Auditoria e controles de seg.

e
classificação da informação
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 1
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA
INFORMAÇÃO

O papel da área de controles internos

nas organizações

A necessidade constante de um excelente desempenho empresarial leva à busca da

qualidade e confiabilidade da informação para o auxílio na tomada de uma decisão. O
mercado globalizado e o acesso fácil a todo tipo de informação têm formado clientes
cada vez mais seletivos e criteriosos. Em função disso, as empresas encontram-se
levadas a desenvolver cada vez mais estratégias de melhoria contínua que assegurem
a busca pela excelência de produtos e processos.

As organizações necessitam assegurar que os processos internos executados pelos

agentes humanos e computacionais não sofrerão desvios. Esse elemento interno
responsável pelo controle dos processos da organização é chamado de controle
interno. O controle interno compreende todo o conjunto de controles implementado
sob responsabilidade da gestão da organização.

Assim como a tecnologia evoluiu, ao longo do tempo o conceito de controles internos

também evoluiu nas organizações. O que era antes conhecido como simplesmente
procedimentos de controle modificou-se para uma estrutura de controles internos. A
estrutura de controles internos de uma organização pode ser definida como os
processos executados para apoiar e orientar a organização no cumprimento dos
objetivos da instituição quanto à eficiência e à eficácia nas operações e sua gestão.

AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 2

 Auditoria

Fiscalização

Orientação

Controle interno

As funções principais do controle interno estão relacionadas ao cumprimento dos

objetivos da entidade. Dessa forma, a existência de objetivos e metas é condição
principal para a existência dos controles internos. Eles serão efetivos quando as
pessoas da organização souberem quais são suas responsabilidades, seus limites de
autoridade e sua competência.

Podemos então concluir que, para a organização atingir seu objetivo, deverá realizar
a avaliação contínua dos controles internos com o objetivo de identificar e analisar os
riscos associados ao não cumprimento das metas e objetivos operacionais. A
identificação e o gerenciamento dos riscos são uma ação proativa que permite evitar
surpresas desagradáveis nas organizações. São os administradores que devem definir
os níveis de riscos operacionais e de informação que estão dispostos a assumir.

Aspectos de controle e segurança

Na sociedade da informação, ao mesmo tempo em que as informações são

consideradas o principal patrimônio de uma organização, estão também sob constante
risco como nunca estiveram antes.

AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 3

Com isso, a segurança da informação tornou-se um ponto crucial para a sobrevivência
das instituições. Nesse sentido, um dos focos das fiscalizações de Tecnologia da
Informação (TI), realizadas pelas organizações, é a verificação da conformidade e do
desempenho das ações organizacionais em aspectos de segurança de tecnologia da
informação, utilizando critérios fundamentados com o objetivo de contribuir para o
aperfeiçoamento da gestão organizacional, assegurando que a tecnologia da
informação agregue valor ao negócio da organização.

A auditoria de segurança da informação só tem sentido por permitir a melhoria do

tratamento da informação na organização. Ela cumpre basicamente as mesmas
funções de uma auditoria de sistemas de informação, tal como foi descrito por
Imoniana (2004) e por Schmidt, Santos e Arima (2005).

A informação é produzida, identificada, armazenada, distribuída, usada e processada

em todos os níveis da organização, visando ao alcance dos objetivos de negócio, suas
práticas definidas pelos sistemas de informação que apoiam os processos de trabalho
na organização, sejam eles manuais ou automáticos.

A gestão da informação tem fundamentos na administração, na contabilidade, na

arquivologia, nas tecnologias da informação e da comunicação, nas ciências da
informação e da computação, entre outras.

Como ferramenta de segurança, a gestão da informação lança mão de elementos

organizacionais, humanos, físicos e tecnológicos, integrados por meio de arquitetura
e engenharia de sistemas, ou, de forma mais geral, através de uma abordagem
cibernética.

Metodologia de auditoria em TI

AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 4

A auditoria em ambiente de tecnologia da informação não muda a formação exigida
para a profissão de auditor. A diferença está nas informações: até então disponíveis
em forma de papel, elas são agora guardadas em forma eletrônica.

O enfoque de auditoria teve de se modificar para assegurar que essas informações,

agora em formato eletrônico, sejam confiáveis antes de o auditor emitir seu relatório,
já que ele está calcado na confiança e no controle interno.

Podemos então definir a auditoria como:

Um exame sistemático e independente

para determinar se as atividades e seus
resultados estão de acordo com as
disposições planejadas, se elas foram
implementadas com eficácia e se são
adequadas à consecução dos objetivos.

