Auditoria de Sistemas Informatizados - Unisul

Universidade do Sul de Santa CatarinaAuditoria de SistemasInformatizadosDisciplina na modalidade a distânciaPalhoçaUnisulVirtual2007

ApresentaçãoParabéns, você está recebendo o livro didático da disciplinaAuditoria de Sistemas Informatizados.O processo de ensino e aprendizagem na UnisulVirtual levaem conta instrumentos que se articulam e se complementam,portanto, a construção de competências se dá sobre a articulaçãode metodologias e por meio das diversas formas de ação/mediação.São elementos desse processo:• O livro didático;• O EVA (Espaço UnisulVirtual de Aprendizagem);• Atividades de avaliação (complementares, a distância epresenciais).Os materiais didáticos foram construídos especialmente paraeste curso, levando em consideração o seu perfil e as necessidadesda sua formação. Como os materiais estarão, a cada novaversão, recebendo melhorias, pedimos que você encaminhe suassugestões, sempre que achar oportuno, via professor tutor oumonitor.Recomendamos que antes de você começar os seus estudos,verifique as datas-chave e elabore o seu plano de estudo pessoal,garantindo assim a boa produtividade no curso. Lembre-se:você não está só nos seus estudos. Conte com o Sistema Tutorialda UnisulVirtual sempre que precisar de ajuda ou algumaorientação.Desejamos que você tenha êxito neste curso!Equipe UnisulVirtual

Abílio Bueno NetoDavi SoloncaAuditoria de SistemasInformatizadosLivro didáticoDesign instrucionalDênia Falcão de BittencourtViviane Bastos3ª ediçãoPalhoçaUnisulVirtual2007

Copyright © UnisulVirtual 2007N enhum a parte desta publicação pode ser reproduzida por qualquer m eio sem a prévia autorização desta instituição.005.8B94Bueno Neto, AbílioAuditoria de sistemas informatizados : livro didático / Abílio Bueno Neto, DaviSolonca ; design instrucional Dênia Falcão de Bittencourt, Viviane Bastos. – 3. ed. –Palhoça : UnisulVirtual, 2007.190 p. : il. ; 28 cm.Inclui bibliografia.ISBN 978-85-60694-16-71. Sistemas de segurança. 2. Computadores – Medidas de segurança. I. Solonca,Davi. II. Bittencourt, Dênia Falcão de. III. Bastos, Viviane. IV. Título.Ficha catalográfica elaborada pela Biblioteca Universitária da UnisulCréditosUnisul- Universidade do Sulde Santa CatarinaUnisulVirtual- Educação Superiora DistânciaCam pusUnisulVirtualRua João Pereira dos Santos, 303Palhoça - SC - 88130-475Fone/fax:(48)3279-1541 e3279-1542E-m ail:cursovirtual@ unisul.brSite:www.virtual.unisul.brReitorUnisulGerson LuizJoner da SilveiraVice-Reitore Pró-ReitorAcadêm icoSebastião Salésio HeerdtChefe de gabinete da ReitoriaFabian M artins de CastroPró-ReitorAdm inistrativoM arcus Vinícius Anátoles da SilvaFerreiraCam pusSulDiretor:Valter Alves Schm itzNetoDiretora adjunta:Alexandra OrsoniCam pusNorteDiretor:Ailton Nazareno SoaresDiretora adjunta:Cibele SchuelterCam pusUnisulVirtualDiretor:João VianneyDiretora adjunta:Jucim ara RoeslerEquipe UnisulVirtualAdm inistraçãoRenato André LuzValm ir Venício InácioBibliotecáriaSoraya Arruda W altrickCerim onialde Form aturaJackson Schuelter W iggersCoordenação dosCursosAdriano Sérgio da CunhaAna Luisa M ülbertAna Paula Reusing PachecoCátia M elissa S.Rodrigues (Auxiliar)Charles CesconettoDiva M arília Flem m ingItam ar Pedro BevilaquaJanete Elza FelisbinoJucim ara RoeslerLilian Cristina Pettres (Auxiliar)Lauro José Ba lockLuizGuilherm e Buchm annFigueiredoLuizOtávio Botelho LentoM arcelo CavalcantiM auri LuizHeerdtM auro Faccioni FilhoM iche le Denise DurieuxLopes DestriM oacir HeerdtNélio Herzm annOnei Tadeu DutraPatrícia AlbertonPatrícia PozzaRaulino Jacó BrüningRose Clér E.BecheDesign GráficoCristiano Neri Gonçalves Ribeiro(coordenador)Adriana Ferreira dos SantosAlexSandro XavierEvandro Guedes M achadoFernando Roberto Dias Zim m erm annHigor Ghisi LucianoPedro Paulo Alves TeixeiraRafaelPessiVilson M artins FilhoEquipe Didático-PedagógicaAngelita M arçalFloresCarm en M aria Cipriani PandiniCaroline BatistaCarolina Hoe ler da Silva BoeingCristina Klipp de OliveiraDaniela Erani M onteiro W i lDênia Falcão de BittencourtEnzo de Oliveira M oreiraFlávia Lum i M atuzawaKarla Leonora Dahse NunesLeandro Kingeski PachecoLigia M aria Soufen Tum oloM árcia LochPatrícia M eneghelSilvana Denise Guim arãesTade-Ane de Am orimVanessa de Andrade M anuelVanessa Francine CorrêaViviane BastosViviani PoyerLogística de EncontrosPresenciaisM arcia Luzde Oliveira(Coordenadora)Arace li AraldiGraciele M arinês Lindenm ayrGuilherm e M .B.PereiraJosé Carlos TeixeiraLetícia Cristina BarbosaKênia Alexandra Costa Herm annPriscila Santos AlvesLogística de M ateriaisJeferson Cassiano Alm eida da Costa(coordenador)Eduardo KrausM onitoria e SuporteRafaelda Cunha Lara (coordenador)Adriana SilveiraCaroline M endonçaDyego RachadelEdison Rodrigo ValimFrancie le ArrudaGabriela M alinverni BarbieriJosiane Conceição LealM aria Eugênia Ferreira CeleghinRachelLopes C.PintoSim one Andréa de CastilhoTatiane SilvaVinícius M aycot Sera.mProdução Industriale SuporteArthur Em m anuelF.Silveira(coordenador)Francisco AspProjetosCorporativosDiane DalM agoVanderlei BrasilSecretaria de Ensino a DistânciaKarine Augusta Zanoni(secretária de ensino)Ana Luísa M ittelztattAna Paula PereiraDjeim e Sam m er BortolottiCarla Cristina Sbarde laFranciele da Silva BruchadoGrasiela M artinsJam es M arcelSilva RibeiroLam uniê SouzaLiana Pam plonaM arcelo PereiraM arcos Alcides M edeiros JuniorM aria IsabelAragonOlavo LajúsPrisci la Geovana PaganiSilvana Henrique SilvaVilm ar Isaurino VidalSecretária ExecutivaViviane Schalata M artinsTecnologiaOsm ar de Oliveira BrazJúnior(coordenador)Ricardo Alexandre BianchiniRodrigo de Barcelos M artinsEdição -- Livro DidáticoProfessoresConteudistasAbílio Bueno NetoDavi SoloncaDesign InstrucionalDênia Falcão de BittencourtViviane BastosProjeto Gráfico e CapaEquipe UnisulVirtualDiagram açãoVilson M artins FilhoEvandro Guedes M achado(3ºedição)Revisão OrtográficaRevisare

SumárioPalavras dos professores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 09Plano de estudo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11UNIDADE 1 – Introdução à auditoria de sistemas informatizados . . . . . 15UNIDADE 2 – Organização da auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53UNIDADE 3 – Política de segurança de informações . . . . . . . . . . . . . . . . . . 81UNIDADE 4 – Plano de contingência e de continuidade denegócios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111UNIDADE 5 – Auditoria de sistemas informação . . . . . . . . . . . . . . . . . . . . 141Para concluir o estudo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179Referências . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181Sobre os professores conteudistas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185Respostas e comentários das atividades de auto-avaliação . . . . . . . . . . . . 187

Palavras dos professoresA profissão de auditor já existe há um bom tempo, mascom o passar dos tempos muitas mudanças ocorreramno mundo dos negócios, fazendo com que a profissão deauditor também sofresse algumas alterações. O auditorde sistemas informatizados é uma pessoa que acima detudo deve estar atenta às novidades de mercado, poistodos os dias são descobertas novas formas de se invadiros computadores e redes.São vários os desafios que devem ser ultrapassados porum auditor, pois com os constantes avanços tecnológicos,auditar sistemas torna-se cada dia mais difícil.Um dos objetivos deste livro é minimizar de algumaforma, parte da carência de informação nesta área, que énova, mas desde seu início muito promissora.Um dos desafios de se escrever sobre este assunto é queos livros que tratam de segurança de informações sãomuito técnicos, o que pode dificultar o aprendizado. Deoutra parte, os livros que tratam sobre auditoria deixam,muito a desejar no que diz respeito a atualizaçõestecnologicas. Este desafio foi o principal motivador parase escrever a respeito deste assunto.Esperamos que este trabalho sirva de fonte de consultapara auditores iniciantes, para analistas de sistemasde informação que passaram a ser auditores e paraexecutivos que pretendem formar a sua equipe deauditores.Seja bem-vindo à disciplina Auditoria de SistemasInformatizados.

Plano de estudoO plano de estudo tem por objetivo orientar você nodesenvolvimento da disciplina. Ele possui elementos queo ajudarão a conhecer o seu contexto e a organizar o seutempo de estudo.Ementa da disciplinaFundamentos. Responsabilidades legais. Classificaçãode serviços. Procedimentos genéricos e específicospara exames e seus respectivos relatórios e certificados.Aspectos de auditoria de controle geral, segurança,aplicações, desempenho, fraude, uso do sistema eequipamentos. Pontos de controle e trilhas de auditoria.Controle pré-operacional, operacional, de processamentoe documental. Relatório de auditoria de sistemas.Auditoria computadorizada: validação de valores,programas específicos de auditoria, verificação lógica dosprogramas, monitoria on-line do sistema.Créditos: 4Objetivo(s)GeralDesenvolver habilidades para realização de auditoria desistemas nos diversos campos de atuação.Específicos• Estudar os conceitos que envolvem a auditoria.• Conhecer a organização de um trabalho deauditoria.

• Conhecer os diversos componentes de uma política desegurança.• Identificar a necessidade e as características de um planode continuidade de negócios.• Identificar os passos necessários de um trabalho deauditoria de sistemas de informação.Agenda de atividadesVerifique com atenção o cronograma no “EVA” e organize-separa acessar periodicamente o espaço das disciplinas cursadas.Lembre-se que o sucesso nos seus estudos depende da priorizaçãodo tempo para a leitura, da realização de análises e sínteses doconteúdo e da interação com os seus colegas e professor tutor.Antes de iniciar a realização das atividades de avaliação, leia comatenção os critérios de avaliação apresentados pelo professor tutorno plano de ensino da disciplina no “EVA”.Não perca os prazos das atividades. Registre no espaço, a seguir,as datas-chave com base no cronograma disponibilizado no EVA.12

AtividadesAvaliação a distância 1 (AD 1)Avaliação presencial (AP)Avaliação final (AF)Demais atividades (registro pessoal)Habitue-se a usar o quadro para agendar e programar asatividades relativas ao desenvolvimento da disciplina.13

UNIDADE 1Introdução à auditoria desistemas informatizados1Objetivos de aprendizagemAo final desta unidade, você terá subsídios para:• contextualizar a evolução dos sistemas computacionaise da necessidade da segurança da informação.• entender o conceito de auditoria e, maisespecificamente, da auditoria de sistemasinformatizados.• compreender a importância da auditoria de sistemasinformatizados.• conhecer os desafios éticos e sociais da tecnologia dainformação.Seções de estudoApresentamos, a seguir, as seções para você estudar.Seção 1Seção 2Seção 3Seção 4Seção 5Evolução dos sistemas computacionais e desegurança da informaçãoQuais são os conceitos básicos da auditoria?Qual é o tipo da auditoria objeto desteestudo?Por que auditar?Quais são os desafios éticos da auditoria desistemas informatizados?Após a leitura dos conteúdos, realize as atividades deauto-avaliação propostas no final da unidade e no EVA.

Universidade do Sul de Santa CatarinaPara início de estudoPara você que está prestes a iniciar os estudos na área deauditoria, algumas considerações são necessárias.Esta unidade pretende conceituar a auditoria de sistemasinformatizados. Para que o seu conceito e importância fiquemclaros, na primeira seção será abordada a evolução dos sistemasde informação.Nas terceira e quarta seções são enfocados os desafios éticosque permeiam a tecnologia de informação e a importância daauditoria nos sistemas informatizados.Bom estudo!Seção 1 – Evolução dos sistemas computacionais e dosde segurança da informaçãoNem sempre o bem mais precioso de uma empresa se encontra nofinal da sua linha de produção, na forma de um produto acabadoou de algum serviço prestado Ele pode estar nas informaçõesrelacionadas a este produto ou serviço.A crescente utilização de soluções informatizadas nas diversasáreas de serviços exige níveis de segurança adequados e maiorexposição dos valores e informações. A evolução da tecnologiade informação, migrando de um ambiente centralizado paraum ambiente distribuído, interligando redes internas e externas,somada à revolução da Internet, mudou a forma de se fazernegócios. Isto fez com que as empresas se preocupassem maiscom o controle de acesso às suas informações bem como aproteção dos ataques, tanto internos quanto externos.Na época em que as informações eram armazenadas apenas empapel, a segurança era relativamente simples. Bastava trancar osdocumentos em algum lugar e restringir o acesso físico àquelelocal. Com as mudanças tecnológicas e o uso de computadoresde grande porte, a estrutura de segurança já ficou um pouco16

Auditoria de Sistemas Informatizadosmais sofisticada, englobando controles lógicos, porém aindacentralizados. (CRONIN, 1996)Com a chegada dos computadores pessoais e dasredes de computadores que conectam o mundointeiro, os aspectos de segurança atingiramtamanha complexidade que há a necessidadede desenvolvimento de equipes cada vez maisespecializadas para a sua implementação e gerência.Paralelamente, os sistemas de informação tambémadquiriram uma importância vital para a sobrevivênciada maioria das organizações modernas, já que, semcomputadores e redes de comunicação, a prestação deserviços de informação pode se tornar inviável.A esta constatação, você pode adicionar o fato de que hoje emdia não existem mais empresas que não dependam da tecnologiada informação, num maior ou menor grau. Pelo fato de queesta mesma tecnologia permitiu o armazenamento de grandequantidade de informações em um local restrito e centralizado,criou-se aí uma grande oportunidade ao acesso não autorizado.A segurança da informação tornou-se estratégica,pois interfere na capacidade das organizações derealizarem negócios e no valor de seus produtos nomercado.Em tempos de economia nervosa e racionalização deinvestimentos, a utilização de recursos deve estar focada naquiloque mais agrega ao valor do negócio.Visando minimizar as ameaças, a ISO (InternationalStandardization Organization) e a ABNT (Associação Brasileirade Normas Técnicas), em sintonia com a ISO, publicaram umanorma internacional para garantir a segurança das informaçõesnas empresas, a ISO 17799:1. As normas ISO e ABNT sãoresultantes de um esforço internacional que consumiu anosde pesquisa e desenvolvimento para se obter um modelo desegurança eficiente e universal.Unidade 117

Universidade do Sul de Santa CatarinaQuais são as ameaças?Este modelo tem como característica principal tentar preservara disponibilidade, a integridade e o caráter confidencial dainformação.• O comprometimento do sistema de informações, porproblemas de segurança, pode causar grandes prejuízos àorganização. Diversos tipos de incidentes podem ocorrera qualquer momento, podendo atingir a informaçãoconfidencial, a integridade e disponibilidade.• Problemas de quebra de confidência, por vazamentoou roubo de informações sigilosas, podem expor para omercado ou concorrência as estratégias ou tecnologiasda organização, eliminando um diferencial competitivo,comprometendo a sua eficácia, podendo perder mercadoe até mesmo ir à falência.• Problemas de disponibilidade podem ter um impactodireto sobre o faturamento, pois deixar uma organizaçãosem matéria-prima ou sem suprimentos importantes oumesmo, o impedimento de honrar compromissos comclientes, prejudicam sua imagem perante os clientes,gerando problemas com custos e levando a margem delucro a ficar bem comprometida.• Problemas de integridade, causados por invasão oufatores técnicos em dados sensíveis, sem uma imediatapercepção, irão impactar sobre as tomadas de decisões.Decisões erradas fatalmente reduzirão o faturamento ouaumentarão os custos, afetando novamente a margem delucros.• A invasão da página de Internet de uma empresa,com modificação de conteúdo, ou até mesmo aindisponibilidade de serviços on-line, revela a negligênciacom a segurança da informação e causa perdasfinanceiras a quem sofreu algum tipo de ataque.18

Auditoria de Sistemas InformatizadosContudo, você pode inferir que elementos fundamentais paraa sobrevivência das empresas estão relacionados com segurançada informação, a qual contribui muito para a sua lucratividade esobrevivência, ou seja, agrega valor ao negócio e garante o retornodo investimento feito.Agora que você pode entender a importância para umaorganização de tomar medidas para salvaguardar suasinformações, acompanhe, na próxima seção, conceitos básicospara quem começa a estudar auditoria.Seção 2 – Quais são os conceitos básicos da auditoria?Alguns conceitos básicos relacionados com a auditoria são:campo, âmbito e área de verificação.• O campo compõe-se de aspectos como:objeto, período e natureza da auditoria.• O objeto é definido como o “alvo”da auditoria, pode ser uma entidadecompleta (corporações públicas ouprivadas, por exemplo).• Período a ser fiscalizado pode ser ummês, um ano ou, em alguns casos, poderácorresponder ao período de gestão do administrador dainstituição.• A natureza da auditoria poderá ser operacional,financeira ou de legalidade, por exemplo. Na seqüência,você estudará com mais detalhes a natureza (ou tipo) daauditoria.• O âmbito da auditoria pode ser definido como aamplitude e exaustão dos processos de auditoria, ou seja,define o limite de aprofundamento dos trabalhos e o seugrau de abrangência.• A área de verificação pode ser conceituada como sendoo conjunto formado pelo campo e âmbito da auditoria.Unidade 119

Universidade do Sul de Santa CatarinaA auditoria é uma atividade que engloba o exame dasoperações, processos, sistemas e responsabilidadesgerenciais de uma determinada entidade, com oobjetivo de verificar sua conformidade com certosobjetivos e políticas institucionais, orçamentos, regras,normas ou padrões.Os procedimentos de auditoria formam um conjunto deverificações e averiguações que permite obter e analisar asinformações necessárias à formulação da opinião do auditor.• Controle é a fiscalização exercida sobre as atividadesde pessoas, órgãos, departamentos ou sobre produtos,para que estes não se desviem das normas ou objetivospreviamente estabelecidos. Existem três tipos decontroles.PreventivosDetectivosCorretivosusados para prevenir fraudes, erros ou vulnerabilidades. (senhas de acesso a algumsistema informatizado, por exemplo)usados para detectar fraudes, erros, vulnerabilidades (por exemplo: Log de eventosde tentativas de acesso a um determinado recurso informatizado)usados para corrigir erros ou reduzir impactos causados por algum sinistro (planosde contingência, por exemplo)Um dos objetivos desses controles é, primeiramente, amanutenção do investimento feito pela corporação em sistemasinformatizados, tendo em vista que os sistemas de informaçãointerconectados de hoje desempenham um papel vital no sucessoempresarial de um empreendimento.A internet e as redes internas similares, ou intranets,e as redes interorganizacionais externas, as chamadasextranets, podem fornecer a infra-estrutura deinformação que uma empresa necessita para operaçõeseficientes, administração eficaz e vantagem competitiva.Entretanto, os sistemas de informação tambémprecisam apoiar as estratégias de negócios, os processosempresariais e as estruturas organizacionais e culturais deum empreendimento.20

Auditoria de Sistemas InformatizadosEsses controles também têm como objetivo evitar que algumsinistro venha a ocorrer; não conseguindo evitar, tentar fazercom que o impacto seja pequeno e, se mesmo assim, o impactofor grande, ter em mãos processos que auxiliem a reconstrução doambiente.O que precisa ser controlado?Em geral, é um check-list que contempla os itens a seremverificados durante a auditoria. A concepção dessesprocedimentos antes do início dos processos de auditoriaé de suma importância porque garantirá um aumento daprodutividade e da qualidade do trabalho. Como exemplo, podesecitar que, para o bom andamento de uma partida de futebol,não é aconselhável mudar as regras do jogo enquanto o mesmoestiver acontecendo; faz-se isto antes de começar a partida.Os chamados “achados” de auditoria são fatosimportantes observados pelo auditor durante aexecução dos trabalhos.Apesar de que geralmente são associados a falhas ouvulnerabilidades, os “achados” podem indicar pontos fortes dacorporação auditada. Para que eles façam parte do relatório finalde auditoria, os mesmos devem ser relevantes e baseados em fatose evidências incontestáveis.Os papéis de trabalho são registros que evidenciamatos e fatos observados pelo auditor.Esses registros podem estar em forma de documentos, tabelas,listas de verificações, planilhas, arquivos, entre outros. Estesdocumentos são a base para o relatório de auditoria, pois contêmregistro da metodologia utilizada, procedimentos, fontes deinformação, enfim, todas as informações relacionadas ao trabalhode auditoria.Unidade 121

Universidade do Sul de Santa CatarinaJá na fase da concepção do relatório, são feitas asrecomendações de auditoria.Elas são medidas corretivas possíveis, sugeridas pela instituiçãofiscalizadora ou pelo auditor em seu relatório, para corrigir asdeficiências detectadas durante o trabalho de verificação devulnerabilidades ou deficiências. Dependendo da competência ouposição hierárquica do órgão fiscalizador, essas recomendaçõespodem se transformar em determinações a serem cumpridas.(DIAS, 2000)Seção 3 – Qual é o tipo de auditoria objeto desteestudo?Vários autores fazem uma classificação ou denominação formalsobre a natureza ou sobre os diversos tipos de auditoriasexistentes. Os tipos mais comuns são classificados quanto: àforma de abordagem, ao órgão fiscalizador e à área envolvida.Acompanhe, a seguir, quais são elas:Tabela 1 – Classificação dos tipos de auditoria22Classificação Tipos de auditoria DescriçãoQuanto à forma deabordagem:Quanto ao órgãofi s c a l i z a d o r :Auditoria horizontalAuditoria orientadaAuditoria internaAuditoria externaAuditoria articuladaauditoria com tema específico, realizada em váriasentidades ou serviços paralelamente.focaliza uma atividade específica qualquer ou atividadescom fortes indícios de fraudes ou erros.auditoria realizada por um departamento interno,responsável pela verificação e avaliação dos sistemas eprocedimentos internos de uma entidade. Um de seusobjetivos é reduzir a probabilidade de fraudes, erros,práticas ineficientes ou ineficazes. Este serviço deve serindependente e prestar contas diretamente à classeexecutiva da corporação.auditoria realizada por uma empresa externa eindependente da entidade que está sendo fiscalizada,com o objetivo de emitir um parecer sobre a gestãode recursos da entidade, sua situação financeira, alegalidade e regularidade de suas operações.trabalho conjunto de auditorias internas e externas,devido à superposição de responsabilidades dos órgãosfiscalizadores, caracterizado pelo uso comum de recursose comunicação recíproca dos resultados.

Auditoria de Sistemas InformatizadosQuanto à áreaenvolvidaAuditoria de programas degovernoAuditoria administrativaAuditoria contábilAuditoria financeiraAuditoria operacionalAuditoria de sistemasinformatizadosAcompanhamento, exame e avaliação da execução deprogramas e projetos governamentais.Auditoria do planejamento estratégico – verifica se osprincipais objetivos da entidade são atingidos e se aspolíticas e estratégias são respeitadas.engloba o plano da organização, seus procedimentos,diretrizes e documentos de suporte à tomada de decisão.é relativa à fidedignidade das contas da instituição. Estaauditoria, consequentemente, tem como finalidadefornecer alguma garantia de que as operações e oacesso aos ativos se efetuem de acordo com as devidasautorizações.conhecida também como auditoria das contas. Consistena análise das contas, da situação financeira, dalegalidade e regularidade das operações e aspectoscontábeis, financeiros, orçamentários e patrimoniais,verificando se todas as operações foram corretamenteautorizadas, liquidadas, ordenadas, pagas e registradas.Auditoria de legalidade – conhecida como auditoriade conformidade. Consiste na análise da legalidadee regularidade das atividades, funções, operaçõesou gestão de recursos, verificando se estão emconformidade com a legislação em vigor.incide em todos os níveis de gestão, nas fases deprogramação, execução e supervisão, sob a ótica daeconomia, eficiência e eficácia. Analisa também aexecução das decisões tomadas e aprecia até que pontoos resultados pretendidos foram atingidos.tipo de auditoria essencialmente operacional, pormeio da qual os auditores analisam os sistemas deinformática, o ambiente computacional, a segurança deinformações e o controle interno da entidade fiscalizada,identificando seus pontos fortes e deficiências.Destas auditorias, qual delas é o seu objeto de estudo?É a auditoria de sistemas informatizados. E como já foiconceituada, a auditoria de sistemas informatizados é um tipode auditoria operacional, ou seja, analisa a gestão de recursos,focalizando os aspectos de eficiência, eficácia, economia eefetividade.Unidade 123

Universidade do Sul de Santa CatarinaDependendo da área de verificação escolhida, este tipo deauditoria pode abranger:• todo o ambiente de informática ou• a organização do departamento de informática. Alémdisso, pode ainda contemplar:• os controles sobre banco de dados, redes de comunicaçãoe de computadores e• controles sobre os aplicativos.Deste modo, sob o ponto de vista dos tipos de controles citados, aauditoria pode ser separada em duas grandes áreas:• Auditoria de segurança de informações - este tipode auditoria em ambientes informatizados determinaa postura ou situação da corporação em relação àsegurança. Avalia a política de segurança e os controlesrelacionados com aspectos de segurança, enfim, controlesque influenciam o bom funcionamento dos sistemas detoda a organização. São estes:• Avaliação da política de segurança.• Controles de acesso lógico.• Controles de acesso físico.• Controles ambientais.• Plano de contingência e continuidade de serviços.• Controles organizacionais.• Controles de mudanças.• De operação dos sistemas.• Controles sobre o banco de dados.• Controles sobre computadores.• Controles sobre ambiente cliente-servidor.24

Auditoria de Sistemas Informatizados• Auditoria de aplicativos - este tipo de auditoria estávoltado para a segurança e o controle de aplicativosespecíficos, incluindo aspectos que fazem parte da áreaque o aplicativo atende, como: orçamento, contabilidade,estoque, marketing, RH, etc. A auditoria de aplicativoscompreende:• Controles sobre o desenvolvimento de sistemasaplicativos.• Controles de entrada, processamento e saída de dados.• Controles sobre o conteúdo e funcionamento doaplicativo com relação à área por ele atendida.Esses tipos de auditoria são comumente usados para sealcançarem altos padrões de qualidade no desenvolvimento desoftwares: o mais famoso desses modelos é o CMM. (DIAS,2000)Uma vez compreendida a abrangência e o escopo da auditoria dossistemas informatizados, compreenda, na seção seguinte, por queauditar.Seção 4 – Por que auditar?Um ditado popular diz que nenhuma corrente é mais forte queseu elo mais fraco; da mesma forma, nenhuma paredeé mais forte que a sua porta ou janela mais fraca, demodo que você precisa colocar as trancas maisresistentes possíveis nas portas e janelas. Deforma similar é o que acontece quando vocêimplementa segurança em um ambiente deinformações. Na realidade, o que se procurafazer é eliminar o máximo possível depontos fracos ou garantir o máximo desegurança possível para os mesmos.Acima de tudo, o bem mais valioso de umaempresa pode não ser o produzido pela sualinha de produção ou o serviço prestado, mas asinformações relacionadas com este bem de consumo ou serviço.Ao longo da história, o ser humano sempre buscou o controle dasUnidade 125

Universidade do Sul de Santa Catarinainformações que lhe eram importantes de alguma forma; isto éverdadeiro mesmo na mais remota antiguidade. O que mudoudesde então foram as formas de registros e armazenamentodas informações; se na pré- história e até mesmo nos primeirosmilênios da idade antiga o principal meio de armazenamento eregistro de informações era a memória humana, com o adventodos primeiros alfabetos isto começou a mudar. Mas foi somentenos últimos dois séculos que as informações passaram a terimportância crucial para as organizações humanas.Atualmente, não há organização humana que não seja altamentedependente da tecnologia de informações, em maior ou menorgrau. E o grau de dependência agravou-se muito em funçãoda tecnologia de informática, que permitiu acumular grandesquantidades de informações em espaços restritos. O meio deregistro é, ao mesmo tempo, meio de armazenamento, meio deacesso e meio de divulgação.Esta característica traz conseqüências graves para asorganizações, por facilitar os ataques de pessoas não-autorizadas.Por exemplo, um banco não trabalha exatamentecom dinheiro, mas com informações financeirasrelacionadas com valores seus e de seus clientes. Amaior parte destes dados é de natureza sigilosa, porforça de determinação legal ou por se tratarem deinformações de natureza pessoal, que controlamou mostram a vida econômica dos clientes, os quaispodem vir a sofrer danos, caso elas sejam levadas apúblico.Independente do setor da economia em que a empresa atue, asinformações estão relacionadas com seu processo de produçãoe de negócios, políticas estratégicas, de marketing, cadastro declientes, etc. Não importa o meio físico em que as informaçõesestão armazenadas, elas são de valor inestimável não só para aempresa que as gerou, como também para seus concorrentes. Emúltimo caso, mesmo que as informações não sejam sigilosas, namaioria das vezes elas estão relacionadas com atividades diáriasda empresa que, sem elas, poderia ter dificuldades.26

