o_19450picb1vdh1a4d11karq913pca.pdf

1
CONTRIBUIÇÃO DA AUDITORIA DE SISTEMAS DE INFORMAÇÃO PARA A
CONSOLIDAÇÃO DOS MECANISMOS DE TRANSPARÊNCIA E
ACCOUNTABILITY NA ADMINISTRAÇÃO PÚBLICA FEDERAL
RESUMO
Eolisses Ferreira Leopoldino *
O cidadão da Era da Informação, além da qualidade nos serviços públicos, exige que o
Governo o mantenha informado sobre por que, como e onde o seu dinheiro foi ou será gasto.
Ou seja, o cidadão quer estar no controle do patrimônio que, por direito, é dele. Por outro
lado, todos os dados pessoais e profissionais do povo brasileiro, encontram-se armazenados
em gigantescas bases de dados do Governo Federal. Tais informações, consideradas sensíveis,
trafegam em perigosas rotas da Internet. Se os sistemas que administram esses dados
apresentarem algum tipo de falha de segurança, tem-se configurado um grande problema,
cujas dimensões dependem, em grande parte, do valor da informação vazada, para a
organização. O objetivo deste artigo é o de ressaltar a importância da Auditoria de Sistemas
de Informação como uma das peças fundamentais à garantia da confiabilidade dos sistemas
que hoje suportam a pesada máquina administrativa federal. Através de uma extensa pesquisa
bibliográfica e documental, baseada em normas expedidas pelo Tribunal de Contas da União
(TCU), Controladoria Geral da União (CGU), Receita Federal, Ministério da Defesa,
Ministério do Planejamento, Banco Central, além de fontes oriundas do meio acadêmico e leis
emanadas das Casas Legislativa, foi possível compreender que não se pode falar em
transparência ou accountability dos processos concernentes à Administração Pública,
simplesmente informatizando tais processos e publicando os supostos resultados na Internet.
Há que se encontrar mecanismos administrativos capazes de auditar tais sistemas, de maneira
a emprestar-lhes credibilidade a toda prova. Papel afeto à Auditoria de Sistemas de
Informação.
Palavras-chave: Accountability. Transparência. Auditoria de Sistemas de Informação.
Segurança da Informação e Comunicações.
1 INTRODUÇÃO
Os sistemas computacionais de informação tornaram-se fundamentais para a
consolidação das políticas de inclusão digital, transparência e accountability da
Administração Pública Federal. A importância do seu papel é inquestionável, e deverá, nos
* Bacharel em Administração com habilitação em Análise de Sistemas pelo Instituto de Educação Superior de
Brasília (IESB), especialista em Criptografia e Segurança em Redes, pela Universidade Federal
Fluminense(UFF), Gestão de Segurança da Informação e Comunicações, pela Universidade de Brasília(UNB), e
Engenharia de Software, pela União Educacional de Brasília(UNEB).

2
próximos anos, tornar-se ainda mais intenso e presente na vida de todos os cidadãos que, cada
vez mais, necessitarão desses sistemas para facilitar suas vidas, ao mesmo tempo em que
exercem um efetivo controle sobre as práticas administrativas do Governo Federal. Se tais
apelos não forem suficientes, os transtornos causados pelo deslocamento em um trânsito cada
vez mais caótico, combinados com o tempo que se perde nas intermináveis filas e romarias
nos estabelecimentos federais, certamente farão com o cidadão prefira utilizar os serviços
governamentais disponibilizados na Internet.
Desta forma, paulatinamente, os brasileiros vão aprendendo que muitos dos seus
compromissos, podem ser resolvidos através da Rede Mundial de Computadores, a Internet.
Ocorre, no entanto, que as facilidades não vêem sozinhas. Elas se fazem acompanhar
dos riscos inerentes a todos os sistemas computacionais. Na medida em que novos sistemas
são lançados e, portanto, novas facilidades entregues ao cidadão conectado, também, na
mesma proporção, crescem as possibilidades de fraudes, acessos indevidos, roubo de dados,
eliminação e alterações não autorizadas de dados cadastrais. Os vetores de tais ações são
igualmente diversificados na origem, intenção e potencial de destruição.
Em que pese a gradual e benéfica incorporação à vida dos cidadãos, se analisados sob
a ótica da confidencialidade, integridade e disponibilidade, os sistemas de informação do
Governo Federal são confiáveis?
Este trabalho não tem a pretensão de responder à questão posta, uma vez que o
pesquisador teria de, in loco, auditar os códigos dos diversos sistemas computacionais do
Governo Federal. Contudo, tal questão visa instigar o leitor a questionar sobre a existência ou
não de um órgão, método ou rotina que possibilite emprestar alguma credibilidade ao produto
gerado por tais sistemas.
Desta forma, o questionamento a ser respondido por este trabalho pode ser proposto da
seguinte forma: qual a contribuição da Auditoria de Sistemas de Informação para a
consolidação das práticas de accountability na Administração Pública Federal?
A resposta, embora pareça óbvia na teoria, não encontra eco na vida real, como se
pode constatar na mídia, mormente em época de disputas eleitorais e confecções de supostos
dossiês incriminadores. Mais recentemente, invasores virtuais, que se desdobram em dezenas
de categorias, conseguiram modificar as páginas eletrônicas (defacement) de vários órgãos da
APF. A questão é: até que nível de profundidade, nos sítios eletrônicos, esse criminosos