Dessa forma, visam a confirmar se os controles internos foram implementados e se

existem – e, em caso afirmativo, se são efetivos. Nesse contexto, as auditorias podem
apresentar diferentes objetivos:

AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 5

 Conformidade com
padrões

Melhoria de
processo Melhoria do
sistema de gestão

Certificação Compliance

Segundo Lyra, é possível pensarmos em uma metodologia de trabalho que seja flexível
e aderente a todas as modalidades de auditoria em sistemas de informação. Essa
metodologia é composta basicamente pelas seguintes fases:

Planejamento e controle do projeto de auditoria

Estabelece-se o planejamento inicial das ações e dos recursos necessários para a

execução da auditoria. Nessa fase, leva-se em consideração a abrangência das ações,
o enfoque que se deseja, a definição dos procedimentos a serem utilizados durante o
trabalho de auditoria, a escolha de alternativas para a realização dos trabalhos,
acompanhamento e controle dos resultados obtidos.

Devem ser utilizados ferramentas e métodos de planejamento, como, por exemplo, o

PMBOK, e também deve ser formado o grupo de trabalho. Nessa fase, deverá ser
elaborado o plano da auditoria em que deve ficar claro:

• As expectativas de quem pediu a auditoria;

• Os critérios da auditoria: padrões e confidencialidade;
• As necessidades e interesses do auditado;
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 6
• A documentação que deve estar disponível;
• A agenda proposta para auditoria.

Levantamento das informações

Uma vez delimitado o escopo do trabalho, inicia-se o processo de levantamento das

informações relevantes para a auditoria. Esse levantamento deverá ocorrer de forma
abrangente, mas que se tenha o entendimento do objeto da auditoria. Podemos, nessa
fase, utilizar técnicas de entrevista e análise da documentação existente, colocando as
informações de forma gráfica ou descritiva. O importante aqui é identificar claramente
o escopo. Essa fase é essencial para evitar a possibilidade de execução de trabalho
em áreas não pertencentes ao escopo.

Identificação e inventário dos pontos de controles

Nessa etapa, busca-se identificar os diversos pontos de controles que merecem ser
validados no contexto do escopo da auditoria. Cada ponto de controle deve ser
relacionado, seus objetivos descritos, assim como as suas funções, parâmetros,
fraquezas e técnicas de auditoria mais adequadas à sua validação. O resultado desse
levantamento deve ser encaminhado ao grupo de coordenação da auditoria para uma
validação quanto à sua pertinência para garantir que o objetivo da auditoria será
atingido.

Priorização e seleção dos pontos de controle

Essa etapa consiste na seleção e priorização dos pontos de controle que foram
inventariados na etapa anterior e que devem fazer parte da auditoria a ser realizada.
Podem ser considerados os seguintes critérios:

• Grau de risco existente no ponto de controle;

• Existência de ameaças;

AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 7

• Disponibilidade de recursos.

Avaliação dos pontos de controles

Essa etapa consiste na realização de testes de validação dos pontos de controle

segundo as especificações e os parâmetros determinados nas etapas anteriores. É a
auditoria propriamente dita. Devem ser utilizadas técnicas de auditoria que evidenciem
falhas ou fraquezas dos pontos de controles auditados. Normalmente existe uma
técnica de auditoria e ferramenta mais eficiente para cada objetivo e característica do
ponto de controle.

Conclusão da auditoria

Nessa etapa, é realizada a elaboração do relatório de auditoria contendo o resultado

encontrado, qualquer que seja ele. Esse relatório deve conter o diagnóstico da situação
atual, dos pontos de controle, caso existam, e as fraquezas dos controles, segundo as
especificações das etapas anteriores.

O fato de um ponto de controle apresentar uma fraqueza transforma-o em ponto de

auditoria, e isso, portanto, deve constar no relatório de auditoria recomendações para
solução ou mitigação dessa fraqueza. Cada ponto de auditoria deverá sofrer revisão e
avaliação após um prazo dado para tomada de medidas corretivas.

Nessa fase, ocorre também o encerramento da auditoria com a apresentação do

relatório. O auditor líder deverá apresentar um breve resumo do processo e objetivo
da auditoria. Deverá ser apresentado parecer por área auditada, assim como as
recomendações.

Nesse momento, deverão ser acordadas as datas para as ações corretivas e

distribuídas cópias do relatório entre todos os participantes.

AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 8

Acompanhamento da auditoria

O acompanhamento da auditoria (follow-up) deve ser efetuado até que todas as

recomendações tenham sido executadas e as fraquezas tenham sido eliminadas ou
atinjam um nível tolerável pela organização.

