0 Auditoria Seguran A Sistemas WEB1

1
PROF. JEFFERSON RIBEIRO DE LIMA
AUDITORIA E SEGURANA DE SISTEMAS
SERRA
2010
Auditoria e Segurana de Sistemas
2
Governo Federal
Ministro de Educao
Fernando Haddad
Ifes Instituto Federal do Esprito Santo
Reitor
Denio Rebello Arantes
Pr-Reitora de Ensino
Cristiane Tenan Schlittler dos Santos
Diretora do CEAD Centro de Educao a Distncia

Yvina Pavan Baldo
Coordenadoras da UAB Universidade Aberta do Brasil
Yvina Pavan Baldo
Danielli Veiga Carneiro
Curso de Tecnologia em Anlise e Desenvolvimento de Sistemas

Coordenao de Curso
Andromeda Goretti Correa de Menezes
Designer Instrucional
Andreia Chiari Lins
Professor Especialista/Autor
Jefferson Ribeiro de Lima
Catalogao da fonte: Rogria Gomes Belchior - CRB 12/417

L732a Lima, Jefferson Ribeiro de
Auditoria e segurana de sistemas. / Jefferson Ribeiro de Lima. Vitria: Ifes, 2010.
82 p. : il.
1. Auditoria - Processamento de dados. 2. Processamento eletrnico de dados -
Medidas de segurana. 3. Sistemas de recuperao da informao - Medidas de
segurana. I. Instituto Federal do Esprito Santo. II. Ttulo.
CDD 005.8
DIREITOS RESERVADOS
Ifes Instituto Federal do Esprito Santo
Av. Vitria Jucutuquara Vitria ES - CEP - (27) 3331.2139
Crditos de autoria da editorao

Capa: Juliana Cristina da Silva
Projeto grfico: Juliana Cristina e Nelson Torres
Iconografia: Nelson Torres
Editorao eletrnica: Duo Translation
Reviso de texto:
Ilioni Augusta da Costa
COPYRIGHT proibida a reproduo, mesmo que parcial, por qualquer meio, sem autorizao escrita dos
autores e do detentor dos direitos autorais.
Tecnologia em Anlise e Desenvolvimento de Sistemas

3
Ol, Aluno(a)!
um prazer t-lo conosco.
O Ifes Instituto Federal do Esprito Santo oferece a voc, em parceria

com as Prefeituras e com o Governo Federal, o Curso Tecnologia em An-
lise e Desenvolvimento de Sistemas, na modalidade a distncia. Apesar de
este curso ser ofertado a distncia, esperamos que haja proximidade entre
ns, pois, hoje, graas aos recursos da tecnologia da informao (e-mails,
chat, videoconferncia, etc.) podemos manter uma comunicao efetiva.
importante que voc conhea toda a equipe envolvida neste curso: coor-
denadores, professores especialistas, tutores a distncia e tutores presenciais,
porque quando precisar de algum tipo de ajuda, saber a quem recorrer.
Na EaD Educao a Distncia, voc o grande responsvel pelo sucesso

da aprendizagem. Por isso, necessrio que se organize para os estudos e
para a realizao de todas as atividades, nos prazos estabelecidos, confor-
me orientao dos Professores Especialistas e Tutores.
Fique atento s orientaes de estudo que se encontram no Manual

do Aluno!
A EaD, pela sua caracterstica de amplitude e pelo uso de tecnologias mo-

dernas, representa uma nova forma de aprender, respeitando, sempre, o
seu tempo.
Desejamos-lhe sucesso e dedicao!
Equipe do Ifes

4
ICONOGRAFIA
Veja, abaixo, alguns smbolos utilizados neste material para gui-lo em seus estudos
Fala do Professor
Conceitos importantes. Fique atento!
Atividades que devem ser elaboradas por voc,

aps a leitura dos textos.
Indicao de leituras complemtares, referentes

ao contedo estudado.
Destaque de algo importante, referente ao

contedo apresentado. Ateno!
Reflexo/questionamento sobre algo impor-

tante referente ao contedo apresentado.
Espao reservado para as anotaes que voc

julgar necessrias.

5
AUDITORIA E SEGURANA DE
SISTEMAS
CAP 1 - AUDITORIA E SEGURANA DE SISTEMAS11

1.1. Auditoria 12
1.1.1. Campo, mbito e rea.12
1.2. Auditoria assistida13
1.3. Auditor de sistemas14
1.3.1. Papel do auditor de sistemas14
CAP 2 - TIPOS DE AUDITORIA17

2.1. Auditoria interna17
2.1.1. Auditores internos18
2.2. Auditoria externa19
2.3. Auditoria articulada20
CAP 3 - PLANEJAMENTO DA AUDITORIA23

3.1. Planejamento para auditoria de sistemas24
3.2. Avaliao dos controles internos24
3.2.1. Natureza dos controles25
3.2.2. Controle preventivo25
3.2.3. Controle detectivo25
3.2.4. Controle corretivos25
3.3.Ponto do controle26
3.4. Testes da auditria26
3.4.1. Testes de conformidades27
3.4.2. Testes substantivos27
3.5. Relatrio de auditoria29
3.5.1. Modelo de um relatrio de auditria29
CAP 4 - CONTROLES INTERNOS 31

4.1. Definio31
4.2. Tipos de controles33
4.2.1. Controles administrativos33
4.2.2. Controle de segurana33
4.2.3. Controle para recebimento e entrada de dados34
4.2.4. Controle do processamento35
4.2.5. Controle de sada35

6
4.2.6. Procedimentos de controle para sistemas de

informao36
CAP 5 AUDITORIA AUXILIADA POR SOFTWARES 39

5.1. Mtodos39
5.2. Ferramentas40
5.2.1. Tcnicas de auditoria e segurana de sistemas44
5.3. Auditoria assistida por computador45
CAP 6 - AUDITORIA DE HARDWARE E SOFTWARE 47

6.1. Auditoria de hardware 47
6.1.1. Objetivo principal do controle de hardware48
6.2. Auditoria de software 48
6.2.1. Objetivo principal da auditoria de software49
6.3. Controles internos dos softwares 50
CAP 7 - GESTO DO RISCO EM SISTEMA DE

INFORMAO53
7.1. Gesto de risco53
7.2. Identificando riscos53
7.3. Simulao de ataque57
CAP 8 - PADRES DE PROCESSOS 59

8.1. Normas e padres59
CAP 9 - POLTICA DE SEGURANA DA INFORMAO 63

9.1. Poltica de segurana63
9.2. Adoo da PSI 63
CAP 10 - ASPECTOS HUMANOS DA SEGURANA DA

INFORMAO 67
10.1. Aspectos humanos 67
10.2. Equipe de segurana68
10.3. Segurana do ncleo operacional 68
10.4. Engenharia social69
CAP 11 - SEGURANA DO AMBIENTE 71

11.1. Segurana do ambiente fsico 71
11.1.1. Proteo de documentos72

7
11.1.2. Proteo de mdias73

11.1.3. Proteo de hardware73
11.2. Segurana do ambiente lgico74
11.2.1. Proteo do ambiente lgico74
11.2.2. Permetro de segurana do ambiente
lgico76
11.3. Controle de acesso76
11.3.1. Proteo do controle fsico76
11.3.2. Proteo do controle lgico76
REFERNCIAS BIBLIOGRFICAS 79

8

9
APRESENTAO
Ol!
Meu nome Jefferson Ribeiro de Lima,
sou responsvel pela disciplina Auditoria e Segurana de Sistemas. Sou gra-

duado em Tecnologia em Processamento de Dados e especialistas em desen-
volvimento de sistemas em Java (UFES). Atualmente fao parte do grupo
de pesquisa do Instituto Federal, voltado ao desenvolvimento de aplicaes
para dispositivos mveis, utilizando transmisso de dados sem fio.
Atuo como professor do Ifes h cinco anos e j lecionei em vrias outras

instituies de ensino tcnico e superior. Tenho mais de dez anos de carrei-
ra como docente. Possuo vasta experincia em anlise e programao de
sistemas. J prestei servios para empresas de pequeno e grande porte, na
regio metropolitana da grande Vitria.
Sobre a disciplina, aprenderemos os conceitos e prticas, normalmente

utilizados nas organizaes para auditoria e segurana de sistemas, como
tambm, identificaremos algumas ferramentas teis para auxiliar no pro-
cesso de levantamento e anlise de dados.
Atravs da abordagem aplicada nesse material e seguindo os padres

que sero recomendados, voc poder desenvolver as competncias ne-
cessrias para auditar sistemas e planejar a poltica de gesto de risco da
tecnologia da informao.
Conheceremos inicialmente alguns conceitos e termos aplicveis no pro-

cesso da auditoria convencional. Em outro momento, vamos compreender
o funcionamento das tcnicas que sero aplicadas diretamente pela audi-
toria em sistemas. Para concluir, destaco os pontos relevantes da seguran-
a e a gesto de risco.
O objetivo deste material auxili-lo no estudo da disciplina, por meio

de dicas, sugestes e exemplos prticos, destacando os pontos relevantes
a serem estudados. Mas de qualquer forma, no dispensem a utilizao
de referncias bibliogrficas, pois elas acrescentam um maior aprofunda-
mento e exemplos adicionais sobre o contexto de estudo.
Desejo sucesso a voc!!!
Prof. Jefferson Ribeiro de Lima
Bons estudos!

10

11
AUDITORIA E SEGURANA DE
SISTEMAS
Ol,
Neste captulo voc ter um primeiro contato com a disciplina de
Auditoria e Segurana de Sistemas. A proposta inicial apresentar
os conceitos para trabalharmos posteriormente no estudo/execuo
da aplicabilidade das tcnicas da auditoria nas organizaes e na
gesto da Tecnologia da Informao (TI).
Bons Estudos!
Atualmente as empresas buscam melhorias no processo da gesto de

qualidade de produtos e servios, tendo em vista a demanda crescente
de consumidores mais exigentes. Para garantir que tudo funcione cor-
retamente com eficincia e eficcia necessrio aplicar o processo de
auditoria e segurana da informao. Desta forma, alm de certificar a
qualidade na execuo do servio, a empresa vai se prevenir contra aces-
sos externos no autorizados no sistema de informao.
Esse conceito pode ser interpretado como mecanismo do exame dos

procedimentos executados pelas empresas. Levando em considerao as
ameaas que pode violar a confidencialidade, integridade e disponibili-
dade dos dados. provvel que qualquer falha na aplicao do conceito,
coloque em risco o patrimnio ou prpria existncia da organizao.
Confidencialidade:
Processo pelo qual as informaes devem ser acessadas apenas
por pessoas autorizadas.
Exemplo: Declarao de imposto de renda que acessada apenas
pelo contruinte ou pelo administrador do sistema da receita.

12
Captulo 1
Integridade:
Processo pelo qual as informaes devem ser mantidas de forma
ntegra, a fim de garantir que os dados no sejam alterados ou
excludos por pessoas no autorizadas.
Exemplo: Conta de e-mail, ningum pode alterar ou excluir, com
exceo do prprio usurio.
Disponibilidade:
o processo que garante a acesso as informaes quando
necessrio.
Exemplo: Voc pode ficar sem acesso a internet por causa de um
problema no provedor.
1.1. Auditoria
Segundo Dias (2000), uma atividade que engloba o exame das

operaes, processos, sistemas e responsabilidades gerenciais de
uma determinada entidade, com intuito de verificar sua confor-
midade com suas regras, normas ou padres.
Conforme o prprio conceito explica, auditoria a anlise minuciosa

das operaes. Portanto devemos aplica-l nos processos que so reali-
zados pelas pessoas nas empresas. Os processos so rotinas de trabalhos
que normalmente so documentados, com a finalidade de direcionar a
realizao de uma ou vrias atividades. Aos sistemas cabe gerenciar as
operaes e os processos nas organizaes, no intuito de garantir a exe-
cuo e o correto funcionamento dos procedimentos de acordo com as
regras e normas estabelecidas para empresa.
1.1.1. Campo, mbito e rea.
Dentro da auditoria de sistemas, necessrio definir claramente os ob-

jetivos a serem alcanados, devido a isso devemos conhecer o campo, o
mbito e rea que sero analisados.