3
virtuais conseguiram chegar? Será que realmente os servidores estão seguros? Será que nossas
informações estão seguras? Será que informações críticas estão seguras?
Visando dar maior objetividade à pesquisa, foi definido um escopo capaz de
contemplar os principais conceitos que serviram de base para o desenvolvimento do trabalho,
quais sejam: accountability, transparência, Auditoria de Sistemas de Informação e Segurança
da Informação e Comunicações, palavras-chaves do artigo. Em virtude do elevado nível de
conhecimento alcançado pelo Tribunal de Contas da União em relação ao assunto em tela, e
tendo ele produzido as principais diretrizes de Auditoria em Sistemas, o seu material
bibliográfico, combinado com artigos e teses acadêmicas encontradas na Rede Mundial de
Computadores e nas universidades de Brasília, formaram o arcabouço teórico e suficiente, que
possibilitou responder à questão posta, de maneira objetiva e sem cair numa eventual
superficialidade.
Portanto, tendo por objetivo geral o de identificar a contribuição da Auditoria de
Sistemas de Informação para a consolidação das práticas de accontability na Administração
Pública Federal, alguns objetivos específicos foram desenvolvidos ao longo do trabalho de
pesquisa. Primeiro investigou-se os termo accountability, “transparência” na Administração
Pública e Sistemas de Informação. Posteriormente, fez-se o relacionamento entre os termos,
de modo a encontrar onde um conceito completa o outro. Já numa terceira etapa, estudou-se o
termo Auditoria de Sistemas de Informação, tendo sido identificado sua importância para o
Tribunal de Contas da União (TCU) e para a Administração Pública Federal, como um todo.
Em seguida, foram identificados os principais Sistemas de Informação utilizados hoje pela
Administração Federal. Ato contínuo, relacionou-se a Auditoria de Sistemas de Informação à
mitigação de possíveis vulnerabilidades, culminando com o relacionamento, pela via indireta,
da auditoria de Sistemas de Informações com o fortalecimento da transparência das ações
governamentais. O trabalho, identificar como os Sistemas de Informação fortalecem as
práticas de Accountability, atende dessa forma o objetivo geral, anteriormente traçado.
O presente artigo foi dividido em sete capítulos, além desta introdução.
A oportunidade e relevância deste trabalho encontram respaldo na constatação de que
todo sistema, que necessite de algum input do ser humano, pode ser burlado. Fatos como a
violação do painel de votação do Senado Federal, violação do sigilo bancário de clientes, ou,
mais recentemente, da disponibilização indevida de dados de contribuintes da Receita Federal

4
a terceiros, corroboram esta tese. Contudo, a possibilidade do ilícito não explica sozinha a
importância do tema em questão. Há que se considerar também o fato de que uma informação
errada, mas tida como certa, é pior do que a não informação. Tais considerações, quando
unissonamente conjugadas, explicam tanto a relevância, quanto a oportunidade em se discutir
a importância da Auditoria de Sistemas de Informação na Administração Pública Federal.
2 CONCEITOS RELACIONADOS À TRANSPARÊNCIA E ACCOUNTABILITY
2.1 Considerações Iniciais
O dinâmico mundo da Administração, seja ela pública ou de entidades privadas, de
tempos em tempos, nos brinda com novos termos, novos métodos de gerência dos negócios,
novas abordagens sobre velhos problemas. Não importa o quão aceita é uma teoria, em curto
espaço de tempo ela se tornará obsoleta, para logo em seguida ser banida ou complementada
por cabalísticos e revolucionários métodos e ferramentas de gestão, apresentadas pelos gurus
da Nova Economia. Reengenharia, Sistema Just in Time, Programa 5S de Qualidade Total,
Sistema Kanban, Círculos de Controle de Qualidade (CCQ), 5W2H, Benckmark, Balance
Scorecard, Gráfico de Pareto, Diagrama de Hishikawa, são apenas algumas das diversas
técnicas e ferramentas que se incorporaram, em menor ou maior escala, às práticas
administrativas do nosso país. Algumas marcaram épocas, sendo apresentadas como soluções
definitivas para a gestão de um determinado ativo, mas assim como uma onda, as vezes um
tsunami, desapareceram no tempo e no espaço, sem deixar qualquer vestígio. Outras
permanecem até os dias atuais, em complemento às novas técnicas que, continuamente, vão
surgindo. O que se procura com tais técnicas, é encontrar a forma mais racional de gerir os
ativos da organização.
Mas existe uma categoria de termos, idéias ou concepções de trabalho, que busca não
somente uma gestão racional e criteriosa, mas também, prover os acionistas, de meios que
lhes permitam acompanhar e controlar as ações dos administradores, com vistas a coibir atos
danosos à organização ou redirecionar os rumos da instituição, se assim julgarem necessário.
Se entendermos a Administração Pública Federal como uma empresa e todos os
cidadãos que pagam impostos, seus acionistas, concepções dessa categoria farão muito
sentido, especialmente quando o objetivo, ainda que transversal, for o combate à corrupção, à

5
malversação da coisa pública e a incompetência gerencial dos nossos gestores. Felizmente, os
termos transparência e accountability, fazem parte dessa categoria.
2.2 Conceito de Transparência – Visão Governamental
Inicialmente, o termo transparência nos remete à idéia de algo que se mostra como
realmente é. Que não possui nada de errado, mal ou podre a esconder. Se considerássemos
uma bandeja de frutas, a transparência do recipiente deveria mostrar o real estado de
conservação de tais frutas, tanto as boas, quanto as estragadas, sem a necessidade de crenças,
imaginação ou suposições, pois a simples visão do objeto falaria por si só. No caso do serviço
público, a transparência garante que não há nada a esconder, pois tudo está, ou deveria estar,
sendo feito com ética e rigorosamente dentro dos limites da lei, tal qual ensina o renomado
professor Hely Lopes Meirelles: “...enquanto na administração particular é lícito fazer tudo
que a lei não proíbe, na Administração Pública só é permitido fazer o que a lei
permite.”(MEIRELLES, 1990).
A transparência poderá exibir qualquer coisa, inclusive distorções ocasionadas não por
desvios de caráter, mas em virtude da operacionalização de processos mal desenhados,
repletos de pontos de estrangulamento, rotas sem saída, tempos superestimados e falta de
paralelismo na consecução das atividades associadas.
2.3 Conceito de Accountability
Em 2009, os professores José Antonio e Ana Rita (PINHO; SACRAMENTO, 2009),
ambos da Universidade Federal da Bahia (UFB), publicaram um trabalho sobre as origens do
termo accountability, questionando se, nos tempos atuais, já teríamos uma tradução
condizente com tudo que esta palavra de origem inglesa representa. Um trabalho muito
completo e que servirá de base para a compreensão desta palavra que, embora pareça nova, já
está conosco, embora de maneira tímida, a mais de vinte anos.
Segundo Pinho e Sacramento(2009), o termo accountability remete-nos à idéia de
responsabilização pessoal pelos atos praticados, e a explícita prontidão para a prestação de
contas. Segundo os autores, essa idéia vale tanto para o setor público quanto privado.
Desta forma, a adoção da accountability impõe, necessariamente, a responsabilidade, a
obrigação e a responsabilização de quem ocupa um cargo, em prestar contas, conforme