Uma auditoria bem planejada aperfeiçoa a utilização do tempo da auditoria, tornando

as auditorias mais significativas, além de mostrar ao auditado que o auditor está
preparado e também demonstrar uma atitude profissional.

Documentação: papéis de trabalho, relatórios de auditoria e pareceres

Os papéis de trabalho de auditoria constituem um registro permanente do trabalho

efetuado pelo auditor, dos fatos e informações obtidos, bem como das conclusões
sobre os exames. É com base nos papéis de trabalho que o auditor irá relatar suas
opiniões, criticas e sugestões. Eles servem de suporte para a elaboração dos relatórios
de auditoria.

Os papéis de trabalho auxiliam o auditor na execução de exames, evidenciando o

trabalho feito e as conclusões emitidas. É através desse artefato que poderá ser
verificado se o serviço de auditoria foi feito de forma adequada e eficaz, assim como
a solidez das conclusões emitidas.

É importante que apresentem os detalhes do trabalho realizado, tais como: os fatos e

informações importantes, escopo do trabalho efetuado, fonte das informações obtidas,
opiniões e conclusões.

Devemos ter em mente que esse será um material que poderá ser posteriormente
consultado por outros auditores; portanto, quanto mais completo, melhor será seu
entendimento por outro auditor.

AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 9

 Relatório de fraquezas
de controle interno

Manual de auditoria do
ambiente a ser auditado
Produtos gerados pela
auditoria
Certificado de controle
interno

Pastas contendo a
documentação obtida

O relatório de fraquezas de controle interno apresenta o objetivo do projeto de

auditoria, a lista dos pontos de controle auditados, a conclusão alcançada a cada ponto
de controle, além das alternativas de solução propostas.

O certificado de controle interno indica se o ambiente está em boa, razoável ou

má condição em relação aos parâmetros de controle interno e apresenta o parecer da
auditoria em termos globais e sintéticos.

O manual de auditoria do ambiente auditado armazena o planejamento da

auditoria, os pontos de controle testados e serve como referência para futuras
auditorias. É composto por toda a documentação anterior já citada.

As pastas contendo a documentação da auditoria de sistemas irão conter toda a

documentação do ambiente e dos trabalhos realizados, como: relação de programas,
relação de arquivos do sistema, relação de relatórios e telas, fluxos, atas de reunião
etc.
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 10
Papéis e responsabilidades

Existem diferentes papéis em um processo de auditoria:

Auditor

Cliente

Auditado

Auditor Líder

O auditor é quem realiza as auditorias propriamente ditas. Ele deve planejar e realizar
suas atribuições de forma eficaz e com competência, comunicar aos clientes e
esclarecer os requisitos da auditoria quando necessário.

É primordial que ele documente as observações durante a realização da auditoria,

relate os resultados da auditoria e verifique a eficácia das ações corretivas quando
solicitado.

É o cliente quem solicita a auditoria e determina o seu propósito. Ele deve informar
aos colaboradores envolvidos no processo de auditoria os objetivos e o escopo da
auditoria, assim como indicar as pessoas guias responsáveis. É de sua
responsabilidade também receber o relatório de auditoria, realizar análise crítica,
determinar as ações de acompanhamento e informar ao auditado.

O papel do auditado é informar aos funcionários sobre a auditoria, indicar

acompanhantes e prover recursos à equipe de auditoria, assim como o acesso aos
meios e ao material comprobatório. Deve cooperar com os auditores e, após a
realização da auditoria, deverá definir e iniciar ações corretivas.

AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 11

 O auditor líder é responsável, em última instância, por todas as fases da auditoria.
Participa da seleção da equipe e prepara o plano de auditoria. É ele quem representa
a equipe frente à administração do auditado e entrega o relatório de auditoria.

A auditoria na Tecnologia da Informação

Com a dependência das organizações nos processos de Tecnologia da Informação e

nas informações geradas, nos investimentos realizados na área de TI e na
inevitabilidade da garantia da segurança das informações críticas existe a necessidade
da aplicação correta e gerenciada dos recursos de forma que a TI atenda às
necessidades de negócio de cada entidade, ou seja, que agregue valor às suas funções
finalísticas.

Assim, à medida que a tecnologia se confunde com os produtos da organização, a TI

e as informações geradas por meio dela deixam de ser uma questão meramente
operacional e administrativa para se tornarem uma questão estratégica.