13
O campo define o que ser fiscalizado, como tambm o tempo da exe-

cuo do trabalho de auditoria e a sua finalidade.
No mbito, sero definidos quais so os processos da empresa sero ava-

liados na auditoria.
Em relao rea, podemos definir como dimenso dos trabalhos entre o

conjunto do campo e mbito, delineando o permetro do trabalho. Atra-
vs deste conceito possvel dimensionar a amplitude do trabalho da
auditoria a ser desenvolvido, pois teremos a percepo exata dos setores
e processos que sero abordados.
1.2. Auditoria assistida
uma tcnica que utiliza o computador para auditar os recursos e pro-

cessos da empresa. Dessa forma, ganhamos agilidade no resultado dos
exames efetuados por qualquer equipamento. O uso da automatizao
na anlise dos processos amplamente utilizado como parte da audito-
ria geral nas organizaes.
Dentre os objetivos a serem alcanados podemos citar:
Reduo dos custos;
Menor possibilidade de erros;
Agilidade para anlise dos processos.

14
Captulo 1
1.3. Auditor de sistemas
Auditor:
Profissional responsvel em efetuar o exame da auditoria. Possui
competncias e habilidades necessrias para avaliao e gerao
de laudos para certificao da empresa.
o profissional responsvel em efetuar a anlise nos controles informa-

tizados da entidade. importante lembrar que a formao bsica do au-
ditor de sistemas similar qualquer outro tipo de auditor, que adquirir
o conhecimento dos padres internacionais para prtica da auditoria.
As principais mudanas encontra-se no exame das informaes, que
inicialmente era feita manualmente, agora tambm pode ser executada
com auxilio de computadores.
Contudo devemos destacar que o auditor de sistemas nunca deve ser

visto como um profissional isolado, pelo fato de trabalhar diretamente
com ferramentas voltadas as tecnologias. O auditor de sistema pode ser
visto como membro da equipe de auditores designada para levatamento
e gerao de resultados, sua funo e oferecer suporte em decorrncia
dos avanos tecnolgicos inseridos nas organizaes.
O auditor de sistemas deve ser perspicaz e acima de tudo, deve pos-

suir habilidades e competncias para exercer da forma plena e obje-
tiva o seu trabalho.
1.3.1. Papel do auditor de sistemas
O auditor de sistema realiza o controle do fluxo das informaes compu-

tacionais para comprovar a efetividade dos programas, garantindo desta
forma a integridade, confiabilidade e confidencialidade dos processos.
O auditor tambm tem o papel primordial na elaborao do plano de

teste (o que ser testando a nvel computacional), checagem de rotinas
sistmicas (verificao e validao de dados fornecidos pelos sistemas
da empresa) e diagnstico das falhas ou vulnerabilidades encontradas
na gesto da tecnologia da informao.
Para ser tornar um auditor de sistemas, so necessrias algumas habili-

dades como:

15
Ser honesto e paciente;
Possuir conhecimentos sobre as prticas da auditoria;
Conhecer tecnologias diversas;
Ter domnio das linguagens computacionais.
Para alcanar o objetivo de ser bom auditor, ser necessrio algum

tempo de estudo e muita prtica. Desta forma ser possvel atingir a
excelncia na prestao do servio.
___________________________________________________
___________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
___________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________
__________________________________________________

16
Captulo 1
Atividade 01
1) Responda:
a) Qual a importncia da auditoria nas empresas?
b) O processo aplicao dos mtodos da auditoria pode variar
conforme a empresa?
c) Podemos afirmar que os conceitos de segurana da informao
so aplicados apenas nos sistemas computacionais?
d) Entre os conceitos aplicveis na segurana da informao: con-
fidencialidade, integridade e disponibilidade. Qual deles podemos
destacar como o primordial?
e) Explique a diferena entre auditoria e auditoria de
sistemas?
f) Podemos afirmar que o auditor de sistemas um profissional de
conhecimento especfico? Por qu?
g) Defina quais so as atribuies de um auditor de sistema?
h) Cite alguns benefcios proporcionados pela auditoria assistida?

17
A Internet
TIPOS DE AUDITORIA
Ol,
Esse captulo tem por objetivo definir as principais diferenas entres
os tipos de auditoria interna, externa e articulada, com o intuito de
fornecer o conhecimento necessrio para aplicao da tcnica na
auditoria de sistemas.
Bons estudos!
Conforme aprendemos no captulo anterior, a auditoria responsvel

pela anlise das operaes e processos das empresas, com objetivo de
certificar e atestar a qualidade dos produtos ou servios. Para se obter
a certificao e necessrio aplicar as normas do processo de gesto. E
devido a esse fato, para atender aos padres da qualidade, as auditorias
so divididas em trs partes:
Auditoria Interna;
Auditoria Externa;
Auditoria Articulada.
A seguir, vamos entender a importncia de cada tipo de processo e o seu

contexto de aplicao.
2.1. Auditoria interna
A auditoria interna definida como um processo da entidade, com ob-

jetivo de verificar a eficcia da mesma, ou seja, se os seus requisitos esto
sendo atendidos na realizao das atividades da empresa.
A auditoria interna atua na identificao de oportunidades de me-

lhoria na execuo e gerenciamento das tarefas executadas pelos
funcionrios, proporcionando a implementao de aes corretivas
no sistema empresarial.

18
Captulo 2
2.1.1. Auditores internos
O primeiro passo para aplicao da auditoria interna selecionar o co-

mit gestor responsvel.
Esse comit composto por uma equipe de funcionrios de confiana

da empresa. Os mesmos so selecionados por indicao da direo ou
gerente da instituio. A funo do comit gestor criar o manual da
qualidade e acompanhar e fiscalizar as aplicao dos processos e proce-
dimentos de trabalho.
Para ser auditor interno, o funcionrio dever participar de um treina-

mento ofertado pela empresa certificadora. A aquisio dessas compe-
tncias e habilidades primordial para o desenvolvimento e/ou cons-
truo do manual da qualidade que ser utilizado na empresa.
Entre as funes do comit, cabe destacar a criao das rotinas de

trabalhos, bem como, efetuar o acompanhamento dos indicadores
definidos no manual.
Atravs do acompanhamento e fiscalizao os membros do comit to-

mam as aes corretivas que podero impactar diretamente nos proce-
dimentos de trabalho dos funcionrios.
Manual da qualidade o documento que descreve a gesto e

funcionamento da empresa. Esse guia gerado pelos auditores in-
ternos, com o suporte da empresa certificadora. Sua funo prin-
cipal direcionar e padronizar as rotinas e processos internos de
trabalho, para alcanar a excelncia na prestao de servios ou na
produo de insumos.
Dentro do contexto da auditoria a palavra Procedimento repre-

senta a descrio das funes exercidas pelas pessoas nas empre-
sas. Podemos definir como rotina de trabalho diria. Atravs dessa
descrio, qualquer funcionrio poder ser realocado ou substitu-
do, pois o procedimento, norteia passo a passo como executar a
tarefa para qualquer tipo de funo.

19
Tipos de Auditoria
2.2. Auditoria externa
o exame minucioso das atividades desenvolvidas na empresa ou de-

partamentos. Seu objetivo checar se as diretrizes planejadas pelo ma-
nual da qualidade, esto sendo implementadas com eficcia, em confor-
midade com as suas normas estabelecidas.
Atualmente, a auditoria externa se distribui em diversas reas de gesto,

havendo vrias ramificaes como exemplo:
Auditoria de sistemas;
Auditoria de recursos humanos;
Auditoria da qualidade e outros.
Os profissionais de auditoria so certificados e devem seguir rigorosas

normas profissionais estabelecidas pela NBR ISO.
Figura 2 Auditor certificado
A funo do auditor externo aplicar, de forma independente da en-

tidade fiscalizada, as tcnicas e normas estabelecidas com objetivo de
emitir parecer sobre a gesto da empresa. O auditor deve ser tico e
independente, seguindo a legalidade.
O auditor externo define criteriosamente as reas que sero avaliadas

para definir o planejamento da auditoria que ser implementada na en-
tidade. Atravs da anlise dos pontos de controle, o auditor vai emitir
seu parecer atravs do relatrio final da auditoria.

20
Captulo 2
importante ressaltar que o trabalho do auditor externo no se

resume confeco do relatrio final de auditoria. O mesmo faz o
acompanhamento e direcionamento nas instituies at a fase de
avaliao final.
As consideraes mais importantes devem ser destacas pelo auditor

externo na avaliao final. Essas consideraes podem definir se a
empresa est em conformidade ou no para adquirir o certificado de
qualidade total.
2.3. Auditoria articulada
o trabalho conjunto realizado entre a auditoria interna e externa.

Sua principal funo informar ao auditor externo sobre problemas
j detectados na gesto da empresa. Desta forma o auditor externo
far a avaliao das aes preventivas, detectivas e corretivas aplica-
das para sanar a falha.
O trabalho entre os auditores internos e externos muito importante,

principalmente para direcionar quais os pontos de controle necessitam
de mais ateno.
O auditor externo tem autonomia para definir quais so os pon-

tos principais a serem investigados independemente da posio
auditoria interna. Caso os achados da auditoria (documentos e
processos analisados) no sejam satisfatrios, o auditor externo,
poder utilizar o relatrio da auditoria interna como direcionador
para execuo do seu trabalho.
O auditor externo ao planejar a auditoria define junto ao comit de au-

ditoria interna a natureza e as reas envolvidas para auditagem. Exem-
plo: Auditorias administrativa, contbil, financeira, legalidade, sistemas,
operacional e outras. A todo o momento, existe a troca de informaes
entre os profissionais consultores externos e internos, na busca da solu-
o que seja ideal para a instituio.

21
Tipos de Auditoria
Ser que possvel aplicar a soluo atingida pelo processo de au-

ditoria de uma empresa em outras?
provvel que no, mesmo que o ramo de segmento seja o mes-
mo, cada instituio tem as sua particularidade. Normalmente a
empresa definir seu perfil, ao iniciar o programa de gesto.
Atividade 2
1) Responda:
a) Cite os tipos de autoria e explique suas diferenas.
b) Qual a papel desempenhado pelo comit gestor interno?
c) Podemos dizer que procedimentos so normas? Explique.
d) Quais so os processos passveis de auditoria?
e) Comente a respeito da auditoria articulada e qual a sua
finalidade.
f) Comente sobre a importncia do trabalho da auditoria
externa.
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
____________________________________________________

22
Captulo 2

23
Arquitetura
A Internet
TCP/IP
PLANEJAMENTO DA AUDITORIA
Ol,
Nesse captulo vamos entender os conceitos para desenvolver o pla-
nejamento da auditoria. Esse planejamento primordial para a
execuo e finalizao do trabalho realizado pelo auditor.
Bons estudos!
O planejamento da auditoria a primeira fase do trabalho do auditor e

deve ser realizada com uma viso tcnica e bem estruturada, para ga-
rantir a eficincia nas fases posteriores.
Para efetivar esse planejamento, ser necessrio ter um conhecimento

prvio da entidade a ser auditada. Desta forma, ser possvel estimar
tempo, pontos importantes para investigar e pessoas que sero alocadas
para o trabalho.
A palavra entidade, representa uma empresa (pessoa jurdica).

Na verdade, existem diversos sinnimos para definir esse termo:
entidade, empresa, organizao e outros.
Dentre as fases a serem destacadas no planejamento, podemos citar:
Conhecer a empresa;
Determinar escopo do trabalho;
Definir recursos, prazos e pessoas;
Definir cronograma para execuo dos trabalhos.

