma de abordagem.

Fonte: Neto e Solonca (2007)

No Figura 5, estão inseridas as classificações dos tipos de auditoria quanto a

quanto ao órgão fiscalizador.

17
 Faculdade de Minas

Fonte: Neto e Solonca (2007)

No Figura 6, estão inseridas as classificações dos tipos de auditoria quanto a

quanto a área envolvida.

18
 Faculdade de Minas

Fonte: Neto e Solonca (2007)

Neto e Solonca (2007) afirmam que dependendo da área que será

averiguada, a auditoria pode compreender todo o ambiente de informática ou a

19
 Faculdade de Minas

organização do departamento de informática. Além disso, podem considerar os

controles sobre bancos de dados, redes de comunicação e de computadores, além
de controles sobre aplicativos.

Desta forma, sob o entendimento dos tipos de controles identificados por

Neto e Solonca (2007), os autores também afirmam que a auditoria pode ser
separada em duas grandes áreas:

 Auditoria de segurança de informações: este tipo de auditoria em

ambientes informatizados decide a postura ou a situação da empresa em relação à
segurança das informações. Ela avalia a política de segurança da informação e
também os controles relacionados a aspectos de segurança e controles que
influenciam o bom funcionamento dos sistemas da organização. Tais controles
estão descritos a seguir:
- Avaliação da política de segurança;
- Controles de acesso lógico;
- Controles de acesso físico;
- Controles ambientais;
- Plano de contingência e continuidade de serviços;
- Controles organizacionais; - Controles de mudanças;
- Controle de operação dos sistemas;
- Controles sobre os bancos de dados;
- Controles sobre computadores;
- Controles sobre ambiente cliente-servidor.

 Auditoria de aplicativos: este tipo de auditoria está direcionado para a

segurança e o controle de aplicativos específicos, incluindo aspectos que fazem
parte da área que o aplicativo atende, como: orçamento, contabilidade, estoque,
marketing, RH, etc. A auditoria de aplicativos compreende:
- Controles sobre o desenvolvimento de sistemas e aplicativos;
- Controles de entrada, processamento e saída de dados;
- Controles sobre o conteúdo e funcionamento do aplicativo com
relação à área por ele atendida.

COBIT 4.1

20
 Faculdade de Minas

COBIT, sigla que vem da língua inglesa, Control Objectives For Information
end Relatet Technology, traduzida para o português, Objetivo de Controle para
Tecnologia da Informação e Áreas Relacionadas, trata-se de um agrupamento de
boas práticas com objetivo de dar suporte a governança de TI.

Na visão da ISACA (2010), o COBIT 4.1 é o modelo globalmente aceito que

assegura que a TI esteja alinhada com os objetivos do negócio e que seus recursos
sejam utilizados de maneira responsável e os riscos gerenciados de forma
adequada. O novo modelo representa um aprimoramento do COBIT 4.0 e pode ser
usado para aperfeiçoar o trabalho já realizado com versões anteriores. As
atualizações do COBIT 4.1 incluem um aperfeiçoamento na mensuração de
desempenho, melhorias nos objetivos de controle e melhor alinhamento dos
objetivos de TI e negócios.

Segundo a ISACA (2010), o COBIT auxilia as organizações a diminuírem os

riscos de TI, a aumentarem o valor obtido com a TI e a atenderem às
regulamentações de controle. Por exemplo, o Banco Central do Brasil faz uso do
COBIT como um guia para avaliação de bancos e instituições financeiras, o TCU
(Tribunal de Contas da União) baseia-se no COBIT para seus programas de
auditoria para avaliação de várias entidades nacionais. Esses e outros exemplos de
utilização por órgãos de controle e supervisão tornam esta nova versão do COBIT
uma ferramenta útil à todas organizações que precisam manter um nível adequado
de governança em TI.