6
prescreve a lei, não sendo descartada a possibilidade de ônus, pena prevista a não observação,
quando deveria fazê-lo, das práticas de accountability.
Schedler(1999 apud PINHO; SACRAMENTO, 2009) por sua vez, deixa-nos uma
reflexão muito interessante, relacionando a accountabiliy com o próprio poder dos
governantes, segundo a qual “a verdadeira razão de ser da accountability reside na
pressuposição da existência do poder e, nesse sentido, o seu principal objetivo não é eliminálo,
mas controlá-lo”.
Desta forma, não há que se falar em accountability em regime de cerceamento das
liberdades, onde a assimetria de poderes é tão gritante, quanto díspares são seus atores. Num
cenário como esse, grande são as chances do agente dominador não se sentir compelido a
prestar contas e o povo, dominado e fragilizado em sua moral, não se sentir capaz de cobrar
qualquer atitude democrática do seu senhor.
Adentrando um pouco mais no conceito, O’Donnell(apud PINHO; SACRAMENTO,
2009), defende que a accountability deve ser analisada sob uma ótica bidimensional, sendo
uma vertical e a outra horizontal. A primeira pressupõe a existência de alguém posicionado
em uma escala de poder imediatamente superior à aquele que fará uso das informações
oriundas da accountability. Pinho e Sacramento(2009) sintetizam tal modalidade como sendo
“uma ação entre desiguais – cidadãos versus representantes”. Já a accountability horizontal é
justamente o contrário, trata-se de um órgão ou poder constituído prestando contas a outro, ao
menos teoricamente, em igual patamar de poder.
A viabilidade da accountability, na visão do Centro Latino-Americano de
Administração para o Desenvolvimento (PINHO; SACRAMENTO, 2009), depende
basicamente de dois fatores:
a) o desenvolvimento da capacidade dos cidadãos de se mobilizarem na definição de
metas que beneficiem toda a sociedade;
b) e a construção de mecanismos institucionais que garantam o controle público das
ações dos governantes, ao longo de todo o seu mandato.
Nesse ponto, oportuno se faz relacionar os Sistemas de Informação e a Auditoria de
Sistemas, com os fatores determinantes para a implantação de práticas de accountability.
Enquanto as leis e decretos, requeridas no segundo fator, dão a sustentação jurídica necessária

7
à viabilidade da accountability, os Sistemas de Informação permite que ela, uma vez
respaldada juridicamente, chegue até o cidadão, para que o mesmo exerça o seu direito
constitucional de controlar e acompanhar a gestão dos recursos arrecadados pela União. A
Auditoria de Sistemas, ao seu turno, garante que todo esse mecanismo funcione a contento, na
medida em que o seu objeto é a segurança de uma gama infinita de informações
governamentais, que transita entre os milhares de roteadores que forma a espinha dorsal
Internet.
2.4 Relação entre Transparência e Accountability
Se por um lado a transparência permite acompanhar como a coisa pública está sendo
gerida, uma vez que, em tese, desnuda à população - acionistas majoritários -, a concretude
dos atos levados à termo pelos gestores da res pública, por outro lado, as práticas de
accountability, visam justamente, por meio de processos e ferramentas, em grande parte de
cunho tecnológico, viabilizar a própria transparência que tanto a sociedade almeja, merece e
tem o direito de vê-la acontecer, visto ser ela, a sociedade, a principal fonte de recursos da
União.
2.5 Transparência nos Sistemas Computacionais da União
O processo de transparência nos sistemas computacionais federais não é uma invenção
dos gestores de Tecnologia da Informação(TI). Antes disso, trata-se de uma imposição
prevista na Carta Magna de 1998, conforme se verifica abaixo:
Todos têm direito a receber dos órgãos públicos informações de seu interesse
particular, ou de interesse coletivo ou geral, que serão prestadas no prazo da lei, sob
pena de responsabilidade, ressalvadas aquelas cujo sigilo seja imprescindível à
segurança da sociedade e do Estado. (BRASIL, 1988)
E continua no Art. LXXII, com a concessão de habeas data, que assegura o acesso às
informações sob a guarda do Estado, relativas ao próprio impetrante, além de autorizá-lo,
também, a retificar seus dados pessoais (BRASIL, 1988).
Do ponto de vista da praticidade, a Administração Pública tem experimentado saltos
tecnológicos consideráveis em seus processos. Muitas atividades que antes obrigavam o
cidadão a perder longas e estressantes horas no esquema trânsito-filas-trânsito, agora podem
ser realizadas, de maneira rápida e prática, via Rede Mundial de Computadores ou terminais

8
dedicados, estrategicamente localizados em centros comerciais, estabelecimentos públicos e
quiosques de pronto atendimento.
Ocorre, no entanto, que tais facilidades, como preencher o formulário eletrônico do
Imposto de Renda Pessoa Física (IRPF) e, posteriormente, remeter via Internet, requer do
cidadão a confiança de que, após inseridos todos os dados requeridos pelo sistema, o cálculo
do imposto a pagar ou a receber, será corretamente executado. Além disso, o contribuinte
dever confiar que o número do registro de envio será único em um universo de milhões de
declaração; que os pacotes de dados serão corretamente roteados até os servidores da Receita
Federal; que o sigilo e integridade dos dados serão preservados. Como garantir todas essas
etapas?
As indagações podem ser ainda mais específicas e chegarem a questionar a qualidade
e veracidade de informações e serviços ofertados a outros sistemas, igualmente
computacionais.
O sitio da Transparência Pública, do Governo Federal, disponibiliza ao cidadão
informações sobre execução orçamentária, licitações, contratações, convênios, diárias e
passagens, no âmbito da Administração Pública Federal. Segundo consta da apresentação do
portal, sua concepção pautou-se nos objetivos essenciais da moderna Administração Pública,
quais sejam: o interesse público, seguido dos princípios constitucionais da legalidade,
impessoalidade, moralidade, publicidade e eficiência. Pela via transversa, pode-se dizer que
tal iniciativa contribui para o fortalecimento do processo de transparência e viabiliza, ao
menos em tese, o controle social dos atos administrativos.
Contudo, há que registrar que transparência não é simplesmente exibir dados, mas sim,
dados reais, consistentes e confiáveis. A mesma observação vale para os serviços, que devem
ser oferecidos de forma cada vez mais eficiente, justamente por conta das facilidades
proporcionadas pela tecnologia. O que nos obriga a questionar sobre qual o instrumento hábil
para, de forma isenta e desapaixonada, apontar imperfeições e sugerir melhorias nos serviços
oferecidos pela Administração Pública Federal, por meio dos sistemas computacionais?
Auditoria. Embora venha de modo natural, a resposta carrega consigo muita
responsabilidade e trabalho. Neste contexto tecnológico, em que pese a boa fé inerente aos
agentes públicos, não se pode falar em transparência das ações governamentais, no que se
refere ao fornecimento de informações pessoais ou institucionais, nem tão pouco em