24
Captulo 3
3.1. Planejamento para auditoria de sistemas
Dentro do planejamento geral da auditoria, vamos encontrar uma sub-

categoria denominada sistema de informao. Da mesma forma que
abordamos aspectos ligados s rotinas de controles internos, proces-
sos e procedimentos da empresa, se faz necessrio analisar sistemas
informatizados.
Para que a categoria (sistema de informao) seja abordada de forma

adequada ao contexto geral da auditoria, ser necessrio checar a con-
fiabilidade do plano de poltica de segurana da gesto de tecnologia
da informao. Caso no haja credibilidade na poltica empregada, ser
necessrio expandir o tempo de investigao do planejamento, criando-
se mtodos que possam atender a esse quesito primordial para o fluxo
seguro das informaes.
Na execuo do planejamento necessrio criar o cronograma estiman-

do tempo, demanda de profissionais e principalmente os setores e equi-
pamentos que sero analisados.
3.2. Avaliao dos controles internos
A avaliao dos controles internos proporciona uma grande preocupa-

o no processo de auditoria, qualquer que seja o seu objetivo.
Segundo a definio presente nas normas brasileiras para o exer-

ccio de auditoria interna: Controles internos devem ser enten-
didos como qualquer ao tomada pela administrao (assim
compreendida tanto pela alta administrao como nos nveis ge-
renciais apropriados) para aumentar a probabilidade de que os
objetivos e metas sejam atingidas. Essas aes tm a finalidade de
conferir preciso e confiabilidade aos dados contbeis, promover
a eficincia operacional e encorajar a aderncia s polticas admi-
nistrativas prescritas.

25
Planejamento da Auditoria
3.2.1. Natureza dos controles
Podemos classificar a natureza dos controles de trs formas:
Preventivos;
Detectivos ;
Corretivos.
3.2.2. Controle preventivo
O controle Preventivo utilizado na tentativa de eliminar erros, omis-

ses ou fraudes antes da incidncia. Sem dvida podemos considerar o
mecanismo de controle mais eficiente, pois evita os problemas antes que
aconteam.
3.2.3. Controle detectivo
O controle Detectivo serve para localizar erros ou fraudes no sistema da

empresa. Possibilitando dessa forma a rpida interveno ou eliminao
de procedimentos no confiveis.
3.2.4. Controle corretivos
Utilizados para correo de erros quando detectados. Desta forma o impacto

sobre a instituio ser menor, pois a falha foi prevista com antecedncia.
Segundo Dias (2000), o controle a monitorao, fiscalizao ou

exame minucioso, que obedece a determinadas expectativas, normas,
convenes sobre as atividades de pessoas, rgos ou sobre produtos,
a fim de no haver se desviarem das normas preestabelecidas.
As tcnicas de controles so aplicadas tanto no nvel de instituio,

bem como, na gesto de TI (Tecnologia da Informao). impor-
tante frisar que antes de existncia de um sistema computacional,
j existe a empresa, que por sua vez promover procedimentos
para uma padronizao de sua rotina de trabalho.

26
Captulo 3
3.3.Ponto do controle
Segundo Dias (2000), a situao do ambiente computacional deve ser

considerada pelo auditor como sendo de interesse para validao e ava-
liao do processo de trabalho. Dentro da instuio, podemos determi-
nar os pontos chaves para avaliao e levantamentos de informaes
pertinentes ao trabalho de anlise investigativa do auditor. importante
ressaltar que pontos no considerados chaves, podero ser reclassifica-
dos para uma possvel ponto de controle.
Ponto de controle o apontamento ou indicao dos setores e/

ou procedimentos que sero avaliados a fundo pelo auditor. No
primeiro momento, o auditor observa superficialmente a rotina
da empresa, destacando, atravs do seu ponto vista, o que pode ser
importante para uma anlise futura mais aprofundada.
Atravs do ponto de controle possvel criar indicadores que vo auxiliar

as possveis mudanas ou melhorias na organizao. Bem como, auxiliar
o auditor, a gerar grficos de reas ou regies crticas da entidade. Essas
informaes so essenciais na gerao do relatrio final da auditria.
importante entender que os controles, em sua ampla natureza,

so diretamente relacionados aos documentos que sero confeccio-
nados para padronizar a forma de trabalho da entidade. Seu uso
tambm pode ser aplicado, como ferramenta de apoio ao trabalho
realizado pela auditoria.
3.4. Testes da auditria
possvel atingir os objetivos da auditria utilizando dois tipos de testes.
Testes de conformidade;
Testes substantivos.

27
3.4.1. Testes de conformidades
So utilizados na tentativa de verificar a confiabilidade dos controles in-

ternos da organizao. normal que uma empresa j tenha sua rotina de
trabalho, basta saber at onde essas rotinas so confiveis, ou se realmente
so efetivas. O auditor tem autonomia para efetuar testes atravs dos con-
troles normalmente utilizados, no intuito de detectar possveis falhas.
Quando o auditor encontrar algo que no est sendo executado, con-

forme descrito pelos prprios controles criados pela empresa, podemos
dizer que o procedimento de trabalho gerou uma inconformidade.
Inconformidade ou no conforme
Inconformidade quer dizer no aceito. Esse termo muito utili-
zado pela auditria para identificar processos ou procedimentos
que no esto funcionando adequadamente.
A inconformidade gera problemas no controle das organizaes.
O principal papel do auditor e localizar esse problemas para auxi-
liar o processo de correo dos controles internos.
3.4.2. Testes substantivos
Os testes substantivos verificam os documentos especficos da organiza-

o. Como controles financeiros, livro caixa, balancetes e outros. O seu
principal objetivo e checar a integridade das informaes que possam
afetar diretamente a vida financeira da empresa.

28
Captulo 3
Figura 3 - Conferente
Podemos citar como exemplo, a anlise do almoxarifado da organiza-

o, verificando alguns itens do mesmo para anlise por amostragem.
Desta forma, possvel quantificar se os dados de entrada lanados es-
to em conforme com os registros de sada.
Se o estoque possuir uma quantidade menor do que consta em registro,

certamente existe falha no controle interno.
Os controles internos so gerados pela prpria entidade. Sua princi-

pal funo organizar / auxiliar a rotina de trabalho de cada setor
ou grupo de trabalho.
Normalmente esse teste realizado por um profissional que tenha habi-

lidade em economia ou contabilidade, com conhecimento em inform-
tica, para analisar os dados que esto eletronicamente armazenados.
Certamente no ser necessrio que o auditor possua formao na rea

computacional, mas com o conhecimento mais aprofundado em tecno-
logia da informao, o trabalho ser facilitado. Normalmente esse tipo
de teste e realizado em conjunto por auditores com formao em suas
respectivas reas de conhecimento.

29
Os testes de conformidade e substantivos so importantes para a de-

teco de problemas e fraudes que possam ocorrer nas organizaes.
3.5. Relatrio de auditoria
a fase final do trabalho de auditria. Esta etapa do processo, envolver

a discusso e anlise sobre os documentos aplicados ou recolhidos pelo
comit e gerncia tcnica responsvel.
Tem como objetivo a definio por escrito do trabalho da auditoria, com

o enfoque direcionado aos processos da organizao.
importante ressaltar que o relatrio final da auditoria um documen-

to que deve ser concludo de forma independente e imparcial em rela-
o organizao.
Esse relatrio visa principalmente promover conhecimento sobre os fa-

tos analisados ocorridos no intuito de esclarecer ou apontar possveis
melhorias no processo.
3.5.1. Modelo de um relatrio de auditria
Um relatrio de final de auditoria, normalmente agrega as seguintes

informaes:
1. Nome da organizao, Data Inicial, Misso e objetivos;
2. Nome dos auditores;
3. Objetivos da Auditoria: Qual ser a rea abrangncia, o que se deseja

apurar e qual ser sua finalidade;
4. rea de desempenho: Locais que envolvem maiores ou menos ris-

cos na empresa;
5. Pessoas e Recursos: Pessoas que devem ser alocadas para a execuo do

trabalho, bem como, os instrumentos utilizados ou consumidos para anlise;
6. Cronograma: Incluso do cronograma e responsveis pela execuo

do trabalho;
7. Lies aprendidas no processo da auditria.

30
Captulo 3
O modelo de relatrio de planejamento no padro, pode ser

definido de acordo com as necessidades de trabalho do auditor.
Porm, altamente recomendado que o relatrio de planejamento
possua informaes importantes como objetivos e reas crticas a
serem avaliadas e outros.
Atividade 3
1) Responda:
a) possvel efetuar auditoria sem planejamento? Por qu?

O que uma entidade?
b) Dentre as fases do planejamento, qual a mais importante e
por qu?
c) Qual a necessidade de alocar tempo no planejamento para
anlise dos sistemas informatizados?
d) Qual a relao do controle interno com a tecnologia das
informaes?
e) Os controles preventivos, detectivos e corretivos so aplicados
somente nos sistemas de informao? Comente.
f) Qual o objetivo principal do ponto de controle?
g) A conformidade verifica a execuo natural do procedimento.
Comente o que procedimento?

31
Arquitetura
A Internet
TCP/IP
CONTROLES INTERNOS
Ol!
A partir deste captulo voltaremos a nossa ateno diretamente para
auditoria de softwares. O conceito de controle interno, j era aplic-
vel na gesto das empresas. Com a chegada da tecnologia da infor-
mao, esse conceito foi readequado para atender a nova filosofia
de trabalho. Sua finalidade definir uma poltica de organizao e
controle, a fim de proteger os ativos da organizao.
Bons Estudos!
4.1. Definio
Segundo Imoniana (2008), controle interno significa plano organizacional

e coordenao de um conjunto de mtodos e medidas adotados na empre-
sa, a fim de salvaguardar o ativo (bens e direitos). Atravs desses conceitos
possvel verificar com exatido e veracidade os registros contbeis.
Com o crescimento da demanda do uso dos computadores pelas empre-

sas, o conceito teve que ser readequado, pois inicialmente era feito da
forma manual.
O controle interno na auditoria de sistemas inclui a verificaes dos pro-

cessos e a confirmao quanto a sua efetividade. Para garantir que esses
processos sejam efetuados de forma plena, preciso definir os princ-
pios que brevemente sero destacados.
A seguir, citarei algumas recomendaes dos princpios que devem ser

adotados pelas organizaes, na expectativa de garantir o controle inter-
no aplicveis aos recursos computacionais.
Superviso
A empresa deve possuir ou capacitar um supervisor para a gesto da

tecnologia da Informao.

32
Captulo 4
Registros e comunicao
Quanto aos controles computacionais, a empresa deve definir pro-

cedimentos para distribuio, processamento e autorizao de
acesso aos dados.
Classificao de informao
Classificar a informao quanto ao seu grau de importncia. Desta for-

ma, podemos evitar que informaes importantes da organizao sejam
acessadas por pessoas no autorizadas.
Auditoriabilidade
Efetuar constantes verificaes nos procedimentos operacionais, para

homologao das operaes realizadas via sistema computacional.
Controle independente
Os sistemas devem garantir a execuo dos procedimentos adequados

para o reconhecimento e correo de erros de forma independente.
Monitoramento
Efetuar registro de acessos atravs de logs. O gerente deve ter livre aces-
so ao sistema, para efetuar o acompanhamento das ocorrncias.
O termo log utilizando nos sistemas informatizados para gerar

histrico das operaes realizadas pelos usurios. Seu objetivo
principal informar para o administrador ou responsvel pelo
sistema, quais foram as operaes realizadas por cada usurio
a partir do seu acesso. Desta forma, possivel saber quando o
usurio incluiu, deletou, alterou ou acessou eventos no sistema.
Atravs deste controle, possvel atribuir a responsabilidade por
qualquer tipo de falha na operao por parte do usurio.
Projeto
a parte vital dos princpios, pois responsvel pela definio do que

vai ser feito, e como ser feito o desenvolvimento, manuteno e im-
plantao dos sistemas.