Baruque e Santos (2010) afirmam que devido ao fato de ser mais focado em
objetivos de negócio, o conteúdo do COBIT é muito abrangente, mas pouco
detalhado no que diz respeito a como os processos devem ser implantados. O
COBIT contém muito sobre o quê deve ser feito e para quê deve ser feito e, por
outro lado, contém pouco sobre o como deve ser feito. Dessa forma a utilização do
COBIT ajudará a empresa a alinhar os objetivos do negócio aos objetivos da TI,
sendo o elo entre o planejamento estratégico da empresa e o plano diretor de TI.

Objetivando um melhor entendimento de como o COBIT pode ajudar uma

organização, Baruque e Santos (2010) oferecem um exemplo de uma empresa que
possua em seu plano estratégico o seguinte objetivo: melhorar o alinhamento

21
 Faculdade de Minas

estratégico da TI com o negócio. Mesmo parecendo algo abstrato, segundo os

autores, os objetivos estratégicos são assim, genéricos o suficiente para darem uma
direção, mas não detalhados o suficiente para limitar as opções de quem precisa
concretizá-los.

Conclui-se então com a linha de raciocínio de Neto e Solonca (2007), que

auditar é preciso porque o uso desapropriado dos sistemas informatizados pode
impactar uma sociedade. Informação com pouca exatidão pode causar a alocação
precipitada de recursos dentro das corporações e as fraudes podem ocorrer devido
à falta de sistemas de controle. Assim, para assegurar que os investimentos feitos
em tecnologia da informação voltem para a empresa na forma de lucros e
identificação de menores gastos com a TI, é onde o auditor de sistemas
informatizados irá atuar. De posse dos objetivos, normas ou padrões da corporação
o auditor irá verificar se tudo está funcionando como deveria.

SEGURANÇA EM APLICAÇÕES WEB

Aplicações web são constantes alvos de ataques, onde invasores buscam

aproveitar vulnerabilidades encontradas para o roubo de informações confidenciais.
Seja no ambiente corporativo ou mesmo no âmbito pessoal, os ataques podem vir a
gerar prejuízos não somente pelo vazamento de informações, mas também pelos
danos potenciais de uma aplicação inoperante em um determinado período de
tempo.

Estar vulnerável não somente significa a existência de uma falha de

implementação ou erros na aplicação. O invasor pode se utilizar de algo concreto,
como a relação estabelecida entre servidor e cliente para, a partir desse ponto,
burlar a segurança. A seguir, serão elencadas as vulnerabilidades mais comuns em
aplicações web.

Cross Site Scripting ou XSS

22
 Faculdade de Minas

Utiliza a relação de confiança entre o servidor da aplicação e o navegador

para transporte de código malicioso, que geralmente é escrito em javascript, a fim
de conseguir dados sensíveis, como o identificador da sessão do usuário.

Segundo OWSAP(2016), muitas aplicações permitem a postagem de

conteúdo por parte de seus usuários. O XSS está ligado a esse conteúdo, que pode
ser utilizado para solicitar informações ao usuário dentro da aplicação e o direcionar
para fora dela. Como o navegador da vítima não consegue identificar o que
corresponde ao trecho de código malicioso, este será executado assim que for
detectado pelo navegador.

O ataque pode ser feito utilizando também os mecanismos de busca. Se a

aplicação não possuir tratamento para tal, executará o código malicioso. Outra
forma de fazer o ataque é inserindo no meio da página original aplicação, escrita em
HTML, trechos de códigos a fim de se obter as informações desejadas. Para tornar
o código ilegível e burlar mecanismos que se baseiam em tags para proteção, como
por exemplo (script) ou (alert) os códigos são escritos em hexadecimal.

Essa vulnerabilidade está ligada a falta de tratamento dos dados e conteúdo

postado pelo usuário. A execução do código é imperceptível ao usuário infectado, já
que é executada pelo navegador de forma transparente.

Injeção de SQL

Uma outra vulnerabilidade diz respeito a injeção de códigos com comando

em Structured Query Language (SQL) para obter dados diretamente do banco. SQL
corresponde a linguagem para gerenciamento dos dados utilizada pelos principais
bancos de dados estruturados na modelagem relacional. Um estudo feito pela
Owasp (2013) sobre vulnerabilidades em aplicações web apontou o Structured
Query Language Injection, ou SQL Injection como a técnica mais utilizada no meio
virtual para obtenção de dados de forma mal intencionada.