9
accountability, sem a devida auditoria dos Sistemas de informações da Administração
Pública.
Compreendendo esta necessidade, o Tribunal de Contas da União desenvolveu mais
duas formas de controle externo: auditoria de sistemas e auditoria via sistemas
informatizados. Sendo o primeiro, objeto deste artigo.
3 CONCEITOS RELACIONADOS À SEGURANÇA DA INFORMAÇÀO
3.1 Conceito de Informação
Dados, processados ou não, que podem ser utilizados para produção e transmissão de
conhecimento, contidos em qualquer meio, suporte ou formato (BRASIL, 2010).
Já o professor Wilson Henrique, mais detalhista e didática, ensina que uma informação
é “um conjunto de dados organizados e referenciados, de tal modo que fazem sentido ou
possuem utilidade para alguém” (VENEZIANO, 2011). Mas além de propor um conceito para
a informação, o professor também elenca todas as características, suficientes e necessárias,
para que a informação agregue valor à sua utilidade. Desta forma, a informação deve ser:
precisa, completa, econômica, flexível, confiável, relevante, simples, pontual, verificável,
acessível e segura.
Menos exaustiva, a Associação Brasileira de Normas Técnicas(2005), ensina que a
informação pode existir em diversas formas: “impressa ou escrita em papel, armazenada
eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou
falada em conversas”. Mas a Norma assevera que, a despeito do tipo, é recomendável que a
informação seja sempre e adequadamente protegida.
3.2 Conceito de Segurança da Informação
Segundo a Associação Brasileira de Normas Técnicas(2005), Segurança da
Informação (SI) é a proteção da informação de vários tipos de ameaças, com vistas a garantir
a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os
investimentos e as oportunidades de negócio.
A Segurança da Informação é obtida a partir da implementação de um conjunto de
controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais
e funções de software e hardware.

10
Estes controles precisam ser estabelecidos, implementados, monitorados, analisados
criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de
segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com
outros processos de gestão do negócio.
3.3 Conceito de Política de Segurança da Informação (POSIC)
As definições do que seja uma Política de Segurança da Informação variam de autor
para autor. Mas isto ocorre somente no modo os autores expõem sua preocupação com o tema
e na profundidade da abordagem. Em essência, todos concordam que a POSIC precede toda e
qualquer política que vise preservar qualquer dos atributos básicos da segurança da
informação, a saber, confidencialidade, integridade, disponibilidade e autenticidade
De maneira bastante informal, Sêmola(2003) conceitua uma Política de Segurança da
Informação da seguinte forma:
Forme um grupo multidisciplinar, integrando necessidades e visões distintas e
enriquecedoras. Defina um processo de criação, manutenção e divulgação da
política. Envolva a alta direção e inicie os trabalhos com a elaboração das diretrizes
e principais normas. Comece pequeno, mas pense grande. A maturidade de
segurança de uma empresa está ligada diretamente à abrangência de sua política de
segurança e á disseminação de cultura por seus ativos humanos. (SÊMOLA, 2003).
A maioria dos órgãos da APF disponibiliza um computador para cada servidor. Do
ponto de vista da produtividade, tal prática é perfeita e se coaduna com a evolução
tecnológica experimentada pelo Governo Federal nos últimos 30 anos. Mas se considerarmos
todos os fatores envolvidos, e como eles podem influenciar negativamente na segurança da
informação, então somos instados a pensar que contramedidas devem ser fortemente
consideradas, com vistas à garantia dos pressupostos de confidencialidade, integridade e
disponibilidade do ativo informacional da instituição. A Política de Segurança da Informação
e Comunicações visa justamente nortear a concepção de tais medidas, representando
materialmente o próprio início da adoção de uma cultura de segurança da informação na
organização que a implementa.
Portanto, a Política de Segurança perpassa aspectos humanos, culturais e tecnológicos,
além de considerar, necessariamente, os processos, legislação e negócio da organização.
Concomitantemente, e já com a devida preparação, os riscos associados devem ser
perfeitamente mapeados e entendidos, sem o quê, não é possível mitigá-los.

11
3.4 Princípios da Segurança da Informação
3.4.1 Confidencialidade
Se analisada sob a ótica do cidadão que utiliza os sistemas computacionais do
Governo Federal, a confidencialidade representa o principal elemento a ser preservado, pois
se trata de condição determinante para que mais e mais brasileiros se sintam seguros e à
vontade para utilizar os serviços online da máquina pública.
3.4.2 Integridade
Qualidade da informação não modificada, inclusive quanto à origem, trânsito e destino
(BRASIL, 2010).
3.4.3 Disponibilidade
Qualidade da informação que pode ser conhecida e utilizada por indivíduos,
equipamentos ou sistemas autorizados (BRASIL, 2010).
3.4.4 Autenticidade
Qualidade da informação que tenha sido produzida, expedida, recebida ou modificada
por determinado indivíduo, equipamento ou sistema (BRASIL, 2010).
3.4.5 Primariedade
Qualidade da informação coletada na fonte, com o máximo de detalhamento possível,
sem modificações (BRASIL, 2010).
3.5 Comportamento Inseguro
O comportamento inseguro se caracteriza por expor a informação da organização a
toda sorte de riscos. O servidor público poderá ser um pai ou uma mãe de família, poderá ser
um estudante, uma pessoa com uma densa história de vida, com planos que vão de um
casamento à conquista do seu próprio apartamento. A história desse servidor pode estar
carregada de frustrações, vitórias, problemas, tensões, alegrias e tristezas.
Cada ser humano representa um mundo à parte. Multifacetado. Não se pode
encontrar soluções para um comportamento inseguro analisando tão somente uma faceta do

12
ser humano. Se um servidor apresenta comportamento inseguro, não necessariamente estamos
diante de um funcionário relapso. Podemos estar falando de um servidor que, por culpa da
própria Administração, ignora a existência de conceitos como otimização de recursos
computacionais, segurança da informação e comunicações, ameaças, vulnerabilidades, riscos
ou continuidade dos negócios.
Pode-se estar falando também de um funcionário com sérios problemas pessoais, que
não consegue manter o foco no trabalho e, portanto, deixa de observar as normas da segurança
comportamental (ambiental).
Portando, há que se perscrutar o comportamento do servidor, adentrando em sua
história. Dessa forma, talvez, se consiga mitigar, não erradicar, o comportamento inseguro nas
organizações. O servidor é mais que um número de matrícula. Possui sentimentos e manifesta,
discreta ou efusivamente, o que se passa em seu coração a cada momento.
3.5.1 Como mitigar o comportamento inseguro?
Por outro lado, a APF deve dispor de meios eficientes e legais, que possibilitem ao
servidor conhecer, relembrar e praticar a Segurança da Informação no seu dia-a-dia de
trabalho, a exemplo do prescreve as diretrizes abaixo descritas, retirados de uma portaria do
Exército:
Seção VIII - Dos Controles de Pessoal, Art. 21:
I - estabelecer normas de conduta para o pessoal, interno e externo, que minimizem
os riscos quanto a violações de segurança da informação advindas de atos de
negligência, imprudência, imperícia, acidentais ou má-fé.
...
V - quando versarem sobre preparo de recursos humanos, devem existir programas
de treinamento ou conscientização sobre as documentações normativas de segurança
que abranjam tanto o pessoal iniciante quanto o treinamento periódico de
atualização, assim como os registros das atividades desses programas ou
treinamento. (BRASIL, 2007)
Há necessidade de se criar um ciclo contínuo de atividades (palestras, folhetos,
mensagens na intranet, cursos) que visem educar o público interno, em relação à preservação
da Segurança da Informação e Comunicações. Tais atividades devem estar presentes antes do
servidor assumir o seu posto de trabalho e acompanhá-los durante todo o seu tempo de serviço
na Administração Pública Federal.