33
Controles Internos
Plano de falhas
Tambm conhecido como plano de contingncia ou plano B, respon-

svel pela ao a ser executada caso algo no funcione adequadamente.
Qualquer tipo de irregularidade tratada pelo plano de falhas, seja a
nvel organizacional ou de sistema.
4.2. Tipos de controles
No h regra em relao aos tipos de controles informatizados. Isso

pode variar de acordo com a sistemtica do programa em operao.
4.2.1. Controles administrativos
Esse tipo de controle responsvel pela separao das responsabilidades

e funes no sistema de gesto. Caso seja norteada erroneamente, a
ocorrncia de fraudes ser inevitvel, pois o gestor no ter como saber
que foi o responsvel pelo evento ocorrido.
Assim, o trabalho do gestor de controle administrativo determinar as

tarefas e atividades que so compatveis para cada funo. Desta for-
ma, o sistema ser desenhado para atender a necessidades especficas
da empresa.
A responsabilidade da construo do sistema deve ser atribuda de pre-

ferncia a terceiros, que no tero nenhum tipo de acesso s operaes
dirias do sistema, para evitar possveis modificaes na aplicao que
possam ocasionar situaes de fraudes. Os usurios finais jamais deve-
ro ter acesso a informaes sobre a documentao do software.
4.2.2. Controle de segurana
Sem dvida nenhuma segurana a palavra chave nas atuais organi-

zaes. Seja a nvel estratgico, ttico ou operacional, a segurana das
informaes o grande motivo de preocupao na gesto das empresas.
Com atual gerncia dos dados sendo efetuada atravs de sistemas in-
formatizados, tornou-se imprescindvel preveno dos incidentes que
possam causar danos a documentos vitais.
Segundo Imoniana (2008), os controles de segurana, outros que no

aqueles que reduzem as pequenas ameaas e frequentes acontecimentos
operacionais, em detrimento do funcionamento normal do sistema, so
tambm concernentes s provises de facilidade de backup.

34
Captulo 4
Em outras palavras, um sistema de backup pode ser a soluo para evi-

tar possveis perdas de dados em decorrncia da m administrao ou
uso inadequado das informaes contidas em meio eletrnico.
Para criar uma rotina de backup (cpia de segurana dos da-

dos), aconselhvel criar um mapeamento das informaes
primordiais da empresa por setor. Desta forma a cpia de se-
gurana ter prioridade de armazenamento pelo grau de im-
portncia das informaes.
4.2.3. Controle para recebimento e entrada de dados
muito provvel que a captao distorcida de dados ou mal recebida

gere uma falha na integridade das informaes que sero inseridas
no sistema computacional. fato que inputs (entradas) erradas, con-
sequentemente geraro outputs (sadas) erradas. Desta forma, o pre-
juzo pode ser grande para organizao, trazendo aumento de custo,
falta de credibilidade, e tambm, descrena dos prprios usurios na
utilizao do sistema.
Para minimizar erros na alimentao dos sistemas atuais, foram criadas

rotinas para checagem, como, validao de dgitos verificadores, docu-
mentos pr-numerados para entrada de informaes e outros. Mas isso
no impede que erros possam ocorrer, principalmente pelo fato do tra-
balho de alimentao do sistema ser efetuado, na grande maioria das
vezes, de forma manual. Por mais que os sistemas tentem checar a vera-
cidade das transaes atravs de inconsistncias, existe a possibilidade
de entradas incorretas no banco de dados.
Por mais ateno que um ser humano possa ter ao executar uma
tarefa, aps algumas horas de trabalho, seu raciocnio afetado.
Por isso, ao executar qualquer trabalho, efetue alguns minutos
de parada a cada hora, para relaxamento. Isso pode ser aplicado
tambm no momento do seu estudo. Ao executar uma ativida-
de continuamente, voc estar sujeito a sofrer uma estafa mental,
ocasionando queda de desempenho.

35
Controles Internos
4.2.4. Controle do processamento
A partir do momento que garantimos a entrada correta das informa-

es, a partir da observao lgica, podemos analisar o resultado da
transformao que ser aplicado aps o processamento.
Creio que seja muito bvio saber qual ser o resultado esperado aps
uma operao de soma entre dois valores, por exemplo. A mesma coisa
ocorrer aps a alimentao de um sistema de gesto, o gerente ou ad-
ministrador da empresa normalmente tem um profundo conhecimento
do retorno que deve ser visualizado aps a transformao do dado pri-
mrio em um dado secundrio. O auditor de sistemas por sua vez, far
a entrada, buscando verificar a integridade, confiabilidade e disponibi-
lidade do sistema de gesto.
O controle de processamento nada mais do que uma parte lgica

do sistema computacional, responsvel em receber e transformar
o dado primrio no resultado final. Para que isso ocorra, os ges-
tores do sistema devem garantir que as informaes de entrada
sejam ntegras e confiveis.
4.2.5. Controle de sada
Conforme j comentamos acima, no haver uma sada correta caso no

haja entrada correta. Na sada, teremos o resultado do processamento
efetuado. Normalmente esse resultado exibido atravs de relatrios ou
grficos. Para que essa informao no seja distribuda de forma de-
sordenada a qualquer usurio necessrio que a entidade possua uma
poltica de acesso aos dados. Desta forma, a empresa garante que apenas
pessoas autorizadas tero acesso informao.
Poltica de segurana a expresso formal das regras pela qual

fornecido acesso aos recursos tecnolgicos da empresa. Cada
empresa define suas prprias regras, no existe padro, porm al-
gumas recomendaes so vitais para garantir a segurana.

36
Captulo 4
4.2.6. Procedimentos de controle para sistemas de

informao
Dentro das organizaes os procedimentos de controle de sistema sero

avaliados pelos auditores, que normalmente, so pessoas com habilida-
des no trabalho com sistemas informatizados.
O processo de auditoria de sistemas aplicado no contexto da auditoria

geral da organizao. Desta forma, a parte relativa da auditria de siste-
mas apenas parte da gesto da auditoria na organizao.
A anlise do processo da auditoria no setor informatizado da empresa

acontece a partir definio das metodologias que sero executadas pelo
auditor. Em alguns momentos, esses mtodos so similares da audito-
ria convencional utilizados nos processos gerais da organizao. Porm,
cabe ressaltar, que inicialmente e acreditando que o sistema computa-
dorizado tem maior credibilidade nos testes relativos veracidade e in-
tegridade das informaes.
conhecido que alguns testes aplicveis a sistemas de informao, so

frgeis, ento, para evitar que o fato ocorra, o auditor define quais
so os testes mais adequados para o plano de trabalho da empresa em
questo. Esses testes so executados com auxlio de ferramentas de
apoio para auditoria.
Conforme j foi estudado anteriomente, procedimentos so ro-

tinas de trabalhos que auxiliam na execuo da rotina diria de-
senvolvida na empresa. Cada funo ou atividade exercida, possui
um procedimento definido.
.

37
Controles Internos
Atividade 4
1) Responda:
a) Quais so as principais recomendaes sobre o princpio do
controle interno computacional?
b) Qual o papel do supervisor de gesto da tecnologia da infor-
mao dentro do contexto do controle interno?
c) Quais so os tipos de controles internos que podem ser aplica-
dos no mbito computacional?
d) Cite algumas vantagens ao utilizar sistemas computacionais
para efetuar o controle interno nas organizaes?
2) Relacione:
a) Acompanhamento das ocorrncias.
b) Manuais para distribuio, processamento e autorizao.
c) Constantes Verificaes em procedimentos.
d) Reconhecimento e correo de erros.
e) Colaborador responsvel para a gesto da tecnologia da
informao.
f) Responsvel pela definio do que vai ser feito.
( ) Monitoramento ( ) Projeto( ) Superviso
( ) Controle independente ( ) Registros e comunicao
( ) Auditoriabilidade

38
Captulo 4

39
Avanando
Arquitetura
A Internet
noTCP/IP
TCP/IP
AUDITORIA AUXILIADA POR

SOFTWARES
Ol!
Nesse captulo vamos conhecer os programas utilizados pela audito-
ria e o papel de cada ferramenta para a captao, processamento e
gerao de resultado. Os programas que so utilizados como apoio
aos trabalhos dos auditores so denominados softwares generalistas
ou especialistas.
Bons Estudos!
5.1. Mtodos
Conforme comentado no captulo anterior, algumas metodologias apli-

cveis na auditoria convencional aplicam-se tambm na categoria de
sistemas. Exemplo: questionrios, observao da rotina de trabalho,
exames de documentos e outros.
Os auditores tambm dispem de uma tcnica de auditoria assistida por

computador, denominada (TAAC). Desta forma o processo de auditoria
se torna muito mais gil, devido ao aproveitamento dos recursos do sof-
tware. Dentre as vantagens que podem ser destacadas, est o alto poder
de processamento de operaes simultneas.
A tcnica de TAAC pode ser aplicada para testes:
A ) Controle de verso
Pode ser usada para controlar verses de softwares homologados para

o funcionamento na empresa. Essa tcnica aplicada para garantir que
a mesma verso de software seja usada por toda organizao, evitando
possveis falhas ou inconsistncias de informaes.

40
Captulo 5
B) Transaes
Efetua simulao e calcula a sobrecarga das operaes no processamen-

to do sistema corporativo, levando em considerao as caractersticas
de produo.
C) Anlise de dados
Verifica inconsistncias nos dados processados e armazenados pe-

las aplicaes.
D) Simulao
Gera amostras para alimentao do sistema de informao da auditoria.

sem dvida uma ferramenta essencial para testes.
5.2. Ferramentas
Vamos conhecer algumas ferramentas responsveis para auxiliar o audi-

tor na extrao e manuseio dos dados.
Software generalista
um conjunto de aplicaes que pode efetuar processamento e simula-

o paralela. Ele pode gerar extrao de dados para amostra, informa-
es estatsticas, destacar possveis registros repetidos entre outros.
Simulao paralela Termo utilizado pelo auditor de sistemas

para efetuar testes em um sistema similar ao de produo. Nor-
malmente a mesma verso do sistema em produo, mas usando
o banco de dados de teste. O auditor lana dados fictcios, no in-
tuito de checar entrada, processamento, sada, anomalias ou even-
tos gerados no software.
Alguns tipos de softwares generalistas:
Pentana: software de planejamento estratgico da auditoria, sistema

de planejamento e monitoramento de recursos e gerenciamento de
plano de ao;

41
Auditoria Auxiliada por Softwares
Figura4 - Software PAWS, baseado no Pentana
IDEA (Interactiva Data Extraction & Analysis): software para extrao

e anlise de dados;
Figura 5 - software xIDEA
Galileo: software integrado de gesto de auditoria. Inclui gesto de riscos de

auditoria, documentao e emisso de relatrios para auditoria interna;
ACL (Audit Command Language): um software de extrao e an-

lise de dados;

42
Captulo 5
Figura 6 - Software Eletronic Workpaper, baseado no conceito de ACL
Audimation: Soluo de monitoramento continua, desenvolvido para

atender a demanda da gesto de risco. Dentre as suas principais fun-
es destacamos: Exame de operaes, relatrio de excees e docu-
mentao de resultados.
Figura 7 Software vm-xpeta (Audimation)

43
A maioria das aplicaes generalistas citadas so solues pro-

prietrias. Para utilizar, voc dever adquirir uma licena de uso
do software.
Softwares especialistas
um programa desenvolvido especificamente para executar certas ta-

refas dentro do contexto da auditoria. A desvantagem desse tipo de sof-
tware o alto custo de desenvolvimento e ser limitado para utilizao
especfica para uma organizao.
Utilitrios
So ferramentas de apoio para o auditor realizar alguns tipos de ope-

raes comuns como: concatenao, classificao, gerao de grficos
e outros. Esses programas no so desenvolvidos com o fim especfico
para auditoria, mas so extremamente teis nas mos do auditores. Po-
demos citar como exemplo, a planilha Excel.
Figura 8 Software Excel (planilha microsoft)

44
Captulo 5
5.2.1. Tcnicas de auditoria e segurana de sistemas
Existem diversas tcnicas aplicveis para auditoria de sistemas, a seguir

destacarei algumas que considero mais relevantes no processo. Normal-
mente a aplicao da tcnica definida no processo de planejamento
da auditoria, devido a esse fator, no considerada regra para qualquer
tipo de instituio. Antes de indicar a tcnica, leve em considerao as-
pectos como objetos e escopo da organizao auditada.
Test-deck
Mtodo que consiste na insero dados no programa em operao. Atra-

vs desta insero, possvel checar se existe a validao para dados in-
completos. Um exemplo dessa situao seria a tentativa de incluir uma
senha fraca como 12345; o sistema deve efetuar criticar nesta situao.
Teste de recuperao
Avalia a capacidade de recuperao do sistema quando existir qualquer

espcie de falha ou erro crtico no sistema em operao. Os procedi-
mentos de recuperao automtica devem se desenvolvidos para efetuar
a restaurao da aplicao a qualquer custo.
Teste de desempenho
Verifica o consumo de recursos computacionais e o tempo de resposta

das operaes requisitadas ao sistema de informao. necessrio criar
ou usar software de terceiros para efetuar a medio.
Teste de stress
Avalia o funcionamento do sistema em operao quando submetido a

condies de funcionamento extremo. Um exemplo disso seria utilizan-
do um grande volume de dados no banco ou tentar realizar vrios aces-
sos simultneos na aplicao.
Teste de segurana
Avalia os mecanismos de segurana do sistema sobre os conceitos pre-

veno, deteco e correo.
Teste da caixa preta
Consistem em avaliar os requisitos funcionais dos sistemas em operao.