O ataque visa utilizar os dados de entrada do cliente no aplicativo para

conseguir dados confidenciais, modificar, excluir ou atualizar registros. Conforme
Owasp (2016), a técnica afeta um número grande de aplicações disponíveis
atualmente, pois a arquitetura de grande parte se baseia em banco de dados SQL.

23
 Faculdade de Minas

Em geral, a forma como as aplicações web constroem os comando SQL

envolvem a sintaxe escrita pelos programadores com parâmetros informados pelos
usuários. Dessa forma, há a possibilidade de o usuário explorar os parâmetros
informados para obter dados do banco. Conforme cita OWASP(2016), esses
ataques ainda podem ser classificados em 3 diferentes classes:

● Inband: os dados são extraídos usando o mesmo canal que é usado

para injetar o código;
● Out-of-band: os dados são recuperados em um outro canal, como
por exemplo enviados para um e mail informado;
● Inferencial: não a transferência real dos dados, porém é possível
reconstruir as informações através de solicitações particulares.
Como a exemplo do XSS, o SQL Injection consegue ser neutralizado se os
formulários, campos de pesquisa, URLs, tiverem tratamento para os dados
informados pelo usuário na aplicação.

Cross Site RequestForgery

Utiliza a relação de confiança entre o aplicativo e seu usuário legítimo.

Geralmente fazendo uso de engenharia social, para explorar essa vulnerabilidade, o
atacante necessita que a vítima esteja com uma sessão ativa na aplicação alvo.
Nesse momento, o ataque pode ser concluído com sucesso caso o usuário receba
um link ou acesse, no mesmo navegador, o aplicativo malicioso. Dessa forma, a
aplicação maliciosa ou link inclui uma requisição ao aplicativo alvo, carregando os
parâmetros necessário para a conclusão da transação.

Os aplicativos vulneráveis são aqueles em que as requisições são feitas de

maneira estática, ou seja, sempre enviando os mesmos parâmetros para fazer a
requisição. Uma alternativa para tratar as requisições do CSRF é o Synchronizer
Token Pattern. Diz respeito a enviar um token como um dos parâmetros da
requisição.

Com isso, tem-se a garantia de que a requisição está sendo feita, de forma
que o token enviado seja comparado ao token armazenado na sessão do usuário, é
gerado um novo token para armazenamento na sessão. Se o token for diferente, a
requisição deve ser descartada pelo servidor.

24
 Faculdade de Minas

Referência direta a objetos

Uma referência direta a um objeto expõe os dados de um sistema aos

usuários. Seja um arquivo, diretório ou a chave de uma tabela, a referência direta
permite que um usuário acesse dados aos quais não tem permissão. A fragilidade
encontra-se na ideia de que o usuário sempre irá seguir os caminhos
preestabelecidos pela aplicação.

Na própria aplicação são visualizados parâmetros que referenciam objetos

internos. O usuário se aproveita dessa fragilidade para, alterando os parâmetros
para ter acesso a outros dados da aplicação. Como prevenção, deve-se verificar se
o usuário tem permissão para acesso ao objeto ao qual está requisitando.

Broken Autenticação e Gestão de Sessões

O invasor utiliza-se de falhas da aplicação no gerenciamento de sessão ou na

autenticação, como por exemplo, contas expostas, senhas, IDs de sessão, para
representar um usuário legítimo. De acordo com Owasp (2017) deve-se verificar as
seguintes diretrizes:

● As credenciais de autenticação de usuário não são protegidas

quando armazenadas usando hash ou criptografia.
● As credenciais podem ser adivinhadas ou substituídas por funções
de gerenciamento de contas fracas (por exemplo, criação de contas,
alteração de senha, recuperação de senha, IDs de sessão fracas).
● IDs de sessão são expostos na URL (por exemplo, reescrita de
URL).
● IDs de sessão são vulneráveis a ataques de fixação de sessão .
● IDs de sessão não timeout, ou sessões de usuário ou tokens de
autenticação, particularmente single sign-on (SSO) tokens, não são
devidamente invalidados durante logout.
● Os IDs de sessão não são rodados após o login bem-sucedido.
● Senhas, IDs de sessão e outras credenciais são enviadas através de
conexões não criptografadas.