13
3.5.2 A importância do Psicólogo como membro efetivo das organizações
Há algum tempo se tornou ponto pacífico nos meios acadêmicos e nos foros de
estudos filosóficos, a adoção da premissa de que o homem não pode ser analisado de forma
descontinuada de sua história pessoal, princípio básico da Análise Comportamental, segundo
a qual, um evento comportamental é explicado pela descrição das relações que este evento
sustenta com outros eventos atuais ou pretéritos (ANÁLISE COMPORTAMENTAL, 2011).
Logo, a expedição de normas de conduta não é o bastante, há que se adentrar um
pouco mais na vida de cada servidor, para que se compreenda os reais motivos pelos quais o
funcionário exerce o chamado “comportamento inseguro”. Trata-se de uma mudança de
concepção no modo como a APF enxerga seus colaboradores.
Não é possível detectar os motivos do comportamento inseguro simplesmente
observando um servidor mergulhado na sua rotina do expediente. Insistindo nessa prática,
veremos tão somente o que queremos ver e o que parece ser.
Por outro lado, a presença de profissionais especialistas em comportamento humano,
nas organizações federais, contribuiria em muito para uma redução gradativa do
comportamento inseguro apresentado por alguns servidores públicos. Nesse contexto, avulta
de importância o papel do psicólogo, profissional cuja competência encontra-se mais afeta às
questões do comportamento humano. A presença desses profissionais é fundamental para a
preservação dos pilares que garantem a Segurança da Informação e Comunicações (SIC).
Mas os colegas do mesmo círculo profissional também podem contribuir. Há que se
interagir, indagar o servidor sobre por que age de determinada maneira, quando poderia agir
de outra forma. Trilhando por este caminho, percebe-se que o desafiou talvez não seja tão
árduo, bastando tão somente diálogo, companheirismo e desprendimento. Contudo, nada disso
exclui a obrigação da Administração de prover mecanismos de educação continuada aos seus
servidores, no que se refere à Segurança da Informação e Comunicações.
3.6 Auditoria de Sistemas
Segundo Zorzo(2009), a auditoria, no seu sentido amplo, pode ser entendida como:
“um conjunto de procedimentos técnicos devidamente estruturados, aplicados por
uma pessoa competente, que tem por objetivo confirmar a exatidão de alguma coisa
mediante um confronto entre o planejado e o efetivamente realizado. (ZORZO,
2009, p. 11)

14
Contudo, em seus primórdios, ainda na Idade Média, lembra-nos Manotti(2010, p.19),
os monarcas controlavam as contas internas relativas às despesas de suas residências, por
meio de dois notários independentes, responsáveis, portanto, pelo o que se podia chamar de
auditoria contábil. Posteriormente, essa prática migrou também para o comércio e para os
governos, chegando, nos dias atuais, aos órgãos de auditoria interna, como a Controladoria-
Geral da União (CGU) e órgãos de auditoria externa, como o Tribunal de Contas da União
(TCU).
3.6.1 Objetivos da Auditoria nos Diversos Períodos
Manotti(2010, p.19) relembra que no período compreendido entre 1912 e 1940, os
objetivos da Auditoria eram pautados, basicamente, por dois princípios:
a) A detecção e prevenção de fraude; e
b) A detecção e prevenção de erros.
Após o período citado, por conta da própria evolução do modo como as organizações
são administradas e dos serviços que são requeridos, a Auditoria passou a adotar como
princípios basilares:
a) Entendimento da situação financeira e dos ganhos associados;
b) Emissão de opinião na situação de controles (consultoria); e
c) Detecção e prevenção de fraude, porém, como objetivo secundário.
Contudo, há que se ressaltar que em países onde existe um alto índice de corrupção,
fraudes e impunidade, como no Brasil, a detecção e prevenção de fraudes assume papel
relevante no rol de princípios da Auditoria, seja ela interna ou externa. O rotineiro
desbaratamento de quadrilhas, formadas por profissionais de saúde, advogados e servidores
em geral, que ano após ano assaltam os cofres do Instituto Nacional do Seguro Social (INSS),
por exemplo, além de ressaltar o excelente trabalho da equipe de Auditoria Interna, corrobora
com a tese de que a detecção e prevenção de fraudes deve ser uma constante no Brasil.
3.6.2 Conceito de Auditoria de Sistemas de Informação
Na visão de Manotti(2010, p.19), e desta feita focando os sistemas computacionais, a
Auditoria de Sistemas, também chamada de Auditoria de Informática ou Riscos Tecnológicos,
pode ser definida da seguinte maneira:

15
[...] é a revisão e avaliação dos controles, desenvolvimento de sistemas,
procedimentos de TI, infraestrutura, operação, desempenho e segurança da
informação que envolve o processamento de informações críticas para a tomada de
decisão. Deve compreender não somente os equipamentos de processamento de
dados ou procedimento específico, mas sim suas entradas, processos, controles,
arquivos, segurança e extratores de informações. (MANOTTI, 2010, p.20)
Lyra(2008, apud SCHMIDT, 2006), por sua vez, ensina que cabe à Auditoria, além
dos objetivos previstos por Manotti(2010), recomendar o aprimoramento dos controles
internos nos sistemas de informação e avaliar a utilização dos recursos humanos.
Do ponto de vista da Política de Segurança da Informação e Comunicações (POSIC), a
Auditoria de Sistemas representa, segundo Silva et al.(2003, p.25), o quinto estágio de uma
lista de sete etapas de evolução, cuja ultrapassagem representa o amadurecimento da própria
POSIC. Logo, trata-se de um estágio importante, mas que só poderá e deverá ocorrer, quando
houver elementos que possibilitem a sua realização. A terceira etapa, entre outras
características, visa justamente preparar, tecnicamente e culturalmente, a organização para a
fase da auditoria.
Os sete graus de maturidade propostos por Silva et al.(2003, p.25), são:
1) definição de políticas e normas de segurança;
2) definição da arquitetura e dos processos de segurança;
3) implementação dos processos de suporte à inspeção, proteção, detecção e reação;
4) realização de ações de sensibilização e de formação em segurança;
5) realização periódica de auditorias e testes à segurança implantada;
6) implementação de processos de resposta e tratamento de incidentes;
7) validação do modelo de proteção e da sua implementação.
3.6.3 Objetivos de Auditoria de Sistemas de Informação
Lyra(2008) defende que, além de buscar a efetividade, eficiência, confidencialidade,
integridade, disponibilidade, compliance (conformidade) e confiança dos sistemas
computacionais das diversas esferas de governo, previstos no COBIT (ISACA, 2011), a
Auditoria de Sistema de Informação deve, necessariamente, adotar como objetivos globais:
integridade, confidencialidade, privacidade, acuidade, disponibilidade, auditabilidade,
versatilidade e a manutenibilidade.

16
Importante notar que a auditabilidade pressupõe, de acordo com os sete graus de
maturidade propostos por Silva et al.(2003, p.25), a conclusão de quatro etapas viabilizadoras
da Auditoria de Sistemas.
Logo, a Auditoria de Sistemas, longe de ser uma atividade trivial, estanque no tempo e
no espaço, representa um processo complexo e contínuo que, ao compor uma Política de
Segurança da Informação e Comunicações, exige uma preparação meticulosa e orquestrada,
que perpassa todas as demais atividades de qualquer organização, pressupondo-se que tal
organização pretenda sobreviver nos tempos modernos.
4 CONCEITOS RELACIONADOS AOS SISTEMAS COMPUTACIONAIS
4.1 Teoria dos Sistemas
Guimarães e Évora(2004) explicam que os sistemas existem dentro de outro sistema
ainda maior. O que se pode concluir, que não existe sistema naturalmente isolado. Ele sempre
estará recebendo inputs (entradas) internos e externos. Ao mesmo tempo, estará processando
os inputs e preparando uma saída, uma resposta a determinada demanda, que pode tanto vir de
um ser humano, de outro sistema computacional ou mesmo outras partes do mesmo sistema
em questão.
De maneira mais acadêmica, pode-se entender um sistema como um conjunto de
partes que se autorelacionam, não sendo possível que tais relações ocorram por acaso.
4.2 Sistemas Computacionais de Informação
Segundo o austríaco Peter Drucker (1909-2005) - considerado pelo meio acadêmico e
empresarial como o Pai da Administração Moderna -, o conhecimento alcançou, desde o final
da 2ª Grande Guerra Mundial, o status de bem mais precioso, tanto para a organização, quanto
para seus colaboradores. Peter Drucker entendia que o trabalho repetitivo certamente seria
substituído pelas máquinas e que o homem seria tanto mais valorizado, quanto mais ele
procurasse se especializar em temas correlatos à sua profissão. Esse pensamento, explícito em
sua obra “Administração em Tempos de Grandes Mudanças” (DRUCKER, 1995), é a base do
início de uma época que o guru da administração cunhou como “Era da Informação”. A nossa
era!

17
Não por coincidência, o período delineado por Peter Drucker marcou também o início
da computação e, quase de imediato, das redes, fazendo com que a informação, outrora
confinada nas cabeças das pessoas ou em pesados armários de aço, cruzassem as barreiras do
tempo, do espaço e das culturas.
Na visão de Kurose(2006), a fusão, no final da década de 80, de duas importantes
redes de pesquisa, a ARPANET, pertencente à ARPA (acrônimo de Advanced Research
Projects Agency ou Agência de Projetos de Pesquisa Avançados, órgão de pesquisa de defesa,
criada pelo ex-presidente americano Dwight David Eisenhower) e a NSFNET, pertencente à
NSF (acrônimo de National Science Foundation, entidade americana de pesquisa), foi
fundamental para que, em 1993, surgisse oficialmente a Internet, uma grande via de
informação, que alcançou, em pouco menos de 20 anos, todos os cantos da Terra,
transformando-se numa espécie de dimensão paralela da vida humana. Uma rodovia digital
extremamente densa, pulsante, nervosa, formada por complexos backbones, por onde
trafegam, ininterruptamente, centenas de milhares de terabytes de informações por segundo.
Essa revolução tecnológica chegou à Administração Pública Federal (APF), com
impactos extremamente importantes na qualidade, oportunidade e precisão dos serviços
prestados. De fato, nos dias atuais, não se pode falar em APF sem os sistemas
computacionais.
Segundo Arídio(2004), passamos a ver a disseminação irreversível e progressiva, dia
a dia, da tecnologia da informação e a utilização incondicional dos sistemas de informação
automatizados em todos os níveis da administração pública direta e indireta, seja federal,
estadual ou mesmo municipal, enfim, em todos os escalões e níveis da estrutura
organizacional das entidades públicas.
Essa disseminação tecnológica da informação trouxe facilidades, mas também deixou
claro que, em virtude do elevado grau de sensibilidade das informações armazenadas e do
nível de direito que podem gerar, avulta de importância a necessidade do Estado garantir a
confidencialidade, integridade e disponibilidade desse ativo vital para a sociedade.
Infelizmente, tais baluartes da Segurança da Informação podem estar correndo sérios riscos.
Se não vejamos.