Condies de entrada, interface, acesso banco de dados e outros.

45
Teste da caixa branca
Avalia a estrutura interna do programa desenvolvido, em outras pala-

vras, faz a anlise do cdigo fonte do sistema. Normalmente feito pelo
auditor perito em programao, pois o mesmo avaliar a situao do
controle de fluxo do cdigo, como estrutura de repetio, loops, opera-
es matemticas, funes e outros.
5.3. Auditoria assistida por computador
Alguns passos importantes devem ser levados em considerao para

aplicao da auditoria assistida por computador.
Estabelecer objetivos;
Definir os bancos dados e aplicaes a serem testadas;
Entender o modelo de dados;
Definir testes e procedimentos;
Certificar que os processos de TAAC;
Avaliar os resultados obtidos.
Atividade 5
1) Complete com o mtodo mais adequado:
a) Essencial para efetuar teste para auditoria:

___________________________________________________
b) Calcula a sobrecarga das operaes de processamento:
___________________________________________________
c) Checa inconsistncias de dados:
___________________________________________________
d) Tcnica aplicada para efetuar o controle de verso:
___________________________________________________

46
Captulo 5
2) Responda:
a) Por que a simulao paralela importante? Comente.
b) Cite trs tipos de softwares generalistas?
c)Quais so diferenas destacadas entre o software generalista e
especialista?
d) Pesquise exemplos de softwares utilitrios que podem ser utili-
zados pelo auditor?
3) Relacione:
a) Test-desk ( ) Anlise do funcionamento
do sistema em condies ex-
tremas, como grande volume
de operaes e dados.
b) Teste de recuperao ( ) Mecanismo de segurana
do sistema como senha, cripto-
grafia e outros.
c) Teste de desempenho ( ) Avalia requisitos funcio-
nais do sistema.
d) Teste de stress ( ) Consiste na insero de
dados no programa em produ-
o e efetua validao.
e) Teste de segurana ( ) Checa a capacidade de re-
cuperao do sistema as falhas.
f) Teste da caixa preta ( ) Verifica o consumo de re-
cursos computacionais e tem-
po de resposta
g) Teste da caixa branca ( ) Anlise do cdigo fonte do
sistema.

47
Servios
Avanando
Arquitetura
ABsicos
Internet
noTCP/IP
TCP/IP
de Rede
AUDITORIA DE HARDWARE E
SOFTWARE
Ol!
Neste captulo vamos estudar as formas para aplicao da auditoria
nos equipamentos e programas utilizados nas organizaes, a fim de
proteger o patrimnio fsico e intelectual da empresa.
Bons estudos!
6.1. Auditoria de hardware
A auditoria de hardware realizada com o objetivo de assegurar a segu-

rana e funcionamento dos equipamentos distribudos na organizao.
Tambm auxiliar o monitoramento para o uso adequado por parte dos
usurios, atravs do uso correto dos procedimentos. Esse procedimento
pode ser fsico ou automatizado.
Quando fsico, ir implicar na elaborao de vrias regras de orienta-

o do usurio que far uso do equipamento. J no processo automa-
tizado, implicar apenas no acompanhamento das rotinas definidas
pelo fabricante, executadas da forma sistmica pelos usurios. Apli-
cando-se essas prticas, fica mais fcil descobrir possveis falhas na
gesto do hardware.
Para os auditores, o controle do hardware, a certificao do correto

manuseio dos equipamentos. Caso no haja procedimentos adequados
para uso, o trabalho da auditoria fica prejudicado, consequentemente
acarretar uma no conformidade.
Como consequncia dessa ao, no ser possvel aplicar controles corre-

tivos, ocasionando uma parada critica em diversos setores da empresa.
Segundo Imoniana (2008), a padronizao dos equipamentos na em-

presa um procedimento fundamental para auxiliar na implementao
do controle efetivo.

48
Captulo 6
As empresas, preferencialmente, devem optar pela utilizao de equipa-

mentos do mesmo fabricante e modelo, para garantir compatibilidade e
agilidade no processo de manuteno.
Contudo, tambm devem possuir um controle de patrimnio eficaz a

fim de evitar possveis roubos de peas ou trocas de equipamentos, para
isso necessrio definir procedimentos que efetuem os registros de en-
trada e sada de qualquer dispositivo manipulado na organizao.
6.1.1. Objetivo principal do controle de hardware
Com certeza podemos citar que o objetivo principal assegurar que

pessoas no autorizadas no tenham acesso aos meios fsicos e princi-
palmente s informaes contidas nesses meios.
Atravs do checklist (lista de checagem) possvel definir quais so os

tipos de equipamentos e autorizaes concedidas aos usurios. A lista de
checagem deve uma espcie de leitura de mo para os colaboradores.
O checklist tambm amplamente utilizado por setores de manuten-

o e suporte aos usurios. Atravs da lista possvel verificar e testar
as causas de problemas diversos, relacionados s aplicaes ligadas aos
hardwares ou softwares.
6.2. Auditoria de software
O objetivo da auditoria de software auxiliar na elaborao de proce-

dimentos para utilizao correta dos aplicativos e servios lgicos dis-
ponveis nos equipamentos da empresa. Normalmente as empresas pos-
suem um servio de monitoramente que so acionados juntamente ao
ativar o sistema operacional do equipamento.
Atravs do servio de monitoramento, possvel assegurar que sero

executados somente aplicativos que estejam de acordo com a regula-
mentao definida pela organizao. O auditor deve ter conhecimento
de todo funcionamento das operaes para sugerir as prticas de uso
das aplicaes e restries de acessos por parte dos usurios.
importante criar procedimentos de controles corretivos para inter-

venes no ambiente de processamento de dados, pois as mesmas tm
impacto direto nas operaes dirias que podem ocasionar prejuzos
para as organizaes.

49
Auditoria de Hardware e Software
6.2.1. Objetivo principal da auditoria de software
garantir que os processos operacionais da gesto de TI sejam execu-

tados sobre as normas e padres estabelecidos para o correto proces-
samento das tarefas, como tambm objetiva, avaliar a confidencialida-
de, privacidade, acuidade, disponibilidade e manuteno dos sistemas.
Para isso, sero definidos controles das operaes que devem ser execu-
tadas pelos softwares, principalmente quando envolver processamento
de transaes econmicas ou financeiras.
A parte de auditoria de harware e software, normalmente execu-

tada por um conjunto de auditores especializados na gesto de TI,
com suporte de outros consultores especilistas em suas reas afins.
Segundo Imoniana (2008):

Integridade Confiana nos dados informados, pelo processa-
mento ou transaes;
Confidencialidade Informaes reveladas apenas para pessoas
autorizadas;
Acuidade As transaes processadas podem ser validadas,
atentando a sua veracidade;
Disponibilidade A essncia da disponibilidade que o sistema
esteja disponvel quando requitado.
Auditabilidade Os sistemas devem efetuar logs operacionais que
permitam acompanhamento dos eventos efetuados;
Versatilidade Sistema amigvel e flexvel, podendo ser facilmen-
te adaptado os workflows operacionais da empresa;
Manutenilibilidade As polticas e procedimentos operacionais
contemplam tanto controles quanto a testes, converso, imple-
mentao e documentao de sistemas novos ou modificados.

50
Captulo 6
6.3. Controles internos dos softwares
Os procedimentos de controles de sistema so essenciais para o diag-

nstico dos pontos fracos que podero acarretar falhas na segurana da
informao na entidade.
Devido a esse fato, de suma importncia para o auditor, o conheci-

mento prvio das operaes e funes inseridas no sistema, bem como,
o conhecimento do fluxo de execuo/transao com outras aplicaes
de uso corporativo.
Alguns controles so recomendados para garantir uma maior eficincia

e eficaz na gesto dos softwares nas instituies.
Seguem abaixo algumas recomendaes:
Definio de perfil de acesso (Quais os direitos de uso para cada

usurio);
Atribuio de funes definidas aos usurios do sistema;
Verificao de tempo de acesso;
Acompanhamento dos eventos por usurio (Passos do usurio no

sistema);
Dispositivo lgico de segurana ativo (antivrus, firewall);
Restrio de instalao de software;
Suporte especialista em softwares.
Recomendaes so prticas funcionais testadas e aprovadas que in-

dicam o chamado caminho das pedras. Atravs das recomendaes,
grande parte do esforo efetuado pelo auditor pode ser poupado.
Desta forma, alm de ofertar benefcios organizacionais, reduzir
o tempo de auditoria, e consequentemente, o custo para execuo
deste trabalho.

51
Auditoria de Hardware e Software
Aps anlise dos controles, o auditor criar um relatrio que vai con-
templar os objetivos e finalidades de cada teste, no intuito de atestar a
credibilidade dos documentos gerados pelo processo.
Atividade 6
1) Responda:
a) Quais so as vantagens da padronizao dos equipamentos uti-
lizados pelas empresas?
b) Qual a importncia do controle patrimonial de hardwares nas

empresas?
c) Escreva um procedimento para controle patrimonial de har-

dware ?
d) Como evitar possveis falhas de segurana na gesto do

hardware?
e) Como a checklist pode ajudar o setor de manuteno? D um

exemplo.
f) Como podemos acompanhar no nvel de software as aes efe-

tuadas pelos usurios?
g) D um exemplo da aplicao do controle corretivo para

software?
h) Qual a importncia do conhecimento prvio do auditor sobre

as operaes e funes inseridas no sistema corporativo?

52
Captulo 6
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
____________________________________________________

53
Servios
Avanando
Arquitetura
O Servio
ABsicos
Internet
no
de
TCP/IP
TCP/IP
DNS
de Rede
GESTO DO RISCO EM SISTEMA

DE INFORMAO
Ol!
No captulo a seguir, o foco ser direcionado para segurana da in-
formao. Voc aprender a evitar possveis ameaas de segurana
que possam prejudicar o equilbrio dos negcios e o funcionamento
da empresa. Os conceitos que sero evidenciados representam uma
valiosa contribuio para o desenvolvimento da poltica de seguran-
a, aplicada na gesto empresarial.
Bons estudos!
7.1. Gesto de risco
A gesto de risco pode ser evidenciada como conjunto de mecanismos

que permite empresa identificar e implementar tomadas de decises em
prol da proteo dos ativos da informao. Consequentemente, minimi-
zando os riscos, mantendo a filosofia de confidencialidade, integridade e
disponibilidade de acesso aos dados, sem prejuzos para a entidade.
Segundo a ISO guide 73, gesto de risco a atividade que direcio-

na e controla uma organizao com relao aos riscos. A gesto
de risco normalmente inclui avaliao, tratamento, aceitao e co-
municao dos mesmos.
7.2. Identificando riscos
Processo de localizao avaliao dos elementos de risco.
Anlise do risco
Para a definio do risco necessrio conhecer os dados histricos da orga-

54
Captulo 7
nizao para identificar os pontos fontes e fracos da entidade. O estudo desta

etapa, direciona o auditor na busca das solues para minimizar as falhas.
Avaliao do risco
Nesta etapa feita uma comparao entre risco estimado e critrio de

risco. Atravs dessa comparao, possvel determinar a importncia
do risco, que por sua vez pode ser aceitvel ou deve ser tratado.
Estimativa do risco
A estimativa de risco, atribui peso para a probabilidade e as consequ-

ncias de risco eminente. No existe um critrio fixo para determinar
esse valor atribudo. Mas importante levar em considerao na hora
da atribuio dos valores, quais so os eventos primordiais para o fun-
cionamento da empresa.
Anlise e avaliao do Risco
O estudo da gesto de risco tem incio a partir da identificao dos elemen-

tos eminentes como: alvos, agentes, ameaas, vulnerabilidade e impactos.
Definies segundo a ISO guide 73.