Nesse contexto, a governança de TI é aplicada de forma a alinhar o uso da

Tecnologia da informação aos objetivos de negócio de cada organização, possibilitando
que se garanta:

• continuidade dos serviços;

• atendimento a marcos regulatórios;
• definição clara do papel da TI dentro da organização;
• alinhamento dos processos operacionais e de gestão a padrões que atendam à
necessidade do negócio;
• definição de regras claras acerca de responsabilidades sobre decisões e ações dentro
da organização.

AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 12

 Avaliar
• Planos • Desempenho
• Políticas • Propostas • Conformidade

Dirigir Monitorar

Existem diversos modelos que podem ser implementados em diferentes níveis

organizacionais de forma complementares:

Cobit

PMBOK ITIL

CMMI /MPS- ISO

BR 27002

Desenvolvido pela Isaca, o Cobit é um modelo abrangente aplicável para a auditoria

e o controle de processos de TI, desde o planejamento da tecnologia até a monitoração
e auditoria de todos os processos. Fornece um modelo abrangente que auxilia as
organizações a atingirem seus objetivos de governança e gestão de TI; na versão
atual, ele apresenta 5 princípios:

AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 13

Entre seus objetivos, está a garantia de que, na organização, a informação é protegida
contra exposição indevida (confidencialidade), alterações impróprias
(integridade) e impedimento de acesso (disponibilidade).

No atual modelo de referência, os processos de governança e gestão de TI da

organização são divididos em dois domínios de processo principais conforme indica a
figura abaixo:

AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 14

 Governança • Avaliar, dirigir e monitorar

• Alinhar, planejar e organizar

• Construir, adquirir e
Gestão implementar
• Entregar, serviços e suporte
• Monitorar, analisar e avaliar

O processo de governança é constituído por um domínio com cinco processos de

governança:

Definição e
atualização da
estrutura de
governança

Entrega de valor

Avaliar, dirigir e
Governança Otimização dos riscos
monitorar

Otimização dos
recursos

Transparência das
partes interessadas

O processo de gestão contém quatro domínios que estão em consonância com as

áreas responsáveis por planejar, construir, executar e monitorar, oferecendo cobertura

AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 15

de TI de ponta a ponta. As figuras abaixo identificam as principais habilidades de TI
tratadas em cada domínio:

Alinhar, planejar e Construir, adquirir e implementar

organizar (APO) (BAI)

Formulação da Análise de negócio

política de TI
Gerenciamento de projetos
Estratégia de TI
Avaliação de usabilidade
Arquitetura
coporativa Definição e gestão de requisitos

Inovação Programação

Ergonomia do sistema
Gestão financeira
Desativação de software
Gestão de portfólio
Gestão de capacidade

Entregar, serviços e suporte (DSS)

Gestão de disponibilidade

Gestão de problemas

Central de atendimento e gestão

incidentes

Administração da segurança

Operações de TI

Administração de banco de dados

AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 16

 Monitorar, avaliar e analisar (MEA)

Análise de conformidade

Monitoramento de desempenho

Auditoria de controles

O ITIL foi desenvolvido pelo atual OGC (Office of Government Commerce), órgão
público que busca otimizar e melhorar os processos internos do governo britânico. O
ITIL é uma biblioteca de melhores práticas voltada para a área de TI, mais
especificamente para a área de infraestrutra.

O ITIL surgiu em 1986 com o desenvolvimento do conjunto de mais de 40 livros que

abordavam uma variedade das melhores práticas de TI. A partir de 1999, foram
acrescentados sete livros principais em que tratamos processos amplamente aceitos
como um framework de melhores práticas para gerenciamento de serviços de TI (IT
Service Management - ITSM). Em 2007, transcorridos 21 anos, em sua Versão 3, ele
foi reorganizado para cinco livros principais e um livro oficial de introdução.

AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 17

 O PMBOK (Project Management Body of Knowledge) é um conjunto de conhecimentos
gerenciado pela organização Project Management Institute (PMI). Tornou-se um
padrão, de fato, em diversas indústrias. Não se trata de uma metodologia de
gerenciamento de projetos, e sim de uma padronização que identifica e nomeia
processos, áreas de conhecimento, técnicas, regras e métodos. Áreas de
conhecimento do PMBOK:

• Integração;
• Escopo;
• Tempo;
• Custo;
• Qualidade;
• Recursos humanos;
• Comunicações;
• Riscos;
• Aquisição;
• Partes interessadas.

AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 18

O CMMI é um modelo internacional desenvolvido pelo Software Engineering Institute
(SEI) em 1992. O modelo utiliza o conceito de constelação em que são apresentadas
três constelações:

Diretrizes para monitorar,

mensurar e gerenciar processos de

Diretrizes para suportar as desenvolvimento

decisões relacionadas à Diretrizes para entrega de

aquisição de produtos e serviços dentro das organizações
serviços e para clientes externos

Uma constelação é um conjunto de componentes do CMMI utilizados para construir

modelos, materiais de treinamento e documentos de avaliação relacionados a uma
área de interesse.

Possui representação: estágios (5 níveis) ou contínua (6 níveis). Na representação

contínua, a organização escolhe uma determinada área de processo e trabalha na
melhoria desses processos. Já na representação por estágio, são utilizados conjuntos
predefinidos de área de processo para estabelecer um caminho de melhoria para a
organização.

O processo de auditoria de Tecnologia da Informação deverá tomar como referência

os padrões e modelos já adotados pelas organizações. Existem diversos modelos e
padrões, como vimos acima, que podem ser utilizados em diferentes momentos e em
diferentes áreas tecnológicas. No caso da inexistência de tal modelo na organização,
deverão ser adotados modelos de referência já utilizados no mercado de TI.

A auditoria de tecnologia da informação, como já estudamos anteriormente, é um

exame sistêmico dos controles internos dentro do ambiente computacional da
organização. O objetivo de uma auditoria de TI é levantar e documentar "evidências"
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 19
 das práticas e operações no âmbito da Tecnologia da Informação e realizar uma
avaliação sobre a conformidade dessas ações.

Ela verifica se essas operações e ações da organização estão sendo realizadas de forma
eficaz e eficiente para alcançar os objetivos de negócio da organização. É utilizada
para avaliar a capacidade da organização de proteger seus ativos de informação e
dispensar corretamente as informações para as partes autorizadas.

Dessa forma, a auditoria poderá avaliar o risco das informações mais valiosas para as
organizações e estabelecer métodos de minimizar os riscos. Nesse caso, a auditoria de
TI tem como objetivo avaliar:

• Se os sistemas de computador da organização estão disponíveis para o negócio em

todos os momentos quando necessário (disponibilidade);
• Se as informações da organização estão sendo divulgadas apenas para usuários
autorizados (confidencialidade);
• Se as informações fornecidas estão exatas, confiáveis e em tempo oportuno
(integridade).

AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 20

 Controles
organizacionais e
operacionais

Aquisição,
desenvolvimento,
manutenção e
documentação de
sistemas

Controles de hardware

Controles de acesso

Auditoria Operação e
computador

Suporte técnico

Sistemas aplicativos

Plano de contingência
e de recuperação de
desastres

Redes de
computadores

Auditoria de sistemas

O objetivo da auditoria de sistemas é proporcionar, através da inspeção e elaboração

de relatório de auditoria, a adequação, revisão, avaliação e recomendação para o
aprimoramento dos controles internos nos sistemas de informação das organizações.
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 21
 Nesse contexto, é avaliada a utilização dos recursos humanos, materiais e tecnológicos
envolvidos nos processamento dos mesmos, e as avaliações devem ocorrer dessa
forma em todos os sistemas da organização, seja no nível estratégico, tático ou
operacional.

Para a realização dessa verificação, é necessário um processo sistêmico que envolva

os seguintes passos:

• Metodologia;
• Planejamento;
• Levantamento do sistema;
• Identificação e inventário dos pontos de controle;
• Priorização e seleção dos pontos de controle;
• Avaliação dos pontos de controle;
• Conclusão da auditoria;
• Acompanhamento.

Devido à complexidade dos sistemas informatizados, existem diferentes momentos

para a realização das auditorias de sistemas:

Auditoria durante
o desenvolvimento
de sistemas

Auditoria de
sistemas em
produção
Auditoria de
sistemas de
informação
Auditoria no
ambiente
tecnológico

Auditoria em
eventos
específicos

AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 22

A auditoria durante o desenvolvimento de sistemas compreende auditar todo o
processo de construção do sistema: fase de requisitos até a sua implantação, assim
como o processo e a metodologia. Já a auditoria de sistemas em produção
preocupa-se com os procedimentos e resultados dos sistemas já implantados:
segurança, corretude e tolerância a falhas.

A auditoria no ambiente tecnológico preocupa-se com a estrutura organizacional,

contratos, normas técnicas, custos, nível de utilização dos equipamentos e planos de
segurança e contingência. A auditoria em eventos específicos tem como foco a
análise das causas, consequências e ações corretivas cabíveis em eventos não cobertos
pelas auditorias anteriores.