18
Em 22 de junho do corrente ano, o Serviço Federal de Processamento de Dados
(SERPRO) registrou 34 milhões de ataques simultâneos contra sites do Governo. Os ataques,
do tipo “defacement” (pichações na página principal), se estenderam por 50 dias. Entre os
órgãos afetados estão: Universidade de Brasília (UNB), Petrobras, Instituto Brasileiro de
Geografia e Estatística (IBGE), Previdência, Portal Brasil, Receita Federal, Secretaria da
Comunicação e da Administração do Governo de Mato Grosso, Brigada Militar do Rio
Grande do Sul, Polícia Militar de Goiás e Assembléia Legislativa do Amazonas. Este último,
invadido pelo grupo Sophia Hacker Group 2011 – Owned by Alternative e os demais pelo
grupo LulzSecBrazil (ONIUS DIREITO E TECNOLOGIA, 2011).
Em boa hora, embora não desejável, tais invasões expuseram a fragilidade dos
sistemas governamentais, ao mesmo tempo em que evidenciou a importância da Auditoria de
Sistemas na garantia da Segurança da Informação e Comunicações (SIC), papel que o
Tribunal de Contas da União, gradativamente, vem avocando para si, dada a sua
independência em relação aos três poderes constituídos.
5 SISTEMAS COMPUTACIONAIS DO GOVERNO FEDERAL
A máquina pública se utiliza de um número considerável de sistemas computacionais.
Abaixo estão elencados alguns dos sistemas mais conhecidos pelo cidadão ou servidores
públicos que utilizam os serviços disponibilizados pela União, na Rede Mundial de
Computadores ou no interior das intranets governamentais:
• Sistema Integrado de Administração Financeira do Governo Federal(SIAFI);
• Sistema de Dados Orçamentários(SIDOR);
• Sistema de Administração de Pessoal(SIAPE);
• Sistema Integrado de Administração de Serviços Gerais(SIADS);
• Sistema de Administração Patrimonial da União(SPIU);
• Sistema de Informações do Banco Central(SISBACEN);
• Sistema de Cadastramento Unificado de Fornecedores(SICAF);
• Sistema de Cadastro de Pessoas Físicas e Jurídicas(SISON);

19
Longe de ser uma lista estanque e exaustiva, essa relação evidencia a preocupação da
Administração Federal em dotar a máquina pública de meios tecnológicos, capazes de fazer
frente aos novos desafios da Era da Informação. Nesse contexto, o principal ator - o cidadão -,
apresenta-se cada vez mais exigente e ávido por serviços de qualidade, o que importa falar em
alta disponibilidade, confiabilidade e acessibilidade a toda prova, além de todas as demais
dimensões do seu significado.
Os sistemas computacionais trouxeram mudanças importantes no modo como o as
pessoas interagem com a Administração Pública. Os impactos dessa mudança de
comportamento não ficam circunscritos ao mundo virtual, uma vez que influenciam
diretamente na qualidade de vida do cidadão e em diversos indicadores, como poluição,
assaltos e acidentes de trânsito. Se não vejamos. Se mais brasileiros utilizam os serviços
públicos disponibilizados na Rede Mundial de Computadores:
• menos pessoas lotam os estabelecimentos públicos, permitindo uma melhor
distribuição, por parte dos gestores, da força de trabalho sob sua
responsabilidade;
• menos cidadãos se dirigem para os estabelecimentos públicos, logo, diminui o
trânsito de pessoas nas vias, seja motorizado ou a pé. Se motorizado, diminui a
quantidade de monóxido de carbono na atmosfera e o caos no trânsito. Se a pé,
diminui a possibilidade de assaltos, acidentes, além de proporcionar conforto
ao cidadão;
• o Estado economiza em pessoal, material e direitos trabalhistas.
Em que pese a baixa qualidade dos serviços públicos quando se trata de atendimento
pessoal e respeito ao cidadão, os sistemas computacionais vêm assumindo, ano após ano, uma
papel extremamente relevante, seja no processo (ainda em curso) de transparência e
accountability, viabilizando o controle social, seja na visível eficiência que tais sistemas
conferem à máquina pública.
6 A AUDITORIA DE SISTEMAS E SUA RELAÇÃO COM O TRIBUNAL DE
CONTAS DA UNIÃO (TCU)
O TCU, na condição de guardião do bom uso da coisa pública em proveito da
sociedade, compreendendo a importância da Auditoria de Sistemas para a garantia do

20
patrimônio informacional do Governo Federal, criou a Secretaria de Fiscalização de
Tecnologia da Informação(Sefti), em 2006, com as seguintes definições de negócio, missão e
visão:
• Negócio: Controle externo da governança de tecnologia da informação na
Administração Pública Federal.
• Missão: Assegurar que a tecnologia da informação agregue valor ao negócio da
Administração Pública Federal em beneficio da sociedade.
• Visão: Ser unidade de excelência no controle e no aperfeiçoamento da governança
de tecnologia da informação.
Junto com a Sefti, veio a Auditoria de Governança de TI, esta sim, apta a demonstrar a
eficácia dos Sistemas de Informação da Administração Pública, bem como garantir a
veracidade das informações prestadas, no que se refere ao conteúdo armazenado nas bases de
dados do Governo.
Desta forma, munido de um sistema de auditoria organizada, cientificamente
modelada e em constante processo de evolução, pode-se lastrear em credibilidade as
ferramentas de accountability, com vista a prover, em níveis cada vez mais elevados,
transparência e legalidade às ações da Administração Pública de nosso país.
Segundo do Tribunal de Contas da União(BRASIL, 2000), a Auditoria de Sistemas de
Informação visa:
[...] verificar, dentre outros aspectos, se um determinado sistema de informações de
uma instituição é confiável quanto à alimentação de dados, qualidade dos recursos e
técnicas de programação. (BRASIL,2000)
Para cumprir esse papel, o TCU expediu, nos últimos anos, diversos instrumentos de
pesquisa, que tem facilitado em muito a atividade de autoria, conforme se observa abaixo:
• Sumários Executivos - Auditoria nos Sistemas do Cadastro Único para Programas
Sociais do Governo Federal (BRASIL, 2009);
• Manual de Auditoria de Sistemas (BRASIL, 2010);
• Boas Práticas em Segurança da Informação (BRASIL, 2001a); e
• Técnicas de Auditoria – Análise RECI (BRASIL, 2001b).

21
Do ponto de vista macro da Administração Pública, o principal objetivo da auditoria
de Sistemas é contribuir para o aperfeiçoamento da gestão pública, com vistas a assegurar que
a tecnologia da informação agregue valor à sua atuação em benefício da sociedade (TCU,
2009).
Dessa forma, o TCU contribui de maneira bastante efetiva para a garantia de que os
sistemas da União cumpram, de fato, o papel que lhes cabem na Administração Pública
Federal.
7 INCLUSÃO DIGITAL
Embora não componha o escopo deste trabalho, há que se ressaltar a necessidade de
uma oferta social de banda larga para todas as regiões do Brasil, e não só para os grandes
centros urbanos. A oferta de serviços públicos e privados na Internet, o grande acervo
mundial de imagens, vídeos, produção acadêmica e toda sorte de conhecimento, não pode
ficar restrito a uma parcela privilegiada de brasileiros. Uma vez que todos os brasileiros são
iguais perante a Lei.
Os estados das Regiões Norte e Nordeste, mormente a Região Amazônica, não podem
ser alijados desse processo de virtualização dos serviços públicos. Milhões de cidadãos
brasileiros, contribuintes, residem nesses estados e, à semelhança de seus irmãos do Sul e
Sudeste, demandam as mesmas necessidades de interação com a Administração Pública, em
todas as suas esferas.
Se é certo que a responsabilidade em construir e manter as rodovias que rasgam o país
de ponta a ponta, permitindo o livre deslocamento de milhares de pessoas, vinte e quatro
horas por dia, sete dias por semana e trezentos e sessenta dias por ano, cabe aos governos
federais, estaduais e municipais, então, igualmente certo e razoável é imaginar, que a
competência para transformar a via da informação, por onde trafega todo o conhecimento
humano, produzido e em produção, em um serviço de qualidade e gratuito para todos os
brasileiros, com certeza é desses mesmos governos. Isso é inclusão digital.
8 CONCLUSÃO
Do estudo e desenvolvimento deste trabalho, pode-se concluir que os sistemas de
informação são imprescindíveis para a consolidação dos processos de transparência e