Alvo: Ativo de informao que pode ser objeto de um ataque/
incidente.
Exemplo: base de dados, hardware, sistema de informao, etc.
Definies segundo a ISO guide 73.
Agente: Fonte produtora de um evento que pode ser efeitos ad-
versos sobre ativo da informao.
Exemplo: funcionrios, meio ambiente, hackers, etc.
Ameaas: expectativa de acontecimento acidental ou proposital,
causado por um agente, que pode afetar o ambiente, sistema ou
ativo da informao.
Vulnerabilidade: Fragilidade que poderia ser explorada por uma
ameaa para concretizar um ataque.
Impacto: Efeito ou consequncia de um ataque ou incidente para
a organizao.

55
Gesto do Risco em Sistema de Informao
Segundo Beal (2005), as ameaas a que se sujeitam s informaes e os

ativos da informao podem ser classificadas como ambientais(natural,
fogo, gua, etc), tcnicas (configurao incorreta de componentes de TI,
falha de Hardware ou software), lgicas (cdigo maliciosos, invaso de
sistemas) e humanas (erro de operao, fraude e sabotagem).
fato que essas ameaas esto presentes no dia a dia das empresas,
funo do auditor, auxiliar para evitar que os eventos maliciosos ocor-
ram atingindo os alvos de ataque.
A seguir, conheceremos a tabela que identifica as ameaas e os tipos

de riscos nas organizaes. Ela utilizada como apoio pelos auditores
internos, na identificao dos riscos, com o intuito de prover diretrizes
para a confeco da poltica de segurana da organizao.
Atravs da gesto de risco, vrios processos sero contemplados a

partir do levantamento e avaliao dos setores. Isso no aplicado
somente para sistemas de informao, mas para salvaguardar o ati-
vo da empresa (bens e direitos).

56
Captulo 7
Tabela Segue alguns tipos de ameaas que podem ocorrer nas

entidades.
Ameaa Recurso Impacto para Impacto para Impacto para

vulnervel confidencialidade integridade disponibilidade
Falha de Todo o O equipamento Dados po- Servio
equipa- hardware danificado pode dem ser cor- indisponvel
mento ser enviado para rompidos no
manuteno com momento da
dados sigilosos falha
Erro Sistemas em Divulgao de Insero Destruio
Humano geral informaes de de dados acidental de
forma acidental incorretos dados por parte
por dos funcionrios
funcionrios
Equipa- Hardwares Insero de vrus Dados Dados
mentos pessoais ou cavalo de tria podem ser importantes
pessoais conectados na rede corrompidos podem ser
a rede da ou furtados apagados e
empresa computadores
servidores
deixar de
funcionar
Desastres Edifcio, Todos os servi-
naturais meio de os ficaro tem-
comunicao porariamente
(redes, paralizados
telefone, etc).
Furto Hardware Equipamentos Servio pode ser
podem conter interrompidos
informaes
valiosas
Furto de Acesso a Acesso de pessoas Dados Informaes
informa- sistemas no autorizadas podero ser sem
es modificados credibilidade
Uma boa fonte de pesquisa para complementar os seus estudos

sobre gesto de riscos, tratado nessa seo, o livro, Segurana da
Informao, de Adriana Beal, editora Atlas, 2005.

57
Gesto do Risco em Sistema de Informao
7.3. Simulao de ataque
A funo principal do teste de simulao de ataque verificar o nvel de

proteo da segurana da informao existente nas organizaes. Atra-
vs dessa metodologia, possvel simular ataques internos e externos
que ocorram no ambiente empresarial, como varredura da rede interna
ou at mesmo o grau de conscientizao dos usurios em relao s pos-
sveis ameaas.
Os testes podem incluir, anlise da estrutura da fragilidade da rede ou

tentativa de invaso ao sistema de informao, simulando o hacker. Tam-
bm e muito comum aplicar o teste de engenharia social, com objetivo
de detectar possveis usurios vulnerveis a revelar senhas ou outros da-
dos que possam comprometer de forma direta ou indireta a empresa.
O termo Engenharia Social o meio mais utilizado para obteno

de informaes sigilosas e importantes. Isso porque explora com
muita sofisticao as falhas de segurana dos humanos. As em-
presas investem fortunas em tecnologias de segurana de infor-
maes e protegem fisicamente seus sistemas, mas a maioria no
possui mtodos que protegem seus funcionrios das armadilhas.
Para tratar o risco, segue um exemplo de medidas preventivas.
Ameaa Medidas Medidas detectivas Medidas Reativas

Preventivas
Furto de Controle de Registro de Investigao e denncia
equipamentos equipamentos patrimnio, com
revises peridicas.
Falta de energia Instalao de Checagem das Caso o tempo de
no-break para baterias e tempo validade esteja expirado,
os servidores de validade das efetuar substituio do
mesmas. equipamento.
Tabela 1.2 Plano de contingncia por ameaas

58
Captulo 7
Atividade 7
1) Responda:
a) Cite exemplos de riscos eminentes aos sistemas das
corporaes?
b) Quais so os alvos mais provveis de ataques nas empresas?
c) Ameaas ligadas ao hardware podem ocasionar que tipo de
prejuzo para instituio?
d) Qual a importncia da simulao de ataque?
e) Qual a finalidade da tabela de anlise de risco?
2) Destaque a opo incorreta.

a) Impacto: Efeito ou consequncia de um ataque ou incidente
para a organizao.
b) Agente: Fonte produtora de um evento que pode ser efeitos ad-
versos sobre ativo da informao.
c) Vulnerabilidade: Fragilidade de hardware que pode propiciar
ataque organizao.
d) Alvo: Ativo de informao que pode ser objeto de um ataque/
incidente;
e) Ameaas: expectativa de acontecimento acidental ou proposi-
tal, causado por um agente, que pode afetar o ambiente, sistema
ou ativo da informao.
_______________________________________________
_______________________________________________
_______________________________________________
______________________________________________
_______________________________________________
_______________________________________________
______________________________________________
______________________________________________
_______________________________________________
_______________________________________________

59
Servios
Avanando
Arquitetura
O Servio
Servio
ABsicos
Internet
no
de
Web
TCP/IP
TCP/IP
DNS
de Rede
PADRES DE PROCESSOS
Ol!
Nesse captulo vamos destacar alguns padres de se-
gurana que so altamente recomendas para garan-
tir a qualidade dos processos realizados nas empresas.
importante lembrar que os padres no so direcionados apenas
aos sistemas de informao, pois so prticas amplamente aplicadas
nas instituies para organizao e controle.
Bons estudos!
8.1. Normas e padres
Quando a produo de bens ou servio desenvolvido de acordo com

um padro consolidado no mercado, isso ter efeito de referncia para
autenticar a qualidade do produto ou servio. Dentro da rea de segu-
rana, foram criados normas e padres que devem se aplicados para
alcanar a qualidade do atendimento e controle na gesto de tecnologia
da informao das empresas. Esses padres, por sua vez, sero destaca-
dos a partir deste captulo.
ITIL
Segundo o site www.itil.org, ITIL (Information Technology Infrastructure

Library) um conjunto de documentos pblicos, cuja a finalidade apoiar
a implementao de uma estrutura adequada gesto de servio de TI, de-
finindo o escopo de atuao desta estrutura, bem como os seus servios.
Podemos dizer ento que um conjunto das melhores prticas, no

uma metodologia. Deve ser uma fonte de inspirao que indica como
chegar ao resultado esperado.
Embora o ITIL no seja exatamente padro de segurana, contempla

algumas reas como: incidentes, problemas, implementao e suporte

60
Captulo 8
de software. Desta forma ajuda a padronizar e a melhorar a qualidade

dos servios ofertados pela TI.
Dentre as vantagens da aplicao deste mtodo, podemos citar a redu-

o das ocorrncias por falhas operacionais e diminuio no tempo de
atendimento a problemas detectados e mais disponibilidade do setor
de TI. As ocorrncias so catalogadas e a soluo ser registrada para
resolues futuras de problemas similares.
COBIT
O Cobit (Control objectives for information and related technology)

uma ferramenta que auxiliar o controle das operaes realizadas pela
TI na empresa. Utiliza normas para a gesto e auditoria de sistemas, o
mesmo est dividido em quatro domnios:
Planejamento e organizao;
Aquisio e implementao;
Entrega e suporte;
Monitorao.
O ponto central o gerenciamento da informao que possui o controle

de objetivos, gerando um mapa de auditoria. Tambm fornece mtricas
para avaliao de resultados. Cobit disponibiliza uma poltica para o
gerenciamento de TI, no intuito de alcanar as metas da organizao.
Logo COBIT
Figura 9 Logo Cobit
Ser que aplicao das normas e padres implica em uma buro-

cracia excessiva nas empresas? Pode at deixar mais burocrtico
pelo fato de todos os eventos serem registrados, porm, o ganho
para resoluo de problemas e qualidade do servio prestados
so inquestionveis.

61
Padres de Processos
BS 7799 e ISO/IEC 17799
A famlia de padres BS 7799, trata da gesto de segurana da infor-

mao. Foi publicada em 1995, pela Bristish Standards Institution e se
tornou padro internacional em 2000. Cada parte do padro definiu o
tipo de segurana. Por exemplo, a segunda parte do padro BS 7799-2
voltado para avaliao de riscos de sistemas, esse modelo de certificao
de auditoria equivale s normas ISO 9001 voltados para softwares.
Segundo a ISO 17799, as principais fontes para a identificao dos re-

quisitos de segurana so:
- Avaliao de risco dos ativos da organizao, para identificao das

ameaas, probabilidades de ocorrncia e vulnerabilidades, e, estimativa
do impacto potencial associado;
- Legislao vigente, estatutos e clusulas contratuais a que a organiza-

o tem que atender;
- Conjunto de princpios, objetivos e requisitos de processamento da

informao.
A sigla ISO (Organizao Internacional de Normalizao) um

modelo de gesto de qualidade, que tem por objetivo certificar e
qualidade de produtos e servios ofertados. Atualmente e com-
posta por trs normas (9000, 9001 e 9004).
ISO guide 73
Publicada em 2002, define 29 termos da gesto de riscos. Foram agru-

pados da seguinte forma:
Termos bsicos; termos relacionados a pessoas ou organizaes; termos

relacionados avaliao de riscos; termos relacionados a tratamento e
controle de riscos. A norma importante a fim de padronizar os concei-
tos relacionados gesto de risco.
ISO 13335
Voltado diretamente para os processos de gesto de segurana da tecno-

logia da informao. E composta por cinco partes, que trata conceitos e

62
Captulo 8
modelos da administrao de TI, das tcnicas, da seleo de medidas de

proteo e da orientao gerencial em segurana de redes.
Uma boa fonte de pesquisa para complementar os seus estudos

sobre os padres ISO, podem ser encontrado no link http://
www.iso.org.
Atividade 8
Trabalho de Pesquisa:
a) Faa uma pesquisa sobre a ISO 13335 e descreva a sua finalida-
de e aplicabilidade no contexto da gesto de segurana em TI.
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
___________________________________________________
____________________________________________________