Técnicas de auditoria de sistemas

As técnicas de auditoria têm como objetivo auxiliar os auditores em seus processos de

trabalho de forma a diminuir os custos envolvidos no processo de auditoria, melhorar
a qualidade do trabalho realizado, além de melhorar a produtividade. Existem
diferentes técnicas que podem ser utilizadas juntas ou separadas.

Test deck
Conjunto de dados de entrada especialmente preparado com o objetivo de testar os
controles programados e os controles dos sistemas aplicativos.

Simulação paralela
Elaboração de um programa de computador para simular as funções de rotina do
sistema sob auditoria. Enquanto no test deck simulamos dados e os submetemos ao
programa de computador, na simulação paralela simulamos o programa e submetemos
os mesmos dados que foram utilizados pelo programa auditado em sua rotina de
processamento.

AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 23

Questionários a distância
Verifica a adequação do ponto de controle aos parâmetros de controle interno
(segurança física, lógica, eficácia, eficiência etc.).

Visita in loco
Consiste na atuação de equipe de auditoria junto ao pessoal de sistemas e instalações.

Rastreamento e mapeamento
Desenvolvimento e implementação de trilha de auditoria para acompanhar certos
pontos da lógica do processamento de algumas transações.

Análise da lógica de programação

Verificação da lógica de programação para certificar que as instruções dadas ao
computador são as mesmas já identificadas nas documentações dos sistemas
aplicativos.

Lógica de auditoria embutida no sistema

Inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos.
Periodicamente, os relatórios de auditoria são emitidos para a revisão e o
acompanhamento dos procedimentos operacionais.

Rastreamento de programas
Possibilita seguir o caminho de uma transação durante o processamento do programa.
Objetiva identificar as inadequações e ineficiência na lógica de um programa.

Entrevistas no ambiente computacional

Realização de reuniões entre o auditor e o auditado. Existem diversas técnicas que
podemos utilizar para a realização de entrevistas, como, por exemplo, 5W+1H (what,
who, where, when, why e how).

Análise de relatórios/telas

AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 24

Análise de relatórios e tela no que se refere ao nível de utilização pelo usuário, ao grau
de confidencialidade, à forma de utilização de integração com outras telas/relatórios,
à padronização dos layouts e à distribuição das informações.

Análise de log/accounting
Permite verificar a utilização de todos os ativos de TI envolvidos no objeto da auditoria.

Análise do programa fonte

Consiste na análise visual do programa e na comparação da versão do objeto que está
sendo executado com o objeto resultante da última versão do programa fonte
compilado.

Exibição parcial da memória snap shot

Técnica que fornece uma listagem ou gravação do conteúdo do programa
(acumuladores, chaves, áreas de armazenamento) quando determinado registro
estiver sendo processado (dump parcial de memória).

Ferramentas de auditoria

Dentro do contexto tecnológico atual, é necessário que o auditor utilize ferramentas.

Em todo e qualquer trabalho de auditoria, seja ela interna ou externa, é importante
que o auditor utilize instrumentos que auxiliem e agilizem o desenvolvimento dos
trabalhos. Nesse sentido, existem ferramentas que apoiam os auditores a conseguir
alcançar suas metas tal como elas foram definidas no planejamento prévio da
auditoria.

Existem diferentes modalidades de ferramentas assistidas por computador com

objetivos e funcionalidades diferentes – e que podem ser utilizadas em conjunto ou
separadamente.

AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 25

 Especializadas

Generalista Utilidade geral

Ferramentas
de auditoria

Uma ferramenta generalista envolve o uso de software aplicativo ou um conjunto

de programas – e pode realizar as seguintes funções:

• Simulação paralela;
• Extração de dados de amostra;
• Testes globais;
• Geração de dados estatísticos;
• Sumarização;
• Composição de arquivo;
• Apontamento de duplicidade de registro;
• Sequência incorreta de registro.

São ferramentas com capacidade de processar, analisar e simular amostras, sumarizar,

apontar possíveis duplicidades, gerar dados estatísticos, além de diversas outras
funções.

As ferramentas especialistas ou especializadas são programas desenvolvidos

especificamente para executar certas tarefas numa circunstância definida. Podem ser
desenvolvidas pelo próprio auditor, por algum especialista ou por alguém contratado
para esse fim. A vantagem da sua utilização está no atendimento a demandas
específicas de auditoria a segmentos especializados de mercado ou de alta

AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 26

 complexidade cujas ferramentas generalistas de auditoria não atendam. A grande
desvantagem está no alto custo para seu desenvolvimento.

Já os programas utilitários são utilizados para executar funções comuns de

processamento, como, por exemplo, ordenar, sumarizar, concatenar e gerar relatório.
Sua grande vantagem está na capacidade que possuem de servir como substitutos na
ausência de ferramentas de auditoria mais completas.