Por exemplo, se alguém utiliza um computador público para acesso a uma

determinada aplicação e, ao invés de fazer logout, apenas fecha o navegador, corre

25
 Faculdade de Minas

o risco de ter deixado a sessão ativa por um tempo, deixando aberta a possibilidade
de que uma outra pessoa utilize-se dessa conta para obter dados.

APLICAÇÃO DOS PRINCIPIOS BÁSICOS DA SEGURANÇA DA

INFORMAÇÃO NOS PROCESSOS DE AUDITORIA

A gestão de dados é o planejamento, desenvolvimento e execução de

políticas e procedimentos de segurança para proporcionar a devida autenticação,
autorização e acesso nos ativos de dados e informações (Seções da ISO IEC
27002). Seu objetivo é proteger os ativos de Informação em alinhamento com as
regulamentações de privacidade e confidencialidade e requisitos do negócio. Em
uma organização existem muitas fontes de informações que não ficam à disposição
da gerência para tomadas de decisões, fazendo-se necessário a aplicação dos
processos de auditorias da Informação, e para ORNA (1990) entre essas fontes
estão:

• Registros de clientes;
• Informação sobre fornecedores;
• Informações sobre orçamentos operacionais;
• Resultados financeiros;
Relatórios de operações externas;
• Informação dos concorrentes: como eles estão fazendo
financeiramente, o que eles estão produzindo;
• A informação que a própria empresa produz, para o mundo exterior, e
para o público interno;
• Informações sobre seu mercado, seu público-alvo ou de seus
clientes;
• Informações sobre áreas de importância, por exemplo: a produção ou
indústria de serviço que pertence o sistema de educação, ciência e
tecnologia; processos, materiais, instalações ou equipamentos;
• Informações sobre o ambiente em que opera: a economia,
regulamentos comunitários governamentais, legislação, etc.

26
 Faculdade de Minas

E é justamente por existir muitas fontes de informações que a organização

deve atentar-se para a sua segurança, pois há uma exposição maior quando é
realizado um processo de auditoria da informação. Para o Guia DAMA-DMBOK
(2012), gestão de qualidades de dados é sinônimo de qualidade da informação e
considera que a falta de qualidade nos dados resulta em informação imprecisa e um
desempenho fraco de negócio.

Desta forma faz-se necessário ter qualidade para prover uma solução
econômica e melhorar a qualidade e integridade dos dados. Para a efetiva
realização da segurança da informação na organização, são utilizados vários
métodos como controles, políticas, processos e procedimentos, geralmente
definidos por uma política de segurança da Informação Baars et al.,(2009).

Atualmente as organizações entendem que segurança não está mais apenas

nos limites da tecnologia, mais atinge todo o ambiente corporativo, principalmente o
fator humano. E as organizações muitas vezes por insegurança em expor as
informações existentes, dificultam a realização das auditorias, conforme aponta
Orna no livro “Practical Information Polices” (1990), muitas empresas
desnecessariamente dificultam seu trabalho, não deixando que informações
externas sejam mostradas internamente e vice versa. Johnson (2012), em sua
pesquisa apresenta as iniciativas de segurança da informação presente nas
organizações e o nível de maturidade dos mesmos, baseado no modelo de
maturidade genérico proposto pelo Capability Maturity Model Integration (CMMI) e
as atividades definidas para cada processo.

REFERENCIAS

ABNT, Associação Brasileira De Normas E Técnicas NBR ISO/IEC 27002,

Tecnologia da informação – Técnicas de segurança – Código de prática para a
gestão da segurança da informação. Rio de Janeiro: ABNT, 2005.

27
 Faculdade de Minas

ABNT, Associação Brasileira De Normas e Técnicas NBR ISO/IEC 17799.