63
Introduo
Estrutura
aosSistema
Sistemas
do
Concorrncia
Processo
Sistema
de de
Informao
Informao
Operacional
Gerenciais
POLTICA DE SEGURANA DA
INFORMAO
Ol!
Neste captulo vamos conhecer e entender a importncia da poltica
de segurana e como fazer para diagnosticar possveis falhas na sua
criao. Vamos entender como detectar e reparar possveis vulnera-
bilidades dentro do contexto dessa poltica, atravs do acompanha-
mento, monitoramente e testes da aplicao das diretrizes.
Bons estudos!
9.1. Poltica de segurana
Para a criao da poltica de segurana, necessrio saber a nvel estra-

tgico, quais so os pontos principais da empresa que refletem as reas
mais preocupantes. de grande importncia que o gestor participe do
processo para confeco desse documento, pois os mesmos vo indicar
setores crticos que detm um alto grau de importncia para o funciona-
mento da empresa. Antes da aprovao deste documento, a direo far
crticas e sugestes que tero impacto direto nas diretrizes que nortea-
ro as normas de segurana.
importante ressaltar, que esse documento no pode ser esttico, deve

sofrer atualizaes quando necessrio, a fim de garantir e responder s
frequentes novas ameaas que possam surgir provenientes dos diversos
tipos de ambientes, internos ou externos.
9.2. Adoo da PSI
A Poltica de Segurana da Informao (PSI), deve ser criada no in-

tuito de atender as necessidades de controle, principalmente das in-
formaes acessadas pelos usurios nas empresas. Devido a esse fator,
o ponto chave deste documento, deve ser direcionado aos princpios

64
Captulo 9
ticos de uso da estrutura da corporao, sem entrar no mrito dos

detalhes tcnicos da implementao.
Segundo Beal (2005), aconselhvel que o documento que registra

a poltica de segurana contenha uma declarao introdutria, com o
problema da segurana da informao no contexto mais amplo dos ris-
cos do negcio, com explicao da importncia da informao e dos re-
cursos computacionais e a necessidade de proteg-los contra as ameaas
existentes para prevenir consequncias negativas que podem advir da
destruio do sistema de informao.
Esse documento deve conter claramente informaes a respeito da

responsabilidade de uso dos equipamentos e softwares que podem
ser utilizados na organizao, como tambm, delegar responsabili-
dades e penalidades aos usurios que no se orientem pela poltica
de segurana estabelecida.
Cabe tambm ao manual de PSI, estabelecer as orientaes de proteo

a serem adotadas por seus usurios. Essas informaes podem variar de
acordo com a finalidade e tamanho da instituio envolvida.
No existe receita de bolo no processo de auditoria e segurana

de sistemas, o segredo est em anlise detalhada da organizao
para definir o melhor mtodo de trabalho para o contexto.
No existe padro para a definio da PSI, porm algumas recomen-

daes podem ser teis na elaborao do documento. A seguir destaco
algumas delas:
Articulao da Segurana: Definir responsveis pela administrao

das questes relativas a segurana da informao;
Ordenao e controle: Determinao da ordem e classificao das in-

formaes relevantes e/ou crticas, para determinao de controles para
a sua proteo.
Controle de Usurios: Sem dvida o item chave para o funcionamento

da PSI. Deve ter seus direitos e deveres bem definidos atravs das di-
retrizes de segurana pessoal (funcionrios e prestadores de servio),
como comportamental (tais como emails, internet, etc.);

65
Poltica de Segurana da Informao
Segurana do ambiente fsico e lgico: Padres devem ser definidos

para proteo dos recursos fsicos e sua instalao do processamento,
como tambm, a proteo do ambiente lgico, garantindo as operaes
computacionais e a integridade das informaes;
Segurana do meio de comunicao: Regra para proteo definida

para trfego de dados na rede interna ou externa a instituio;
Segurana para aquisio, implementao ou manuteno: Diretri-

zes definidas para aquisio de novos equipamentos ou softwares, para
desenvolvimento de aplicaes, ou manuteno de equipamentos e/ou
servios lgicos da empresa;
Gerncia de negcio: So recomendaes para evitar que processos

maliciosos neutralizem as atividades da entidade. Meio instrutivo para
correo de falhas;
Conformidades: Diretrizes para preservao da conformidade com re-

quisitos legais. So procedimentos a serem adotados em caso de viola-
o da poltica de segurana.
Atividade 9
1) Responda
a) Qual a importncia da aplicao da PSI na empresa?

b) Por que o nvel estratgico deve participar da confeco do do-
cumento de PSI?
c) Qual a importncia das alteraes nesse documento (PSI) ao
longo do tempo?
d) Cite alguns tipos de ataques internos que podem comprometer
a estrutura de informao da empresa.
e) Cite alguns tipos de ataques externos que podem comprometer
a estrutura de informao da empresa.

66
Captulo 9
2) Indique (V)verdadeiro ou (F)falso sobre as recomendaes

para definio da PSI.
( ) Regra para proteo definida para trfego de dados na rede

interna ou externa a instituio, so consideradas, segurana do
meio de comunicao.
( ) A Articulao da Segurana so recomendaes para evitar que

processos maliciosos neutralizem as atividades da entidade.
( ) A determinao da ordem e classificao das informaes re-

levantes e/ou crticas, relaciona-se diretamente com o controle de
usurios.
( ) A ordenao e controle , sem dvida, o item chave para o fun-

cionamento da PSI.
( ) Definir responsveis pela administrao das questes relativas

segurana da informao. Esse conceito e conhecido como ge-
rncia de negcio.
( ) A segurana do ambiente fsico e lgico so padres que de-

vem ser definidos para proteo dos recursos fsicos e lgicos.
( ) Diretrizes para preservao da conformidade com requisitos

legais. So procedimentos a serem adotados em caso de violao
da poltica de segurana.

67
Introduo
Estrutura
aosSistema
Sistemas
Servio
do
Concorrncia
Processo
Sistema
dede
de
Informao
E-mail
Informao
Operacional
Gerenciais
ASPECTOS HUMANOS DA
SEGURANA DA INFORMAO
Ol!
Neste capitulo vamos conhecer como a fragilidade do aspecto hu-
mano pode colocar em risco os fatores da segurana da informao
nas organizaes, e tambm, conheceremos mecanismos para tentar
minimizar as consequncias do fato.
Bons estudos!
10.1. Aspectos humanos
Sem dvida, a melhor prtica aplicvel no nvel do aspecto humano nas

organizaes a trust, but verify (confie, mas verifique). Apesar da gran-
de parte da ateno dos mtodos de seguranas serem direcionados aos
ataques ou espionagem por peritos em computao, grande parte dos
problemas so gerados por usurios da prpria instituio. Esses pro-
blemas podem ser de ordem acidental, como tambm, podem ser pro-
vocados de forma intencional com objetivo de prejudicar a empresa.
No tenha dvida que o elo mais frgil da empresa, so as pessoas, que

por motivos diversos, colocam em risco a integridade e disponibilidade
do sistema de informao. No existe sistema 100% seguro quando h
interao com pessoas na organizao.
Uma pesquisa realizada pela Ernst e Young (2003), afirma que os

maiores prejuzos financeiros so acarretados por incidentes inter-
nos da segurana.
Quando se fala em problemas que foram provocados por incidentes in-

ternos podemos considerar no apenas os funcionrios como tambm
os terceiros, ou chamados prestadores servios. Grandes partes dos tra-
balhadores terceiros possuem algum tipo acesso ao sistema de informa-
o da organizao.

68
Captulo 10
10.2. Equipe de segurana
Sem dvida nenhuma, a escolha da equipe da gesto de segurana

primordial para garantir a eficcia do processo. No adianta possuir os
melhores equipamentos, softwares de antivrus, firewall e outros, caso
no tenha um administrador capacitado para organizar e gerenciar o
ambiente de TI. O profissional desta rea deve possuir profundo conhe-
cimento tcnico alm de ser extremamente tico, caso contrrio conse-
quncias desastrosas como destruio de dados ou venda de informa-
es confidenciais colocaro a empresa em risco.
10.3. Segurana do ncleo operacional
A segurana dos ativos est ligada diretamente pela colaborao de to-

dos os funcionrios da empresa. A preveno e palavra chave para a re-
ao de eventuais ameaas que podero surgir. papel dos colaborares
comunicar a ocorrncia de novos eventos que possam negligenciar a
poltica de segurana da informao na instituio.
Ativos: So bens e direitos de uma empresa, podemos citar

como exemplo: veculos, estrutura fsica, mveis, concesses
de direitos e outros.
Os controles corretivos so criados para minimizar o impacto desse

tipo de problema, mas praticamente impossvel prever todas as ocor-
rncias e falhas. Outro ponto importante o risco de ataques provo-
cados por funcionrios. Essa situao deve receber ateno especial,
pois dependendo do tipo de acesso desse usurio, o mesmo poder
provocar um grande dano.
Para tentar diminuir os riscos provocados pelo ncleo operacional re-

comendado efetuar processos confiveis de seleo de pessoas, definio
das responsabilidades no contrato de trabalho, assinatura de acordos de
sigilo e confidencialidade, adequao de segregao de funes, treina-
mento e conscientizao, punio em caso de desrespeito as normas de
segurana, processo de desligamento do funcionrio do sistema.

69
Aspectos Humanos da Segurana da Informao
10.4. Engenharia social
Normalmente, a engenharia social algo ignorado na segurana da in-

formao. Atravs da engenharia social, pessoas ms intencionadas ob-
tm informaes confidenciais ou privilegiadas dos usurios, a fim de
adquirir algum beneficio ou apenas para denegrir a imagem da pessoa
enganada.
As empresas podem passar por esse tipo de problema, pois os usurios

so extremantes frgeis e acabam caindo no tpico golpe da confirmao
dos dados cadastrais. Para evitar esse tipo de golpe necessrio a cons-
cientizao e treinamento dos funcionrios.
Um exemplo tpico o envio de email fazendo-se passar por um

banco qualquer. Normalmente o bandido virtual solicita o nme-
ro da conta e confirmao da senha para atualizao dos dados ca-
dastrais. Ao fornecer os dados, o meliante virtual poder acessar
a conta da vtima para efetuar transferncias, compras e qualquer
outra operao em seu nome.
Segundo Beal (2005), muitos hackers bem-sucedidos na invaso de

sistemas, ao serem entrevistados, admitem ter obtido senhas e ou-
tras informaes que possibilitaram o ataque pelo uso da engenharia
social. Isso quer dizer que grande parte dos funcionrios de uma
empresa, normalmente no so orientados para lida com esse tipo
de golpe, ofertando um grande risco para organizao. Caso essa
ocorrncia seja contemplada pela PSI, o funcionrio deve ser punido
para evitar novas violaes.

70
Captulo 10
Atividade 10
1) Responda:
a) Que tipo de problemas podem ser levantados sobre os aspectos

humanos relacionados a TI?
b) Cite alguns incidentes comuns ocorridos por funcionrios pela

m utilizao dos computadores da empresa?
c) Qual o perfil do profissional responsvel pela segurana dos

dados?
d) Como podemos tentar evitar fraudes ou vazamento de infor-

maes na rea operacional ou por prestadores de servios na
empresa?
2) Faa uma pesquisa sobre o tema engenharia social.
a) Pesquise e transcreva sobre um caso real ocorrido em uma

empresa.
b) Descreva as solues aplicadas.