Auditoria de Sistemas InformatizadosTradicionalmente, as empresas dedicam grande atenção de seusativos físicos e financeiros, mas pouca ou até mesmo nenhumaatenção aos ativos de informação que possuem; esta proteçãotradicional pode nem mesmo visar um bem valioso. Da mesmaforma que seus ativos tangíveis, as informações envolvem trêsfatores de produção tradicionais: capital, mão-de-obra e processos.Assim, ainda que as informações não sejam passíveis do mesmotratamento fisco-contábil que os outros ativos, do ponto de vistado negócio, elas são um ativo da empresa e, portanto, devem serprotegidas. Isto vale tanto para as informações como para seusmeios de suporte, ou seja, para todo o ambiente de informações.(O`BRIEN, 2002).A figura 1.1 mostra os fatores econômicos de uma organização,onde o capital, a mão-de-obra e os processos geram os ativosde uma empresa, ou seja, os produtos, os bens e a informações.Figura 1.1 – Fatores econômicos de produção.Fonte: Caruso&Steffen (1999)Numa instituição financeira, o ambiente de informações não estáapenas restrito à área de informática, ele chega a mais longínqualocalização geográfica onde haja uma agência ou representaçãode qualquer tipo. Enquanto na área de informática os ativos deinformação estão armazenados, em sua maior parte, em meiosmagnéticos, nas áreas fora deste ambiente eles ainda estãorepresentados em grande parte por papéis, sendo muito tangíveis ede entendimento mais fácil por parte de seres humanos.É importante ressaltar que muitas empresas nãosobrevivem mais que poucos dias a um colapso dofluxo de informações, não importando o meio dearmazenamento das informações.Unidade 127

Universidade do Sul de Santa CatarinaE, dada à característica de tais empreendimentos, que no caso debancos é essencialmente uma relação de confiança, é fácil preverque isto acarretaria completo descontrole sobre os negócios eaté uma corrida ao caixa. A atual dependência das instituiçõesfinanceiras em relação à informática está se estendendo por todaa economia, tornando aos poucos todas as empresas altamentedependentes dos computadores e, conseqüentemente, cada vezmais sensíveis aos riscos representados pelo eventual colapso dofluxo de informações de controle gerencial.Os riscos são agravados em progressão geométrica à medidaque informações essenciais ao gerenciamento dos negóciossão centralizadas e, principalmente, com o aumento do graude centralização. Ainda que estes riscos sejam sérios, asvantagens dessa centralização são maiores, tanto sob aspectoseconômicos, quanto sob aspectos de agilização de processosde tomada de decisão em todos os níveis. Esta agilização étanto mais necessária, quanto maior for o uso de facilidades deprocessamento de informação pelos concorrentes.É preciso, antes de qualquer coisa, cercar o ambiente deinformações com medidas que garantam sua segurança efetivaa um custo aceitável, pois é impossível obter-se segurança totaljá que, a partir de um determinado nível, os custos envolvidostornam-se cada vez mais onerosos e superam os benefíciosobtidos. Estas medidas devem estar claramente descritasna política global de segurança da organização, delineandoas responsabilidades de cada grau da hierarquia e o grau dedelegação de autoridade e, muito importante, estarem claramentesustentadas pela alta direção.A segurança, mais que estrutura hierárquica, os homens e osequipamentos envolvem uma postura gerencial, que ultrapassa atradicional abordagem da maioria das empresas.Dado ao caráter altamente dinâmico que as atividadesrelacionadas com o processamento de informaçõesadquiriram ao longo do tempo, a política desegurança de informações deve ser a mais ampla emais simples possível.28

Auditoria de Sistemas InformatizadosComo conseqüência da informatização, outros aspectos começama ser levantados, o acúmulo centralizado de informação, causandoum sério problema para a segurança.Os riscos inerentes ao processo agravaram-se e um estudo maisdetalhado sobre eles teve que ser realizado.Uma pesquisa realizada pela Módulo Security Solutions apontaos potenciais riscos aos quais a informação está sujeita. A figura2 mostra que a principal ameaça às organizações é o vírus decomputador.FFigura 1.2 – Principais ameaças às informações nas organizaçõesFonte: 9ª Pesquisa Nacional sobre Segurança da Informação – Módulo Security Solutions (2003)As ameaças podem ser definidas como sendo agentesou condições incidentes que comprometem asinformações e seus ativos, por meio da exploração devulnerabilidades.Unidade 129

Universidade do Sul de Santa CatarinaO que caracteriza as vulnerabilidades?As vulnerabilidades podem ser conceituadas como sendofragilidades presentes ou associadas a ativos que manipulame/ou processam informações, que podem ser exploradas porameaças, permitem a ocorrência de um incidente de segurança,afetando negativamente um ou mais princípios da segurança dainformação: caráter confidencial, integridade e disponibilidade.As vulnerabilidades por si só não provocam incidentes desegurança, porque são elementos passivos. Porém, quandopossuem um agente causador, como ameaças, esta condiçãofavorável causa danos ao ambiente.As vulnerabilidades podem ser:FísicasNaturaisHardwareSoftwareMídiasComunicaçãoHumanas• instalações prediais fora do padrão;• salas de CPD mal planejadas;• a falta de extintores, detectores de fumaça e outros para combate a incêndio em sala com armáriose fichários estratégicos;• risco de explosões, vazamentos ou incêndio.• os computadores são suscetíveis a desastres naturais, como incêndios, enchentes, terremotos,tempestades, e• outros, como falta de energia, o acúmulo de poeira, o aumento de umidade e de temperatura, etc.• falha nos recursos tecnológicos (desgaste, obsolescência, má utilização) ou erros durante ainstalação.• erros na aquisição de softwares sem proteção ou na configuração podem ter como conseqüênciauma maior quantidade de acessos indevidos, vazamentos de informações, perda de dados ouindisponibilidade do recurso quando necessário.• discos, fitas, relatórios e impressos podem ser perdidos ou danificados. A radiação eletromagnéticapode afetar diversos tipos de mídias magnéticas.• acessos de intrusos ou perda de comunicação.• rotatividade de pessoal,• falta de treinamento,• compartilhamento de informações confidenciais na execução de rotinas de segurança,• erros ou omissões;• ameaça de bomba, sabotagens, distúrbios civis, greves, vandalismos, roubos, destruição dapropriedade ou dados, invasões ou guerras.30

Auditoria de Sistemas InformatizadosO que é ser Hacker?O termo genérico para identificar quem realiza ataques em umsistema de computadores é hacker. Porém, esta generalizaçãopossui diversas ramificações, pois cada ataque apresenta umobjetivo diferente.Por definição, hacker são aqueles que utilizam seus conhecimentospara invadir sistemas, sem a intenção de causar danos às vítimas,mas como um desafio às suas habilidades.Os hackers possuem grande conhecimento de sistemasoperacionais e linguagens de programação.Constantemente buscam mais conhecimento,compartilham o que descobrem e jamais corrompemdados intencionalmente.O termo hacker também é definido pela RFC-2828 (2000) como sendo alguma pessoa com umgrande interesse e conhecimento em tecnologia,não utilizando eventuais falhas de segurançasdescobertas em benefício próprio.Como se tornou um termo genérico para invasores de redes,o termo hacker freqüentemente é usado para designar oselementos que invadem sistemas para roubar informações ecausar danos.O termo correto para este tipo de invasor seria cracker ou intruder,que também é utilizado para designar àqueles que deciframcódigos e destroem proteções de softwares.O termo cracker ou intruder é definido pela RFC-2828 comosendo alguém que tenta quebrar a segurança ou ganhar acessoa sistemas de outras pessoas sem ser convidado, não sendo,obrigatoriamente, uma pessoa com grande conhecimento detecnologia como o hacker.Unidade 131

Universidade do Sul de Santa CatarinaO termo hacker existe desde o ano de 1960. A palavra começoua ser usada pelos membros do Tech Model Rail Club, do Institutode Tecnologia de Massachusetts (MIT), e indicava pessoas comcapacidades técnicas para proezas que ninguém mais conseguia.Na área de informática, este termo foi usado para designarprogramadores prodigiosos, de técnica apurada, visivelmentesuperior.Podemos classificar essas pessoas em várias categorias:• Carders – Aqueles que fazem compras com cartão decrédito alheio ou gerado, ou seja, os carders têm grandefacilidade em fazer compras via internet ou em outromeio.• Hackers – Pessoas com um grande interesse econhecimento em tecnologia, não utilizando eventuaisfalhas de seguranças em benefício próprio. Porém, nãodestroem dados.• Crackers – Os crackers são como os hackers, porémgostam de ver a destruição. Eles invadem e destroemsó para ver o caos formado. Eles apagam todo o sistemasempre deixando a sua marca registrada.• Phreacking – São os piratas da telefonia. Eles fazem tudoo que é relativo aos telefones, convencionais ou celulares.(SPYMAN, 2002).Existem muitas maneiras de se atacar os sistemas de informaçãode uma organização. Na figura 3 está disponibilizada umapesquisa mostrando um balanço dos tipos de ataques maisusados nos cinco últimos anos. Esta pesquisa foi realizada pelodepartamento de crimes de computador do FBI.32

Auditoria de Sistemas InformatizadosFigura 3 – Tipos de ataques mais utilizadosFonte: CSI/FBI 2003 Computer Crime and Security Survey (2003)As mais famosas técnicas de ataques às redes corporativas são:• Quebra de Senha – O quebrador de senha, ou cracker,é um programa usado pelo hacker para descobrir umasenha do sistema. Uma das formas de quebra são os testesde exaustão de palavras, a decodificação criptográfica,etc.• Denial of Service – Também conhecido como DoS,estes ataques de negação de serviço são aborrecimentossemelhantes aos mails bomba, porém muito maisameaçadores porque eles podem incapacitartemporariamente uma rede corporativa ou um provedorde acesso. É um ataque que consiste em sobrecarregar umservidor com uma quantidade excessiva de solicitaçõesde serviços. Sua finalidade não é o roubo de dados, masa indisponibilidade de serviço. Existem variantes desteataque, como o DoS distribuído, chamado DDoS, ouseja, a tentativa de sobrecarregar o I/O de algum serviçoé feita de vários locais ao mesmo tempo.Unidade 133

Universidade do Sul de Santa Catarina• Cavalo de tróia – É um programa disfarçado que executaalguma tarefa maligna. Um exemplo, o usuário roda umjogo qualquer que foi pego na internet. O jogo instala ocavalo-de-tróia, que abre uma porta TCP (TransmissionControl Protocol) no micro para a invasão. Este softwarenão propaga a si mesmo de um computador para outro.Há também o cavalo-de-tróia dedicado a roubar senhas eoutros dados.• Mail Bomb – É considerado como dispositivo destrutivo.Utiliza a técnica de inundar um computador commensagens eletrônicas. Em geral, o agressor usa umscript para gerar um fluxo contínuo de mensagens eabarrotar a caixa postal de alguém. A sobrecarga tendea provocar uma negação de serviço, ou um DoS noservidor de correio eletrônico. Não há perda de dados namaioria dos casos.• Phreacking – é o uso indevido das linhas telefônicas,fixas e celulares. No passado, os phreackers empregavamgravadores de fita e outros dispositivos para produzirsinais de controle e enganar o sistema de telefonia.Conforme as companhias telefônicas foram reforçandoa segurança, as técnicas foram ficando cada vez maisdifíceis. Hoje em dia é uma atividade muito elaborada,que poucos conhecem.• Scanners de Porta – São programas que buscam portasTCP abertas por onde pode ser feita uma invasão. Paraque a varredura não seja percebida pela vítima, algunsscanners testam as portas de um computador durantemuitos dias, em horários aleatórios.• Smurf – É outro tipo de ataque de negação de serviço.O agressor envia uma rápida seqüência de solicitações deping (um teste para verificar se um servidor está acessível)para um endereço de brodcast. Usando spoofing, o crackerfaz com que o servidor de broadcast encaminhe asrespostas não para o seu endereço, mas para o da vítima.Assim o computador alvo é inundado pelo Ping.34

Auditoria de Sistemas Informatizados• Spoofing – É a técnica de se fazer passar por outrocomputador da rede para conseguir acesso a um sistema.Há muitas variantes, como o spoofing de IP. Para executálo,o invasor altera o cabeçalho dos pacotes IP, demodo que pareça estar vindo de uma outra máquina,possivelmente, uma que tenha cesso liberado.• Sniffer – É um programa ou dispositivo que analisa otráfego na rede. Sniffers são úteis e usados normalmentepara o gerenciamento de redes. Porém nas mãos erradas,é uma ferramenta poderosa no roubo de informaçõessigilosas.• Vírus – São programas desenvolvidos para alterarsoftwares instalados em um computador, ou mesmoapagar todas as informações existentes no computador.Possuem comportamento semelhante ao vírus biológico,multiplicam-se, precisam de hospedeiros, esperam omomento certo para o ataque e tentam se esconder paranão serem exterminados. A internet e o correio eletrônicosão hoje os principais meios de propagação de vírus. ARFC-2828 define vírus como sendo um software com acapacidade de se duplicar, infectando outros programas.Um vírus não pode se auto-executar, requer que oprograma hospedeiro seja executado para ativá-lo.• Worm – São programas auto-replicantes que nãoalteram arquivos, mas residem na memória ativa ese duplicam por meio de redes de computador. Osworms utilizam recursos do sistema operacional paraganhar acesso ao computador e, ao se replicarem,usam recursos do sistema, tornando as máquinaslentas e interrompendo outras funções. Um wormé um programa de computador que pode se autoexecutar,propagar-se pelos computadores de umarede, podendo consumir os recursos do computadordestrutivamente (RFC-2828, 2000).Unidade 135

Universidade do Sul de Santa CatarinaApós ter acompanhado esta série de possíveis vulnerabilidades,acreditamos que você esteja convencido de que auditar é preciso, não émesmo?Auditar é preciso porque o uso inadequado dos sistemasinformatizados pode impactar uma sociedade. Informação compouca precisão pode causar a alocação precipitada de recursosdentro das corporações e as fraudes podem ocorrer devido à faltade sistemas de controle.Então, para garantir que os investimentos feitos em tecnologia dainformação retornem para a empresa na forma de lucros, custosmenores e um menor custo total de propriedade é que o auditorde sistemas informatizados irá atuar. De posse dos objetivos,normas ou padrões da corporação o auditor irá verificar se tudoestá funcionando como deveria.Ainda para ilustrar a importância da atuação do auditor,acompanhe, na seqüência, algumas estatísticas sobre os ataquesaos sistemas de informação.A Tabela 2 mostra quais são as medidas tomadas pelasorganizações no que diz respeito à segurança no ano de 2003.Tabela 2 – As medidas de segurança mais utilizadas pelas empresas brasileiras no ano de 2003.“TOP 10” MEDIDAS DE SEGURANÇA MAIS IMPLEMENTADASRanking 2003 Medidas de Segurança %1º Antivírus 902º Sistema de backup 76,53º Firewall 75,54º Política de segurança 72,55º Capacitação técnica 706º Software de controle de acesso 647º Segurança física na sala de servidores 638º Proxy server 629º Criptografia 5710º Análise de riscos 5636Fonte: 9ª Pesquisa Nacional sobre Segurança da Informação – Módulo Security Solutions (2003)

Auditoria de Sistemas InformatizadosO maior investimento em TI por profissionais da área foi emantivirus, já que uma grande quantidade de empresas temsofrido ataques ou até mesmo deixou de ficar com seus serviçosdisponíveis. Logo em seguida, a maior preocupação são ossistemas de backup. E veja que a política de segurança está emquarto lugar.Nota-se pela pesquisa da figura 5 que o roubo de informaçõese a negação de serviço, ou seja, parar de disponibilizar dados,informações e aplicações são os ataques que mais dão prejuízospara as organizações.Figura 5 – Perdas financeiras relacionadas com os tipos de ataques realizadosFonte: CSI/FBI 2003 Computer Crime and Security Survey (2003)Unidade 137

Universidade do Sul de Santa CatarinaApesar das vulnerabilidades, não são todas as empresas queprontamente investem em sistemas de segurança de informações,porque os responsáveis por manter o ambiente funcionandoenfrentam algumas dificuldades para conseguir estes recursos.Figura 6 – Principais obstáculos para a implementação da SegurançaFonte: 9ª Pesquisa Nacional sobre Segurança da Informação – Módulo Security Solutions (2003)Falta de consciência dos executivos (23%), dificuldade emdemonstrar o retorno (18%) e custo de implementação(16%) foram considerados os três principais obstáculos paraimplementação da segurança nas empresas, como ilustrado nafigura 7. (MÓDULO, 2003)Quando questionados sobre a fonte de informações para seobter discernimento a respeito do que fazer quando se trata desegurança, os entrevistados se mostraram bastante informadosa respeito, e apontaram as referências, normas e legislações quefalam sobre o assunto.38

Auditoria de Sistemas InformatizadosFigura 7 – Adequação a legislação / Normas e RegulamentaçãoFonte: 9ª Pesquisa Nacional sobre Segurança da Informação – Módulo Security Solutions (2003)Sobre as legislações, normas e regulamentações de segurança quenorteiam suas organizações, 63,5% dos entrevistados apontarama ISO 17799; 37% as publicações do Governo Federal (decreto4553 e outros); 30% as publicações do Banco Central (resolução2554 e outras); 27% a Regulamentação da ICP-Brasil; 20% oCOBIT e 20% as Publicações da CVM (Resolução 358 e outras).Você compreendeu a importância de realizar auditoria desistemas informatizados, conheceu as principais vulnerabilidadesque ameaçam estes sistemas, bem como entendeu as funções deum auditor. A seção seguinte propõe que você estude e reflitasobre os desafios éticos da auditoria de sistemas informatizados.Unidade 139

Universidade do Sul de Santa CatarinaSeção 5 – Quais são os desafios éticos da auditoria desistemas informatizados?Esta seção, convida você a realizar uma leitura e uma reflexãosobre assuntos que lhe farão entender melhor os desafios éticosdo auditor de sistemas informatizados. Para iniciar, realize umabreve reflexão sobre o dito por Aristóteles e a questão dos atosjustos:“Sendo os atos justos e injustos tais como osdescrevemos, um homem age de maneira justa ouinjusta sempre que pratica tais atos voluntariamente.Quando os pratica involuntariamente, seus atosnão são justos nem injustos, salvo por acidente,isto é, porque ele fez muitas coisas que redundamem justiças ou injustiças. É o caráter voluntário ouinvoluntário do ato que determina se ele é justo ouinjusto, pois, quando é voluntário, é censurado, epela mesma razão torna-se um ato de injustiça; deforma que existem coisas que são injustas, sem que,no entanto sejam atos de injustiça, se não estiverpresente também a voluntariedade”.Pois é, dentro das corporações, questões éticas estão envolvidasem muitas decisões estratégicas, como por exemplo, nodesenvolvimento de novos produtos, em questões ambientais ouaté mesmo no salário de seus funcionários. Essas decisões podem,em alguns casos, afetar diretamente o desempenho da empresa.Por conseqüência, essas oportunidades podem envolver umverdadeiro desafio à ética, não é mesmo?Só para direcioná-lo mais no assunto em questão, considereque estamos no meio de uma revolução da informação, ondenossa capacidade de adquirir, manipular, armazenar e transmitirinformações foi fortemente ampliada. Com a tecnologia dainternet, atualmente é possível conseguir várias informaçõesdos mais variados cantos do mundo em uma fração desegundos. Em contrapartida, graças a esta mesma tecnologia,várias oportunidades de práticas éticas ou não vieram à tona,não concorda? oportuno voltarmos nossa atenção para os40

Auditoria de Sistemas Informatizadosfundamentos filosóficos das questões éticas. Segundo O’Brien(2002), quatro filosofias éticas são básicas:• Egoísmo – o que é melhor para um determinadoindivíduo é o correto.• Lei natural – os homens devem promover sua própriavida, propagar-se, buscar conhecimento do mundo,buscar relações íntimas com outras pessoas e submeter-seà autoridade legítima.• Utilitarismo – são corretas as ações que produzem obem máximo para o maior número de pessoas.• Respeito pelas pessoas – as pessoas devem ser tratadascomo fim e não como meio para um fim; e as ações sãocorretas se todos adotarem a regra moral pressuposta pelaação.Afinal o que é Ética?A ética é uma característica inerente a toda ação humana e,por esta razão, é um elemento vital na produção da realidadesocial. Todo homem possui um senso ético, uma espécie de“consciência moral”, estando constantemente avaliando ejulgando suas ações para saber se são boas ou más, certasou erradas, justas ou injustas.A ética está relacionada à opção, ao desejode realizar a vida, mantendo com os outrosrelações justas e aceitáveis. Normalmente, estáfundamentada nos ideais de bem e virtude, quesão valores perseguidos por todo ser humano ecujo alcance se traduz numa existência plena e feliz.Hoje, mais do nunca, a atitude dos profissionais em relaçãoàs questões éticas pode ser a diferença entre o seu sucesso oufracasso. Ser ético nada mais é do que agir direito, procederbem, sem prejudicar os outros. Ser ético é, também, agir deacordo com os valores morais de uma determinada sociedade.Essas regras morais são o resultado da própria cultura deUnidade 141

Universidade do Sul de Santa Catarinauma comunidade. Elas variam de acordo com o tempo e sualocalização no mapa.A regra ética é uma questão de atitude, de escolha. Já a regrajurídica não prescinde de convicção íntima - as leis têm que sercumpridas independentemente da vontade das pessoas. A éticanão é algo superposto à conduta humana, pois todas as nossasatividades envolvem uma carga moral. A pessoa e a organizaçãosão mais eficientes quando há congruência entre valores eas crenças a respeito de como o trabalho deve ser feito e asexpectativas e exigências da organização em relação ao sucesso.(JACOMINO, 2000)A empresa que almeje ser ética deve divulgar declaraçõesprecisas, definindo as regras e deve criar procedimentos deverificação para assegurar que todos na organização as estãocumprindo.Por que é importante saber a importância dasdimensões éticas na utilização da tecnologia dainformação?Um ponto de vista é quando você percebe, por exemplo, que oimpacto causado pela tecnologia da informação sobre o empregoé uma preocupação ética muito importante e está diretamenterelacionada ao uso dos computadores para se conseguir umdeterminado grau de automação. Não há dúvidas que ao adventodos sistemas informatizados veio aumentar a produtividade,ao mesmo tempo em que diminuiu a oferta de determinadasoportunidades de trabalho. Aplicações, computadores emáquinas automatizadas realizam tarefas que antes eramrealizadas por vários trabalhadores.O que existe hoje é uma procura por habilidades diferentes,formando o grupo de usuários de computadores e o grupo deadministradores de computadores, de forma que, se você nãotem uma ou outra habilidade, as chances de conseguir umaoportunidade de trabalho diminuem bastante.42Esta questão é um problema a ser superado no Brasil, onde50% das vagas na área de tecnologia da informação não sãopreenchidas por falta de mão-de-obra qualificada. Apenas 11%dos jovens na faixa etária entre 18 e 24 anos cursam o ensino

Auditoria de Sistemas Informatizadossuperior e 64% da população empregada nem sequer completouo primeiro grau. Se o panorama nacional nos faz crer que ademanda por recursos humanos não será preenchida a curtoprazo, está mais do que na hora das empresas baseadas no Brasilproporem soluções que visem minimizar este cenário e sejamcapazes de transformar bits e bytes em poderosa vantagemcompetitiva para todos.Nesta perspectiva, em contrapartida, surge a possibilidade dagestão do conhecimento, a qual, com uma coleção de processos,governa a criação, disseminação e utilização do conhecimentopara atingir plenamente os objetivos da organização. A gestãodo conhecimento lida principalmente com os aspectos que sãocríticos para a adaptação e sobrevivência da empresa diante de umambiente de mudança crescente e descontínua.O conhecimento é a chave para o poder nos negócios e asempresas que se voltam para a gestão do conhecimento,necessitam de uma abordagem que veja a organização como umacomunidade humana, cujo conhecimento coletivo representa umdiferencial competitivo em relação à concorrência.É no conhecimento coletivo que se baseiam ascompetências competitivas essenciais.A Tecnologia da Informação tem um papelfundamental que muitas vezes tem sidonegligenciado ou até mesmo tem passadodespercebido na maioria das empresas e órgãos deinformática.As competências essenciais e o conhecimento coletivo baseiamseem informações de negócio: conhecimento e experiência.O papel a ser desempenhado pela TI é estratégico: ajudar odesenvolvimento coletivo e o aprendizado contínuo, tornandomais fácil para as pessoas na organização compartilharemproblemas, expectativas, idéias e soluções. E em meio a esteambiente competitivo do mundo contemporâneo, o principaldesafio das organizações está em estabelecer os padrões éticos nasrelações entre pessoas e empresas.Unidade 143

Universidade do Sul de Santa CatarinaComo aplicar a ética no campo de novas tecnologias?Não podemos ser inocentes e pensar que empresas são apenasentidades jurídicas. Empresas são formadas por pessoas e sóexistem por causa delas. Por trás de qualquer decisão, de qualquererro ou imprudência estão seres de carne e osso. E são eles quevão viver a glória ou o fracasso da organização. Por isso, quandofalamos de empresa ética, estamos falando de pessoas éticas. Umapolítica interna mal definida por um funcionário de qualquernível pode denegrir dois dos maiores patrimônios de umaempresa: a marca e a imagem.Além de ser individual, qualquer decisão ética tem por trásum conjunto de valores fundamentais. Muitas dessas virtudesnasceram no mundo antigo e continuam válidas até hoje. Eisalgumas das principais: ser honesto em qualquer situação, tercoragem para assumir as decisões, ser tolerante e flexível, seríntegro e ser humilde.A internet tem modificado o comportamento humano,incentivando a paixão pelo conhecimento, educação e cultura.A sociedade contemporânea valoriza comportamentos quepraticamente excluem qualquer possibilidade de cultivo derelações éticas. É fácil verificar que o desejo obsessivo naobtenção, possessão e consumo da maior quantidade possível debens materiais é o valor central na nova ordem estabelecida nomundo e que o prestígio social é concedido para quem consegueesses bens. Esse desejo se tornou mais voluptuoso e de acessomais fácil depois da ascensão do comércio eletrônico na internet.A pessoa que antes devia fazer um mínimo esforço para umacompra ou aquisição, hoje se vê diante de um mar de ofertas datela do seu computador. O sucesso material passou a ser sinônimode sucesso social e o êxito pessoal deve ser adquirido a qualquercusto.44

Auditoria de Sistemas InformatizadosUm dos campos mais carentes, no que diz respeito àaplicação da ética, é o das novas tecnologias e nistoinclui-se a internet.Não existe uma legislação prevendo condutas ou regras e comisso fica muito perto o limite da ética no trabalho e exercícioprofissional. Uma das principais e mais evidentes realidades dainternet é o individualismo extremo. Este fator, muitas vezesassociado à falta de ética pessoal, tem levado alguns profissionaisa defender seus interesses particulares acima dos interesses dasempresas em que trabalham, colocando-as em risco.Este quadro nos remete diretamente à questão da formaçãode recursos humanos, pois as pessoas são a base de qualquertentativa de iniciar o resgate da ética nas empresas e nas relaçõesde trabalho e gestão do conhecimento.Ética, além de ser a ciência que estuda o comportamento moraldas pessoas na sociedade, é um investimento. Um investimentoque traz bons frutos a longo prazo. É importante entender queo conceito de que estender benefícios à sociedade é um meioconcreto de abraçar a ética e criar uma boa imagem para aempresa. Na internet, por exemplo, é extremamente necessário seter credibilidade para que a empresa possa sobreviver no comércioeletrônico. (SROUR, R. H., 1998)O ambiente organizacional sob a ótica da ética na gestão doconhecimentoO conhecimento antropológico nos ensina que não se deveconfundir normas morais, socialmente praticadas, com pautasabstratas, universais e anistóricas, pois elas são padrões sociaisconvencionados que espelham condições históricas bemdeterminadas.Você deve distinguir, entretanto, normas jurídicas (leis,regulamentos) e normas morais.Unidade 145

Universidade do Sul de Santa CatarinaAmbas as normas regulamentam as relações sociais, postulamcondutas obrigatórias, assumem a forma de imperativos e visam agarantir a coesão social.A moral é um discurso de justificação e se encontra no coração daideologia. É um dos mais poderosos mecanismos de reproduçãosocial, porque define o que é permitido e proibido, justo e injusto,lícito e ilícito, certo e errado.Há inúmeras situações carentes de normalização que nãoremetem às confortáveis dicotomias do tipo branco e preto.Diante delas, as opiniões se dividem, exacerbadas porque osinteresses subjacentes convivem em frontal oposição.Quem será beneficiado e quem sairá prejudicado?Eis a justificativa de uma competente reflexão ética. Vale a penadistinguir entre: racionalizações, que são situações em que oagente sabe o que é certo fazer, mas deixa de fazer mediantejustificações e dilemas, que são situações em que o agente nãosabe o que é certo fazer e patina na incerteza moral.Como ser ético num mundo em que se confrontamvalores e fins que, por sua própria pluralidade,sustentam a irracionalidade ética do mundo?Toda tomada de decisão processa-se num contexto em queinteresses contraditórios se movimentam, tenham ou nãoconsciência os agentes envolvidos. Tal ou qual curso de açãobeneficia quem? Quais interesses estão em jogo? Os interessesgerais, nacionais, públicos ou comunitários? Os interessesuniversais, coletivos, sociais ou os interesses paroquiais, familiarese pessoais?Qualquer sistema de normas morais põe em cena crenças evalores, fins e meios, a partir de um conjunto de informaçõesque procuram descrever uma situação.46