22
accountability. Não basta ao administrador público exibir dados estatísticos ao cidadão
brasileiro. Necessário se faz que tais dados sejam fidedignos.
Como foi visto anteriormente, o elemento humano, uma vez parte do processo, é
motivo suficiente para que considere a instalação de uma auditoria, se não pela facilidade com
que o servidor se deixa corromper, então pela própria condição humana, naturalmente
propensa ao erro.
Por outro lado, a tendência é que novos sistemas venham a ser desenvolvidos, na
medida em que novas demandas são requeridas pela população.
Para que seja minimizado o sucesso dos ataques aos dados governamentais postados
na Rede Mundial de Computadores, ou mesmo para que os sistemas de informação realmente
executem informações confiáveis, é imprescindível a implantação de um programa
consistente de auditoria, que contemple não só os sistemas propriamente ditos, mas toda a
infraestrutura de Tecnologia da Informação da Administração Pública Federal.

23
REFERÊNCIAS
ANÁLISE DO COMPORTAMENTO. In: WIKIPÉDIA, a enciclopédia livre. Flórida:
Wikimedia Foundation, 2011. Disponível em: . Acesso em: 9 jul. 2011.
ARIDIO, Silva et al. Sistema de Informação na Administração Pública. Editora Revan,
2004.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 17799:
Tecnologia da Informação – Técnicas de segurança – Código de Práticas para gestão da
segurança da informação. Rio de Janeiro, 2005.
BRASIL. Tribunal de Contas da União. Sumários Executivos - Auditoria nos Sistemas do
Cadastro Único para Programas Sociais do Governo Federal, 2009;
BRASIL. Tribunal de Contas da União. Manual de Auditoria de Sistemas. Disponível em: <
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/
boas_praticas> Acesso em: 30 Jul 2010.
BRASIL. Tribunal de Contas da União. Boas Práticas em Segurança da Informação,
2001a.
BRASIL. Tribunal de Contas da União. Técnicas de Auditoria – Análise RECI, 2001b.
BRASIL. Congresso. Câmara dos Deputados. Projeto de Lei 219-C, de 2003. Lei de Acesso à
Informação Pública. Brasília, DF: 2010.
BRASIL. Ministério da Defesa. Comando do Exército. Departamento de Ciência e
Tecnologia. Portaria n° 003-DCT, de 31 de janeiro de 2007. Instruções Reguladoras sobre
Auditoria de Segurança de Sistemas de Informações do Exército Brasileiro. Brasília, DF:
2007
DRUCKER, Peter F. Administrando em Tempos de Grandes Mudanças. São Paulo:
Pioneira Thomsom: 1995.
GUIMARÃES, Eliane Marina Palhares; ÉVORA, Yolanda Dora Martinez. Sistema de
informação: instrumento para tomada de decisão no exercício da gerência. Brasília:
2004. Disponível em:< http://www.scielo.br/scielo.php?pid=S0100-19652004000100009&
script=sci_arttext&tlng=es> Acesso em: 27 jul. 2010.
ISACA. COBIT 4.0 - Controls Objectives for Information and related Technology.
Disponível em:< http://www.isaca.org/Knowledge-Center/cobit/Pages/Downloads.aspx>.
Acesso em: 11 de jun. 2011.
LYRA, Maurício Rocha. Segurança e Auditoria em Sistemas de Informação. Rio de
Janeiro: Ciência Moderna, 2008.

24
KUROSE, James F. Redes de Computadores e a Internet: uma abordagem top-down. 3.
ed. São Paulo: Pearson Addison Wesley, 2006.
MANOTTI, Alessandro. Curso Prático – Auditoria de Sistemas: Compreenda como
Funciona o Processo de Auditoria Interna e Externa em Sistemas de Informação de uma
Forma Prática. Rio de Janeiro: Ciência Moderna, 2010.
MEIRELLES, Hely Lopes. Direito Administrativo Brasileiro. 24. ed. São Paulo: Revista
dos Tribunais, 1990.
ONIUS DIREITO E TECNOLOGIA. Grupo Hacker LulzSec Anuncia Fim das Atividades, após
50 Dias de Ataques. Disponível em: < http://www.onius.com.br/ver.asp?secao=artigo&cat=
direitoinformatico&level=in&id=483>. Acesso em: 02 jun. 2011.
PINHO, José Antonio Gomes; SACRAMENTO, Ana Rita Silva. Accountability: já
podemos traduzi-la para o português? Revista de Administração, Rio de Janeiro, vol.43
no.6, Nov./Dez.2009.
SÊMOLA, Marcos. Gestão de Segurança da Informação: visão executiva da segurança
da informação aplicada ao Security Officer. Rio de Janeiro: Elsevier, 2003.
SILVA, Pedro Tavares; CARVALHO, Hugo; TORRES, Catarina Botelho. Segurança dos
Sistemas de Informação - Gestão Estratégica da Segurança da Informação. Lisboa:
Centro Atlantico.PT, 2003.
VENEZIANO, Wilson Henrique. Organizações e Sistemas de Informação. Programa de
Formação de Especialistas para a Elaboração da Metodologia Brasileira de Gestão de
Segurança da Informação e Comunicações – CEGSIC 2009-2011. Brasília: UNB, 2010.
ZORZO, Claudio. Auditoria Para Concursos: Uma Visão Teórica. Brasília: Obcursos,
2009.

25
AGRADECIMENTOS
A todos os professores, que ao longo de minha vida acadêmica, alimentaram a
minha sede de conhecimento, e dessa forma, contribuíram decisivamente para a conclusão
deste trabalho de pesquisa. Agradeço à Janine, minha companheira de todas as horas, pelos
diários estímulos que me impulsionam a buscar vida nova dando-me a oportunidade de me
realizar ainda mais.