Tecnologia da informação - Técnicas de segurança - Código de prática para a
gestão da segurança da informação. Rio de Janeiro: ABNT, 2005.

ABNT, Associação Brasileira De Normas E Técnicas NBR ISO/IEC 27005.

Tecnologia da informação – Técnicas de segurança – Gestão de riscos de
segurança da informação. Rio de Janeiro: ABNT, 2008.

ALVES, Fernando; PWC. Virando o jogo. novembro de 2015 AMARAL, L. e

Varajão, J. Planeamento de Sistemas de Informação. 4ª edição; Lisboa: Editora
FCA, 2007.

ANATEL, Agência Nacional de telecomunicações. outubro de 2015. B

ARUQUE, Lúcia Blondet; SANTOS, Luis Claudio dos. Governança em Tecnologia

da Informação. Rio de Janeiro: Fundação CECIERJ, 2010.

CARNEIRO, Alberto. Auditoria de Sistemas de Informação. 2ª edição; Lisboa:

Editora FCA, 2004.

EDGAR, R. P. D’Andrea; PWC. Virando o jogo. em novembro de 2015

FREITAS, F; ARAUJO, M. POLITICAS DE SEGURANÇA DA INFORMAÇÃO: Guia

prático para elaboração e implementação. 2. ed. Rio de Janeiro: Ciência Moderna
LTDA, 2008

IIA - The Institute of Internal Auditors, Global Technology Audit Guide: Information
Technology Controls. Florida: Inc. 2005.

ISACA, Information Systems Audit and Control Association. ISACA Introduces

Portuguese Edition of COBIT 4.1 (Portuguese). setembro de 2015.

INTEL, security; MCAFEE. Relatório do McAfee Labs sobre ameaças. Intel

Security; Mcafee, 2015.

MICROSOFT. O que é malware?. novembro de 2015.

MCFORLAND, Charles. Hackers Contra o Sistema Operacional Humano |

Resumo Executivo. Intel Security; Mcafee, 2015.

NETO, Abílio Bueno; SOLONCA, Davi. Auditoria de Sistemas Informatizados. 3ª

edição; Palhoça: Unisul Virtual, 2007.

PURPURA, Philip P. Security and Loss Prevention: An Introduction. 5ª edição;

Boston: Elsevier Butterworth-Heinemann, 2008.

SINGLETON, Tommie W. Como o auditor de TI pode fazer contribuições

substantivas para uma auditoria financeira. 2011.

28
 Faculdade de Minas

ROHR, Altieres. Como um hacker invade o computador?. Novembro de 2015

TCU, Boas Práticas em Segurança da Informação. 4. ed. Brasília: TCU, 2012. 39

VERGARA, Sylvia Constant. Projetos e relatórios de pesquisa em

administração. 5. ed. São Paulo: Atlas, 2004.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002:2005

Tecnologia da informação – código de prática para gestão da Segurança da
Informação. Rio de Janeiro, 2005.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001:

Tecnologia da informação – Técnicas de segurança — Sistemas de gestão de
segurança da informação — Requisitos. Rio de Janeiro, 2006.

AUMATELL, S. I. Cristina. La auditoría de la información, componente clave de

la gestión estratégica de la información. En: El profesional de la información,
2003, jul.-agosto, v.12,n.4 pp.261-268.

BAARS, H.; HINTZBERGEN, K.; HINTZBERGEN, J.; SMULDERS, A. The Basis of

information Security – A Pratical Handbook. Newton Translations, the Netherlands,
2009.

BEAL, Adriana. Segurança da Informação: princípios e melhores práticas para

a proteção dos ativos de informação nas organizações – São Paulo: Atlas,
2005.

BOTHA, H.; BOON, J. A. The information audit: principles and guidelines. Libri,
Pretoria, v. 53, p. 23-38, 2003.

CEDROM –SNI. The strategic information audit: a powerful tool to prevent

chaos. 2006. 21 slides, color. Disponível em: . Acesso em: 07 dez. 2012.

CROCKETT, M,; FOSTER,J. Using ISO 15489 as an audit tool. The information
Management Journal, p. 46-53, 2004.