Auditoria de Sistemas InformatizadosEle supõe também as conseqüências prováveis das ações quepoderão vir a ser adotadas e ainda sugere os interesses quesustentam o edifício todo. Ora, toda moral palpita no coração deuma ideologia e, de maneira aparentemente paradoxal, reivindicaum caráter universalista.A chave da discussão contemporânea gira em torno do egoísmoético em choque com as morais socialmente orientadas. Assimé que nos países latinos e, em particular no Brasil, rastreia-seuma dupla moral social: uma moral da integridade, que é amoralidade oficial, edificante e convencional, compondo umaretórica pública que se difunde nas escolas, nas igrejas, nostribunais e na mídia; e uma moral do oportunismo, que é amoral oficiosa, pragmática e dissimulada, furtivamente praticadacomo ação entre amigos e muitas vezes celebrada pela “esperteza”de seus procedimentos.Os valores da moral da integridade são a honestidade, alealdade, a idoneidade, o respeito à verdade e à legalidade, ocompromisso com a retidão. Tais virtudes desenham o perfildo homem de caráter, confiável, decente e digno, cumpridorde suas obrigações e fiel à palavra empenhada, sujeitoeminentemente virtuoso e inflexível na preservação dos valoresconsagrados. Quaisquer decisões e ações deveriam orientar-sepor princípios que, por definição, valem para todos os homens.Em contrapartida, a moral do oportunismo funciona com baseem procedimentos cínicos como o jeitinho, o calote, a falta deescrúpulo, o desprezo irresponsável pelas conseqüências dosatos praticados, o vale-tudo, o engodo, a trapaça, a exaltação damalandragem, o fisiologismo e a bajulice. Esta moral valorizao enriquecimento rápido e o egoísmo, consagra a esperteza eacredita que o proveito pessoal move o mundo. Assim, desde quea finalidade seja alcançada, a ação se justifica, não importam osmeios, lícitos ou não.Ora, queiram ou não, as empresas convivem com os padrõesmorais que suas contrapartes partilham. Ferir tais padrõessignifica estimular a deslealdade individual aos interesses daempresa. Em razão disto, é preciso convencionar um código dehonra que ligue as organizações a seus funcionários. Ademais,as empresas têm uma imagem a resguardar, patrimônio essencialpara a continuidade do próprio negócio. A imagem da empresaUnidade 147

Universidade do Sul de Santa Catarinanão pode ser desprezada impunemente, nem pode ser reduzidaà mera moeda publicitária, porque ela representa um ativoeconômico sensível à credibilidade que inspira.A ética está amplamente constituída de regras de sobrevivência,regras de comportamento associadas à profissão, regras derelacionamento que possibilitem harmonia na convivência social eassim por diante.As atitudes devem ser rápidas e certeiras, mas sempre seguindoestratégias globais; estas sim, capazes de diferenciar asempresas e garantir resultados consistentes no que diz respeitoà sobrevivência das organizações. As empresas hoje buscamprofissionais com um perfil diferenciado.A era da informação é implacável: joga para escanteioquem não têm instrução adequada e coloca no ápiceos mais preparados.Os sistemas formais da organização correspondem aosmétodos, às políticas e aos procedimentos que claramenteidentificam qual o negócio, quando, como, onde e por que elese realiza.Quando os sistemas formais contêm um direcionamentoético claro, os funcionários têm uma compreensão corretadas expectativas e exigências. Quando estes sistemas nãosão claros ou quando a mensagem ética varia entre ossistemas, os indivíduos buscam outro ponto de referênciapara uma orientação definitiva, uma dimensão tipicamente deliderança.Quando os sistemas não se referem à questão ética, amensagem transmitida é de que não existe um padrão ético.Isto deixa os funcionários totalmente dependentes de seusvalores pessoais e do comportamento observável dos outros.48

Auditoria de Sistemas InformatizadosO que fazer para andar com um pouco mais desegurança nesse terreno nebuloso?• saiba exatamente quais são os seus limites éticos;• avalie detalhadamente os valores da sua empresa;• trabalhe sempre com base em fatos;• avalie os riscos de cada decisão que tomar saiba que,mesmo ao optar pela solução mais ética, poderá seenvolver em situações delicadas; ser ético significa,muitas vezes, perder dinheiro, status e benefícios.Falhas éticas “arranham” a imagem da empresa e as levama perder clientes e fornecedores importantes, dificultando oestabelecimento de parcerias, pois na hora de se dar as mãos,além de levantar as afinidades culturais e comerciais, as empresastambém verificam se existe compatibilidade ética entre elas.É fundamental criar relacionamentos mais éticosno mundo dos negócios para poder sobreviver e,obviamente, obter vantagens competitivas.E assim, com as ferramentas e o saber a postos, o quadro não étão ruim assim, pois sem sombra de dúvida, a tecnologia criouum verdadeiro mundo de oportunidades de emprego, para afabricação de computadores e periféricos, desenvolvimento desoftwares e outros sistemas de informação. E junto com isto,criou uma gama maior ainda de serviços para quem trabalha comtecnologia.Uma vez que você finalizou a leitura criteriosa desta unidade, realize,a seguir, as atividades propostas e pratique os novos conhecimentos.Unidade 149

Universidade do Sul de Santa CatarinaAtividades de auto-avaliaçãoEfetue as atividades de auto-avaliação e acompanhe as respostase comentários a respeito no final do livro didático. Para melhoraproveitamento do seu estudo, realize a conferência de suas respostassomente depois de fazer as atividades propostas.Leia com atenção os enunciados e realize, a seguir, as atividades:1) Basicamente, descreva quais ao os riscos que as informações em meiodigital ou não correm dentro das empresas?2) Por que auditar? Explique.50

Auditoria de Sistemas Informatizados3) Considerando os aspectos financeiros, sociais e tecnológicos envolvidosna gestão de TI, descreva a seguir qual o maior desafio ético na área detecnologia?SínteseCom o estudo desta primeira unidade, você conferiu os conceitosque permeiam o assunto de auditoria de sistemas informatizados.Constatou que o crescente uso de soluções informatizadas dentrodas empresas cresceu muito nos últimos anos. Um novo mundode oportunidades surgiu com o uso descontrolado dos sistemasde informação, havendo a necessidade iminente de controle e asempresas optaram por um plano de auditoria.Esta auditoria tem como objetivo a manutenção do investimentofeito sobre as soluções de tecnologia da informação, fazendo comque o custo total de propriedade da solução se mantenha baixo.Deste modo, você entendeu os motivos pelos quais a auditoria emsistemas informatizados se faz necessária dentro das corporações.Por fim, estudou também que essas lacunas abertas nos levama verdadeiros desafios em nossa profissão, pois tendo em mãosinformações, programas e dados de maneira tão fácil e tão rápida,um verdadeiro desafio à ética surge e nos coloca em “cheque” nahora de decidir como agir.Unidade 151

Universidade do Sul de Santa CatarinaSaiba maisPara aprofundar as questões abordadas nesta unidade, vocêpoderá pesquisar os seguintes materiais:• http://www.gocsi.com – CSI/FBI – 2003. Pesquisa doFBI a respeito de crimes de internet.• http://www.modulo.com.br – site da empresa Módulo,empresa líder de mercado em soluções de segurança.• http://www.bsibrasil.com.br/ - site da organização quegerencia a norma BS 7799.52

UNIDADE 2Organização da auditoria2Objetivos de aprendizagemAo final desta unidade, você terá subsídios para:• compreender os atributos mais comuns das atividadesdos auditores e os aspectos relacionados as suasresponsabilidades;• conhecer os principais componentes de umplanejamento de auditoria;• conhecer o que é uma conclusão de auditoria.Seções de estudoA seguir, apresentamos as seções para você estudar:Seção 1Seção 2Seção 3Seção 4Seção 5A origem da auditoriaO auditor e os sistemas informatizadosQuais são as responsabilidades do auditor?Como ocorre o planejamento da auditoria?ocorre a conclusão da auditoria?Após a leitura dos conteúdos, realize as atividades deauto-avaliação propostas no final da unidade e no EVA.

Universidade do Sul de Santa CatarinaPara início de estudoA auditoria é de suma importância para os negócios,independente de sua origem, seja ela contábil ou de tecnologia deinformação. O termo auditoria é relacionado com diversas áreasde nossa sociedade.Nesta unidade, você vai estudar a organização da auditoria emseu âmbito geral e resgatar a relação dela com as diversas áreasdos negócios. Bom estudo!Seção 1 – A origem da auditoriaA auditoria sempre foi muito relacionada com a contabilidadee também surgiu numa época bem remota. Este fato dificultaa pesquisa de matérias para estudos acadêmicos que falam compropriedade a respeito do assunto, já que a literatura disponível,em sua grande maioria, trata de eventos de auditorias financeiras.Porém, muitos dos conceitos utilizados são muito bem-vindospelo fato de que somente o objeto de auditoria está sendomudado.No Egito antigo, autoridades providenciavam verificaçõesindependentes nos registros de arrecadações de impostos. NaGrécia, eram realizadas inspeções nas contas de funcionáriospúblicos através da comparação de gastos com autorizaçõesde pagamentos. Já os nobres castelos medievais inglesesindicavam auditores que revisavam os registros contábeis erelatórios preparados pelos criados.Como surgiu a auditoria de empresas?A auditoria de empresas começou com a legislação britânicapromulgada durante a revolução industrial, em meados doséculo XIX. Avanços na tecnologia industrial e de transporteprovocaram novas economias de escala, empresas maiores,o advento de administradores profissionais e o crescimento54

Auditoria de Sistemas Informatizadosda incidência de situações em que os donos de empresas nãoestavam presentes nas ações diárias da corporação. No advento daauditoria, este serviço tinha que ser feito por acionistas que nãoeram administradores das empresas e que recebiam a delegaçãodos demais acionistas. (PURPURA, 1998)Você sabia?Na Inglaterra encontram-se as empresas de auditoriasmais bem conceituadas, tais como: Deloitte & Co.,Peat Marwick & Mitchell e Price Waterhouse & Co. Tantoeles são pioneiros na área, que foi de lá, de estudosacadêmicos, que surgiu o padrão de segurançade informações que os auditores de sistemasinformatizados utilizam: o padrão BS 7799 que temsuas variações na ISO (ISO 27001) e na ABNT, onde seencontra a NBR ISO/IEC 17799:1 (2005).A influência britânica foi essencial para os Estados Unidos, nofinal do século XIX, na mesma proporção em que investidoresescoceses e ingleses enviavam seus próprios auditores para averificação na contas das empresas norte-americanas, nas quaistinham investido muito dinheiro.No final do século XIX, Nova Iorque tornou-se o primeiroestado norte-americano a aprovar uma legislação sobre a profissãode auditor. Vinte anos mais tarde, todos os Estados Americanosjá tinham aprovado lei semelhante.No início do século XX, a demanda de serviços na área aumentouexponencialmente, em razão, a princípio, da venda de títulos aopúblico. Esta situação deixou clara a necessidade de uma maiorlinearidade na apresentação de demonstrações contábeis.Você sabia?Para se ter uma noção do crescimento da profissãode auditor, observe que em 1900 eram apenas 250auditores autorizados a exercer a profissão nosEstados Unidos e hoje são mais de 500.000. (Fonte:Wise, 2002).Unidade 255

Universidade do Sul de Santa CatarinaContinuando a trajetória histórica, você vai perceber que acomplexidade dos negócios foi aumentando. Na década de 40,já eram observadas três importantes mudanças na prática daauditoria:• a verificação contábil passou a ser realizada poramostragem, em sua maioria;• foi desenvolvida a prática de vincular os testes realizadosà avaliação dos controles internos da entidade auditada;e, por fim,• a ênfase na detecção de fraudes com o objetivo deuma auditoria foi reduzida. Esta última alteração geracontrovérsia até hoje, pois no âmbito contábil é deinteresse público que os auditores detectem fraudes e nãoapenas não-conformidades. Esta alteração está prestes aser mudada.Durante a década de 80 e 90, a tônica nos campos profissionaisera o conhecimento exigido e, assim, a profissão de auditor deuum outro passo no sentido de assegurar a prestação de serviços dequalidade. Cursos de capacitação e reciclagem começaram a serexigidos, bem como a certificação, pois profissionais certificadoseram mais bem conceituados.Seção 2 – O auditor e os sistemas informatizadosQuando os sistemas de computadores surgiram, muitos auditoresestavam preocupados com a essência da auditoria que poderiamudar para poder lidar com a nova tecnologia. Agora estáclaro que não é este o caso. Os auditores devem prover umaavaliação competente e independente indicando se um conjuntode atividades econômicas tem sido registrado de acordo com ospadrões e critérios estabelecidos.Os sistemas informatizados têm afetado duasfunções básicas dos auditores: coleta e avaliação dasevidências.56

Auditoria de Sistemas InformatizadosColetar evidências sobre a segurança em um sistemainformatizado é muito mais complexo do que em um sistemamanual, sem automação, justamente devido à diversidade ecomplexidade da tecnologia de controle interno. Os auditoresdevem entender estes controles e ter know-how para coletarevidências corretamente.Tecnologias como hardware ou software evoluem muitorapidamente, o que torna o entendimento sobre o controle muitocomplicado e difícil, pois existem intervalos de surgimento detecnologias e entendimento da mesma.Por exemplo, num equipamento de hardware, osfamosos “appliances” que fazem o papel de Firewallsão considerados somente bloqueadores de portaslógicas. Uma nova versão deste equipamento possuium software que permite, além de bloquear portaslógicas, fazer o serviço de detecção de intrusos, oque o torna mais eficaz no momento de avaliar asegurança de dispositivos de rede que fazem estepapel.Em alguns casos, não é possível detectar evidências de formamanual. Nesse caso, o auditor terá que recorrer outros recursoscomo, por exemplo, sistemas informatizados que possibilitema coleta das evidências necessárias. Novas ferramentas deauditoria podem ser requeridas devido à evolução da tecnologia,e infelizmente aqui também ocorre um intervalo entre asnecessidades da auditoria e as implantações das mesmas.Devido à crescente complexidade dos sistemas informatizados,também é mais difícil avaliar as conseqüências dasvulnerabilidades existentes. Primeiramente, os auditores devementender quando um controle está agindo de forma segura ounão.Erros em programas de computador tendem a ser deterministas:um programa errado sempre executará incorretamente. Alémdisto, erros são gerados em grande velocidade e corrigi-lospode custar caro. Assim, controles internos que garantam quesistemas de computadores de alta qualidade sejam projetados,implementados, operados e mantidos são críticos.Unidade 257

Universidade do Sul de Santa CatarinaO ônus sobre os auditores é garantir que estescontroles sejam suficientes para manter a proteçãodos ativos de informação da corporação, integridadedos dados, efetividade e eficiência dos sistemas, alémde disponibilizá-los para que eles sejam operados deforma segura.Os sistemas de informação passaram a disponibilizar maisinformações para os que detêm o poder decisório das empresas.Os auditores desenvolveram uma fama de entenderem tanto decontabilidade quanto dos fatores que afetam a competitividadede um negócio ou setor de atuação. Contudo, esta profissão temsido alvo de críticas por não utilizar o know-how adquirido paraagregar valor a seu serviço. Pode-se, inclusive, comparar com aárea de sistemas informatizados, pois um auditor pode, além dedetectar uma não-conformidade, dar alguma sugestão imediatapara resolver esta não-conformidade.Esta situação permite uma discussão bastante interessante:Primeiro reflita sobre a questão, após escreva suasconclusões:O auditor deve simplesmente detectar as nãoconformidadese dar a “nota” ao objeto auditado ou,além disso, ele pode ajudar a corporação a aumentar onível de segurança dos seus sistemas de informação?Utilize o espaço, a seguir, para registrar suas reflexões.58

Auditoria de Sistemas InformatizadosDeste modo, serviços de auditoria deslocam-se na cadeia devalores na mesma proporção que o auditor traduz as informaçõesobtidas com seu trabalho para informações críticas à camadaexecutiva da empresa.Por exemplo, com seu conhecimento do negócio, oauditor pode reconhecer que uma companhia nãoestá utilizando adequadamente os seus ativos deinformação e pode fazer recomendações sobre comooutras empresas o fazem ou, até mesmo, como asnormas e padrões de segurança mais conceituados nomercado o fariam.O auditor ocupa posição privilegiada em nossa sociedade porentender o funcionamento de várias organizações e saber de queforma elas utilizam os recursos de tecnologia para atingir seusobjetivos.O desafio desta profissão está em compartilhar o conhecimentode maneira que ajude o cliente a atingir seus objetivos além demanter a independência. É interessante que este profissionalsaiba a grande diferença entre fazer recomendações e implantardecisões, respeitando a ética profissional.Quais são os principais valores de um auditor?É possível resumir, em três características, os principais valoresde um auditor:• manter princípios éticos;• possuir integridade;• possuir objetividade.Apesar de simples, encontra-se no mercado de auditoria, apesarde vasto, poucas empresas prestadoras de serviço de auditoria querespeitam estas propriedades.Unidade 259

Universidade do Sul de Santa CatarinaÉ importante, na hora de contratar tais serviços, procurar porempresas com tenham sua reputação baseada nas característicasacima mencionadas.A incessante procura por atualizações das normas e métodos deauditoria devem também fazer parte do dia-a-dia da profissão deauditor, pois vulnerabilidades e ameaças são lançadas todos osdias.Nosso cenário é de muita crítica aos auditores pelo fato deque esta profissão é muitas vezes vista como a de relatores deproblemas e não como a de solucionadores de situações de nãoconformidade.Quais são as necessidades para ser um profissional auditor?Auditores necessitam de grande capacidade de comunicação, poiso serviço pede que ao levantar-se questões relacionadas com oobjeto auditado, a discussão seja levada para a camada executivada empresa e os resultados deste trabalho também. Como atecnologia influencia diretamente a forma como os auditoresse comunicam, deve-se recorrer a modelos padronizados quepossam passar a extensão, conclusão e observações do trabalhorealizado. A capacidade de pensar crítica e estrategicamente éessencial ao auditor.Por exemplo, o auditor deve ser capaz de analisar eavaliar o P.D.I. (Plano Diretor de Informática) de umcliente e avaliar se os recursos de TI que existemna corporação manipulam as informações deforma concisa e coerente e atendem aos objetivospreviamente definidos para estes sistemas.O auditor deve procurar fazer com que suas competências nãosomente sejam ditadas por normas, mas decorram de foco nocliente e no mercado.60

Auditoria de Sistemas InformatizadosQuais são os serviços prestados pelo auditor?Os principais serviços prestados por auditores são:• assurance;• consultoria gerencial;• planejamento;• certificação de normas.Assim, os serviços de assurance são as traduções de informaçõesprovindas dos recursos encontrados no objeto auditado,melhorando o contexto e a qualidade para que a camadaexecutiva possa tomar suas decisões.Os serviços de consultoria gerencial abrangem as recomendaçõessobre como utilizar os sistemas de informação do cliente de umaforma mais proveitosa e que atenda aos objetivos de negócio daempresa auditada.Os serviços de certificação de normas são aqueles em que oauditor irá prover um check-list apontando conformidades enão-conformidades segundo determinada norma e irá emitiruma parecer sobre a emissão ou não para uma empresa daquelecertificado. (CARUSO, 1999)Com esta seção, você conheceu um pouco mais sobre ahistória desta profissão e a interação do auditor com osrecursos informatizados, que será melhor apresentado naspróximas unidades. Continue seu estudo e conheça quais são asresponsabilidades de um auditor.Unidade 261

Universidade do Sul de Santa CatarinaSeção 3 – Quais são as responsabilidades do auditor?O auditor é, na maioria das vezes, visto como um detetivejusticeiro, que se insere no âmago da organização paraapontar erros, defeitos, problemas, sem a contrapartidade contribuir para uma solução. Isto torna complicado otrabalho do auditor, pois sua presença pode incomodar osadministradores da informação da empresa.Auditor: vilão incompreendidoou recurso indispensável para ascorporações.Um auditor pode incorrer em responsabilidade legal aoprestar qualquer serviço profissional. Se você analisar o passadodesta profissão, o auditor tem tido um percentual extremamentebaixo de acusações de falhas ou fraudes em seu serviço, emrelação à quantidade de auditorias realizadas.Apesar de serem raros, os erros em serviços de auditoriaacontecem, e quando ocorrem, tem conseqüências grandes. E essafalha tem o seu respectivo lado jurídico.Um exemplo disto é que um erro de pouco menosde um grau na programação de um vôo de longadistância, apesar de raramente acontecer, suasconseqüências são muito grandes, como a falta decombustível para o pouso do avião com segurança.Quais são as responsabilidades do auditor em relação aosseus clientes?Um auditor tem uma relação contratual direta com seus clientes.Quando concorda em prestar serviços, algumas coisas devemser lembradas pela empresa contratante para que o processo deauditoria, já aprovado pela camada executiva, siga de acordo comos objetivos esperados.62

Auditoria de Sistemas InformatizadosQuais cuidados tomar durante o processo defechamento de contrato?Assim, alguns cuidados são importantes no processo defechamento do contrato:• Antes da assinatura do contrato, uma propostacomercial deve ser apresentada à empresacontratante, a fim de se conhecer o escopo detrabalho, ou seja, todas as responsabilidadesda empresa contratada e da contratante. Isto éfavorável para que, no final dos serviços, possasefazer um processo de Quality Assurance daauditoria em si, isto é, uma medição do que foi propostoe do que foi realizado.• A empresa que contratar os serviços de auditoria deterceiros deve ter o cuidado de escolher a empresacontratada seguindo algumas características como: tempoque a empresa está no mercado, se a empresa possuium plano de atualização permanente dos auditores, sea empresa não possui muitas queixas ou processos declientes, verificar a carteira de clientes da empresa, entreoutras características.• Na hora da assinatura do contrato, é importante observara parte sobre o sigilo de contrato, que é imprescindívelpara um contrato de serviços de auditoria. Se a empresacontratada não for de boa índole, pode acontecer de oauditor repassar informações para concorrentes, já que eletambém presta serviço para outras empresas.• Verificar se a norma ou padrão adotado pela empresacontratada tem grande aceitação no mercado; verificar sea mesma está atualizada quanto às últimas mudanças domundo contábil, financeiro ou tecnológico.Unidade 263

Universidade do Sul de Santa CatarinaQue situações o auditor pode ser responsabilizado porquebra de contrato?Há três situações típicas onde o auditor pode ser responsabilizadopor quebra de contrato, a considerar:• na emissão de um parecer-padrão de auditoria sem teraplicado as normas de auditoria geralmente aceitas;• na entrega do relatório fora do prazo estipulado;• na violação da relação confidencial acordada no contrato.É importante ressaltar que na quebra de um contrato pelassituações anteriormente citadas ou outras, o queixoso geralmentebusca uma ou mais das seguintes alternativas: prestação dosserviços pelo réu; indenização monetária por prejuízos ocorridosdurante a quebra de contrato; ou uma indenização por prejuízosindiretos causados pela não realização dos serviços contratados.1136 Tenants’Corp versus Max Rothenberg & Co.(1971)Responsabilidade por negligênciaO queixoso, uma corporação que possui um conjuntode apartamentos, acionou o réu, uma firma deauditores contábeis, pleiteando indenização porqueréu não descobriu um desfalque de quantia superiora US$ 110.000,00 (cento e dez mil dólares), que Riker, oadministrador do queixoso, tinha realizado. Riker tinhacontratado Rothenberg verbalmente por honorários anuaisde US$ 600,00 (Seiscentos dólares).O queixoso argumentou que Rothenberg tinha sidocontratado para realizar todos os serviços de contabilidadee auditoria. O réu, por sua vez, rebateu que tinha sidocontratado para realizar apenas serviços de escrituração epreparação das demonstrações contábeis e da declaraçãode imposto de renda. Como evidência de seus argumentos,o queixoso mostrou que contabilizou os honorários do réucomo despesa de auditoria, e o réu mostrou que, em todasfolhas das demonstrações, tinha registrado que elas nãotinham sido auditadas.64

Auditoria de Sistemas InformatizadosAlém disso, em uma carta de encaminhamento dasdemonstrações contábeis, o contabilista afirmou que asdemonstrações tinham sido preparadas com base noslivros e registros da empresa e não tinham sido objeto deverificação independente.O tribunal decidiu que acusado tinha sido contratadopara realizar uma auditoria porque Rothenberg admitiuque havia realizado alguns procedimentos, como examede extratos bancários, faturas e contas. Na realidade,os papéis de trabalho do auditor continham um mapaintitulado “”Faturas não encontradas”, que mostrava quenão havia comprovantes para pagamentos da ordem deUS$ 40.000,00(quarenta mil dólares). O contabilista nãoinformou ao queixoso sobre a falta desses comprovantese não se empenhou em encontrá-los. O tribunal decidiuque o auditor contábil foi negligente e determinou queele pagasse indenizações que totalizaram US$ 237.000(duzentos e trinta e sete mil dólares) afirmando que:Independente de o Auditor contábil ter sido contratadopara realizar uma auditoria ou simplesmente preparardemonstrações contábeis, ele tinha o dever de informaro cliente qualquer conduta errada ou suspeita de seusempregados, da qual chegasse a ter conhecimento.Papéis de trabalho do réu indicavam que ele tinha realizadoalguns procedimentos de auditoria contábil.Os registros mostravam que o réu tinha sido contratadopara realizar uma auditoria dos livros e registros do clientee que os procedimentos utilizados pelo réu tinham sido“incompletos, inadequados e realizados de forma nãoapropriada”.1136 Tenants’Corp vs Max Rothenberg & Co. (1971)(36 A2d 30 NY2d 804), 319 NYS2d 1007 (1971).Unidade 265

Universidade do Sul de Santa CatarinaPor que é importante documentar por escrito aexecução dos trabalhos?Para obter tal resposta, acompanhe a seguir, a descrição de umcaso interessante. Ele ficou conhecido como o Caso 1136 Tenantse é utilizado, freqüentemente, para demonstrar a importância doprocesso de execução dos trabalhos ser documentado por escrito.A existência de um contrato por escrito foi boa, porém não foi aúnica questão que o caso levantou. A questão crítica aqui é que oauditor contábil não informou ao cliente que um empregado seuestava cometendo atos errados, independente do tipo de serviçoque estava sendo prestado.Apesar de antigo, esse caso acontece muito em nosso país:contratos são assinados e muitas informações são acertadasverbalmente. Por isto, muita atenção!Até aqui, você estudou sobre as responsabilidades do auditorno que diz respeito aos procedimentos a serem adotados com osclientes e, com isso, a importância do contrato de trabalho.Veja, a seguir então, quais são as responsabilidades quando otrabalho é feito sem a existência de um contrato, ou seja, comterceiros.Um terceiro pode ser definido como um indivíduoque não tem relação contratual com as partes de umcontrato.De acordo com a lei de perdas e danos, o auditor temresponsabilidade para com todos os terceiros, por negligênciagrave e fraude. Por negligência normal, contudo, suaresponsabilidade para com as duas classes de terceiros tem sidodiferente.66

Auditoria de Sistemas InformatizadosO conceito de responsabilidade evoluiusignificativamente, passando a abranger proteção aoconsumidor contra atos errados, tanto para fabricantescomo para os prestadores de serviços.O tamanho das empresas, de uma maneira geral,aumentou, para suportar novos níveis de responsabilidadeperante o cliente. Pode-se dizer que hoje em dia asempresas, tecnicamente falando, além de procuraremum bom profissional para prestar serviços, procuramtambém àquelas empresas em que possam confiar. Afinal,o auditor de sistemas de informação irá lidar com dados einformações que são, em sua grande maioria, sigilosos.Seção 4 – Como ocorre o planejamento da auditoria?A atividade de auditoria pode ser dividida em três fases:planejamento, execução (supervisão) e relatório.O que ocorre na fase de planejamento?Uma fase vital para qualquer contrato de auditoria é o seuplanejamento. Ele desempenha o mesmo papel que em outrasáreas, na vida pessoal, no desenvolvimento de um novo produto,entre outros. Dele resulta um arranjo ordenado dos passosnecessários à condução de determinado objetivo. Tudo que é feitode forma organizada está fadado ao sucesso.Planejamento da auditoria envolve vários passos importantes.Obtenção de conhecimento do negócio e da organizaçãorepresenta a etapa crítica neste processo, pois estabelece a basepara a realização de muitos outros procedimentos de auditoria.Ao planejar o seu trabalho, o auditor toma importantes decisõessobre a relevância e risco de auditoria. Um produto importante doplanejamento envolve a tomada de decisões preliminares sobre aestratégia a ser seguida.Unidade 267

Universidade do Sul de Santa CatarinaPor exemplo, num parecer técnico de um auditor desistemas de informação, uma constatação de quedeterminado sistema não é de missão crítica influenciae muito na decisão do auditor de recomendar algumamudança. Isso na relação com a conformidade ounão-conformidade, mas com trabalho próativo doauditor em dizer que, apesar da não-conformidade,esta vulnerabilidade não causará muitos danos, pois osistema não é de missão crítica.Um aspecto muito importante na obtenção das informaçõesrelacionadas com o negócio do cliente é o ciclo de vida dasinformações. É baseado nestes fluxos que se avalia a segurançaenvolvida.Sendo mais específico, deve ser feito um inventário do ambientecomputacional do cliente, com informações sobre hardware,sistemas operacionais, arquitetura computacional, metodologiausada no desenvolvimento de software, quais são ou não ossistemas críticos.Com estas informações, o auditor irá traçar o seuplano de auditoria e definir o escopo do serviço.Estes conceitos já foram exploradosna unidade anterior.Um dos motivos do auditor definir o escopo após o inventário éa necessidade de se saber dos recursos técnicos a serem alocados.No caso de auditoria de software, por exemplo, é necessário umauditor que conheça as normas e procedimentos para a fabricaçãode alguma aplicação, já que elas diferem das que aplicamdiretrizes e procedimentos, para garantir a alta disponibilidadede um ambiente computacional.Saber previamente a complexidade do ambientede tecnologia que será auditado é uma grandevantagem, pois a empresa terá mais tempo na hora deprocurar algum recurso humano em especial.68

Auditoria de Sistemas InformatizadosLembre-se sempre que as informações que são anexadas aoprocesso de auditoria devem ser coletadas em primeira mão, ouseja, com a certeza de que o dado coletado é de fonte segura.Considerar o pessoal que administra o ambiente pode ser umaboa estratégia e é lógico, que como prestador de serviço, umacerta política e jogo de cintura são importantes nestes casos.Tendo em mãos as informações pertinentes ao ambientecomputacional do cliente, a equipe de auditores pode, nestemomento, definir o campo, o âmbito e as sub áreas a seremauditadas. A definição do escopo, ou seja, o campo, o âmbito eas sub áreas é um passo importante no planejamento da auditoriaporque é desta forma que o cliente fica sabendo até aonde vai otrabalho realizado pelo auditor, ou seja, evita falsas expectativas,até no que diz respeito ao prazo. Existe uma tendência muitoforte da classe executiva em pensar que auditoria é uma simplesanálise superficial e leva-se pouco tempo para executá-la. Esteaspecto deve ser discutido ainda na fase de contratação dosserviços para evitar problemas futuros.Uma das situações mais corriqueiras durante o planejamento ésem dúvida a que diz respeito ao conhecimento técnico necessáriopara a realização do serviço. Isto implicará dificuldades paraformar a equipe de auditoria e causará problemas como: alocarum recurso muito especializado para uma auditoria simples ouperceber, em cima da hora, que se precisa de um suporte muitoespecializado e, este recurso não estar disponível no momentodesejado.Tais como os recursos humanos, as previsões financeiras devemestar na lista das verificações, pois podem ocorrer situaçõescomo uma viagem às redes remotas do cliente, envolvendo custoscom hotel, despesas de alimentação e deslocamento. Outro casoé a contratação de um recurso técnico para compor a equipede auditoria, se este recurso não existir no quadro atual defuncionários da empresa. (DIAS, 2000).Tão importante como a equipe de auditoria e suas previsõesfinanceiras, são os recursos técnicos, ou seja, as ferramentas detrabalho do auditor. São elas: manuais de sistemas operacionais,laptops, computadores, software especialista em auditoria, entreoutros.Unidade 269