Controles de segurança da informação

A Norma ABNT NBR ISO 27001 é uma norma de segurança que oferece um modelo
para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e
melhorar um Sistema de Gestão de Informação (SGSI). Oferece um anexo com
controles de segurança baseados e definidos na Norma ISO 27002 (norma de melhores
práticas em segurança da informação):

• Política de segurança;
• Organizando a segurança da informação;
• Gestão de ativos;
• Segurança em recursos humanos;
• Segurança física e do ambiente;
• Segurança nas operações e comunicações;
• Controle de acessos;
• Aquisição, desenvolvimento e manutenção de sistemas;
• Gestão de incidentes de segurança da informação;
• Gestão da continuidade do negócio;
• Conformidade.

AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 27

 O Cobit apresenta orientações sobre como manter os riscos das organizações em
níveis aceitáveis, a disponibilidade de sistemas e serviços e ainda estar em
conformidade com a regulamentação vigente. Com a sua implementação, garante que,
na organização, a informação será protegida contra exposição indevida
(confidencialidade), alterações impróprias (integridade) e impedimento de acesso
(disponibilidade). Possui 12 princípios:

• Foco no negócio;
• Entregar qualidade e valor às partes interessadas;
• Estar em conformidade com os requisitos legais e regulatórios relevantes;
• Prover informação tempestiva e precisa sobre o desempenho da segurança da
informação;
• Avaliar ameaças atuais e futuras à informação;
• Promover melhorias contínuas na informação;
• Promover melhorias contínuas na informação;
• Adotar uma abordagem baseada em risco;
• Proteger informação classificada;
• Concentrar-se em aplicações críticas de negócio;
• Desenvolver sistemas de forma segura;
• Atuar de uma maneira profissional e ética;
• Promover uma cultura de segurança da informação positiva.

AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 28

 APO 13 DSS 05
Gerenciar a segurança Gerenciar serviços de
segurança

O Processo APO 13 – Gerenciar a segurança pertence ao domínio Alinhar, planejar

e organizar. Tem como objetivo definir, operar e monitorar um sistema de gestão de
segurança da informação (SI). Manter o impacto e ocorrências de incidentes de SI
dentro dos níveis aceitáveis de risco na organização. Define as seguintes ações:

• Estabelecer e manter um ISMS;

• Definir e gerenciar um plano de tratamento para o risco de SI;
• Monitorar e revisar o ISMS.

O processo DSS 05 Gerenciar serviços de segurança pertence ao domínio

Monitorar, avaliar e analisar. Tem como objetivo proteger as informações da
organização para manter o nível de risco aceitável para a segurança da informação da
organização de acordo com a política de segurança. Ele estabelece e mantém as
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 29
 funções de segurança da informação, os privilégios de acesso, e realiza o
monitoramento. São ações definidas pelo processo DSS 05:

• Proteger contra malware;

• Gerenciar segurança de rede e conectividade;
• Gerenciar segurança de endpoints;
• Gerenciar identidade e acesso lógico e de usuários;
• Gerenciar acesso físico a ativos de TI;
• Gerenciar documentos e dispositivos de saída sensíveis;
• Monitorar a infraestrutura quanto a eventos relacionados à segurança.

O SANS Institute mantém uma lista com os 20 controles de segurança mais críticos
para as organizações. O objetivo é apresentar os principais controles que todas as
empresas e entidades devem priorizar no momento de criar e investir em sua
infraestrutura de segurança:

• Controles de segurança críticos;

• Inventário de dispositivos autorizados e não autorizados;
• Inventário de softwares autorizados e não autorizados;
• Configurações de segurança para hardware e software;
• Avaliação e correção contínuas de vulnerabilidades;
• Defesas contra malware;
• Segurança de software de aplicação;
• Controle de acesso wireless;
• Recurso de recuperação de dados;
• Avaliação de habilidades de segurança e treinamento adequado para corrigir falhas;
• Configurações seguras para dispositivos de rede;
• Limitação e controle de portas de rede, protocolos e serviços;
• Uso controlado de privilégios administrativos;
• Defesa de limites;
• Manutenção, monitoramento e análise de registros de auditoria;

AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 30

• Acesso controlado com base na necessidade de saber;
• Monitoramento e controle de conta;
• Proteção de dados;
• Resposta a incidentes e gerenciamento;
• Engenharia de rede segura;
• Testes de penetração e exercícios da equipe vermelha.