DANTE, G. P. Gestión de Información em las organizaciones: princípios,

conceptos y aplicaciones. Santiago. 1998. ESPIRITO SANTO, A. F. S. Segurança
da Informação. Disponível em: <
http://www.ice.edu.br/TNX/encontrocomputacao/artigosinternos/aluno_adrielle_ferna
nda_seguranca_da_informacao.pdf>. Acesso em 21/01/2013.

FERREIRA, Fernando N. F. Segurança da informação. Rio de Janeiro: Ciência

Moderna, 2003. p.161.

FERREIRA, Fernando N. F. ARAUJO, M.T. Política de segurança da informação:

Guia prático para Elaboração e Implementação. 2.ed. Rio de Janeiro: Ciência
Moderna, 2006. p.177.

29
 Faculdade de Minas

GIL, A. C. Métodos e técnicas de pesquisa social. 6. ed. São Paulo: Atlas, 2009.

HENCZEL, S. The information audit as a first step towards effective knowledge

management: an opportunity for special librarians.

INSPEL, Potsdam, v. 34, n.3/4, p.210 -226, 2000. 35 HITCHINGS, J. Deficiencies

of the traditional approach to information security and the requirements for a
new methodology. Computers & Security, v. 14, n. 5, p. 377–383, Maio 1995.

IMONIANA, J. O. Auditoria de Sistemas de Informação. São Paulo: Atlas, 2005.

p.197.

ITGI – Information Technology Governance Institute. COBIT 4.1. Rolling Meadows,

2008.

JOHNSON, L. Proposta de uma estrutura de análise de maturidade dos

processos de Segurança da informação com base na norma ABNT NBR
ISO/IEC 27002:2005. 55 f. Dissertação (Mestrado em Gestão e Tecnologia da
Informação) – Setor Ciências Sociais Aplicados, Universidade Federal do Paraná,
Curitiba, 2012.

JONES, S.; ROSS, S.; RUUSALEPP, R. Data Audit Framework Methodology:

draft for discussion. Version 1.8. Glasgow, May 2009. Disponível em: Acesso em;
07 jan, 2013.

MARCONI, M.,A.; LAKATOS,E. M. Técnicas de pesquisa: planejamento e

execução de pesquisas, amostragens e técnicas de pesquisa, elaboração,
análise e interpretação de dados. São Paulo: Atlas, 2007.

MOSLEY, M.(Org.); BRACKETT, M.(Org.); EARLEY, S.(Org.). Guia da DAMA para

o corpo de conhecimento em gestão de dados DAMA-DMBOK. Primeira Edição.
Technics Publications. U.S.A. 2012.

NETTO, A. da S.; SILVEIRA, M. A. P. Gestão da segurança da informação:

fatores que influenciam sua adoção em pequenas e médias empresas. Revista de
Gestão da Tecnologia e Sistemas de Informação. Vol. 4, No. 3, 2007, p. 375-397.
Controle Interno e Auditoria Governamental: Controladoria-Geral do Estado – CGE.
Curso Básico de Controle Interno e Auditoria Governamental. Minas Gerais, 2012.

ORNA, E. Practical Information Polices – How to manage information flow in

organizations. Gower. 1990.

SCHNEIER, Bruce. Segurança.com: segredos e mentiras sobre a proteção na vida

digital – Rio de Janeiro: Campus, 2001.

SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva –

Rio de Janeiro: Campus, 2003.

30
 Faculdade de Minas

SHARMA C. K.; SINGH, A. K. An evaluative study of information audit and

knowledge management audit. Brazilian Journal of Information Science, Marília, v.5,
n.1, p.53-59, Jan./Jun. 2011. Disponível em:. Acesso em: 09 de jun. 2012.

VIEIRA, A. A. Auditoria de Informação: Fluxos de Informação e coleta de

dados. 49 f. Trabalho de graduação (Bacharel em Gestão da Informação) – Setor
Ciências Sociais Aplicadas, Universidade Federal do Paraná, Curitiba, 2010.

31