Universidade do Sul de Santa CatarinaEste planejamento envolve o desenvolvimento de uma estratégiaglobal para a condução da auditoria, dada a sua extensão.O auditor deve planejá-la considerando a ética profissionalsobre questões como: integridade da administração, errose irregularidades e atos ilegais. O volume de planejamentoexigido em um contrato varia de acordo com o tamanho ecomplexidade do cliente, se ele já é conhecido do auditor eem experiências passadas que tenha tido com ele. Como seesperaria, o planejamento de uma auditoria inicial requer esforçoconsideravelmente maior que o de uma auditoria recorrente.Um dos principais motivos dessa preocupação, a princípioaparentemente exagerada, é a de que na maioria das organizaçõesdedicadas à auditoria, controle e segurança, os auditores desistemas são recursos humanos escassos e, com isso, o seu tempodeve ser administrado com muito critério. Sua presença paraexecução de alguma tarefa só é definida nos casos em que suaatuação seja realmente necessária.O que ocorre após o planejamento?Após a etapa do planejamento, vem a supervisão. Esta envolveo direcionamento dos trabalhos dos assistentes para atingir osobjetivos de auditoria e verificar se os objetivos foram de fatoatingidos.A extensão da supervisão necessária em um contrato depende daqualificação das pessoas que realizam os trabalhos, entre outrosfatores. Com isto, ao planejar uma auditoria e sua supervisão,também deve ser previsto quantos membros da equipe sãoinexperientes e quantos são experientes.70

Auditoria de Sistemas InformatizadosSeção 5 – Como ocorre a conclusão da auditoria?Na fase de conclusão da auditoria, o auditor freqüentemente irátrabalhar sob rígidas condições de prazo, pois os clientes queremobter o parecer o mais cedo possível. Nada mais justo, porémé importante lembrar que não se pode sucumbir às pressõesdecorrentes do trabalho sob pena de emitir um relatório simplesdemais, de pouca qualidade ou até mesmo com poucos detalhes.Quais são as responsabilidades do auditor naconclusão dos trabalhos?As responsabilidades do auditor na conclusão dos trabalhospodem ser divididas em três categorias: conclusão do trabalho decampo; avaliação das descobertas; comunicação com o cliente.A seguir acompanhe em detalhes, as características de cadaresponsabilidade referente às fases do processo de conclusão daauditoria.a) Conclusão do trabalho de campoNa conclusão do trabalho de campo, o auditor deve ter certezade que já fez todas as entrevistas necessárias, coletou todos osdados necessários para analisar as evidências e tecer um parecercorreto, que auxilie o cliente a melhorar o seu ambiente de TIaumentando a sua disponibilidade, o seu caráter confidencial e asua integridade de dados.Uma boa estratégia é revisar as entrevistas com as pessoasenvolvidas na administração da informática, relendo-as econfirmando os dados com as pessoas envolvidas para garantir aintegridade de tais informações. Também e importante revisaratas de possíveis reuniões passadas, a fim de se fazer a mesmaconfirmação.A conclusão da auditoria deve conter as dificuldadespara a obtenção de informações, que possam teratrapalhado o trabalho.Unidade 271

Universidade do Sul de Santa CatarinaEste é um fator importante, pois um parecer pouco detalhadodeve ter como justificativa a escassez de informações oudificuldades em obtê-las.Outro ponto a ser lembrado é a revisão dos históricos de eventos,os “logs”, para garantir a integridade dos mesmos, analisar aprocura de falhas nas seqüências de datas, que demonstra algumtipo de fraude.b) Avaliação das descobertasAo avaliar o que foi verificado na auditoria, o auditor tem porobjetivos determinar o tipo de parecer a ser emitido e determinarse a auditoria seguiu as normas geralmente aceitas.Para formar opinião sobre as demonstrações contábeis, oauditor deve assimilar todas as evidências que constatoudurante a auditoria, da mesma forma que o auditor de sistemasinformatizados deve reunir todo tipo de informação coletadado ambiente de TI do cliente. O primeiro passo é identificar asdistorções que foram encontradas e não foram corrigidas peloadministrador de TI Em casos de pouca severidade, o auditorpode ressaltar o fato de que a alteração pode ser feita mais tarde.Porém, em casos graves, ele também pode pedir que a alteraçãoseja feita imediatamente.Como exemplo temos: a correção de algumsistema operacional que influencie diretamente navulnerabilidade do sistema, deve ser feita o quantoantes, sob pena de perda de disponibilidade damáquina.Durante a realização de uma auditoria, vários testes sãorealizados. Muitas vezes, estes testes são executados por auditorescuja participação na auditoria pode limitar-se a poucas áreas.À medida em que os testes correspondentes em cada área (porexemplo: redes, sistemas operacionais, softwares) vão sendoconcluídos, um auditor sênior vai resumindo o que neles foiconstatado.72

Auditoria de Sistemas InformatizadosNa conclusão da auditoria, é necessário que todas as constataçõessejam resumidas e avaliadas. Aqui também é constatada a nãoconformidadecom a norma aceita pelo cliente como sendopadrão de segurança de informação.Antes da decisão final sobre a opinião a ser emitida, geralmenteo cliente é chamado para uma reunião, na qual a empresaresponsável pela auditoria relata as descobertas, inicialmentede forma oral, e justifica, conceitualmente, eventuais ajustes emudanças que esteja recomendando. (SEGURANÇA, 2000)A administração do ambiente de informática, por sua vez, podetentar defender a sua posição, porém isto não deve interferirna avaliação de conformidade da norma de segurança, casocontrário, incorrerá no erro de ser complacente com muitasinconformidades e acabará sem ajudar o cliente como proposto.Nesta situação é imprescindível que haja uma formalização paranão haver dúvidas sobre o caso. Isto gera segurança para todos osenvolvidos, tanto no lado do cliente quanto no lado do auditor.No final, geralmente se chega a um acordo a respeito dasalterações que devem ser feitas e o auditor pode então ter queemitir um parecer explicando a situação. A comunicação daopinião do auditor é feita por meio de seu parecer.c) Comunicação com o clienteDurante uma auditoria, o auditor pode vir a tomar conhecimentode questões relacionadas com controles internos, que sejamde interesse do comitê corporativo de segurança ou de outrosenvolvidos dentro da corporação - que tenham autoridade eresponsabilidade equivalente e que normalmente é a classeexecutiva da empresa.Unidade 273

Universidade do Sul de Santa CatarinaFigura 2.1 – Diagrama do modelo de implementação e gestão de segurançaFonte: Elaborado pelo autorNa figura 2.1 você pode perceber a posição do comitê corporativode segurança dentro de um diagrama. Nela, você pode visualizaro ambiente de segurança de informação de uma organização.O comitê é um grupo formado por vários gerentesde diversas áreas da empresa e que tem influência eresponsabilidade sobre os ativos de informação dacorporação.74

Auditoria de Sistemas InformatizadosA comunicação em qualquer período da auditoria, seja durante ouna conclusão dos trabalhos, deve ser feita por um canal escolhidopelas partes envolvidas, ou seja, tanto pelo cliente, quanto pelaempresa de auditoria. Tal prática evita distorções de fatos e atos,pois deve ser feita formalmente por escrito, com cópia para todasas pessoas envolvidas no trabalho dos dois lados e com cópia parao comitê de segurança da empresa, se for o caso.No caso de apresentar o parecer de maneira formal, a fim deencerrar os trabalhos de auditorias, é interessante marcar comantecedência uma reunião para que todas as pessoas envolvidasestejam presentes, porque é nesta reunião que será confirmada aauditoria.As normas de auditorias geralmente aceitas não exigem quevulnerabilidades relevantes sejam identificadas separadamente.Porém é muito interessante, para um maior entendimento eaté programação de investimentos por parte do cliente, queas vulnerabilidades sejam divididas em níveis de severidade,acusando suas conseqüências caso não sejam remediadas e amedida do risco das mesmas, para se prever em que momentoesta fraqueza pode ser explorada por uma ameaça.É importante ter cuidado na hora de comunicar todae qualquer dificuldade em obter informações, oubarreiras encontradas para se chegar ao relatório deconclusão da auditoria.Normalmente, o parecer de auditoria aponta alguma falhahumana, ou seja, você estará apontando alguém e para que istonão vire motivo de uma guerra, é necessário ter cautela na formade passar estas informações para o cliente.Aqui é bom lembrar que, em muitos casos, o auditor de sistemasde informação é visto como “dedo-duro” e é bom acostumar-secom isto e saber agir de acordo com esta fama.À medida que a auditoria progride, o auditor deve registrarem seus papéis de trabalho questões que pretenda incluir noseu relatório final para posterior entrega à classe executiva daempresa.Unidade 275

Universidade do Sul de Santa CatarinaResumindo: O relatório entregue à administração da empresadeve ser cuidadosamente elaborado, bem organizado e escritoem tom de “críticas construtivas”. A entrega rápida desterelatório pode ter uma reação imediata e positiva.Uma vez que você finalizou a leitura da unidade 2, para praticarseus novos conhecimentos, realize as atividades propostas aseguir.Atividades de auto-avaliaçãoLeia com atenção os enunciados e realize as atividades.1) A profissão de auditor mudou muito nos últimos anos, porém eles têmuma tendência que já existe a algum tempo, qual é?76

Auditoria de Sistemas Informatizados2) Quando falamos das responsabilidades da profissão de auditor, quaissão elas perante os clientes?Unidade 277

Universidade do Sul de Santa Catarina3) Cite um dos principais motivos de se dar importância ao planejamentoda auditoria?78

Auditoria de Sistemas InformatizadosRealize também as atividades propostas no EVA.Interaja com a sua comunidade de aprendizagem eamplie seu ponto de vista.SínteseNesta unidade, você estudou que uma auditoria tradicionalenvolve a revisão do histórico financeiro da empresa com ointuito de validar a exatidão e a integridade das declaraçõesfinanceiras. O controle interno representa uma metodologiaprimária usada pela classe executiva da organização paraassegurar a proteção dos ativos e a disponibilidade da informação.No advento dos sistemas de informação, o computador jádemonstrou impacto em muitas áreas distintas dos negócios ede várias profissões. Com esta nova tecnologia, os processos derevisões destes controles ou o processo de auditoria mudarame os auditores atualmente, também devem saber a respeito datecnologia do processamento eletrônico de dados.Como você pôde perceber, vários desafios devem ser vencidos naprofissão de auditor, pois ela envolve muitas responsabilidadesalém de muita organização.Muitos sistemas não foram projetados para serem seguros. Asegurança que pode ser alcançada por meios técnicos é limitada econvém ser apoiada por gestão e procedimentos apropriados.Na próxima unidade você irá estudar maneiras, métodos eprocedimentos que podem ser utilizados para suprir a deficiênciatecnológica encontrada nos sistemas de segurança. Até lá!Unidade 279

Saiba maisPara aprofundar as questões abordadas nesta unidade, realizepesquisa nos seguintes livros:• PINKERTON CONSULTING andINVESTIGATIONS. Top Security ThreatsandManagement Issues Facing Corporate America 2002Survey of Fortune 1000 Companies, Pinkerton ServiceCorporation, 2002.• PURPURA, Philiph. Security and Loss Prevention :An Introduction. Boston: Butterworth – Heinemann, 3ªedição, 1998.• SENNEWALD, Charles A. Effective SecurityManagement. Boston: Butterworth – Heinemann. 3.edição, 1998.• ROPER, Carl A. Risk Management for SecurityProfessionals.Boston: Butterworth – Heinemann, 1999.

UNIDADE 3Política de segurança deinformações3Objetivos de aprendizagemAo final desta unidade você terá subsídios para:• conhecer o impacto de ataques externos ao ambientecorporativo da tecnologia da informação.• compreender a importância do inventário de recursospara uma entidade.• conhecer e diferenciar os tipos de controles de acessológico.• conhecer e diferenciar os tipos de controles de acessofísico.• conhecer e diferenciar os tipos de controles ambientais.Seções de estudoA seguir, apresentamos as seções para você estudar:Seção 1Seção 2Seção 3Seção 4Seção 5Seção 6Qual é o papel da política de segurança dainformação?Como realizar a análise de riscos?Inventário e recursosComo efetuar os controles de acesso lógico?Como executar os controles de acessofísico?Como realizar os controles ambientais?Após a leitura dos conteúdos, realize as atividades deauto-avaliação propostas no final da unidade e no EVA.

Universidade do Sul de Santa CatarinaPara início de estudoNa vida das pessoas dentro das organizações, tudo gira emtorno de decisões políticas, não importando quem as tome eque nome elas tenham. Qualquer organização sempre estabelecediretrizes políticas para serem seguidas pelas pessoas que fazemparte direta ou indiretamente da corporação. Com o propósitode fornecer orientação e apoio às ações de gestão de segurança, apolítica de segurança da informação tem um papel fundamentale, guardadas as devidas proporções, tem importância similar àconstituição federal para um país.Após o entendimento inicial da relevância deste conteúdo, sigaem frente! Bom estudo!Seção 1 – Qual é o papel da política de segurança dainformação?Tendo como propósito fornecer orientação e apoio às ações degestão de segurança, a política de segurança da informaçãoassume uma grande abrangência e, por conta disto, é subdivididaem três blocos: procedimentos/instruções, diretrizes e normas,que são destinados, respectivamente, às camadas operacional,tática e estratégica.a) Procedimentos/instruções: estabelecem padrões,responsabilidades e critérios para o manuseio, armazenamento,transporte e descarte das informações dentro do nível desegurança estabelecido sob medida pela e para a empresa.Portanto, a política das empresas deve ser sempre personalizada.b) Diretrizes: por si só tem papel estratégico, pois precisamexpressar a importância que a empresa dá à informação, além decomunicar aos funcionários seus valores e seu comprometimentoem incrementar a segurança a sua cultura organizacional.c) Normas: é notória a necessidade do envolvimento da altadireção, que terá a responsabilidade de fazer refletir o caráteroficial da política da empresa através de comunicação ecompartilhamento com seus funcionários.82

Auditoria de Sistemas InformatizadosEste instrumento deve expressar as preocupações dos executivose definir as linhas de ação que orientarão as atividades táticas eoperacionais.Responsabilidades dos proprietários e custodiantes dasinformações, métricas, índices e indicadores do nível desegurança, controles de conformidade legal, requisitos deeducação e capacitação de usuários, mecanismos de controle deacesso físico e lógico, responsabilizações, auditoria do uso derecursos, registros de incidentes e gestão da continuidade donegócio são algumas das dimensões a serem tratadas pela políticade segurança.Critérios normatizados para admissão e demissãode funcionários; criação e manutenção de senhas;descarte de informação em mídia magnética;desenvolvimento e manutenção de sistemas; uso dainternet; acesso remoto; uso de notebook; contrataçãode serviços de terceirizados; e classificações dainformação são bons exemplos de normas de umatípica política de segurança.Em especial, a norma de classificação da informação é fatorcrítico de sucesso, pois descreve os critérios necessários parasinalizar a importância e o valor das informações, premissaimportante para a elaboração de praticamente todas as demaisnormas. Não há regra preconcebida para estabelecer estaclassificação; mas é preciso entender o perfil do negócio e ascaracterísticas das informações que alimentam os processos ecirculam no ambiente corporativo para que os critérios sejampersonalizados. Esta relação entre a classificação e o tratamentoestá ilustrada na figura 3.1.Unidade 383

Universidade do Sul de Santa CatarinaFigura 3.1 – Relação entre a classificação e o tratamento da informação.Fonte: Sêmola (2003).Por seu perfil operacional, procedimentos e instruções deverãoestar presentes na política da empresa em maior quantidade.É necessário descrever meticulosamente cada ação e atividadeassociada a cada situação distinta de uso das informações.Por exemplo: enquanto a diretriz orientaestrategicamente para a necessidade de salvaguardaras informações classificadas como confidenciais e anorma define que estas deverão ser criptografadasem tempo e enviadas por e-mail, o procedimento e ainstrução específica para esta ação têm de descreveros passos necessários para executar a criptografiae enviar o e-mail. A natureza detalhista destecomponente da política pressupõe a necessidade demanutenção ainda mais freqüente.Diante disso, você já pode perceber o quão complexo édesenvolver e, principalmente, manter atualizada a política desegurança da informação com todos os seus componentes.84

Auditoria de Sistemas InformatizadosEsta percepção torna-se ainda mais latente ao considerarmoso dinamismo do parque tecnológico de uma empresa e, ainda,as mudanças previsíveis e imprevisíveis que o negócio poderásofrer. Desta forma, o importante é começar e formar um grupode trabalho com representantes das áreas e departamentos maisrepresentativos, integrando visões, percepções e necessidadesmúltiplas que tenderão a convergir e gerar os instrumentos dapolítica. A conformidade com requisitos legais, envolvendoobrigações contratuais, direitos de propriedade intelectual,direitos autorais de software e todas as possíveis regulamentaçõesque incidam no negócio da empresa, deve ser respeitada e ser alinha de conduta da construção da política de segurança.Qual é o objetivo da política de segurança?A política de segurança tem como objetivo prover à direção daorganização orientação e apoio para a segurança da informação,preservando:• Caráter confidencial – Garantia de que o acesso àinformação seja obtido somente por pessoas autorizadas;• Integridade – salvaguardar a exatidão e completeza dainformação e dos métodos de processamento.• Disponibilidade – Garantia de que os usuáriosautorizados obtenham acesso à informação e aos ativoscorrespondentes sempre que necessário.Como efetivar o documento da política da segurança dainformação?É conveniente que este documento expresse as preocupações dadireção e estabeleça as linhas-mestras para a gestão de segurançada informação.É aconselhável, segundo a ABNT (NBR ISO/IEC17799:1), que o documento da política seja aprovadopela classe executiva da empresa, publicado ecomunicado de forma adequada para todos osfuncionários.Unidade 385

Universidade do Sul de Santa CatarinaNo mínimo, é interessante que as seguintes orientações sejamincluídas:• Definição de segurança da informação – resumo dasmetas e escopo, e a importância da segurança comoum mecanismo, habilitam o compartilhamento dainformação;• Declaração do comprometimento – feita pela altadireção, apoiando as metas e princípios da segurança dainformação;• Explanação – breve explanação das políticas, princípio,padrões e requisitos de conformidade com a importânciaespecífica para a organização.Por exemplo:• Conformidade com a legislação e cláusulascontratuais.• Requisitos na educação de segurança.• Prevenção e detecção de vírus e softwaresmaliciosos.• Gestão de continuidade do negócio.• Conseqüências das violações na política desegurança da informação.• Definição das responsabilidades – definição emlinhas gerais e especificas à gestão da segurança dainformação, incluindo o registro dos incidentes desegurança.• Documentação – referências à documentações quepossam apoiar a política da empresa. Por exemplo,políticas e procedimentos de segurança comdetalhes dos sistemas de informação específicos ouregras de segurança a serem seguidas.Em qualquer atividade organizacional, a primeira tarefaa ser realizada é a definição do que se deseja, fixando-seos objetivos a serem atendidos, definindo-se os meiose recursos necessários, estabelecendo-se as etapas acumprir e os prazos das mesmas.86

Auditoria de Sistemas InformatizadosSomente após uma análise do que se que deseja é que se iniciaa execução do plano de ação para a implantação da políticade segurança. Este plano não é fixo. Ele deve ser maleável osuficiente para permitir que algumas modificações inesperadasocorram.Que diretrizes se inserem na política de segurança?Uma típica política de segurança ou uma política de uso aceitávelde recursos computacionais deve abranger diretrizes claras arespeito, pelo menos, dos seguintes aspectos:AspectoObjetivo da segurançaAlvoPropriedades dos recursosResponsabilidadesRequisitos de acessoResponsabilizaçãoGeneralidadesCaracterísticasDeve explicar de forma rápida e sucinta a finalidade da política desegurançaDeve definir em quais estruturas organizacionais elas serão aplicadas.Devem explicar e definir as regras que irão contemplar a política noque diz respeito à propriedade de ativos de informações.Devem definir de forma detalhada qual o tipo de responsabilidadesenvolvidas com a manipulação de ativos de informações, a quemdevem ser atribuídas e os mecanismos de transferência.Conterão a indicação de quais os requisitos a serem atendidos para oacesso a ativos de informações.Indicarão as medidas a serem tomadas nos casos de infringência àsnormas.Aqui colocam-se todos os itens e aspectos que não cabem nas demais.Para ficar mais claro, acompanhe o exemplo deum Modelo de Política de segurança de acesso aoDatacenter da Xpto Corp. por parte de empresasterceirizadasObjetivo - Assegurar um método seguro deconectividade entre Xpto Corp. e as empresasterceirizadas, bem como prover diretrizes para o usode recursos computacionais e de rede associados coma conexão feita por essas empresas.Unidade 387

Universidade do Sul de Santa CatarinaEscopo - Esta política se aplica a todas as empresasterceirizadas que acessam o CPD da Xpto Corp. ,fisicamente, ou logicamente, de forma a controlar esseacesso e auditar responsabilidades quando necessário.Descrição - Convém que seja controlado o acesso deprestadores de serviço aos recursos de processamentoda organização.Onde existir uma necessidade para este acesso deprestadores de serviço, convém que seja feita umaavaliação dos riscos envolvidos para determinar aspossíveis implicações na segurança e os controlesnecessários. Convém que os controles sejam acordadose definidos através de contrato assinado com osprestadores de serviço.O acesso de prestadores de serviço pode tambémenvolver outros participantes. Convém que os contratosliberando o acesso de prestadores de serviço incluama permissão para designação de outros participantesqualificados, assim como as condições de seus acessos.Esta norma pode ser utilizada como base para taiscontratos e levada em consideração na terceirização doprocessamento da informação.Tipos de Acesso - O tipo de acesso dado a prestadoresde serviço é de especial importância. Por exemplo,os riscos no acesso através de uma conexão de redesão diferentes dos riscos resultantes do acesso físico.Convém que os seguintes tipos de acesso sejamconsiderados:a)Acesso físico: por exemplo, a escritórios, sala decomputadores, gabinetes de cabeamento;b)Acesso lógico: por exemplo, aos banco de dados daorganização, sistemas de informação.Razões para o acesso - Acessos a prestadores deserviços podem ser concedidos por diversas razões.Por exemplo, existem prestadores de serviços quefornecem serviços para uma organização e não estãolocalizados no mesmo ambiente, mas necessitam deacessos físicos e lógicos, tais como:•Equipes de suporte de hardware e software, quenecessitam ter acesso em nível de sistema ou acesso àsfuncionalidades de baixo nível das aplicações;88

Auditoria de Sistemas Informatizados•Parceiros comerciais ou Joint ventures, que podemtrocar informações, acessar sistemas de informação oucompartilhar base de dados.As informações podem ser colocadas em riscopelo acesso de prestadores de serviços com umaadministração inadequada de segurança. Existindo anecessidade de negócios de conexão com prestadoresde serviços, convém que uma avaliação de riscos sejafeita a fim de identificar quaisquer necessidades deimplementação de controles de segurança. Convémque sejam levados em conta o tipo de acesso requerido,o valor da informação, os controles empregados porprestadores de serviços e as implicações deste acesso àsegurança da informação da organização.Contratados para serviços internos - Prestadores deserviço que, por contrato, devem permanecer dentro daorganização por um período de tempo também podemaumentar a fragilidade na segurança.Convém que o acesso de prestadores de serviçosà informação e aos recursos de processamento dainformação não seja permitido, até que os controlesapropriados sejam implementados e um contratodefinindo os termos para a conexão ou acesso sejaassinado.Generalidades - Todo acesso que seja necessárioao CPD da Xpto Corp e não está contemplado nestedocumento deve ser analisado pelo Departamento deT.I. antes de ser liberado, se for o caso.Todas as empresas que, por ventura precisarem acessarde qualquer forma o CPD da Xpto, mesmo que por umaúnica vez, ser faz necessária a assinatura do Contratode sigilo entre empresas, como segue o anexo 3 destapolítica.A figura 3.2 mostra um diagrama que apresenta o esquema dodesafio que é a implantação de uma política de segurança deinformações, com a informação no centro do diagrama, e, aoredor, todos os aspectos envolvidos. Observe!Unidade 389

Universidade do Sul de Santa CatarinaFigura 3.2 – Diagrama que representa uma política de segurança de informação agindo sobre oprincipal ativo de uma empresa, a informação.Fonte: Sêmola (2003)Você viu que um círculo central está dividido em três partes,representando os três principais aspectos envolvidos nasegurança de informações: a disponibilidade, a integridade e ocaráter confidencial. Numa camada mais externa, encontramosos aspectos que estão relacionados com os citados anteriormente,que são a autenticidade e a legalidade.Na próxima camada, encontra-se o ciclo de vida da informação,que contempla o manuseio, o armazenamento, o transportee o descarte. Os processos e ativos, que são elementos quemanipulam direta ou indiretamente uma informação, estão nacamada superior. Todo este aparato é voltado estrategicamentepara atender à demanda de negócios da organização.90

Auditoria de Sistemas InformatizadosComo em todo sistema de informações existem vulnerabilidades,podemos citar três grandes áreas que dividem estes tipos: asfísicas, as humanas e as tecnológicas.Na penúltima camada estão ilustradas as medidas de segurança.A solução que uma organização deve adotar para diminuir apossibilidade de eventuais ocorrências, pode ter um princípio decunho preventivo, visando manter a segurança já implementadapor meios de mecanismos que estabeleçam a conduta e a éticada segurança na instituição. É uma atuação nas seguintes áreas:humanas, tecnológicas e físicas.Essa estrutura montada deve conter agentes ou condições quecausam incidentes que comprometam as informações e seus ativospor meio da exploração de vulnerabilidades, que são as ameaças,esboçadas na camada mais externa.Uma vez que você estudou uma introdução ao estudo da políticade segurança de informação, veja a próxima seção.Seção 2 – Como realizar a análise de riscos?É bastante interessante que a política de segurança deinformações tenha uma pessoa responsável por sua manutenção eanálise crítica, e que esteja de acordo com um processo definido.Quando realizar as análises?Convém que este processo ocorra na decorrência de qualquermudança que venha a afetar a avaliação de risco original,como, por exemplo, um incidente de segurança significativo,novas vulnerabilidades ou, até mesmo, mudanças organizacionaisou na infra-estrutura técnica.Unidade 391

Universidade do Sul de Santa CatarinaÉ interessante, também, que sejam agendadas as seguintesanálises periódicas:1. Efetividade da política: demonstrada pelo tipo, volume eimpacto dos incidentes de segurança registrados;2. Custo e impacto dos controles na eficiência do negócio;3. Efeitos das mudanças na tecnologia.A finalidade desta análise é obter uma medida da segurançaexistente em determinado ambiente.A primeira consideração relacionada com segurança de ativos deinformações, como qualquer outra modalidade de segurança, éa relação custo-benefício. Não se gastam recursos em segurançaque não tenham retorno à altura, isto é, não se gasta maisdinheiro em proteção do que o valor do ativo a ser protegido.Outro ponto a ser considerado é que a análise deve contemplartodos os momentos do ciclo de vida da informação:Qual é o ciclo de vida da informação?O ciclo de vida da informação pode ser definido nas seguintesetapas:• Manuseio - momento em que a informação é criada oumanipulada, seja ao digitar um documento eletrônico,preencher um formulário de colaboração ou ainda,folhear um maço de papéis.• Armazenamento - momento em que a informaçãogerada ou manipulada é armazenada, seja em um papelpost-it ou ainda em mídia eletrônica, como um disquete,CD-ROM ou disco rígido.• Transporte - momento em que a informação étransportada, seja ao mandar uma carta pelo correio,enviar informações via correio eletrônico, falar aotelefone ou, até mesmo, mandar informações via fax.92

Auditoria de Sistemas Informatizados• Descarte - Momento em que a informação é descartada,seja ao depositar na lixeira da empresa um materialimpresso, seja ao eliminar um arquivo eletrônico docomputador, ou até mesmo ao descartar um CD-ROMusado que apresentou falha na leitura.Observe que a figura 3.3 ilustra o ciclo de vida da informaçãoe destaca que a segurança deve englobar todos os quatromomentos, pois não seria possível alcançar um bom nível desegurança protegendo apenas um ou outro momento da vida dainformação. Daí a importância de se avaliar todo o processo.Em recurso, se o objetivo é dar segurança às informçaões de umaorganização, essa segurança deverá abranger todo o ciclo de vidada informação.Figura 3.3 – Quatro momentos do ciclo de vida da informação.Fonte: Sêmola (2003).Unidade 393

Universidade do Sul de Santa CatarinaDentro de uma análise de riscos, deve-se ter a noção dedois fatores que influenciam na determinação da medida desegurança: o grau de impacto que a ocorrência terá e o nível deexposição causado por este sinistro.O grau de impacto ocorre quanto cada área ou a empresa inteirasofre as conseqüências da falta de disponibilidade, da integridadeou do caráter confidencial da informação.O nível de exposição está relacionado com o grau derisco inerente a cada processo ou produto, ou seja,está diretamente relacionado com a probabilidadede ocorrência de um evento danoso para umdeterminado ativo.Nesta análise, também, deve constar uma classificação dainformação quanto ao sigilo e preservação, para que possa serplanejada uma política de segurança que atenda à demandacrescente de segurança.Seção 3 – Inventário e recursosA tarefa mais trabalhosa na implantação de segurança em umaorganização é, com certeza, o inventário de usuários e recursos.Empresas com grande preocupação em segurança investem nacompra ou no desenvolvimento de ferramentas que auxiliemno inventário de hardware e software. O volume de trabalhoenvolvido dependerá em grande parte do grau de padronizaçãoencontrado na organização e da ordem já existente.Outro aspecto que influirá no trabalho é o grau de dinamismoda organização. Uma empresa com uma estrutura dinâmica terámenos trabalho do que uma organização com baixo grau dedinamismo ao inventariar os seus recursos.O que se deve levar em conta na hora de realizar umbanco de dados de segurança?94