Matriz RACI

No contexto da segurança da informação e do controle, é essencial que as atribuições

e responsabilidades estejam formalizadas e documentadas a fim de evitar dúvidas e
posteriores conflitos entre os membros das equipes envolvidas.

Pessoas

Quem faz o Quem decide

quê o quê

Nesse sentido, a matriz de responsabilidades ou matriz de designação de

responsabilidades, também conhecida como Matriz RACI, é um eficiente instrumento
cujo principal objetivo é a atribuição de funções e responsabilidades dentro de um
determinado processo, projeto, serviço ou departamento/função.

AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 31

A sigla RACI significa:

R Responsible - responsável por executar uma atividade (o executor);

Accountable - quem deve responder pela atividade, o dono (apenas

A
uma autoridade pode ser atribuída por atividade);

Consult - quem deve ser consultado e participar da decisão ou

C
atividade no momento em que for executada;
Inform - quem deve receber a informação de que uma atividade ou
I
ação foi executada.

Na construção de uma tabela RACI, devemos atribuir as responsabilidades R, A, C e I

em tarefas de um processo, serviço ou departamento. Dessa forma, devemos criar
uma tabela cujas linhas correspondam às atividades e as colunas, aos responsáveis
envolvidos. Cada célula dessa tabela deverá ser preenchida com uma ou mais letras
(R, A, C e/ou I), associando cada atividade da linha com os responsáveis descritos
em cada coluna, conforme a tabela abaixo:

Dono do Usuário 1 Usuário 2 Área A

processo
Atividade 1 A/R C I C

Atividade 2 A R I C

Atividade 3 A R I I
Atividade 4 A C I R

Matriz RACI de um processo de segurança qualquer.

AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 32

 Existem duas regras básicas que devem ser seguidas na construção de qualquer tabela
RACI:

• Para toda atividade, deve existir pelo menos (1) um responsável para executá-la (R)
e um dono (A);
• Não pode existir mais de um dono para uma mesma atividade (A).

AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 33

Bibliografia:

_______________. A importância da auditoria interna nas corporações.

Disponível em: <http://www.portaldeauditoria.com.br/auditoria-interna/A-
importanciia-da-auditoria-interna.asp>. Acesso em: 29 ago. 2017.

_______________. CISA review manual. Isaca, 2014.

_______________. Cobit 5 for assurance. Disponível em:

<http://www.isaca.org/COBIT/Pages/Assurance-product-page.aspx>. Acesso em: 29
ago. 2017.

_______________. Cobit 5 for information security. Disponível em:

<http://www.isaca.org/COBIT/Pages/Information-Security-Product-Page.aspx>.
Acesso em: 29 ago. 2017.

_______________. The critical security controls. Solution providers. San institute.

Disponível em: <https://www.sans.org/media/critical-security-controls/fall-2014-
poster.pdf?utm_medium=Social&utm_source=Twitter&utm_content=SANSInstitute+
POSTER+20+Critical+Controls&utm_campaign=SANS+20+Critical+Security+Control
s+>. Acesso em: 29 ago. 2017.

CAMPOS, A. L. N. Sistema de segurança da informação: controlando os riscos.

São Paulo: Visual Books, 2005.

DAYCHOUM, M. 40 + 8 ferramentas e técnicas de gerenciamento. 4. ed. Rio de

Janeiro: Brasport, 2012.

DIAS, C. Segurança e auditoria da tecnologia da informação. Rio de Janeiro:

Axcel Books, 2000.

AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 34

FERREIRA, F. N. F.; ARAÚJO, M. T. Política de segurança da informação. Rio de
Janeiro: Ciência Moderna, 2006.

GIL, A. de L. Auditoria de computadores. São Paulo: Atlas, 1998.

IMONIANA, J. O. Auditoria e sistemas de informação. 2. ed. São Paulo: Atlas,

2008.

LYRA, M. R. Segurança e auditoria em sistemas de informação. Rio de Janeiro:

Ciência Moderna, 2008.

MARTINS, J. C. C. Gestão de projetos de segurança da informação. Rio de

Janeiro: Brasport. 2003.

PALMA, F. A matriz RACI é a solução de seus problemas. Disponível em:

<http://www.portalgsti.com.br/2013/04/matriz-raci.html>. Acesso em: 29 ago. 2017.

PEIXOTO, M. C. P. Engenharia social e segurança da informação. Rio de Janeiro:

Brasport, 2006.

SCHMIDT, P.; Santos, J. L. dos; Arima, C. H. Fundamentos de auditoria de

sistemas. Rio de Janeiro: Atlas, 2006.

AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 35