Auditoria de Sistemas InformatizadosEm um banco de dados de segurança,deve-se levar em conta as seguintespremissas básicas:• Dados de usuários – o bancode dados de segurança deveidentificar claramente o usuário,seu código de identificação ouchave de acesso, o domíniode usuários a que pertence, odomínio de recursos que elepode acessar e a área onde está alocado, sua matrícula naorganização, ramal de telefone, correio eletrônico da redeinterna e as aplicações que está autorizado a acessar.• As funções dos usuários – o banco de dados desegurança deve indicar claramente a função de cadausuário cadastrado. Isto se prende ao fato de se concederdireito de acesso somente em função da necessidade dese executar tarefas que envolvam acesso a determinadosrecursos.Por exemplo, a área de produção de um CPD degrande porte ou que cuida dos equipamentoscentralizados de uma rede de micros, precisa teracesso total a ativos de informações, devido ànecessidade de processamento destes ativos dosusuários e de garantir a integridade de recursos sobreos quais a mesma tenha custódia. Porém, este acessodeve ser estritamente controlado e, sempre quepossível, as tarefas devem ser divididas entre diversaspessoas, de modo que nenhuma delas, isoladamente,acesse mais recursos do que o necessário para aexecução de suas tarefas.• Propriedade dos recursos – a administração desegurança de acesso a recursos deve levar em conta operfil da propriedade dos recursos. Esta deve ficar bemclara, de modo que não restem dúvidas acerca de quemtem o direito de conceder acesso.Unidade 395

Universidade do Sul de Santa Catarina• Nível de acesso permitido – o banco de dados desegurança também deve indicar de forma clara o nível deacesso que cada usuário pode ter sobre cada recurso parao qual obtenha a permissão de acesso. Isto é importante,para se controlar o acesso dado em função da necessidadede executar operações relacionadas com o recursoacessado. O ideal é que o banco de dados de segurançaseja integrado com o sistema de recursos humanos daorganização. Desta forma, qualquer mudança feita noRH refletirá automaticamente no banco de dados desegurança.Uma vez que você estudou e refletiu sobre a importância derealizar o inventário de usuários e recursos, na próxima seçãoverá como se realiza o controle de acesso lógico.Seção 4 – Como efetuar os controles de acesso lógico?Os controles de acesso, físicos ou lógicos, têm como objetivoproteger os recursos computacionais (equipamentos, softwares,aplicativos e arquivos de dados) contra perda, danos, modificaçõesou divulgação não-autorizada.Os sistemas computacionais, bem diferentes de outros tiposde recursos de uma organização, não podem ser facilmentecontrolados apenas com dispositivos físicos, como cadeado,alarmes, guarda de segurança, etc., principalmente se oscomputadores estiverem conectados a redes locais ou de maiorabrangência.É preciso controlar o acesso lógico a estes recursos por meio demedidas preventivas e procedimentos adequados a cada tipo deambiente computacional.96

Auditoria de Sistemas InformatizadosO que é acesso lógico?O acesso lógico nada mais é do que um processo em queum sujeito ativo deseja acessar um objeto passivo. O sujeitonormalmente é um usuário ou um processo e o objeto pode serum arquivo ou outro recurso como memória ou impressora.Os controles de acesso lógico são, então, um conjunto de medidase procedimentos adotados pela organização ou intrínsecos aossoftwares utilizados, cujo objetivo é proteger dados, programase sistemas contra tentativas de acesso não-autorizadas feitas porusuários ou outros programas.Vale a pena ressaltar que, mesmo que os controles de acesso sejamultra-sofisticados seu ponto fraco será sempre o usuário.O compartilhamento de senhas, o descuido naproteção de informações confidenciais ou a escolhade senhas facilmente descobertas, por exemplo, podecomprometer a segurança de informações.A conscientização dos usuários é fundamental para que aestratégia de controle de acesso seja eficaz.O compartilhamento de senhas, o descuido naproteção de informações confidenciais ou a escolhade senhas facilmente descobertas, por exemplo, podecomprometer a segurança de informações.Devido à variedade e complexidade dos ambientesinformatizados hoje em dia, cujo processamento é centralizadoou distribuído em diversas plataformas de hardware e software,a tarefa da equipe de segurança e auditoria não é nada fácil. Noscasos de auditoria, dependendo da complexidade dos controlesde acesso lógico implementados pelo sistema operacional oupor outros softwares especializados em segurança, talvez sejanecessário suporte adicional de especialistas com o discernimentoe experiência prática mais detalhada sobre o ambiente específicoa ser auditado.Unidade 397

Universidade do Sul de Santa CatarinaComo controlar o acesso lógico?A primeira coisa a fazer quando se trata de controles de acesso, édeterminar o que se pretende proteger. A seguir, são apresentadosalguns recursos e informações normalmente sujeitas aos controleslógicos:Recursos e informaçõesAplicativos(Programas fonte objeto)Arquivo de dadosUtilitários e sistemaoperacionalArquivos de senhaArquivos de logPor que controlar?O acesso não-autorizado ao código fonte dos aplicativos pode ser usado para alterar suasfunções e lógica do programa, como por exemplo, em um aplicativo bancário, pode-se zerar oscentavos de todas as contas correntes e transferir o total dos centavos para uma determinadaconta, beneficiando ilegalmente este correntista.Base de dados, arquivos ou transações de bancos devem ser protegidos para evitar que os dadossejam apagados ou alterados sem autorização adequada, como por exemplo, arquivos contendoconfiguração do sistema, dados da folha de pagamento, dados financeiros da empresas, etc.O acesso a utilitários, como editores, compiladores, softwares de manutenção, de monitoraçãoe diagnóstico deve ser restrito, já que estas ferramentas podem ser usadas para alterar arquivosde dados, aplicativos e arquivos de configuração do sistema operacional. Por exemplo: o sistemaoperacional é sempre um alvo bastante visado, pois a configuração é o ponto-chave de todo oesquema de segurança. A fragilidade do sistema operacional compromete a segurança de todo oconjunto de aplicativos, utilitários e arquivos.A falta de proteção adequada aos arquivos que armazenam as senhas pode comprometer todoo sistema, pois uma pessoa não-autorizada, ao obter uma userid (identificação) e a senha deum usuário privilegiado, pode, intencionalmente, causar danos ao sistema e dificilmente serábarrado por qualquer controle de segurança instalado, já que se faz passar por um usuárioautorizado.Os arquivos de log são usados para registrar as ações dos usuários, constituindo-se em ótimasfontes de informação para auditorias futuras e análise de quebras de segurança.Os logs registram quem acessou os recursos computacionais, aplicativos, arquivos de dados eutilitários, quando foi feito o acesso e que tipo de operações foram efetuadas.Se os arquivos de log não forem devidamente protegidos, um invasor poderá alterar seusregistros para encobrir ações por ele executadas, tais como, alteração ou destruição de dados,acesso a aplicativos de alteração da configuração do sistema operacional para facilitar futurasinvasões.98

Auditoria de Sistemas InformatizadosComo visualizar o controle de acesso lógico?O controle de acesso lógico pode ser visualizado a partir de doispontos diferentes:• do recurso computacional que se pretende proteger, e,• do usuário a quem se pretende dar certos privilégios eacessos aos recursos.A proteção aos recursos (arquivos, diretórios, equipamentos, etc.)baseia-se nas necessidades de acesso de cada usuário, enquantoque a identificação e autenticação do usuário (confirmação de queo usuário realmente é quem diz ser) são feitas normalmente porum userid e uma senha durante o processo de logon.Qual é o objetivo do controle de acesso lógico?Os controles de acesso lógico têm como objetivo garantir que:• apenas usuários autorizados tenham acesso aos recursos;• os usuários tenham acesso apenas aos recursos realmentenecessários para a execução de suas tarefas;• o acesso a recursos críticos seja bem monitorado e restritoa poucas pessoas;• os usuários sejam impedidos de executar transaçõesincompatíveis com sua função ou além de suasresponsabilidades.O controle de acesso pode ser traduzido, então, em termosde funções de identificação e autenticação de usuários;alocação, gerência e monitoramento de privilégios; limitação,monitoramento e cancelamento de acessos; e prevenção deacessos não-autorizados.Unidade 399

Universidade do Sul de Santa CatarinaAo finalizar os estudo de como realizar o controle de acessológico, veja na próxima seção como se procede com relação aocontrole de acesso físico.Seção 5 – Como executar os controles de acesso físico?A segurança física pode ser abordada de duas formas: segurançade acesso, que trata das medidas de proteção contra acesso físiconão-autorizado e segurança ambiental, que trata da prevenção dedanos por causas naturais.Os controles de acesso físico têm como objetivoproteger equipamentos e informações contrausuários não-autorizados, prevenindo o acesso a estesrecursos.Apenas as pessoas expressamente autorizadas pela gerênciapodem ter acesso físico aos sistemas de computadores. Asegurança de acesso físico deve basear-se em perímetrospredefinidos na vizinhança dos recursos computacionais,podendo ser explícita, como uma sala-cofre ou implícita, comoáreas de acesso restrito de acordo com a função desempenhada naorganização.Quais recursos físicos precisam ser protegidos?Os recursos a serem protegidos diretamente pelo controle deacesso físico são:• os equipamentos - servidores, estações de trabalho,CPUS, placas, vídeos, mouses, teclados, unidadesde disco, impressoras, scanners, modem, linhas decomunicação, roteadores, cabos elétricos, etc;• a documentação - sobre hardware e software, aplicativos,política de segurança;100

Auditoria de Sistemas Informatizados• os suprimentos - disquetes, fitas, formulários, papel; e• as próprias pessoas.A proteção física destes recursos constitui-se em uma barreiraadicional e anterior às medidas de segurança de acesso lógico.Portanto, pode-se até dizer que, indiretamente, os controlesde acesso físico também protegem os recursos lógicos, comoprogramas e dados.Quais são os controles físicos?Conheça, a seguir, quais são os controles físicos mais comuns:• Um dos controles administrativos mais comuns sãoos crachás de identificação, que podem distinguir umfuncionário de um visitante ou até mesmo categorizar osfuncionários a partir de cores ou números diferentes.O uso de crachás facilita o controle visual de circulaçãofeito pela equipe de vigilância.• Uma outra prática muito usada é a exigência dadevolução dos bens de propriedade da instituição quandoo funcionário é demitido. Ao serem desligados daorganização, os ex-funcionários normalmente devolvemequipamentos, documentos, livros e outros objetosque estavam sob sua guarda, inclusive chaves, cracháse outros meios de acesso físico. É recomendável queexistam procedimentos para identificar os demissionáriose garantir a restrição de acesso destes indivíduos aoprédio da organização. A partir da demissão, elesdeverão ser tratados como visitantes e não mais comofuncionários.Unidade 3101

Universidade do Sul de Santa Catarina• A entrada e saída de visitantes devem ser controladas porum documento de identificação diferenciado, registros(com data, horários de entrada e de saída) e, dependendodo grau de segurança necessário, acompanhamento até olocal de destino da visita.• Outro grupo de pessoas que merece uma atenção especialé a equipe de limpeza, manutenção e vigilância. Comoeste tipo de funcionário ou prestador de serviço trabalhafora do horário normal de expediente e geralmente temmaior liberdade para transitar pelo prédio, deve haverum controle especial sobre suas atividades ou áreas deacesso permitidas. Há vários casos de pessoas do serviçode limpeza ou vigias atuarem também como espiões ouladrões.• É aconselhável orientar os funcionários, dependendo dograu de segurança necessário em seu setor de trabalho,a não deixar os computadores sem qualquer supervisãode pessoa autorizada, por exemplo, durante o horário dealmoço ou quando se ausentarem de sua sala por tempoprolongado. Deve-se encorajar o bloqueio do tecladode documentos confidenciais, disquetes e laptops emarmários com chave, como medida preventiva.• É uma prática instituir o princípio de mesa limpa, isto é,o funcionário é instruído a deixar seu local de trabalhosempre limpo e organizado, guardando os documentosconfidenciais tão logo não precise mais deles. Emalgumas instituições, há uma equipe encarregada deverificar, esporadicamente, ao final do expediente, locaisde trabalho escolhidos de forma aleatória, em buscade documentos classificados como confidenciais. Seencontrados, estes documentos são reunidos e levados aogerente do funcionário, que tomará medidas, orientando,advertindo ou punindo o funcionário para que essaprática não volte a ocorrer.• Os controles explícitos são geralmente implementadospor meio de fechaduras ou cadeados, cujas chaves sãocriteriosamente controladas. Estas chaves podem seralgo que alguém possui ou sabe, como chaves comunsou códigos secretos. Os controles explícitos maisencontrados são:102

Auditoria de Sistemas Informatizados• fechaduras mecânicas ou cadeados comuns;• fechaduras codificadas acopladas a mecanismo elétricocom teclado para entrada do código secreto;• fechaduras eletrônicas cujas chaves são cartões comtarja magnética contendo o código secreto. Este tipode fechadura pode ser usado para registrar entrada esaída de pessoas e restringir acesso de acordo com anecessidade do usuário e o grau de segurança do localacessado. Pode ainda ser conectada a alarme silenciosoque ativa um outro dispositivo na sala de segurançapara indicar acesso indevido;• fechaduras biométricas programadas para reconhecercaracterísticas físicas dos usuários autorizados. Elaspodem ser projetadas para identificar formatos dasmãos, cabeças, impressões digitais, assinatura manual,conformação da retina e voz. Devido ao seu altocusto, são utilizadas somente em sistemas de altaconfidência;• câmeras de vídeo e alarmes, como controlespreventivos e de detecção;• guardas de segurança para verificar a identidade detodos que entram nos locais de acesso controlado oupatrulhar o prédio fora dos horários de expedientenormal.Terminado o estudo a respeito do controle de acesso lógicoe físico, veja na próxima seção como se executa os controlesambientais.Unidade 3103

Universidade do Sul de Santa CatarinaSeção 6 – Como realizar os controles ambientais?Você que está estudando auditoria de sistemas de informação,talvez esteja se perguntando se aqui cabe estudar controlesambientais, não é mesmo? Pois saiba que os controles ambientaisdevem constar da política de segurança da informação, pois estãodiretamente relacionados com a disponibilidade e integridade dossistemas computacionais.Os controles ambientais visam a proteger os recursoscomputacionais contra danos provocados por desastres naturais(incêndios, enchentes), por falhas na rede de fornecimento deenergia, ou no sistema de ar condicionado, por exemplo.Os controles associados a incêndios podem serpreventivos ou supressivos, isto é, procedimentos paraevitar incêndio ou combatê-lo de forma eficiente, casojá tenha ocorrido.As medidas preventivas muitas vezes são implementadas logo naconstrução do prédio, com o uso de material resistente à ação dofogo, dispositivos de detecção de fumaça ou calor e a instalaçãode pára-raios. Após a construção, durante o funcionamentonormal da organização, é aconselhável adotar políticas contra ofumo e de limpeza e conservação, mantendo as salas limpas, semacúmulo de papéis ou outros materiais de fácil combustão.A instituição deve estar preparada para suprimir ou minimizar osefeitos de um incêndio, caso ele aconteça. Para tanto, deve possuirmangueiras e/ou extintores de incêndio em número suficientee do tipo adequado, de acordo com as especificações técnicase instalar sistemas de combate ao fogo, segmentando as suasatuações por área ou zona. É imprescindível o treinamento dosfuncionários para utilizarem, de forma adequada, os dispositivosmanuais de combate a incêndios e a vistoria freqüente destesdispositivos para garantir seu perfeito funcionamento quando fornecessário.As equipes de bombeiros normalmente promovem treinamentosde combate e prevenção de acidentes, com demonstrações do104

Auditoria de Sistemas Informatizadosuso correto dos dispositivos contra incêndios e simulações com aparticipação dos treinados.Os controles associados a incêndios podem serpreventivos ou supressivos, isto é, procedimentos paraevitar incêndio ou combatê-lo de forma eficiente, casojá tenha ocorrido.Falhas ou flutuações no fornecimento de energia elétrica podemafetar consideravelmente a disponibilidade e a integridade dossistemas da organização. É necessário estabelecer controles queminimizem os efeitos de cortes, picos e flutuações de energiaatravés da instalação de dispositivos, tais como estabilizadores,no-breaks (equipamentos que mantêm as máquinas ligadasaté que seja restabelecido o fornecimento normal de energia),geradores alternativos (a diesel ou a gás) ou conexão a mais deuma subestação de distribuição de energia elétrica.Para evitar danificação dos equipamentos einstalações prediais por descargas elétricas naturais,instale pára-raios estabilizadores de energia e tenhacomo hábito desligar os equipamentos em caso defortes tempestades.Como os equipamentos eletrônicos não combinam com água,a primeira medida para prevenir danos é instalá-los em locaispouco suscetíveis e a este tipo de ameaça ambiental ou em locaisem que a presença de água seja facilmente detectada e contida.Para se defenderem contra danos provocados pela água, algumasempresas costumam instalar seus equipamentos nos andaresmais altos ou sobre suportes elevados. No entanto, esta medidapreventiva não é suficiente no caso de goteiras ou estouro doencanamento.Unidade 3105

Universidade do Sul de Santa CatarinaA maioria dos computadores necessita de umambiente controlado em termos de temperatura,umidade e ventilação para que possa operaradequadamente.Assim como as pessoas, os computadores preferem operar dentrode uma determinada faixa de temperatura (tipicamente entre 10 e32 °C). Um ambiente seco demais pode gerar eletricidade estáticae danificar os equipamentos. Por outro lado, em um ambienteúmido demais, pode ocorrer condensação nos circuitos dosequipamentos, provocando curtos.Para promover a ventilação necessária ao funcionamentoadequado dos equipamentos, não se deve vedar suas canaletas deventilação, nem dispô-los em ambientes muito apertados, quedificultem a circulação de ar. Já existem dispositivos que podemauxiliar no monitoramento do ambiente, registrando níveis deumidade e temperatura.As salas onde se encontram os computadores devem ser mantidaslimpas, livres de poeira ou fumaça e sem acúmulo de matérias defácil combustão, tais como papéis e copos plásticos.Agora que você finalizou a leitura desta unidade, para praticar osnovos conhecimentos, realize as atividades propostas a seguir.106

Auditoria de Sistemas InformatizadosAtividades de auto-avaliaçãoLeia com atenção os enunciados e realize as atividades:1) Qual é a função de uma análise de riscos?2) Basicamente, quais são os objetivos de uma política de segurança?Unidade 3107

Universidade do Sul de Santa Catarina3) O que são os controles aplicados em sistemas informatizados?Que tipos de controles podem ser aplicados em um ambienteinformatizado? Cite exemplos.Realize também as atividades propostas no EVA.Interaja com a sua comunidade de aprendizagem eamplie o seu ponto de vista.108

Auditoria de Sistemas InformatizadosSínteseVocê estudou que a informação e os processos de apoio, sistemase redes são importantes ativos para os negócios. O caráterconfidencial, a integridade e a disponibilidade da informaçãopodem ser essenciais para preservar a competitividade, ofaturamento, a lucratividade, o atendimento aos requisitos legais ea imagem da organização no mercado.Cada vez mais as organizações, seus sistemas de informação eredes de computadores são colocados à prova por diversos tiposde ameaças à segurança da informação de uma variedade defontes, incluindo fraudes eletrônicas, espionagem, sabotagem,vandalismo, fogo ou inundação. Problemas causados por vírus,hackers e ataques de denial of service estão se tornando cada vezmais comuns, mais ambiciosos e incrivelmente mais sofisticados.A dependência dos sistemas de informação e serviços significaque as organizações estão mais vulneráveis às ameaças desegurança. A interconexão de redes públicas e privadas e ocompartilhamento de recursos de informação aumentam adificuldade de se controlar o acesso. A tendência da computaçãodistribuída dificulta a implementação de um controle de acessocentralizado realmente eficiente.Muitos sistemas não foram projetados para serem seguros. Asegurança que pode ser alcançada por meios técnicos é limitada econvém que seja apoiada por gestão e procedimentos apropriados.A identificação de controles convenientes para implantaçãorequer planejamento cuidadoso e atenção aos detalhes. Agestão da segurança de informação necessita, pelo menos, daparticipação de todos os funcionários da organização. Podeser que seja necessária também a participação de fornecedores,clientes e acionistas, ou uma consultoria externa especializada.Na próxima unidade você estudará que além de uma política desegurança bem concisa, é necessário também que a corporaçãopossua um meio de garantir a continuidade de processos einformações vitais à sobrevivência da empresa através de umplano de contingência e continuidade de negócios.Até lá!Unidade 3109

Universidade do Sul de Santa CatarinaSaiba maisPara aprofundar as questões abordadas nesta unidade, realizepesquisa nos seguintes livros:• BOSWORTH, Seymor. E KABAY, M. E. ComputerSecurity Handbook. Wiley. 2002• NBR ISO/IEC 17799. Código de práticas para a gestãoda segurança da informação. ABNT, 2005.• ICOVE, David; Seger, Karl; VonStorch, William.Computer Crime. O`Reilly & Associates.110

UNIDADE 4Plano de contingência e decontinuidade de negócios4Objetivos de aprendizagemAo final desta unidade você terá subsídios para:• conceituar planos de contingência e de continuidade deserviços.• analisar qual o impacto causado por alguma ocorrênciainesperada.• conhecer e escolher corretamente os tipos mais usadosde contingência.• desenvolver um plano de contingência.Seções de estudoA seguir, apresentamos as seções para você estudar:Seção 1Seção 2Seção 3O que é plano de contingência e decontinuidade de negócios?Como realizar a análise de impacto?Quais são as estratégias de contingência?Seção 4 Como desenvolver um plano decontingência?Após a leitura dos conteúdos, realize as atividades deauto-avaliação propostas no final da unidade e no EVA.

Universidade do Sul de Santa CatarinaPara início de estudoO ataque ao World Trade Center em Nova Iorque, em setembrode 2001, expôs à críticas uma atividade que pode determinar ofuturo de muitas organizações.Independente das conseqüências locais, a economia mundialfoi afetada pelo ataque, determinando uma mudança nocomportamento empresarial, destacando a possibilidade deminimizar impactos decorrentes de desastres que impossibilitemsuas instalações, afetando suas atividades, seu perfil econômico eseu mercado de atuação.A questão conseqüente foi o levantamento/identificação deplanos, quando existiam, para prevenção e recuperação dasatividades, bem como a reavaliação quanto à exposição a riscos eseus impactos.Em decorrência destes fatos, foi observada uma busca porferramentas, profissionais, instalações, entre outros que,teoricamente, proporcionariam uma “garantia” operacionale a tranqüilidade desejada. Não é tão simples assim, mesmoutilizando o exemplo do World Trade Center, verificamos quemuitas organizações que planejaram mal sofreram conseqüênciasindesejáveis, permanecendo impossibilitadas de retomar a suasoperações.Da mesma forma que com nossos bens particulares buscamosseguros confiáveis e reconhecidos, torna-se necessário aplicar omesmo conceito para as organizações. Utilizando metodologia,recursos e instalações adequadas será possível a continuidadeoperacional em caso de desastre, proporcionando a continuidadedos negócios.Existem metodologias, ferramentas e procedimentos que devemser observados nas atividades relativas à recuperação de desastres,onde, entidades e institutos mantêm programas de treinamento,qualificação e certificação de profissionais, com normas técnicasdescritas, instalações e equipamentos providos de característicastécnicas favorecendo a missão de disaster recovery.112

Auditoria de Sistemas InformatizadosAssim, nesta unidade, você vai estudar como são estabelecidasestas atividades, ou seja, como funciona um plano decontingência e de continuidade de negócios.Seção 1 - O que é plano de contingência e decontinuidade de negócios?Você já sabe que muitas organizações nãoseriam capazes de sobreviver no atual mercadocompetitivo sem seus sistemas de informações,que os ajudam a escolher estratégias.O fato de uma empresa ficar “refém” doscomputadores deve ser discutido com a classeexecutiva da empresa, pois se houver alguma falhadestes computadores ou dos dados que estão neles, podesignificar perdas financeiras ou até mesmo perda de participaçãode mercado.Devido às vulnerabilidades existentes no ambientecomputacional é imprescindível traçar um plano derecuperação em caso de desastres, como o famoso“quebre o vidro em caso de incêndio!”Os bancos são as organizações que há tempos se preocupam como contingenciamento de seu ambiente de TI, o que é facilmenteexplicado, porque se houver perda de informações de clienteou até mesmo se o cliente não conseguir fazer uma operaçãobancária, isto pode significar perda de credibilidade e porconseqüência, a perda do cliente.As empresas européias e americanas, depois de vários incidentes,passaram a olhar com outros olhos a questão de planos decontingência.Unidade 4113

Universidade do Sul de Santa CatarinaVocê sabia?O ataque terrorista ao World Trade Center em 11 desetembro de 2001, teve impacto significativo nosmercados dos Estados Unidos e mundial. A Bolsa deValores de Nova Iorque, o American Stock Exchangee a NASDAQ não abriram em 11 de Setembro epermaneceram fechadas até 17 de Setembro. Asinstalações e centros de processamento de dadosremotos da Bolsa de Valores de Nova Iorque (NYSE)mais as empresas participantes, consumidores emercados, foram incapazes de se comunicaremdevido aos danos ocorridos à instalação dechaveamento telefônico próxima ao World TradeCenter. Quando os mercados de ações reabriram em17 de setembro de 2001, após o maior período defechamento desde a Grande Depressão em 1993,o índice do mercado de ações Dow Jones IndustrialAverage (“DJIA”) caiu 684 pontos ou 7,1%, passandopara 8920 pontos, sua maior queda em um único dia.No fim da semana, o DJIA tinha caído 1369,7 pontos(14,3%), sua maior queda em uma semana na história.O mercado de ações americano perdeu 1,2 trilhão dedólares em valor em uma semana (Fonte: Wikipedia).As organizações brasileiras precisam atentar para esses tiposde situação. Apesar do nosso país não sofrer com atentadosterroristas, sofremos com incêndios, falta de luz, enchentes,roubos, sabotagens, sistema de UPS com problemas defabricação, entre outros.Por exemplo, numa companhia geradora de energiaelétrica, se um tranformador queimar, outro iráassumir o seu papel. Isso na maior parte das vezes étransparente para o usuário final.Da mesma forma, os sistemas de informações das empresasdevem estar preparados para qualquer imprevisto, sem dano ouperda para o usuário final.Normalmente quando se fala em planos de contingência, o quese encontra é recuperação de desastres para situações drásticas.Outras falhas, como problemas de link, fontes redundantes, etc.são esquecidos.114

Auditoria de Sistemas InformatizadosA organização deve listar todos os recursos de informáticaexistentes, analisar qual será a perda, caso os recursos estejamfora do ar e investir de forma a garantir a disponibilidade dosserviços e a integridade das informações.Mas antes de você conhecer a concepção do plano decontingência, é importante definir alguns aspectos, tais comoorçamento, prazos, recursos - sejam eles humanos ou materiais- responsabilidades da equipe e a escolha de alguém para ser ocoordenador do planejamento de contingências.O plano de continuidade de negócios é deresponsabilidade da classe executiva da empresa.Os auditores internos e externos podem auxiliar a escrever oplano, porém cabe à gerência ou diretoria, garantir sua eficiênciapara que não haja perdas financeiras ou outras situaçõesconstrangedoras para a empresa, como interrupção de transaçõespela indisponibilidade de serviços.Antes de tudo, deve existir um estudo prévio onde serãoidentificadas todas as funções críticas do negócio, os sistemasenvolvidos, pessoas responsáveis e usuários. O resultado sãoinformações que servem de base para que seja feita a análise deimpacto que será estudada na próxima seção.A partir daí, já se tem uma idéia do que será o plano inicial,contendo a relação de funções, sistemas e recursos críticos,estimativa de custos, prazos e recursos humanos necessários paraa realização da análise de impacto.Unidade 4115

Universidade do Sul de Santa CatarinaSeção 2 – Como realizar a análise de impacto?Existe um ditado popular que diz “Não existe almoçográtis!”. E se você parar para pensar nesta frase, iráperceber que ela tem um fundo de verdade porquesempre tem alguém que pagará a conta. Então,responda a seguinte pergunta: qual é o valor daconta da segurança da sua empresa?Conheça, então, as etapas de elaboração do plano decontinuidade.Conhecido mundialmente pela sigla BIA – Business ImpactAnalysis, esta primeira etapa do plano de contingênciasé fundamental, pois fornece informações para o perfeitodimensionamento das demais fases de sua construção.Basicamente, o objetivo desta etapa é levantar o grau derelevância entre os processos ou atividades que são inclusas noescopo da contingência para continuidade do negócio.Tabela 4.1 – Função entre os processos de negócio versus escala de criticidadeEscala Processo de negócio PN1 PN2 PN3 PN4 PN51 Não-considerável x2 Relevante x3 Importante x4 Crítico x5 Vital xDe posse dos resultados desta análise, já se possui condições dedefinir prioridades no que diz respeito a alocar recursos conformeo orçamento, de saber os níveis de tolerância e a probabilidadede acontecerem algumas falhas , e desta forma, construir umafotografia de criticidade dos processos.Continuando esta análise, considere agora as possíveis ameaçase relacione-as com a tolerância, adquirida através da relação doprocesso de negócio com o seu senso crítico. Neste processo,você teria:116

Auditoria de Sistemas InformatizadosTabela 4.2 – Relação entre processos de negócio / ameaças / tolerânciaAmeaçasTolerânciaIncêndio Greve Falta de luz Ataque de D.O.S. SabotagemPN1 X X X 48hPN2 X 5hPN3 X X X X 24hPN415 minPN5 X X X 0Com a Tabela 4.2, você tem uma noção mais completa dasituação, do sinistro que se está esperando, ao passo que se sabeo quanto é preciso investir por causa da sua tolerância.O relatório da análise de impacto deve identificar os recursos,sistemas e funções críticas para a organização e classificá-los emordem de importância. Em seguida, deve descrever, em cada um,que tipo de ameaça poderá ocorrer e qual é o dano que ela causa aesta vulnerabilidade.Seção 3 – Quais são as estratégias de contingência?Usualmente as organizações para garantir a continuidade dosnegócios utilizam as seguintes estratégias de contingência :Hot-site; Warm-site; Relocação de operação; Bureau de serviços;Acordo de reciprocidade; Cold-site; Auto-suficiência; Plano deadministração de crise; Plano de continuidade operacional. Aseguir, veja do que trata cada uma. Acompanhe com atenção.a) Hot-siteRecebe este nome por ser uma estratégia pronta para entrar emação assim que algum sinistro ocorrer. Mais uma vez, o tempode operacionalização desta estratégia está diretamente ligado aotempo de tolerância às falhas do objeto.Unidade 4117

Universidade do Sul de Santa CatarinaPor exemplo: no caso de um banco de dados,consideram-se milésimos de segundos de tolerânciapara garantir a disponibilidade do serviço mantidopelo equipamento.b) Warm-siteEsta estratégia se aplica a objetos com maior tolerância àparalisação, os quais podem se sujeitar à indisponibilidade pormais tempo, ou seja, até o retorno operacional da atividade.Como exemplo, temos o serviço de e-mail dependente deuma conexão de comunicação. Veja que o processo de envioe recebimento de mensagens é mais tolerante que o exemplousado na primeira estratégia, pois poderia ficar indisponívelpor minutos, sem, no entanto, comprometer o serviço ou gerarimpactos significativos, apesar de que para algumas empresas, oe-mail é considerado um serviço altamente essencial.c) Relocação de operaçãoEsta estratégia objetiva desviar a atividade atingida pelo sinistropara outro ambiente físico, equipamento ou link, pertencentes amesma empresa. Ela só é possível com a existência de “folgas” derecursos que podem ser alocados em situações de desastre. Umexemplo disto é o redirecionamento do tráfego de dados de umroteador ou servidor com problemas para outro que possua maisrecursos.d) Bureau de serviçosNesta estratégia, considera-se a possibilidade de transferir aoperacionalização da atividade atingida para um ambienteterceirizado, isto é, fora dos domínios da empresa. O seuuso é restrito a poucas situações por requerer um tempo detolerância maior, em função do tempo de reativação operacionalda atividade. Informações manuseadas por terceiros requeremuma atenção redobrada na adoção de procedimentos, critériose mecanismos de controle que garantam condições desegurança adequadas à relevância e senso crítico da atividade decontingência.118

Auditoria de Sistemas Informatizadose) Acordo de reciprocidadeEsta estratégia é bastante conveniente quando os investimentosnecessários na falta de uma infra-estrutura de segurançaadequada, pois nada mais é do que um acordo entre duasempresas que possuem um ambiente de TI que exija a possívelrelocação de serviços, mas que não disponham de recursosfinanceiros para contratar uma empresa especializada no assunto.Da mesma forma do bureau de serviços, é preciso ter cuidado nahora de expor as informações da sua empresa para outra, poiso risco existe e é grande. Este tipo de acordo é comum entreempresas de áreas diferentes e não concorrentes.f) Cold-siteSeguindo os modelos de classificação citados anteriormente,Hot-site e Warm-site, o Cold-site propõe uma alternativa debaixo custo para ambientes de TI, ou seja, pouco budgetpara investimentos na área de continuidade de negócios. Noentanto, exige uma tolerância alta, pois o mesmo não suportaalta disponibilidade. Um exemplo deste modelo é um “ghost”de um HD de um servidor de Active Directory. Supondo que oHD do servidor principal queimou, coloca-se o HD cold parafuncionar, e ao invés de ler, faz-se a restauração dos dados. Esteé um procedimento de resultados duvidosos, porém, de baixocusto.g) Auto-suficiênciaEste caso ocorre quando nenhuma outra estratégia é aplicável,pois prevê aproximadamente 100% de disponibilidade,integridade e caráter confidencial dos dados. Seria o ideal paraqualquer empresa, porém é necessário se fazer o cálculo paramedir o quanto se perde, caso a informação não esteja disponível.h) Plano de administração de criseEste plano é um tutorial que define todos os passos,procedimentos, equipes responsáveis que serão acionadas, comoeste acionamento é feito, o que se deve fazer para que a situaçãovolte a operação normal.Unidade 4119

Universidade do Sul de Santa CatarinaComunicação impressa para classe operacional da empresa,distribuída entre órgãos e departamentos são aspectos de umtípico plano de administração de crise.i) Plano de continuidade operacionalÉ neste documento que você irá relatar o passo-a-passo para ocontingenciamento das informações com o intuito de reduzir odown-time, isto é, o tempo de parada. Ele deve conter ações aserem executadas no caso de uma queda de energia, por exemplo.Uma vez conhecidas as estratégias para elaborar um plano decontingência, acompanhe, na próxima seção, o desenvolvimentodeste plano.Seção 4 – Como desenvolver um plano decontingência?A norma ISO 17799:1- 2005 recomenda que o plano sejadesenvolvido e implementado para a manutenção ou recuperaçãodas operações e para assegurar a disponibilidade da informaçãono nível requerido e na escala de tempo requerida, após aocorrência de interrupções ou falhas dos processos críticos donegócio.O que é recomendável considerar em um plano decontigência?É recomendável que o processo de planejamento da continuidadedos negócios considere os seguintes itens:• a) identificação e concordância de todas asresponsabilidades e procedimentos da continuidade donegócio;• b) identificação da perda aceitável de informações eserviços;120

Auditoria de Sistemas Informatizados• c) implementação dos procedimentos que permitam arecuperação e restauração das operações do negócio e dadisponibilidade da informação nos prazos necessários.A avaliação de dependências externas ao negócio e decontratos existentes merece atenção especial;• d) procedimentos operacionais para seguir conclusãopendente de recuperação e restauração;• e) documentação dos processos e procedimentosacordados;• f) educação adequada de pessoas quanto aosprocedimentos e processos definidos, incluindo ogerenciamento de crise;• g) teste e atualização dos planos.É preciso identificar os serviços e recursos que facilitam odesenvolvimento do plano, prevendo a contemplação de pessoal,recursos em geral, além da tecnologia de informação, assim comoo procedimento de recuperação dos recursos de processamentodas informações. Tais procedimentos de recuperação, podemincluir procedimentos com terceiros na forma de um acordo dereciprocidade ou um contrato de prestação de serviços.Que informações devem ser contempladas no planode continuidade?O plano de continuidade do negócio deve tratar dasvulnerabilidades da organização, especificamente dasinformações sensíveis que necessitem de proteção adequada.• Convém que cópias do plano de continuidade do negóciosejam guardadas em um ambiente remoto, distantesuficientemente para escapar de qualquer dano no localprincipal.Unidade 4121

Universidade do Sul de Santa Catarina• A administração deve garantir que as cópias dos planosde continuidade do negócio estejam atualizadas eprotegidas com o mesmo nível de segurança do ambienteprincipal.• A direção deve garantir que as cópias dos planos decontinuidade do negócio estejam atualizadas e protegidascom o mesmo nível de segurança do ambiente principal.• Outros materiais necessários para a execução doplano de continuidade do negócio também devem serarmazenados em local remoto.• Convém que uma estrutura básica dos planos decontinuidade do negócio seja mantida para assegurar queeles sejam consistentes, para contemplar os requisitos desegurança da informação e para identificar prioridadespara testes e manutenção.• Cada plano de continuidade do negócio deve descrevero enfoque para continuidade, por exemplo, assegurar adisponibilidade e segurança do sistema de informação ouda informação.• Cada plano de continuidade do negócio deve especificaro plano de escalonamento e as condições para suaativação, assim como as responsabilidades individuaispara execução de cada uma de suas atividades. Quandonovos requisitos são identificados, é importante queos procedimentos de emergência relacionados sejamajustados de forma apropriada, por exemplo, o plano deabandono ou o procedimento de recuperação.• Convém que os procedimentos do programa de gestão demudança da organização sejam incluídos para assegurarque os assuntos de continuidade de negócios estejamsempre direcionados adequadamente.• Cada plano deve possuir uma pessoa responsável emseparado. Procedimentos de emergência, de recuperação,manual de planejamento e planos de reativação deveser de responsabilidade dos gestores dos recursos denegócios ou dos processos envolvidos. Procedimentosde recuperação para serviços técnicos alternativos, como122

Auditoria de Sistemas Informatizadosprocessamento de informação e meios de comunicação,normalmente deveriam ser de responsabilidade dosprovedores de serviços.Basicamente, o desenvolvimento de um bom plano decontinuidade de negócios consiste em detalhar dez aspectos quesão primordiais: administração do projeto, análise de riscos,análise de impacto, estratégia de continuidade de negócios,respostas e operações de emergência, desenvolvimento do plano,treinamento, manutenção, administração da crise e parcerias.Acompanhe, no decorrer dos seus estudos, detalhes de cada umdos aspectos citados para que fiquem claros todos os componentesde um plano de contingência e continuidade de negócios. Nafigura 4.1, você encontra um diagrama que ilustra o que foiabordado até aqui.Unidade 4123

Universidade do Sul de Santa CatarinaFigura 4.1 – Diagrama de Fluxo de um projeto de plano de ContingênciaFonte: Marinho (2003).124

Auditoria de Sistemas InformatizadosAcompanhe agora, as descrições de cada fase da elaboração doplano de contingência e continuidade de negócios.a) Início e administração do projetoNesta primeira fase é definido o escopo de atuação do planode continuidade de negócios. Isto inclui: procurar apoio, senecessário, definir o gerenciamento do projeto, e organizaro plano de acordo com os limites de recursos temporais efinanceiros.A pessoa que recebe a incumbência desta tarefa, deve atingir osseguintes objetivos:• auxiliar o patrocinador do projeto, que normalmenteé uma pessoa da camada executiva da empresa, nadefinição de objetivos e políticas, analisar os fatores desucesso, os requisitos, casos que já ocorreram e aderênciaàs normas;• coordenar e gerenciar o projeto do plano de continuidadede negócios, através da convocação de uma equipeoperacional, esclarecendo alguns pontos como adiferença entre recuperação de desastres e continuidadede negócios, resposta a crises e o seu gerenciamento,reduzir ao máximo possível a ocorrência de eventos;• supervisionar o projeto por meio de ferramentas decontrole e o gerenciamento de mudanças;• apresentar e defender o projeto junto aos funcionários daorganização;• desenvolver o plano do projeto e orçar seus custos;• definir a equipe de projeto e a delegação deresponsabilidades, bem como o gerenciamento doprojeto.Unidade 4125

Universidade do Sul de Santa Catarinab) Análise e controle de riscosAs atividades relacionadas com a análise de risco envolvemas possibilidades de ocorrência de qualquer sinistro dentro deuma organização. É através delas que se sabe o quanto estãovulneráveis os ativos de informação da corporação.Nesta fase, são determinados os possíveis danos relacionados comcada evento e quais as ações a serem tomadas para prevenir ereduzir os efeitos de algum desastre. Aqui, é importante tambémuma análise sobre o retorno de investimento para ajudar na vendado projeto para a camada executiva.O responsável por esta fase deve atingir as seguintes metas:• conceber a função da redução, através da organização;• identificar potenciais riscos para a organização;• identificar a exigência de suporte técnico;• identificar vulnerabilidades, ameaças e exposições;• identificar as alternativas de redução dos riscos;• identificar a consistência das fontes de informação(trabalhar sempre com os dados mais precisos possíveis);• interagir com a classe executiva da empresa para adefinição de níveis aceitáveis de risco;• documentar todos os passos.c) Análise de impactoNesta etapa, também conhecida como B.I.A. - Business ImpactAnalyisis, ou seja, Análise de impacto aos negócios, é onde serãoidentificados, avaliados e relatados os impactos resultantes dossinistros ocorridos. Além disto, será definida o senso críticodos processos de negócios e as prioridades de recuperaçãoe relacionamento entre elas com a finalidade de verificar adependência entre um serviço e outro. Com isto, o prazo pararestabelecimento dos sistemas de informação se dará de acordocom o planejado.126

Auditoria de Sistemas InformatizadosAs principais tarefas desta fase são:• identificação de eventos que podemocasionar a interrupção de serviços;• avaliação de risco para determinaçãodo impacto;• plano estratégico para se determinar acontinuidade de negócios.Para realizar tais tarefas, o responsável porela deverá atingir os seguintes objetivosespecíficos:• identificar todos os processos de negócios da corporação;• identificar os responsáveis por cada processo;• definir e verificar os critérios de senso crítico: criticidade;• auxiliar a camada executiva na definição de critérios paraa análise;• identificar o relacionamento entre os processos;• definir objetivos, janelas para recuperação de desastres,incluindo os tempos de recuperação, as perdas previstas eas prioridades;• identificar os recursos necessários para a análise;• avaliar junto à classe executiva da empresa os custos deinterrupção de negócios;• preparar e apresentar o relatório de análise de impacto.Durante a etapa de análise de impacto, você precisa ter cuidadona hora de verificar as vantagens e desvantagens qualitativas equantitativas.Uma avaliação quantitativa fornece uma medida da magnitudedos impactos, que poderá ser utilizada para a avaliação do custobenefíciodos controles de segurança.Lembre-se que, uma medida quantitativa mal formulada resultana falta de precisão no seu resultado.Unidade 4127

Universidade do Sul de Santa CatarinaPor sua vez, a avaliação qualitativa prioriza os riscos e identificaáreas para melhorias imediatas. É interessante ressaltar queesta medida não fornece dados para mensurar a magnitude deimpactos.A tabela 4.3 apresenta as categorias de impactos que podem serutilizadas para a medição quantitativa deles.Tabela 4.3 - Níveis de impacto e sua descriçãoNívelAltoMédioBaixoDescrição• Perda significante dos principais ativos e recursos • Perda da reputação, imagem ecredibilidade • Impossibilidade de continuar com as atividades de negócio.• Perda dos principais ativos e recursos • Perda da reputação, imagem e credibilidade.• Perda de alguns dos principais ativos e recursos • Perda da reputação, imagem e credibilidade.Fonte: Ferreira (2003).d) Estratégias de continuidade de negóciosEsta é a fase onde são definidas as estratégias operacionais para arecuperação dos processos e dos componentes de negócios dentrodo prazo de recuperação estipulado.Para que estas estratégias sejam realmente efetivas, uma boapolítica é dividi-las em dois planos distintos:• um plano de recuperação de desastres, que seria oresponsável pelas atividades relacionadas à recuperaçãoou substituição de componentes que falharam; e,• um plano de contingência, que seria o responsável pelasatividades dos processos de negócios.A pessoa responsável por estas atividades deverá atingir osseguintes objetivos específicos:128

Auditoria de Sistemas Informatizados• identificar e analisar as possíveis alternativas para acontinuidade de negócios disponíveis - esta análise deveconter vantagens e desvantagens, custos e recursos paraauxiliar na tomada de decisão;• identificar estratégias de recuperação compatíveis comas áreas funcionais do negócio porque cada processo denegócios possui suas peculiaridades. Portanto, o planodeverá contemplar estas personalizações;• consolidar estratégias, reduzindo o risco de congelar oprocesso, pois na ocorrência de um sinistro a agilidade éuma característica a ser lembrada; e,• obter o comprometimento da classe executiva daempresa.Agora conheça um pouco mais cada um dos dois planos.• Plano de recuperação de desastres – fornece maneirasde restaurar de forma rápida os sistemas de informação,nas situações de interrupções não-programadas. Alémdisso, deve contemplar os impactos de uma paralisaçãoe o tempo máximo aceitável de parada. Como exemplos,você pode considerar: backup, localidades alternativas, areposição de equipamentos e regras e responsabilidades aserem seguidas pela equipe em situações de emergência.• Plano de contingência – consiste em procedimentos derecuperação preestabelecidos para minimizar o impactosobre as atividades da organização no caso de ocorrênciade um dano ou desastre e que os procedimentos desegurança não conseguiram evitar. Para que o planoseja realmente efetivo, é imprescindível que as regras eresponsabilidades estejam bem explícitas e detalhadaspara as equipes, assim como os procedimentosrelacionados com a recuperação de um ambienteinformatizado vítima de um sinistro.Unidade 4129

Universidade do Sul de Santa Catarinae) Respostas e operações de emergênciaNesta etapa, são desenvolvidos e implementados procedimentosde resposta e estabilização de situações atingidas por umincidente ou evento, incluindo a criação e a especificação denormas para o gerenciamento de um centro operacional deemergência utilizado como central de comando durante umacrise.O profissional responsável por esta etapa deverá atingir osseguintes objetivos específicos:• identificar os tipos potenciais de emergências e asrespostas necessárias (por exemplo: incêndio, inundação,greves etc.);• verificar a existência de procedimentos de respostaapropriados às emergências;• recomendar o desenvolvimento de procedimentos deemergência quando não existam;• identificar os requisitos de comando e controle paragerenciamento de emergências;• sugerir a elaboração de procedimentos de comandoe controle para definir o papel das autoridades e osprocessos de comunicação para o gerenciamento dasemergências;• assegurar que os procedimentos de resposta aemergências estejam integrados com os procedimentos deórgãos públicos.Por exemplo: assegurar que o tempo que você relatoupara um link dedicado volte a funcionar possuindouma determinada proporção com o tempo que aoperadora telefônica passa para a resolução dessetipo de problema.O Plano de resposta emergencial deve ter início no momentoT-2 até o momento T+1, ou seja, o tempo disponível paraa realização dos procedimentos se dará em função daantecedência do alarme de desastre até a duração do desastrepropriamente dito.130

Auditoria de Sistemas InformatizadosA figura 4.2, a seguir, ilustra o fluxograma da estratégia de umplano de resposta emergencial.Figura 4.2 - Fluxograma da estratégia de um plano de resposta emergencialFonte: Saldanha (2000).Unidade 4131

Universidade do Sul de Santa Catarinaf) Desenvolvimento do planoNesta fase, os componentes, até então elaborados e planejados,serão integrados em um plano de continuidade de negócios, afim de permitir o atendimento às janelas de recuperação doscomponentes e dos processos da corporação.De acordo com a norma ISO 17799:1, o PCN deve serdesenvolvido para a manutenção ou recuperação das operaçõesdo negócio, na escala de tempo requerida, após a ocorrênciade interrupções ou falhas dos processos críticos. Para isto,recomenda-se que o processo de planejamento da continuidadedo negócio considere os seguintes itens:• identificação e concordância de todas asresponsabilidades e procedimentos de emergência;• implementação dos procedimentos de emergênciaque permitam a recuperação e restauração nos prazosnecessários. Atenção especial deve ser dada à avaliaçãode dependências externas ao negócio e de contratosexistentes;• documentação dos processos e procedimentos acordados;• treinamento adequado do pessoal nos procedimentose processos de emergência definidos, incluindo ogerenciamento da crise;• teste e atualização dos planos.O processo de planejamento deve focalizar os objetivosrequeridos do negócio, como por exemplo, a recuperação dedeterminados serviços específicos para os clientes, em umperíodo de tempo aceitável.É importante que o plano especifique claramenteas condições de sua ativação, assim como asresponsabilidades individuais para a execução decada uma das atividades.132

Auditoria de Sistemas InformatizadosQuando novos requisitos são identificados, é imprescindível queos procedimentos de emergência relacionados sejam atualizadosde forma apropriada, permitindo, desta forma, sua execução comsucesso.O responsável por esta fase deverá atingir os seguintes objetivosespecíficos:• identificar os componentes de planejamento dosprocessos;• planejar a metodologia;• organizar o plano;• dirigir as responsabilidades;• definir as pessoas envolvidas;• controlar o processo de planejamento e produzir o plano;• implementar o plano;• testar o plano;• definir a manutenção do plano.g) TreinamentoO processo de treinamento das equipes começa com adistribuição do plano para cada um dos seus componentes,sendo que cada parte do plano deve ser encaminhada para oresponsável por ela, acompanhada da visão geral do plano e davisão geral da sua equipe. Telefones de emergência, dos demaismembros da equipe e de fornecedores também devem fazer partedo conjunto de instruções básicas.Durante a contingência, os membros de cada equipe não estarãonecessariamente desempenhando os mesmos papéis de seuscotidianos. Desta forma, é necessário que os membros sejampessoas aptas e preparadas para desempenhar satisfatoriamenteas funções e executar a contento as atividades que lhes couberem.O objetivo do treinamento, por sua vez, é familiarizar osparticipantes com o plano e suas atribuições.Unidade 4133

Universidade do Sul de Santa CatarinaAlém do treinamento, é bastante interessante vender a idéiade continuidade de negócios para a equipe e colaboradoresda organização, ou seja, a adoção de um programa deconscientização para ressaltar a importância das medidaspreventivas e dos procedimentos de garantia de continuidade.Este programa deve utilizar todas as mídias de comunicaçãoexistentes na organização e possuir como meta a manutenção donível de conscientização permanentemente elevado.Algumas ações que podem ser utilizadas para manter aconscientização em alta são:• distribuir artigos sobre desastres operacionais, segurançae planos de continuidade;• produzir e divulgar um vídeo apresentando o plano, suarazão de existir e seu escopo;• publicar o material na intranet;• promover palestras;• mandar periodicamente matérias para as listas de e-mail;• incluir os fornecedores entre o público a serconscientizado;• cobrar dos fornecedores a implementação de um SLA- Service Level Agreements (Acordo de garantia de nívelde serviços).h) ManutençãoNesta fase, como o próprio nome diz, faz-se um pré-plano paragerenciar os exercícios do plano de continuidade de negócios,avaliando os resultados obtidos. Além disso, serão desenvolvidosprocessos para a manutenção das variáveis dos planos de acordocom os objetivos estratégicos da empresa.É importante que o plano de continuidade de negócios sejamantido por meio de análises críticas regulares e atualizações,de forma a assegurar a sua contínua efetividade, pois um planosem atualização é análogo a um administrador de redes que faz134

Auditoria de Sistemas Informatizadosregularmente o backup de dados, porém não faz periodicamentetestes de restauração destes mesmos dados. Segurança não éproduto, nem um projeto, é um processo.Alguns exemplos que podem demandar atualizações no planoincluem a aquisição de um novo equipamento, atualizações dossistemas operacionais ou ainda alterações de pessoal ou númerostelefônicos, mudanças na estratégia de negócios, legislação, ou atémesmo mudança de prestadores de serviço.O responsável por esta fase deverá atingir os seguintes objetivosespecíficos:• preparar o planejamento dos exercícios;• gerenciar os exercícios;• implementar o exercício das atividades dos planos;• documentar e avaliar os resultados;• atualizar e adequar os planos;• reportar os resultados e a avaliação dos exercícios aosgestores;• assimilar as diretivas estratégicas do negócio.i) Administração da criseEste documento tem o propósito de definir detalhadamente ofuncionamento das equipes envolvidas com o acionamento dacontingência antes, durante e depois da ocorrência do incidente.Nesta etapa, encontra-se o desenvolvimento, coordenação,avaliação e exercício do manuseio de mídias e documentosdurante a ocorrência de um desastre, bem como os possíveismeios de comunicação que minimizem atritos entre acorporação, seus funcionários e suas famílias, clientes-chave,fornecedores, investidores e gestores corporativos.Através dos procedimentos desta etapa, será possível assegurar ofornecimento de informações para todos os investidores, por meiode uma fonte única e constantemente atualizada.Unidade 4135

Universidade do Sul de Santa CatarinaO profissional responsável por esta etapa deverá atingir osseguintes objetivos:• estabelecer programas de relações públicas para ogerenciamento proativo de crises;• estabelecer a necessária coordenação de crises comagências externas;• estabelecer a comunicação essencial de crise com gruposde investidores relevantes, colaboradores, fornecedorese clientes, ou seja, o que cada uma destas pessoas devesaber.j) ParceriasPor fim, esta é a fase onde serão estabelecidos os procedimentose respostas necessárias para as atividades de continuidade erestauração de negócios, com o auxílio de parcerias, sejam elaspúblicas ou privadas.• Em caso de autoridades públicas estes serão estabelecidospara o atendimento de normas e leis;• no caso de entidades privadas, quando estascompartilham interesses comuns; ou• de terceiros contratados para a execução de tarefase serviços devido à especialização de sua estrutura eobjetivo de negócio para limitação de responsabilidades efunções.O profissional responsável por esta etapa deverá atingir osseguintes objetivos:• coordenar preparativos de emergência, resposta,recuperação, retomada e procedimentos de restauraçãocom o apoio de órgãos públicos;• estabelecer procedimentos de acordos e contratos durantesituações de crise, emergência ou desastre;• manter atualizado o conhecimento entre parceiros.136

Auditoria de Sistemas InformatizadosFinalizada a leitura dos conteúdos desta unidade, para praticar osnovos conhecimentos, realize as atividades propostas a seguir:Atividades de auto-avaliaçãoLeia com atenção os enunciados e realize as atividades:1) Qual é a função de uma análise de impacto?2) O que leva um C.I.O. a escolher uma estratégia de contingênciachamada “Cold Site” ao invés da estratégia “Hot Site”?Unidade 4137

Universidade do Sul de Santa Catarina3) Por que a manutenção de um plano de continuidade de negócios éimportante?Realize também as atividades propostas no EVA -Espaço UnisulVirtual de Aprendizagem. Interaja com asua comunidade de aprendizagem e amplie seu pontode vista.138

Auditoria de Sistemas InformatizadosSínteseO principal objetivo de um plano de continuidade de negócios(BCP – Business Continuity Plan) é garantir a operação daempresa em situações de contingência com o mínimo impactoaos clientes. No atentado de 11 de setembro de 2001 às TorresGêmeas do World Trade Center de Nova Iorque, as empresasque tinham BCPs bem estruturados reiniciaram suas operaçõespoucas horas depois do atentado terrorista.Algumas empresas subestimam os riscos de um desastre e nãoinvestem em BCPs. Os planos de continuidade de negóciospodem ser classificados em dois tipos: os planos de continuidadedas áreas de negócios e os planos de recuperação de desastres(DRP – Disaster Recovery Plan) do Centro de Processamento deDados.Em muitos casos, as áreas de negócios das empresas dependemfortemente do processamento de dados para suas atividadese sua paralisação pára o negócio da empresa. Um exemplofoi a paralisação do serviço de e-mail do provedor de internetTerra por dois dias devido a um problema no subsistema dearmazenamento de dados, em abril de 2003. O portal Terra teveque abonar dois dias da mensalidade dos seus 800 mil assinantescom um prejuízo de mais de R$400 mil.Nesta unidade você viu o que é um plano de negócios, seuscomponentes e suas características. Viu também, com detalhes,os componentes que formam o desenvolvimento de um plano decontinuidade de negócios.Na próxima unidade, você verá que uma auditoria tradicionalenvolve a revisão do histórico financeiro da empresa com ointuito de validar a exatidão e a integridade das declaraçõesfinanceiras. O controle interno representa uma metodologiaprimária usada pela classe executiva da organização paraassegurar a proteção dos ativos e a disponibilidade da informação.A próxima unidade irá abranger aspectos voltados para averificação de controles gerais da organização, sua infra-estruturade informática e segurança de informações. Até lá!Unidade 4139

Universidade do Sul de Santa CatarinaSaiba maisPara aprofundar as questões abordadas nesta unidade você poderápesquisar os seguintes livros:• CARUSO, Carlos A. A. e STEFFEN, Flavio Deny.Segurança de Informática e de Informações. Senac.1999.• SALDANHA, Fernando. Introdução a planos decontinuidade e contingência operacional. Rio deJaneiro: Papel Virtual, 2000.• MARINHO, Fernando. Como proteger e manter seusnegócios. Rio de Janeiro: Campus, 2003.• FERREIRA, Fernando N. F. Segurança da informaçãoem ambientes informatizados. Rio de Janeiro: CiênciaModerna, 2003.140

UNIDADE 5Auditoria em Sistemas deInformação5Objetivos de aprendizagemAo final desta unidade você terá subsídios para:• conhecer as técnicas de auditoria de sistemas deinformação mais usadas;• compreender os controles gerais envolvidos naauditoria;• conhecer os tipos de auditoria de sistemasinformatizados;• estabelecer um plano de trabalho das verificações quedevem ser realizados durante o trabalho de auditoria.Seções de estudoA seguir, conheça as seções para você estudar:Seção 1Seção 2Seção 3Seção 4Quais são as técnicas de auditoria de SI?Quais são os controles gerais?Quais são os tipos de auditoria de SI?Roteiro para avaliação dos controles internosem auditoria de sistemasApós a leitura do conteúdo, realize as atividades de autoavaliaçãopropostas no final da unidade e no EVA.

Universidade do Sul de Santa CatarinaPara início de estudoPara esta última unidade, você conhecerá detalhadamente aauditoria em sistemas informatizados. Alguns tópicos irão dara impressão de repetição de conceitos de unidades passadas, e éexatamente isso que é o objetivo. O que vai diferir agora é queestes conceitos serão colocados dentro do contexto da unidade.Com o objetivo de aperfeiçoar as atividades de auditoriapossivelmente desenvolvidas por você aluno, esta unidade temcomo característica a praticidade, facilitando assim a assimilaçãodo conhecimento de auditoria em sistemas informatizados.Cabe aqui relembrar que um sistema de informação pode serconceituado como um conjunto de partes que se integram entresi para atingir objetivos ou resultados informativos. Um sistemade informação pode ser manual ou informatizado. No caso desistemas informatizados, as características predominantes são:• Manipulação de grandes volumes de dados einformações;• Complexidade de processamento;• Muitos usuários envolvidos;• Contexto abrangente, mutável e dinâmico;• Interligação de diversas técnicas e tecnologias;• Auxílio à qualidade, produtividade e competitividadeorganizacional, e suporte à tomada de decisõesempresariais.Uma auditoria de sistemas de informação pode abranger desdeo exame de dados registrados em sistemas informatizados, até aavaliação do próprio sistema informático – aplicativos, sistemasoperacionais etc.; a avaliação do ambiente de desenvolvimento,do ambiente de operação, do ambiente de gerenciamento da redee todos os demais elementos associados a um ou mais sistemas deinformação corporativos.Antes de iniciar a auditoria de um sistema de informação,o auditor deve determinar o tipo e o escopo (ou grau de142

Auditoria de Sistemas Informatizadosabrangência) da auditoria a ser realizada e solicitar à unidade a serauditada os documentos adequados para planejar seu trabalho.Em ambientes complexos de processamento de dados o auditorterá uma grande variedade de objetos de controle a considerar. Osdocumentos a serem solicitados e os procedimentos de auditoriaa serem aplicados irão variar de acordo com o tipo ou escopo daauditoria.E a proposta desta unidade e levá-lo a entender como os conceitosapresentados até aqui, acontencem na prática. Siga em frente comdeterminação!Seção 1 – Quais são as técnicas de auditoria de SI?Existem inúmeras técnicas de auditoria de sistemas deinformação. É durante a fase de planejamento da auditoria,dependendo dos objetivos, do escopo e daslimitações inerentes ao trabalho, que a equipe deauditoria seleciona as técnicas de auditoria maisadequadas para se chegar às conclusões esperadasdo trabalho.Algumas técnicas usadas em auditorias desistemas são comuns a outros tipos de auditoria,como:• entrevista (reunião realizada com osenvolvidos com o ponto auditado, quedeve ser documentada);• questionário (conjunto de perguntas que podem seraplicadas a muitas pessoas simultaneamente, sem apresença do auditor);• verificação in loco (observação direta de instalações,atividades ou produtos auditados).Outras técnicas são específicas para a avaliação de operações,transações, rotinas e sistemas em operação ou desenvolvimento.A seguir, acompanhe quais são elas:Unidade 5143

Universidade do Sul de Santa CatarinaQuadeo 5.1 - Técnicas de auditoria de SIMétodoTest-deckSimulação paralelaTeste de recuperaçãoTeste de desempenhoTeste de estresseTeste de segurançaTeste de caixa pretaCaracterítisticasconsiste na aplicação do conceito de “massa de teste” para sistemas em operação, envolvendo testesnormais e corretos, com campos inválidos, com valores incompatíveis, com dados incompletos, etc.consiste na elaboração de programas de computador para simular as funções da rotina do sistema emoperação que está sendo auditado. Utiliza-se os mesmos dados da rotina em produção como input doprograma de simulação.avaliação de um sistema em operação quanto aos procedimentos manuais e/ou automáticos para arecuperação e retomada do processamento em situações de falhas. Um exemplo típico é testar para verse o backup funciona.Verificação de um sistema em operação quanto ao consumo de recursos computacionais e ao tempo deresposta de suas operações (exige instrumentos de monitoração para hardware e software).Avaliação do comportamento de um sistema em operação quando submetido a condições defuncionamento envolvendo quantidades, volumes e freqüências acima do normal.Avaliação dos mecanismos de segurança preventivos, detectáveis e corretivos presentes no sistema.Método que se concentra nos requisitos funcionais dos programas em operação. Os casos de testes,normalmente derivados de diferentes condições de entrada, avaliam funções, interfaces, acessos abancos de dados, inicialização e término do processamento.Mapping, tracing esnapshotMétodos que prevêem a inserção de rotinas especiais nos programas em operação, usadas para depurálos(debug) após serem executados. São estes:• Mapping: lista as instruções não utilizadas que determina a freqüência daquelas executadas.• Tracing: possibilita seguir o caminho do processamento dentro de um programa, isto é, visualizarquais instruções de uma transação foram executadas e em que ordem.• Snapshot: fornece o conteúdo de determinadas variáveis do programa durante sua execução, deacordo com condições preestabelecidas.Teste de caixa brancaITF – Integrated TestFacilityConcentra-se nas estruturas internas de programas em desenvolvimento. Os casos de testes avaliamdecisões lógicas, loops, estruturas internas de dados e caminhos dentro dos módulos.Consiste na implementação de rotinas de auditoria específicas dentro dos programas de um sistemaem implantação, que poderão ser acionadas com dados de teste, em paralelo com os dados reais deprodução, sem comprometer os dados de saída.Ao auditor é recomendado conhecer todos os métodos para saberfazer uso deles e melhor realizar seu trabalho. Conhecidas astécnicas de auditoria de SI, estude na próxima seção os controlesgerais.144

Auditoria de Sistemas InformatizadosSeção 2 – Quais são os controles gerais?Controles gerais consistem na estrutura,políticas e procedimentos que se aplicam àsoperações do sistema computacional de umaorganização como um todo. Eles criam oambiente em que os sistemas aplicativos e oscontroles irão operar.Durante uma auditoria em que sejanecessário avaliar algum sistemainformatizado, seja ele financeiro, contábil,de pagamento de pessoal etc., é precisoinicialmente avaliar os controles gerais que atuam sobre osistema computacional da organização.Controles gerais deficientes acarretam uma diminuição daconfiabilidade a ser atribuída aos controles das aplicaçõesindividuais. Por esta razão, os controles gerais são normalmenteavaliados separadamente e antes da avaliação dos controles dosaplicativos que venham a ser examinados em uma auditoria desistemas informatizados.Quais são as categorias de controles gerais a seremconsideradas em auditoria?São identificadas cinco categorias de controles gerais que podemser consideradas em auditoria. Acompanhe, a seguir, quais são:a) Controles organizacionais - políticas, procedimentose estrutura organizacional estabelecidos para organizar asresponsabilidades de todos os envolvidos nas atividadesrelacionadas à área da informática.Os elementos críticos para a avaliação dos controlesorganizacionais são:• unidades organizacionais bem definidas, com níveisclaros de autoridade, responsabilidades e habilidadestécnicas necessárias para exercer os cargos;Unidade 5145

Universidade do Sul de Santa Catarina• atividades dos funcionários controladas através deprocedimentos documentados de operação e supervisãoe políticas claras de seleção, treinamento e avaliação dedesempenho;• política de segregação de funções e controles de acessopara garantir na prática a segregação de funções;• recursos computacionais gerenciados para asnecessidades de informação de forma eficiente eeconômica.Figura 5.1 - Exemplo de estrutura organizacional para o departamento de Tecnologia da Informação(organização de tamanho médio).b) Programa geral de segurança - oferece estrutura para: (1)gerência do risco, (2) desenvolvimento de políticas de segurança,(3) atribuição das responsabilidades de segurança, e (3)supervisão da adequação dos controles gerais da entidade;c) Plano de continuidade do negócio - controles que garantamque, na ocorrência de eventos inesperados, as operações críticas146

Auditoria de Sistemas Informatizadosnão serão interrompidas., Elas devem ser imediatamenteretomadas e os dados críticos protegidos.d) Controle de software de sistema - limita e supervisionao acesso aos programas e arquivos críticos para o sistema quecontrola o hardware e protege as aplicações presentes.São exemplos de software de sistema:Software de sistema operacional;Utilitários de sistema;Sistemas de bibliotecas de programas;Software de manutenção de arquivos;Software de segurança;Sistemas de comunicação de dados;Sistemas de gerência de base de dados (SGBD).O controle sobre o acesso e a alteração do software de sistemaé essencial para oferecer uma garantia razoável de que oscontroles de segurança baseados no sistema operacional não estãocomprometidos, prejudicando o bom funcionamento do sistemacomputacional como um todo.Os controles de software de sistema são avaliados por meio dosseguintes elementos críticos:• acesso limitado ao software de sistema;• acesso e uso supervisionado do software de sistema;• controle das alterações do software de sistema.e) Controles de acesso - limitam ou detectam o acesso a recursoscomputacionais (dados, programas, equipamentos e instalações),protegendo estes recursos contra modificação não-autorizada,perda e divulgação de informações confidenciais.Os controles de acesso têm o propósito de oferecer uma garantiarazoável de que os recursos computacionais (arquivos de dados,programas aplicativos, instalações e equipamentos relacionadosUnidade 5147

Universidade do Sul de Santa Catarinaaos computadores) estão protegidos contra modificação oudivulgação não-autorizada, perda ou dano. Eles incluemcontroles físicos, tais como manutenção dos computadores emsalas trancadas para limitar o acesso físico, e controles lógicos(softwares de segurança projetados para prevenir ou detectaracesso não autorizado a arquivos críticos).Os elementos críticos que determinam a adequação dos controlesde acesso são:• classificação dos principais recursos de informação deacordo com sua importância e vulnerabilidade;• manutenção de lista atualizada de usuários autorizados eseu nível de acesso;• implantação de controles lógicos e físicos para prevenirou detectar acesso não autorizado;• supervisão do acesso, investigação de indícios deviolação da segurança e adoção das medidas corretivasapropriadas.Uma vez que você conheceu quais são os controles gerais,na próxima seção estude os tipos de auditoria de sistemasinformatizados.Seção 3 – Quais são os tipos de auditoria de SI?Nesta seção você irá estudar os tipos de auditoria de sistemasde informação, os quais são: auditoria de software aplicativo,auditoria do desenvolvimento de sistemas, auditoria de banco dedados, auditoria de redes e de microcomputador.3.1. Auditoria de software aplicativoSoftware aplicativos são aqueles projetados para executardeterminado tipo de operação, a exemplo do cálculo da folha depagamento ou de controle de estoque.Veja, a seguir, quais são os controles que podem ser auditados:148

Auditoria de Sistemas InformatizadosControles deaplicativosControles de entradade dadosA autorização paraentrada de dadosControles doprocessamento dedadosControles da saída dedadosSão aqueles incorporados diretamente em programas aplicativos, nas três áreas de operação(entrada, processamento e saída de dados), com o objetivo de garantir um processamentoconfiável e acurado.Sem um controle de aplicativo apropriado, existe o risco de que características de segurançapossam se omitidas ou contornadas, intencionalmente ou não, e que processamentos errôneosou códigos fraudulentos sejam introduzidos. Por exemplo: um programador pode modificarcódigos de programas para desviar dos controles e obter acesso a dados confidenciais; aversão errada de um programa pode ser implementada, causando processamentos errados oudesatualizados; um vírus pode se introduzido, prejudicando o processamento.São projetados para garantir que os dados sejam convertidos para um formato padrão einseridos na aplicação de forma precisa, completa e tempestiva.Os controles de entrada de dados devem detectar transações não-autorizadas, incompletas,duplicadas ou errôneas, e assegurar que sejam controladas até serem corrigidas.Nem sempre é possível ter procedimentos de autorização antes da entrada de dados. Emsistemas de entrada de dados on-line, são indispensáveis as rotinas de validação de dados paracompensar a ausência da autorização. O sistema deve checar automaticamente se o usuárioestá cadastrado para usar aquele aplicativo e se os dados por ele preenchidos satisfazem certascondições.A organização deve estabelecer rotinas que impeçam o uso não-autorizado ou indevido demicrocomputadores ou terminais durante a entrada de dados.Os controles de processamento devem assegurar que todos os dados de entrada sejamprocessados e que o aplicativo seja executado com sucesso, usando os arquivos de dados, asrotinas de operação e a lógica de processamento corretos.Controles da saída são utilizados para garantir a integridade e a correta e tempestivadistribuição dos dados de saídas.A principal preocupação com a saída de dados consiste na restrição do acesso a informaçõessigilosas às pessoas autorizadas. Os controles devem proteger cópias em papel ou meiomagnético, impressão local e remota, armazenagem, transmissão dos dados.3.2. Auditoria do desenvolvimento de sistemasA auditoria do desenvolvimento de sistemas objetiva avaliara adequação das metodologias e procedimentos de projeto,desenvolvimento, implantação e revisão pós-implantação dossistemas produzidos dentro da organização auditada.Esta avaliação pode abranger apenas o ambiente dedesenvolvimento da organização ou prever também a análise doprocesso de desenvolvimento de um sistema específico, ainda nafase de planejamento, já em andamento ou após sua conclusão.O desenvolvimento de um sistema de informação representa uminvestimento que não pode ser assumido sem dados confiáveisUnidade 5149

Universidade do Sul de Santa Catarinae precisos sobre o custo do projeto, seus benefícios e os riscosenvolvidosTodos os projetos de desenvolvimento de sistemas precisamter sido avaliados em profundidade, devendo ser precedidosde análises de custo/benefício, capacidade de satisfação dosusuários e de atendimento aos objetivos da organização,custos de desenvolvimento, medidas de desempenho, planosde implementação, previsão de recursos humanos, etc. Sãonecessários, também, mecanismos gerenciais que auxiliem adefinição de prioridade dos projetos e permitam sua avaliação econtrole durante todo o processo de desenvolvimento.3.3. Auditoria de banco de dadosTradicionalmente, o termo banco de dados foi usado paradescrever um arquivo contendo dados acessíveis por um ou maisprogramas ou usuários. Os arquivos de dados eram designadospara aplicações específicas e o programa era projetado paraacessá-los de uma forma predeterminada.3.4. Auditoria de redes de computadoresAtualmente, é bastante comum que os usuários de um sistemaestejam em um local diferente de onde se encontram os recursoscomputacionais da organização. Isto torna necessário o usode mecanismos de transporte de informações entre diferentescomputadores e entre computadores e seus periféricos.Para o bom funcionamento da comunicação de dados são usados:• Arquivo log de comunicações, onde ficam registradostodos os blocos transmitidos correta e incorretamentepara efeito estatístico e para tentativas de recuperação dedados transmitidos;• Software de comunicação de dados para verificação deprotocolo de transmissão, gravação do arquivo log detransações e para codificação de sinais de comunicação;• Protocolo de transmissão que garante a recepção corretado bloco de informações transmitidas;150

Auditoria de Sistemas Informatizados• Software ou hardware para a realização de codificação edecodificação das informações transmitidas.O principal risco oferecido pelas redes é o de acesso nãoautorizado a dados e programas da organização, que pode resultarem danos ou prejuízos intencionais ou acidentais.Existe uma grande variedade de software e hardwareespecializados em limitar o acesso de indivíduos ou sistemasexternos a uma rede de comunicação.Exemplos de componentes de rede que podem serusados para limitar o acesso incluem gateways oufirewalls (dispositivos que restringem acesso entreredes, importantes para reduzir o risco associado aouso da internet); monitores de teleprocessamento(programas incorporados ao sistema operacional doscomputadores para limitar o acesso) e dispositivos deproteção dos canais de comunicação.Além dos riscos associados à facilidade de acesso a dadose programas, a auditoria das redes de comunicação decomputadores deve contemplar os riscos relativos à operaçãoincorreta do sistema, perda de informações que podem causardano ou prejuízo à organização em função do ambiente de rede.Quais os elementos críticos que a auditoria de redesde comunicação deve abranger?A auditoria de redes de comunicação deve abranger os seguinteselementos críticos:• Gerência de rede - devem existir procedimentos epolíticas para auxiliar a gerência do ambiente de rede epadrões definidos para controle do hardware envolvidos;• Segurança dos dados e da rede - devem existirmecanismos de controle de hardware e software quegarantam a segurança e integridade dos dados mantidosUnidade 5151

Universidade do Sul de Santa Catarinano ambiente de rede e dos recursos físicos que acompõem; bem como limitem e controlem o acesso aprogramas e dados;• Operação da rede - a organização deve oferecercondições para uma operação eficiente da rede, incluindonormas e procedimentos de treinamento de pessoal,execução de cópias de segurança, avaliação da eficiênciado serviço e rotinas de recuperação da rede apósinterrupções inesperadas;• Software de rede - a gerência de rede deve monitorare controlar o software de comunicação e o sistemaoperacional instalado.3.5. Auditoria de microcomputadoresNormalmente são chamados microcomputadores oscomputadores de mesa que compreendem um processador, discorígido e flexível, monitor e teclado. Os microcomputadorespodem ser utilizados isoladamente ou estar conectados a umarede, com o propósito de compartilhar dados ou periféricos.Exemplos dos riscos específicos associados aosmicrocomputadores:Familiaridade – por causa da aparente simplicidadee facilidade de utilização, existe o risco de que o usoinadequado seja subestimado por usuários e pelagerência;O custo – ainda que os microcomputadores possamser considerados de baixo custo, é importantelevar em conta gastos com softwares, periféricos emanutenção, que pode elevar significativamente ocusto de uma máquina;Localização – microcomputadores normalmenteestão localizados em escritórios comuns, com poucaproteção contra furto, acesso não-autorizado ou danoacidental;152Software proprietário – apesar de ser maisbarato adquirir programas do que desenvolvê-losinternamente, os softwares oferecidos pelo mercadomuitas vezes não apresentam mecanismos desegurança adequados;

Auditoria de Sistemas InformatizadosPara que possa proteger-se contra estes riscos, a organizaçãoprecisa adotar políticas e procedimentos específicos quanto ao usode microcomputadores pelos seus funcionários, compreendendopadrões de hardware, software, aquisição,treinamento e suporte, além dos controles gerais e deaplicativos.Os microcomputadores precisam de controlesespecíficos destinados a protegê-los de furto ouacidente, que podem ocasionar a perda de dados eprogramas. Isto pode ser evitado através de restriçõesfísicas de acesso às máquinas, controles de software, taiscomo: senhas de acesso e realização periódica de cópias desegurança. O furto de equipamentos pode ser evitado por meiode mecanismos adequados de segurança no local de trabalho.Quais são os elementos críticos para auditoria demicrocomputadores?Os elementos críticos para a auditoria dos microcomputadoressão:• Controles do software em uso - destinados a garantirconsistência da operação dos softwares instaladosnos microcomputadores, impedindo a instalação deprogramas não-autorizados, sua alteração indevida, etc.,• Segurança - controla o acesso a recursos computacionais,dados e programas, protegendo-os contra alteraçõesindevidas, furtos, divulgação de documentos sigilosos,etc.• Controles sobre a operação - protegem os recursosde microinformática contra prejuízos e danos causadospor falta de treinamento de pessoal e de manutençãoadequada.Uma vez que você estudou os tipos de auditoria, chega a vezde entender como os conhecimentos estudados até agora nestadisciplina, se aplicam a prática do auditor.Unidade 5153

Universidade do Sul de Santa CatarinaSeção 4 – Roteiro para avaliação dos controles internosem auditoria de sistemasA seguir, é apresentado um roteiro para servir debase à avaliação dos controles internos em auditoriade sistemas. Os tópicos a serem avaliados devemser escolhidos com base nos objetivos da auditoria.Outros itens de avaliação poderão ser necessáriosdependendo das circunstâncias.Avaliação dos controles geraisO auditor deve avaliar se dentro do departamentode tecnologia da informação (DTI) existem unidadesorganizacionais bem definidas e com suas funções claras.Como parâmetro para o DTI, foram definidas:• Cada Unidade dentro do DTI definiu seus principaisobjetivos e padrões de desempenho.• Cada Unidade dentro do DTI definiu os diversos níveisde autoridade, as responsabilidades de cada cargo e ashabilidades técnicas necessárias para exercê-los.• Os funcionários do DTI exercem atividades compatíveiscom as estabelecidas formalmente pela organização.• Os funcionários do DTI possuem capacitação técnicacompatível com o previsto no respectivo plano de cargos.• Atividades dos funcionários são controladas e a políticade seleção clara.• Treinamento e avaliação de desempenho são políticas naárea de capacitação.• Existem instruções documentadas para o desempenhodas atividades dentro do DTI, que são seguidas pelosfuncionários.• Existem manuais de instrução que indicam como operarsoftwares de sistema e aplicativos.• O pessoal técnico tem supervisão adequada, inclusive nastrocas de turno de operação de computadores.154

Auditoria de Sistemas Informatizados• As atividades dos operadores do sistema computacionalsão automaticamente armazenadas em registroshistóricos de operação.• Supervisores revisam periodicamente os registroshistóricos de operação e investigam qualqueranormalidade.• Há um planejamento das necessidades de pessoalespecializado e existem políticas definidas, métodos ecritérios para o preenchimento de vagas que permitamaferir as reais habilidades técnicas dos pretendentes.• Existe um programa de treinamento de pessoal na áreade tecnologia da informação, com recursos suficientespara capacitar o pessoal técnico.• Existe um programa de avaliação de desempenho eficaz.a) Política de segregação de funções e controles de acessoFunções distintas são desempenhadas por diferentes indivíduos,incluindo as seguintes:• Gerência dos sistemas de informação;• Projetos de sistemas;• Programação de aplicativos;• Programação de sistemas;• Teste e garantia de qualidade;• Gerência de biblioteca/gerência de alteração;• Operação de computador;• Controle de dados;• Segurança de dados;• Administração de dados.Unidade 5155

Universidade do Sul de Santa Catarinab) Controles gerais: programa de segurançaOs riscos são periodicamente avaliados, de acordo com políticasdocumentadas para esta avaliação.• As avaliações do risco são realizadas por pessoalsuficientemente independente (não diretamenteresponsável pelas questões de segurança), sendo revistastoda vez que algum sistema, instalação ou outra condiçãose altere.• A avaliação do risco leva em conta a vulnerabilidadeinerente aos dados e o risco adicional, acrescentado pelosdiversos caminhos de acesso passíveis de utilização porusuários e estranhos não-autorizados.• As avaliações gerais de risco mais recentes estão deacordo com as políticas estabelecidas e atendem aosdemais requisitos acima indicados.c) Documentação do programa de segurançaO auditor, neste momento, deve questionar se o plano desegurança:• Foi documentado e aprovado pela alta gerência e pelossetores afetados;• Cobre todas as instalações e operações essenciais;• É mantido atualizado, com revisões periódicas e ajustesque reflitam as mudanças nas condições de operação enos riscos;• Estabelece uma estrutura de gerência de segurança comindependência, autoridade e conhecimento suficientes;• Prevê a existência de gerentes de segurança dos sistemasde informação tanto em nível geral quanto nos níveissubordinados;• Identifica precisamente o proprietário de cada recursocomputacional e os responsáveis pela gerência do acesso aestes recursos;156

Auditoria de Sistemas Informatizados• Define as responsabilidades de segurança nos seguintesníveis: (1) proprietários e usuários dos recursos deinformação; (2) pessoal de processamento de dados; (3)alta gerência; e (4) administradores de segurança;• É periodicamente revisto e atualizado, estando em diacom as necessidades da entidade.d) Política de segurança eficazDeve existir um programa de treinamento sobre as políticasde segurança que inclua treinamento inicial de todos os novosfuncionários e usuários a respeito das normas de segurança parauso dos recursos computacionais.Deve existir um treinamento periódico de atualização!Um treinamento que possa ser realizado, por exemplo, viamensagens de correio eletrônico que alertem os usuários para osprocedimentos existentes, como necessidade de troca periódica desenhas e de manutenção do sigilo das mesmas, etc. (Examinar osregistros das atividades de treinamento.).Os processos de transferência e demissão incluem procedimentosde segurança, tais como:• devolução de crachás, chaves, passes de identificação,etc.;• notificação da gerência de segurança para a prontadesativação de senhas de acesso;• imediata retirada do funcionário do local de trabalho;• definição do período em que o funcionário afastado ficarásujeito à guarda do sigilo das informações confidenciaisàs quais teve acesso.Unidade 5157

Universidade do Sul de Santa Catarinae) Controles gerais: planejamento da continuidade donegócioAvaliação da vulnerabilidade das operações computadorizadas eidentificação dos recursos que as apóiam. A organização preparouuma lista de dados, operações e sistemas críticos que:• informa a prioridade de cada item;• foi aprovada pelos gestores responsáveis;• reflete a situação atual dos recursos computacionais.Adoção de medidas devem objetivar a prevenção deinterrupções potenciais e minimizar danos causados.São exemplos de medidas preventivas:Por exemplo, cópias de segurança dos arquivos e dadocumentação dos sistemas são providenciadas edeslocadas para um local de armazenamento externo,com freqüência suficiente para evitar problemas emcaso de perda ou dano dos arquivos em uso.• O local de armazenamento externo está localizadogeograficamente distante da sede da organização eé protegido por controles ambientais e controles deacesso físico.• Dispositivos de supressão e prevenção de incêndioforam instalados e estão em funcionamento(detectores de fumaça, extintores de incêndio, etc.).• Controles físicos foram implementados para evitaroutros desastres, tais como inundação, elevaçãoexcessiva da temperatura, etc. Os controles físicossão periodicamente testados.• Foi providenciada uma fonte substituta desuprimento de energia elétrica que permita, emcaso de falha da fonte principal, a conclusão seguradas operações em andamento.• Os procedimentos de emergência sãoperiodicamente testados junto ao pessoalencarregado de implementá-los.158

Auditoria de Sistemas Informatizados• Os funcionários do departamento de TI receberamtreinamento para os casos de emergência, tendosido informados de suas responsabilidades naocorrência de eventos do gênero. Verificar seexistem registros de treinamentos periódicosprevistos e efetuados para procedimentos deemergência envolvendo fogo, inundação e disparode alarmes.• O pessoal de todos os departamentos temconhecimento de suas atribuições em casode emergência (telefone para notificação deproblemas, procedimentos de emergência naocorrência de desastres, etc.).• Existem políticas e procedimentos atualizados demanutenção de hardware, gerência de problemase gerência de alteração de programas para prevenirinterrupções inesperadas da operação.• Existe um hardware de reserva que garanta, emcasos de problemas com o equipamento principal, adisponibilidade do sistema para aplicações críticas evulneráveis.O que o auditor precisa documentar?No caso do desenvolvimento e documentação do plano decontingência, o auditor tem que verificar se existe umplano de contingência devidamente documentado que:• reflete as condições atuais da organização;• foi aprovado pelos grupos mais afetados,incluindo a alta administração, DTI e gerentesproprietários dos sistemas;• atribui as responsabilidades de recuperação de formaclara;• inclui instruções detalhadas para restaurar a operação,tanto do sistema operacional quanto das aplicaçõescríticas;• identifica a instalação alternativa de processamento e olocal externo de armazenamento de cópias de segurança;Unidade 5159

Universidade do Sul de Santa Catarina• inclui procedimentos a serem seguidos quando o centrode processamento de dados estiver impossibilitado dereceber ou transmitir dados;• identifica os sistemas e os arquivos de dados críticos;• é detalhado o suficiente para ser compreendido por todosos gerentes da organização;• foi distribuído para todas as pessoas apropriadas;• o plano de contingência foi testado em condições quesimulem um desastre.• Examinar as políticas de teste e os relatórios da suaexecução;• os resultados dos testes foram documentados e umrelatório com as “lições aprendidas” foi providenciado eencaminhado para a alta administração;• o plano de contingência e os acordos relacionados foramajustados para corrigir quaisquer deficiências constatadasdurante o teste.f) Controles gerais: controle de acessoExistem políticas e procedimentos documentados para aclassificação dos principais recursos de informação pelos critériosde importância e vulnerabilidade dos dados.As autorizações de acesso são:• documentadas e mantidas em arquivo organizado;• aprovadas pelo proprietário do recurso computacional;• transmitidas para os gerentes de segurança de uma formaprotegida.As autorizações de acesso temporárias são:• documentadas e mantidas em arquivo;• aprovadas pela gerência encarregada;160

Auditoria de Sistemas Informatizados• comunicadas de uma forma protegida para o serviço desegurança;• automaticamente desativadas após um períododeterminado.g) Controles lógicos sobre arquivos de dados e programas desoftwareAqui o auditor tem que verificar se:• softwares de segurança são usados para restringir oacesso aos arquivos de dados e programas;• o acesso ao software de segurança é restrito aosadministradores de segurança;• as sessões de acesso a sistemas, via terminais decomputadores, são terminadas automaticamente apósum período de inatividade do operador;• os responsáveis pela administração da segurançaconfiguram o software de segurança para restringiro acesso não-autorizado a arquivos de dados,bibliotecas de dados, procedimentos de operação emlote (batch), bibliotecas de códigos fonte, arquivos desegurança e arquivos de sistema operacional. Testar oscontroles tentando obter acesso a arquivos restritos.h) Controles lógicos sobre a base de dadosControles sobre os gerenciadores de banco de dados (SGBD ouDBMS) e dicionários de dados foram implementados para:• restringir o acesso a arquivos de dados nos níveis deleitura de dados, campos, etc.;• controlar o acesso ao dicionário de dados usando perfisde segurança e senhas;• manter trilhas de auditoria que permitam supervisionarmudanças nos dicionários de dados;Unidade 5161

Universidade do Sul de Santa Catarina• prever formas de pesquisa e atualização de funções deaplicativos, funções de SGBD e dicionário de dados.i) Controles lógicos sobre acesso remotoUm software de comunicação foi implementado para:• identificar o terminal/ponto de acesso que está em usopelo usuário;• checar IDs (códigos de identificação do usuário) e senhaspara acesso a aplicativos específicos;• controlar o acesso através de conexões entre sistemas eterminais;• restringir o uso de facilidades de rede em aplicaçõesespecíficas;• interromper automaticamente a conexão ao final de umasessão;• manter registros da atividade na rede;• restringir o acesso a tabelas que definem opções de rede,recursos e perfis de operador;• permitir que somente usuários autorizados desconectemcomponentes da rede;• supervisionar o acesso discado, através do controle dafonte de chamadas ou pela interrupção da chamada eretorno da ligação para números de telefone previamenteautorizados;• restringir o acesso interno aos softwares detelecomunicações;• controlar mudanças nesses softwares;• garantir que dados não sejam acessados ou modificadospor usuários não-autorizados durante sua transmissão ouenquanto temporariamente armazenados;• restringir e supervisionar o acesso ao hardware detelecomunicações ou instalações.162

Auditoria de Sistemas Informatizadosj) Controles gerais: software de sistemaQuanto a restrição de acesso:Existem políticas e procedimentos atualizados para arestrição do acesso ao software de sistema?O auditor tem que prestar atenção nestes aspectos:• o acesso ao software de sistema é restrito a um númerolimitado de pessoas, cujas responsabilidades exijam esteacesso. (programadores de aplicativos e usuários em geralnão devem possuir autorização de acesso ao software desistema);• os documentos com justificativa e aprovação da gerênciapara o acesso ao software de sistema são mantidos emarquivo;• o nível de acesso permitido aos programadores de sistemaé periodicamente reavaliado pelos gerentes para ver sea permissão de acesso corresponde às necessidades deserviço. Verificar a última vez que o nível de acesso foirevisto.Existem políticas e procedimentos documentados eatualizados para o uso de utilitários do software desistema?Dentro do serviço de auditoria, o auditor deve prestar atenção nosseguintes pontos:• as responsabilidades no uso de utilitários de sistemaforam claramente definidas e compreendidas pelosprogramadores de sistema;• as responsabilidades pela supervisão do uso de utilitáriosde sistema estão definidas e são exercidas pela gerênciade informática;Unidade 5163

Universidade do Sul de Santa Catarina• o uso de utilitários de sistema é registrado em relatóriosproduzidos pelo software de controle de acesso ou outromecanismo de registro de acesso;• os registros de acesso ao software de sistema e aos seusutilitários são periodicamente examinados pela gerênciade informática e atividades suspeitas ou não usuais sãoinvestigadas;• revisões gerenciais são efetuadas para determinar se astécnicas de supervisão do uso do software de sistemasestão funcionando como previsto e mantendo os riscosdentro de níveis aceitáveis (avaliações periódicas dosriscos).Existem políticas e procedimentos atualizadospara identificar, selecionar, instalar e modificaro software de sistema, bem como identificar,documentar e solucionar problemas com estesoftware?A implantação de novas versões do software de sistema ou seusutilitários segue procedimentos de segurança, que incluem:• justificativa documentada para a alteração;• realização de testes conduzidos num ambiente próprio enão no ambiente de operação normal;• parecer técnico sobre os resultados do teste;• revisão dos resultados dos testes e das opiniõesdocumentadas, pólo gerente de TI;• autorização do gerente de TI para colocar a nova versãodo software de sistema em uso.Como realizar controles de aplicativos?164

Auditoria de Sistemas InformatizadosAcompanhe a lista de verificações do auditor:• existem procedimentos documentadospara a inserção de dados na aplicação;• os documentos ou telas de entradagarantem a entrada de dados demaneira exata e consistente;• os campos de dados depreenchimento obrigatório sãofacilmente identificáveis na tela;• existem padrões para as telas de entrada, quando a suaapresentação, disposição dos campos e acionamento deteclas.• rotinas de preparação dos dados (batch)• existem rotinas para a preparação dos dados a serempreenchidos em cada documento;• há pessoas claramente identificadas como responsáveispela preparação, revisão e autorização da entrada dedado;• existem rotinas escritas para cada atividade do processode preparação de dados, com instruções claras eadequadas;• no caso de aplicativos em que a entrada de dados ocorreem terminais ou microcomputadores, há procedimentosde segurança para o uso, manutenção e controle decódigos de identificação do operador e do terminal ouestação de trabalho;• os códigos de identificação do operador e do terminal sãochecados no processo de autorização de entrada de dados;• existem procedimentos documentados para que, em casode transmissão eletrônica de documentos, a rota utilizadae os procedimentos de autorização sejam registrados;• os microcomputadores e terminais usados pelaorganização para entrada de dados estão localizados emsalas fisicamente seguras;Unidade 5165

Universidade do Sul de Santa Catarina• as rotinas de entrada de dados da organização asseguramque esta atividade só pode ser executada por funcionárioscom determinado nível de acesso.Como realizar verificações para aplicações comentrada de dados batch?Verificações para aplicações com entrada de dados batch:• a aprovação da entrada de dados está limitada aosindivíduos especificados pela organização em documentoescrito;• pessoal responsável pela autorização da entrada de dadosnão executa outras tarefas incompatíveis pelo princípioda segregação de funções (v. Segregação de Funções nosControles Gerais).Como realizar verificações na entrada de dadoson-line?Na entrada de dados on-line deve-se verificar se:• existem controles lógicos e físicos nos pontos de acesso(terminais ou microcomputadores) para prevenção edetecção de entrada de dados não-autorizados;• foram instalados mecanismos de segurança paragerenciar a autorização de acesso às transações on-line eaos registros históricos associados;• os mecanismos de segurança da organização garantemque todas as tentativas de acesso, com ou sem sucesso,são gravadas em logs que registram data e hora do eventode acesso e identificam o usuário e o ponto de acesso.166

Auditoria de Sistemas InformatizadosNa retenção de documentos de entrada (sistema batch) deve serverificado se:• os documentos originais são retidos pela organizaçãopor um determinado período de tempo com intuito defacilitar a recuperação ou reconstrução de dados;• existem procedimentos documentados para retenção dedocumentos na organização;• os documentos ficam retidos por tempo suficiente parapermitir a reconstrução de dados, caso sejam perdidosdurante a fase de processamento;• os documentos são mantidos em arquivos organizados,para fácil recuperação;• o departamento que originou os documentos mantémcópias dos mesmos;• somente as pessoas devidamente autorizadas têm acessoaos documentos arquivados;• existem procedimentos documentados para remover edestruir os documentos quando expirado o tempo detensão e se estes são obedecidos.A organização deve estabelecer rotinas queassegurem que os dados de entrada são validadose editados de forma a espelharem corretamente osdocumentos originais.Nesse interim, verificar se:• existem procedimentos documentados que definem oformato dos dados para assegurar a entrada deles nocampo correto e com o formato adequado;• nas rotinas de entrada de dados existem informações deajuda (help) para facilitar a entrada de dados e reduzir onumero de erros;Unidade 5167

Universidade do Sul de Santa Catarina• existem mecanismos para a validação, edição e controleda entrada de dados (terminais inteligentes ou softwarededicado a esta função);• os campos essenciais para o correto processamentoposterior dos dados são de preenchimento obrigatório;• existem rotinas para detectar, rejeitar e impedir a entradade dados incorretos no sistema;• a validação dos dados é executada em todos os camposrelevantes do registro ou tela de entrada;• As rotinas de validação de dados testam a presença de:• Código de aprovação e autorização;• Dígitos de verificação em todas as chaves deidentificação;• Dígitos de verificação ao final de uma seqüência(string) de dados numéricos;• Códigos válidos;• Valores alfanuméricos ou numéricos válidos;• Tamanhos válidos de campo;• Campos combinados;• Limites válidos, razoabilidade dos valores ou faixa devalores válidos;• Campos obrigatórios preenchidos;• Símbolos;• Registros de entrada completes;• Campos repetitivos, eliminando a necessidade daentrada dos mesmos dados mais de uma vez.• A organização utiliza totais de controle de processamentoem lote (batch), gerados pelos terminais de entrada dedados ou pelo software dos microcomputadores, paraassegurar que todos os dados enviados em lote foramrecebidos corretamente.168

Auditoria de Sistemas Informatizados• A rotina de entrada de dados da organização estabeleceum registro histórico dos dados, proporcionando umatrilha de auditoria.A organização deve estabelecer rotinas para correçãoe re-submissão de dados de entrada incorretos.Para tal é necessário verificar se:• existem rotinas para identificação, correção e resubmissãode dados incorretos.• a rotina de entrada de dados possui procedimentosautomáticos ou manuais que permitem que dadoserrôneos sejam prontamente corrigidos e re-submetidos;• existe controle sobre os erros ocorridos na entrada dedados, sendo possível identificá-los justamente com asmedidas que foram tomadas para corrigi-los e qual otempo transcorrido entre a sua ocorrência e sua correção;• as mensagens de erro geradas pela rotina de entradade dados são suficientemente claras e fáceis deserem entendidas pelo usuário do terminal oumicrocomputador, facilitando a correção e a submissãodos dados.A organização possui um grupo de controle responsável pelasseguintes atividades:• investigar e corrigir qualquer problema operacional noterminal, microcomputador ou outro dispositivo deentrada de dados;• assegurar que os procedimentos de reinicializarão sãoexecutados de maneira apropriada;• monitorar as atividades de entrada de dados no terminal,microcomputador ou outro dispositivo similar;• investigar qualquer desvio dos procedimentos de entradade dados preestabelecidos;Unidade 5169

Universidade do Sul de Santa Catarina• os recursos computacionais e humanos disponíveis paraa entrada de dados garantem que estes sejam inseridostempestivamente.Como realizar controle do desenvolvimento desistemas?Uma questão importante a auditar é se foi desenvolvida umametodologia de desenvolvimento de sistemas que:• fornece uma abordagem estruturada de desenvolvimento,compatível com os conceitos e práticas geralmenteaceitos, incluindo o envolvimento ativo dos usuáriosdurante o processo;• é suficientemente documentada, sendo capaz de oferecerorientação a funcionários com diversos níveis deconhecimento e experiência;• oferece meios de controlar mudanças nos requisitos deprojeto que ocorram durante a vida do sistema;• inclui requisitos de documentação;• o pessoal envolvido no desenvolvimento e teste desoftware foi treinado para utilizar a metodologia dedesenvolvimento adotada pela entidade;• solicitações de alteração de sistemas são documentadase submetidas à aprovação tanto dos usuários do sistemaquanto do DTI;• os softwares de domínio público ou de uso pessoalsão objetos de políticas restritivas (é importante que aentidade tenha políticas claras com respeito ao uso desoftwares de domínio publico ou de propriedade pessoaldo funcionário do trabalho). Permitir aos funcionáriosque utilizem seus próprios softwares ou mesmo disquetespara armazenamento de dados que foram usados emoutro lugar, aumenta os riscos de introdução de vírus, deviolação de patentes e de processamento errado de dados,causado pela utilização de programas inadequados.170

Auditoria de Sistemas InformatizadosO auditor deve verificar a existência de procedimentosde alterações de emergência documentados.As alterações de emergência são:• documentadas e aprovadas pelo supervisor de operação;• formalmente relatadas à gerência de operação para asprovidências necessárias;• aprovadas, ainda que depois de realizadas pelos gerentesde desenvolvimento proprietário do sistema.No que diz respeito ao banco de dados, analisar e verificar seforam claramente definidas e documentadas as responsabilidadesrelacionadas à administração de dados, tais como:• coordenação da manutenção dos dados (definição,criação, exclusão e propriedade dos dados);• estabelecimento de políticas de acesso, confidencialidadee integridade de dados;• manutenção da documentação;• coordenação entre administração de dados, usuários eprogramação de sistemas;• desenvolvimento e manutenção de padrões.• O pessoal responsável pelas atividades de administraçãode dados possui as habilidades e conhecimentos técnicosnecessários para executá-las.Verificar se foram claramente definidas edocumentadas as responsabilidades relacionadas àadministração de banco de dados.Unidade 5171

Universidade do Sul de Santa CatarinaTais como:• projeto e manutenção da estrutura da base de dados;• revisão e avaliação da confiabilidade do sistemagerenciador de banco de dados;• avaliação do pessoal encarregado das funções de bancode dados;• treinamento do pessoal responsável pela administraçãode banco de dados;• segurança de dados;• o pessoal responsável pelas atividades de administraçãode banco de dados possui as habilidades e conhecimentostécnicos necessários para executá-las;• as atividades de administração de banco de dados sãoarmazenadas em registros históricos e periodicamenteanalisadas por um supervisor;• o plano de treinamento em linguagens de acesso a bancode dados é adequado.Como realizar Controle das redes de computadores?A escolha da plataforma de rede para a organização foi precedidade uma análise de custo/benefício fundamentada em elementossuficientes para justificar a alternativa adotada. O plano deimplantação de processamento em rede contempla:• participação dos usuários;• riscos da conversão dos sistemas;• as diferentes necessidades de processamento dos usuáriosdas diversas localidades;• testes de aceitação a serem executados pelo DTI(Departamento de Tecnologia da Informação), pelocontrole de qualidade e por usuários selecionados.172

Auditoria de Sistemas InformatizadosAo auditor, cabe verificar se:• os procedimentos de controle do processamento em redesão testados e avaliados periodicamente;• existem procedimentos documentados que definem asatividades permitidas no ambiente de rede;• os procedimentos de operação da rede foram distribuídosaos usuários de cada departamento;• foi estabelecido um mecanismo para garantir acompatibilidade de arquivos entre as aplicações, namedida do tamanho e complexidade da rede;• foi estabelecida uma política de auditoria e de backup paraa rede.• existem procedimentos documentados eresponsabilidades atribuídas para as atividades deinicialização (start-up), supervisão e uso da rede erecuperação de defeitos de funcionamento do hardware.Verificar se o DTI possui políticas, procedimentos e padrõesdocumentados, atualizados e divulgados para o pessoalresponsável, cobrindo as seguintes áreas:• descrição resumida de cada aplicativo rodando na rede;• procedimentos de operação (tais como startup eshutdown);• gerência de fitas e discos;• cópias de segurança (backup);• procedimentos de emergência;• planejamento de contingência.Os departamentos de usuários devem manter um inventárioatualizado dos equipamentos de rede que se encontrem em seulocal de trabalho e revisar periodicamente a eficácia das práticasde segurança adotada.Unidade 5173

Universidade do Sul de Santa CatarinaOs procedimentos de segurança devem estar adequados paraproteger os recursos físicos da rede e a integridade do software doaplicativo e dos dados armazenados, e devem ser periodicamenterevisados (v. também Programa Geral de Segurança e ControlesGerais: Controles de Acesso).O grupo responsável pela segurança da rede confereperiodicamente se a documentação de segurança estádevidamente atualizada e reavalia, com a freqüência suficiente, aadequação dos controles de segurança:• do hardware de comunicação e estações de trabalho;• do sistema operacional;• dos aplicativos relevantes.Um ponto interessante de se verificar é se existesegregação de funções adequada entre gerênciade funções, entre gerência de rede e gerência desegurança, pois isto denota uma rede organizada esegura.Na existência da gerência de segurança, verificar a existência detrilhas de auditoria, informando atividades tais como:• login/out (local, hora e data, identificação do usuário);• tipo de acesso (discado, por estação de trabalho, etc.);• tentativas de acesso inválidas (local, hora e data, ID).E, por fim, não esqueça que usuários devem conseguir acessoaos discos, volumes, diretórios e arquivos somente para osquais possuem autorização. As tentativas de acesso devem sercontabilizadas de forma que após um determinado número detentavias falhas, exista o travamento da conta do usuário. Aindarestam a conta de usuário, que deverá ser pessoal e intransferível,e a senha dessa conta.Uma ótima dica é estabelecer perfis de acesso para os usuários,que definam os recursos, dados, aplicações, transações e174

Auditoria de Sistemas Informatizadoscomandos autorizados, de acordo com as responsabilidades dosrespectivos cargos.Uma vez que você finalizou a leitura criteriosa destaunidade, realize as atividades propostas e pratique os novosconhecimentos.Atividades de auto-avaliaçãoLeia com atenção os enunciados e realize as atividades:1) Das inúmeras técnicas de auditoria, quais delas são utilizadasem ambientes de produção, rodando em paralelo e que nãocomprometem a saída de dados ou informações?2) O que determina o controle de sofware de sistemas?Unidade 5175

Universidade do Sul de Santa Catarina3) Que cuidados a organização deve ter no que diz respeito à demissão deum funcionário?SínteseNesta última unidade, você conheceu algumas das mais usadastécnicas de auditorias, como test-deck, ITF, entre outras. Tambémconheceu os parâmetros necessários para uma rede segura.Você viu que a utilização da tecnologia da informação para amanipulação e armazenamento de dados introduz novos riscospara o controle, acrescentando outras variáveis às questõesrelacionadas à segurança e por conseqüência ao trabalho deauditoria.Muitas vezes, redes corporativas bem estruturadas acabamesbarrando em falhas internas, de usuários não preparadospara utilizar os sistemas ali instalados. Um bom começo deestruturação de uma política de segurança é a conscientizaçãodos usuários por parte do pessoal responsável pela segurançade dados. Educar é a melhor política que pode ser aplicada àorganização, principalmente se apoiada pela classe executiva daempresa.A segurança não é um projeto e sim um processo, portanto deveser revista constantemente. Deve-se ter na equipe pessoas alertase informadas de falhas de sistemas operacionais, gerenciadores debancos de dados, dispositivos de redes locais e de longa distância(LAN / WAN) que sejam sempre proativos em possíveisincidentes.176

Auditoria de Sistemas InformatizadosPolítica de segurança é a linha de defesa contra qualquer ataque,é um documento importantíssimo na organização e deve serconhecido por todos os funcionários. Utilizando esta mesmaanalogia, a auditoria será o procedimento para que esta linhade defesa fique sempre firme, sem causar danos ao cliente. Etambém, por este motivo ela deve ser realizada periodicamente.Saiba maisPara aprofundar as questões abordadas nesta unidade você poderápesquisar os seguintes livros:• MARCIAL, Elaine Coutinho. GRUMBACH, RaulJosé dos Santos. Cenários Prospectivos: como construirum futuro melhor. Rio de Janeiro: Editora FGV, 2002.• MARCY, José de Campos Verde. Foco na Gestão daSegurança Empresarial. Revista Proteger, S.Paulo,número 31, pg. 41 até 43, 2000.• PINKERTON CONSULTING andINVESTIGATIONS. Top Security Threats andManagement Issues Facing Corporate America 2002Survey of Fortune 1000 Companies. Pinkerton ServiceCorporation, 2002.Unidade 5177

Para concluir o estudoParabéns! Você acaba de concluir os estudos da disciplinade auditoria em sistemas informatizados.O conhecimento adquirido por você é de sumaimportância para sua carreira profissional, pois osúltimos anos provocaram uma grande mudança nopapel do auditor. De mero fiscalizador de processos, eletornou-se um profissional com participação estratégicano desenvolvimento da competitividade da empresa.Hoje o papel do auditor vai muito além de simplesmenteidentificar problemas. Ele tem que conhecer a empresa eatuar, no sentido de corrigir as falhas existentes dentrodo processo de gestão da informação. Com isso, ele ajudano desenvolvimento da organização e contribui para oaperfeiçoamento de sua competitividade.O Conhecimento de auditoria em sistema de informaçãogarante a qualidade dos serviços prestados pelo DTI,ajuda no aprimoramento dos controles internos, permitea detecção de fraudes, cada vez mais comuns noambiente corporativo e aprimora o desenvolvimento daspessoas. Enfim, é um serviço que contribui muito para odesenvolvimento da empresa.Por fim, esperamos que o período dedicado a estudar estadisciplina tenha despertado o interesse em prosseguirna busca de novos conhecimentos sobre a auditoria emsistemas de informação. Você verá que novos horizontesse abrirão em seu futuro acadêmico e profissional.Bom estudo e um grande abraço.Davi e Abílio

ReferênciasBOSWORTH, Seymor. E KABAY, M. E. Computer SecurityHandbook. Wiley, 2002BREHMER, Laércio. Política de Segurança da Informaçãono CIASC. 2003. Dissertação (Pós-graduação em Ciência daComputação), Universidade do Vale do Itajaí, São José.CARISSIMI, Leonardo. Segurança da Informação agregavalor? Modulo E-Security Magazine. Agosto 2001.CARUSO, Carlos A. A. e STEFFEN, Flavio Deny. Segurança deInformática e de Informações. SENAC. 1999.CRONIN, Mary. Global Advantage on the Internet. NewYork. Nostrand Reynholdsm, 1996.CASANAS, Alex D. G. e MACHADO, César de S. O impacto daimplementação da Norma NBR ISO/IEC 17799 – Códigode prática para a gestão da Segurança da Informação – nasEmpresas. UFSC. 2000.CETEC. Comitê Estadual de Tecnologia da Informação.Disponível em www.cetec.sc.gov.br.CSI/FBI – 2005. Computer Crime and Security Survey.Disponível em http://www.gocsi.com .DIAS, Claudia. Segurança e Auditoria da Tecnologia daInformação. Axel Books. 2000.FERREIRA, Fernando N. F. Segurança da informaçãoem ambientes informatizados. Rio de Janeiro: CiênciaModerna, 2003.JACOMINO. D. Você é um profissional ético? Você S.A., SãoPaulo, v.3, n.25, p.28-37, jul. 2000.MARCIAL, Elaine Coutinho e GRUMBACH, Raul José dosSantos. Cenários Prospectivos: Como Construir um FuturoMelhor. Rio de Janeiro: Editora FGV, 2002.

Universidade do Sul de Santa CatarinaMARCY, José de Campos Verde. Foco na Gestão da SegurançaEmpresarial. Revista Proteger, S.Paulo, número 31, pg. 41 à 43, 2000.MARTINELLI. Noções de Auditoria de Sistemas. Unicamp. 2002.MARINHO, Fernando. Como proteger e manter seus negócios. 1.ed. Rio de Janeiro: Campus, 2003.MÓDULO SECURITY SOLUTIONS. 9ª Pesquisa Nacional sobreSegurança da Informação. Disponível em http://www.modulo.com.br.NAVARRO, P. L. Ética na informática. [on line] Disponível em http://www.pr.gov.br/celepar/celepar/batebyte/edicoes/1996/bb60/etica.htm.NBR ISO/IEC 17799. Tecnologia da Informação. Código de Práticapara a gestão de segurança de informação. ABNT. 2001.NEUMANN, Seev. Strategic Information Systems: Competitionthrough Information Technologies. New York: Macmillan CollegePublishing Co., 1994.O`BRIEN, James A. Sistemas de Informação e as DecisõesGerenciais na era da Internet. Saraiva, 2002.PINKERTON CONSULTING and INVESTIGATIONS. Top Security Threatsand Management Issues Facing Corporate America 2002 Survey ofFortune 1000 Companies, Pinkerton Service Corporation, 2002.PURPURA, Philiph. Security and Loss Prevention : An Introduction.Boston: Butterworth – Heinemann, 3ª edição, 1998.RFC-2828. Request for Coment: Internet Security Glossary. Disponívelem http://www.ietf.org/rfc/rfc2828.txt.ROPER, Carl A. Risk Management for Security Professionals. Boston:Butterworth – Heinemann, 1999.ROSENTAL, M. Pequeno dicionário filosófico. São Paulo: EditoraPolítica do Estado,1959. 602p.SALDANHA, Fernando. Introdução a planos de continuidade econtingência operacional. 1. ed. Rio de Janeiro: Papel Virtual, 2000.SENNEWALD, Charles A. Effective Security Management Boston:182

Auditoria de Sistemas InformatizadosButterworth – Heinemann, 3ª edição, 1998.SEGURANÇA. Segurança Máxima: O Guia Completo de um Hackerpara proteger o seu site na Internet e sua rede. Rio de janeiro. Campus.2000.SPYMAN. Manual Completo do Hacker. Book Express. 2000.SROUR, R. H. Poder, cultura e ética nas organizações. Rio de Janeiro:Campus, 1998. 340p.TOP 10: Os vírus que mais atacaram. Security Magazine. São Paulo.n. 25, Julho de 2004. Disponível em http://www.securitymagazine.com.br.183

Sobre os professores conteudistasAbilio Bueno de Oliveira Neto é bacharel em Ciênciada Computação, formado pela Universidade do Sul deSanta Catarina – UNISUL. Atualmente é mestrandoem Engenharia do Conhecimento na UniversidadeFederal de Santa Catarina – UFSC. É engenheiro desistemas operacionais certificado pela Microsoft e pelaIBM. É também certificado LPI e Citrix. Possui 12 anosde experiência na área tecnologia, 8 deles dedicados àárea de segurança de informação Atualmente, trabalhacomo Arquiteto de Soluções e Auditor de Sistemas deInformação em uma IBM Business Premier Partnerchamada POWERSolutions, em Florianópolis.Davi Solonca é bacharel em Administração de Empresaspela Universidade Federal de Santa Catarina em 1987.Defendeu sua dissertação de Mestrado em 1994, como título “Valores e crenças dos dirigentes patrimoniaise profissionais que influenciam a profissionalizaçãode empresas familiares”. Natural de São Paulo – SP,radicado em Santa Catarina desde 1978. Concursado em1984 no Tribunal de Contas de Santa Catarina. ExerceuChefias do Controle Externo no Tribunal de Contas.Fez parte de várias Comissões: Análise das Prestações deContas do Governo do Estado por mais de 10 anos (1992a 2004); Comissão que analisou as Letras Financeiras doTesouro do Estado de SC; Auditoria da Dívida Públicade 1992 a 2002; Realizou diversas auditorias externas nosórgãos públicos como Secretaria de Estado da Fazenda,Procuradoria Geral do Estado, Secretaria de Estadoda Administração referente ao controle e cobrança daDívida Ativa do Estado; Auditorias de Gestão; Auditoriano orçamento público estadual, finanças públicas, LRF.Auditoria dos Convênios efetuados pelo Estado comPrefeituras Municipais; Analisou a antecipação de

ecursos através das Subvenções e Auxílios a Entidades Civis eÓrgãos Estaduais. Professor da Unisul desde 1998, do curso deCiência da Computação e de Sistemas de Informação, ministra asdisciplinas de Auditoria de Sistemas e Administração e Sistemas,respectivamente; na Pós-graduação curso de Especializaçãode Auditoria Governamental e Responsabilidade Fiscal e nasFaculdades Energia: Finanças Públicas e Orçamento Público ematérias afins de Administração.

Respostas e comentários dasatividades de auto-avaliaçãoA seguir, acompanhe as respostas sobre as atividades de autoavaliaçãoapresentadas ao longo de cada uma das unidadesdesta disciplina. Para o melhor aproveitamento do seuestudo, confira suas respostas somente depois de realizar asatividades propostas.Unidade 1Respostas:1) Basicamente, problemas com a integridade, o caráterconfidencial e a disponibilidade das informações.2) Palavras-chaves para esta resposta são: proteção deinvestimento de TI, aumento dos níveis de segurança deinformações, aderência a alguma norma de segurança,exigência de parceiros de negócio, garantir a continuidadedos negócios.3) Palavras-chaves que contém a resposta correta são:facilidade de acesso a informações confidenciais dentrode uma corporação, a fraude simples pelo motivo dedinheiro, a insubordinação perante superiores ditos comoincompetentes, o prazer de ter burlado a segurança de algumalvo desprotegido, insatisfação com o emprego.Unidade 2Respostas:1) A tendência de sempre se aprimorar, pois com o advento dainformática, coletar dados, mesmo no caso de uma auditoriade finanças é muito mais complexo do que antigamente,forçando o auditor a sempre se atualizar no que diz respeito asoftwares financeiros, sistemas informatizados de auditorias,entre outras tecnologias.2) Antes da assinatura do contrato, uma proposta comercial deveser apresentada à empresa contratante de forma que se saibado escopo de trabalho, ou seja, todas as responsabilidades da

Universidade do Sul de Santa Catarinaempresa contratada e da contratante, para que, no final dos serviços,possa se fazer um processo de Quality Assurance da auditoria em si, ouseja, uma medição do que foi proposto e do que foi realizado.A empresa que contratar os serviços de auditoria de terceiros deveter o cuidado de escolher a empresa contratada seguindo algumascaracterísticas como: tempo que a empresa está no mercado, se aempresa possui um plano de atualização permanente dos auditores,se a empresa não possui muitas queixas ou processos de clientes,verificar a carteira de clientes da empresa, entre outras características.Na hora da assinatura do contrato, lembrar de ler a parte que fala sobreo sigilo de contrato, que é imprescindível para um contrato de serviçosde auditoria, pois se a empresa contratada não for de boa índole, oauditor pode vazar informações para concorrentes, especialmente seele presta serviços para ambas as empresas. Verificar se a norma oupadrão adotado pela empresa é uma norma de grande aceitação nomercado. Verificar se a empresa está atualizada no que concerne àsúltimas mudanças do mundo contábil, financeiro ou tecnológico. OBS:São 4 itens que devem ser cuidados no que se refere ao cliente, porémse você se lembrar de pelo menos três, já está valendo!3) Um dos principais motivos de se dar importância à organização desseprojeto, é que as empresas de auditorias possuem recursos humanosescassos o que faz com que seu tempo seja gerenciado com muitocritério. Sua presença para execução de alguma tarefa só é definida noscaso em que sua atuação seja realmente necessáriaUnidade 3Respostas:1) A função dessa análise é obter uma medida da segurança existenteem determinado ambiente informatizado. A primeira consideraçãorelacionada com segurança de ativos de informações, como qualqueroutra modalidade de segurança, é a relação custo-benefício. Nãose gasta dinheiro em sistemas de segurança ou serviços que nãotenham retorno ou que ao menos não garantam algum retorno deinvestimento, isto é, não se gasta mais dinheiro em proteção do que ovalor do ativo a ser protegido.2) Basicamente, uma política de segurança tem como objetivospreservar os ativos de informação da corporação, garantindo ocaráter confidencial, integridade e disponibilidade da informação. Ocaráter confidencial garante que a informação será acessada somentepelo grupo de pessoas autorizadas. Integridade para garantir que ainformação estará intacta, sem distorções ou possíveis corrupções dedados. Disponibilidade para garantir que a informação estará sempredisponível ao usuário.188

Auditoria de Sistemas Informatizados3) Os controles são formas de proteger a informação contra desastres,sinistros ou até mesmo ataques externos ou internos. Eles podem serlógicos, físicos ou ambientais. Um bom exemplo de um controle deacesso lógico, são os programas de antivírus. Quanto aos controlesde acessos físicos, temos as salas-cofre, autenticação biométrica paraacesso ao datacenter, entre outros. Por sua vez, como exemplo decontroles ambientais, temos os equipamentos de condicionador de ar,sistemas de prevenção a incêndios, amortecedores contra terremotos,entre outros.Unidade 4Respostas:1) A Análise de Impacto no Negócio permite quantificar o valor das perdasque podem ser causadas por incidentes de segurança da informação,considerando os aspectos de caráter confidencial, integridade edisponibilidade. Os resultados da Análise de Impacto no Negóciodão suporte ao planejamento estratégico de segurança, permitindopriorizar os investimentos nos pontos mais críticos, ou seja, aqueles quepodem gerar as maiores perdas para a empresa.2) Elas são bem distintas, basicamente a estratégia “Hot Site” é muitomais eficiente e eficaz, porém muito mais cara. O que vai diferenciara escolha basicamente é a análise de impacto e a análise de riscos quevão apontar a medida de segurança do ambiente e onde se encontra o“calo” da estrutura.3) Em um ambiente informatizado, as formas de ameaças mudam todosos dias, cada vez mais aprimoradas. Da mesma forma, o plano decontinuidade de negócios deve estar sempre atualizado para serútil. Outro fato é que a manutenção do plano pode acusar falha deprocesso, que podem ser corrigidas para aumentar a eficácia do plano.Unidade 5Respostas:1) ITF – Integrated Test Facility2) Essa categoria de controle tem como parâmetro limitar e supervisionaro acesso aos programas e arquivos críticos do ambiente computacionaldo cliente, com o objetivo de proteger as aplicações presentes.3) Procedimentos como a devolução de crachás, chaves, exclusão do logindo usuário, definição de período de sigilo que um ex-funcionário devecumprir, entre outros.189