71
Introduo
Estrutura
aosSistema
Sistemas
Servio
do
Concorrncia
Processo
Sistema
dede
de
Informao
E-mail
Informao
Operacional
Gerenciais
SEGURANA DO AMBIENTE
Ol!
Vamos aprender atravs deste captulo a importncia da proteo
do ambiente fsico e lgico. Tambm conheceremos as prticas apli-
cadas para elaborao de barreiras preventivas, a fim de proteger o
patrimnio da organizao.
Bons estudos!
11.1. Segurana do ambiente fsico
Para aplicar e adequar o ambiente fsico da organizao, a fim de man-

ter a segurana fsica das informaes, no tarefa fcil. A exigncia
de uma srie de medidas que implicam na preveno de ataques que
podem se originar de eventos fsicos, lgicos ou ambos.
Segundo a ISO 17799, a expresso permetro de segurana defi-

nida como quaisquer elementos que estabeleam uma barreira ao
acesso indevido.
Interpretando essa definio, percebemos que o permetro de segurana

e delimitao da regio, em outras palavras zona de segurana. Atravs
da barreira preventiva, possvel garantir a proteo contra ataques fsi-
cos ou lgicos instituio.
Mas o que um meio fsico e lgico? A primeira coisa a entender que

o meio fsico representa qualquer objeto concreto na organizao. Pode-
mos citar paredes, computadores, sistema eltrico, etc. J o meio lgico
representado por sistemas computacionais, responsveis pelo controle
das informaes e regras de negcios, como acesso aos sistemas e trfe-
go de dados na rede.
Segundo a ISO 17799, recomendam-se para a segurana fsica as se-

guintes diretrizes:

72
Captulo 11
Permetro de segurana claramente definido;
Permetro de prdios ou locais que contenham recursos de proces-

samento de dados fisicamente consistente;
Implantao de rea de recepo ou outro meio de acesso fsico ao

local ou prdio e restrio de acesso apenas a pessoas autorizadas;
Barreiras fsicas estendidas da laje do piso at a laje superior, para

prevenir acessos no autorizados;
Portas de incndio no permetro de segurana com sensores de alar-

me e mola para fechamento automtico.
A ISO 17779, tambm menciona como rea de risco em especial a expe-

dio e carga, segundo a ISO, as informaes utilizadas nesse ambiente
devem possuir o carter de acesso restrito a poucos funcionrios. A nor-
ma tambm informa que ser necessria uma superviso constante para
prevenir a realizao de atividades no autorizadas nesses setores.
11.1.1. Proteo de documentos
Ainda muito comum a utilizao de documentos em papel por parte

das empresas. Fazer a proteo desse documento implica na elaborao
de procedimentos a fim de garantir o mnimo de segurana.
Dentre os elementos que devem ser controlados podemos citar: cpias,

armazenamento, transmisso de correio e descarte.
Normalmente os procedimentos para proteo e controle de do-

cumentos no so vistos com a importncia necessria para o fun-
cionamento da instituio.
Como consequncia dessa falta de cuidado, os prejuzos ou
danos podem se tornar imprevisveis. Por exemplo, o descar-
te sem o cuidado especial de uma informao sigilosa, pode
acarretar um ato de espionagem efetuado por terceiros ou at
mesmo funcionrios.

73
Segurana do Ambiente
Dentre os mecanismos que podem ser criados para o melhor con-

trole desses documentos, podemos citar: a insero de rtulos para
identificao dos mesmos, o controle sobre documentos impressos
ou via fax e a poltica de armazenamento de papis que assegure a
guarda em local protegido.
11.1.2. Proteo de mdias
Da mesma forma que o documento de papel deve ser protegido, as m-

dias digitais devem ser resguardadas contra roubo e armazenadas em
local seguro conforme orientao do fabricante.
A remoo, descarte ou manuseio devem ser feitos de acordo com os

procedimentos planejados e executados apenas por pessoas autorizadas.
Mdias que forem levadas para ambientes externos devem seguir as nor-
mas estabelecidas pela empresa.
11.1.3. Proteo de hardware
Para efetuar a proteo de hardware nas instituies, ser necessrio

criar uma poltica de segurana que contemple o controle do patrim-
nio da empresa. O controle de patrimnio, alm de garantir o registro
dos equipamentos, ir coibir o deslocamento dos computadores e qual-
quer outro tipo de propriedade da empresa sem prvia autorizao.
Mas, alm de proteger necessrio preservar, devido isso, alm de garan-

tir uma poltica de segurana dos equipamentos indispensvel definir
regras claras para o seu manuseio. Desta forma, ser possvel minimizar
os prejuzos acarretados pela m utilizao dos funcionrios.
Outro controle importante para garantir a segurana do hardware na

instituio e definindo o responsvel pelo uso. Desta forma, ser pos-
svel monitorar eventos que ocorram por usurios/equipamentos. Mas
nada disso funciona, caso no exista na empresa o controle de acesso
fsico aos meios disponveis.
Na preveno do hardware, a falta de energia um fator altamente re-

levante, pois poder ocasionar prejuzos instituio. Para evitar pos-
sveis perdas de dados ou defeitos aos equipamentos, necessrio criar
um plano de contingncia, reduzindo desta forma, possveis imprevis-
tos gerados pela falta de energia.
O cabeamento (eltrico, telefnico e computadores) utilizado nas

empresas , sem dvida, outra preocupao para os gestores.

74
Captulo 11
Sobre o cabeamento, a ISO 17779, recomenda os seguintes contro-

les para cabeamento eltrico e de telecomunicao:
Usar, sempre que possvel, linhas eltricas e de telecomunicao

subterrneas, ou pelo menos sujeitas proteo alternativa;
Cabeamento de rede protegido contra interceptaes no autoriza-

das ou danos;
Cabos eltricos separados dos cabos de comunicao para prevenir

interferncias;
Controles adicionais para sistemas crticos.
11.2. Segurana do ambiente lgico
Apesar de todas as dificuldades para proteo do ambiente fsico, sem

dvida, pode-se afirmar que o ambiente lgico requer o dobro de prote-
o para tentar garantir a segurana das informaes.
Mas, o que o ambiente lgico?
O ambiente lgico so programas e/ou aplicativos que sero utilizados

nos computadores da empresa. Tem como finalidade proteger, proces-
sar, trafegar e armazenar o fluxo de dados que sero fornecidos por seus
usurios.
O grande problema para proteo do meio lgico a dificuldade em se

identificar as falhas, para que as medidas preventivas possam ser aplica-
das. Podemos citar como exemplo, um nico usurio, que pode colocar
em risco toda estrutura lgica da empresa, caso no tome as medidas
de segurana necessrias definidas pela PSI (Poltica da Segurana da
Informao) da empresa.
Por mais que se tente controlar o meio lgico, caso a empresa tenha
conexo rede mundial de computadores (Internet), no ser possvel
garantir que as falhas de vulnerabilidades apaream, devido s rpidas
mudanas que ocorrem na tecnologia.
11.2.1. Proteo do ambiente lgico
No existe um padro definido quando o assunto segurana no am-

biente lgico. Cada caso deve ser analisado de forma independente, a
fim de minimizar as falhas. Por exemplo, os softwares que controlar a

75
rede de computadores no ambiente empresarial devem ser cercados de

aparatos de segurana, garantindo acesso s informaes somente a pes-
soas autorizadas. comum que cada usurio tenha um login e senha,
ao qual ser definido seu nvel de independncia aos sistemas, garantin-
do o monitoramento que ser efetuado pelo gestor da rede.
Outros programas como firewall, antivrus e Proxy devem se instalados

e atualizados rotineiramente, pois so ferramentas primordiais na ges-
to de segurana do ambiente lgico.
Segundo Wikipdia,
Antivrus: so softwares projetados para detectar e eliminar vrus

de computador.
Firewall: (em portugus: Corta-fogo) o nome dado ao disposi-

tivo de uma rede de computadores que tem por objetivo aplicar
uma poltica de segurana a um determinado ponto de controle
da rede. Sua funo consiste em regular o trajeto, o trfego de da-
dos entre redes distintas e impedir a transmisso e/ou recepo de
acessos nocivos ou no autorizados de uma rede para outra. Exis-
te na forma de software e hardware, ou na combinao de ambos
(neste caso, normalmente chamado de appliance).
Proxy: um servidor que atende a requisies repassando os dados do

cliente frente. Um usurio (cliente) conecta-se a um servidor proxy,
requisitando algum servio, como um arquivo, conexo, website, ou ou-
tro recurso disponvel em outro servidor.
Os programas que controlam o fluxo de informaes adotados nas

empresas devem possuir seu prprio aparato de segurana, alm dos
softwares j pr-instalados nas plataformas de trabalho. Recursos
como criptografia e controle de acesso, normalmente so acoplados
nesse tipo aplicao. Mas tudo isso ainda no garante que os usurios
mal intencionados tentem burlar os mecanismos de segurana imple-
mentados no sistema.

76
Captulo 11
11.2.2. Permetro de segurana do ambiente lgico
Permetro como j sabemos uma zona delimitada cercada de mxima

segurana, porm, no ambiente lgico difcil de ser implementada em
funo das dificuldades para deteco de falhas. O software que nor-
malmente utilizado para efetuar esse servio o firewall, juntamente
s regras de controle de acesso, mas outros programas como antivrus e
Proxy podem tornar mais difceis s possibilidades de ataques ao per-
metro. Entretanto, impossvel garantir que o ambiente seja 100% (cem
por cento) seguro de falhas.
11.3. Controle de acesso
O controle de acesso consiste em garantir a segurana do meio fsico

e lgico dos processos da organizao. Cada colaborador deve possuir
restries bem definidas de acordo com seu cargo e responsabilidade,
para garantir que pessoas desautorizadas no tenham acesso a informa-
es privilegiadas.
11.3.1. Proteo do controle fsico
A proteo fsica mais simples de se aplicar, pois possvel definir

atravs de cargos e hierarquias quais sero os limites de cada funcio-
nrio dentro do permetro. Existem inmeros aparatos de segurana
que podem garantir a eficincia deste controle. Mecanismos como
crachs, reconhecimento biomtrico, cmeras de segurana e outros
podem ser aplicados para garantir o acesso fsico dos colaboradores.
O grande problema relativo a esse tipo controle est no custo de ins-
talao e manuteno, entretanto um mal necessrio para grande
maioria das organizaes.
11.3.2. Proteo do controle lgico
Sem dvida, a proteo do controle lgico a mais traumtica, pois

conforme comentado no tpico 11.2.1 - proteo no ambiente lgico,
difcil prever todas as falhas existentes nos softwares. Por mais que
a empresa possua especialistas em segurana na rea de tecnologia da
informao praticamente impossvel prever todas as vulnerabilidades
dos sistemas em uso.
Alguns recursos recebem mais ateno dos consultores de segurana

como: sistemas corporativos, arquivos de dados e sistemas operacionais,
mas isso no impede que qualquer uma das categorias de softwares ci-

77
tados tenha brechas em sua segurana. Porm, o mais importante no

controle do ambiente lgico definir o que cada colaborador ter acesso
no seu domnio de trabalho. Esse tipo de restrio deve ser definido no
nvel de software por um profissional habilitado.
O gestor de TI tem autonomia para definir quais sero as ferramentas e

aes (gravao, leitura, deleo, impresso, etc.) utilizadas para cada
colaborador de acordo com a poltica de segurana da informao e de
acordo com os seus respectivos cargos /hierarquias.
Sistemas corporativos: So softwares projetados para atender a

rotina diria das organizaes. Esses softwares podem atender a
mais de uma empresa do mesmo setor, quando isso ocorrer de-
nominado software de pacote. Quando criado para atender a ne-
cessidade especfica de uma empresa, chamado sistema fechado.
Sistemas fechados so mais caros do que os softwares de pacote,
pois so customizados.
Arquivos de dados: So os arquivos responsveis em armazenar

o fluxo de informaes, processados pelos sistemas corporativos.
Atualmente os SGBD (Sistemas Gerenciadores de Banco de Da-
dos) so responsveis sem efetuar essa tarefa, atribudo os con-
troles necessrios para garantir a segurana no armazenamento e
recuperao das informaes.
Sistemas Operacionais: So softwares responsveis em colocar a

mquina em funcionamento, alm disso, possuem uma srie de
processos essenciais para a execuo das tarefas realizadas. Pode-
mos dizer que , sem dvida, o crebro ou o corao do compu-
tador; sem ele o usurio no acessa a rede, no abre arquivo, no
imprime o dado, no acessa a internet, dentre outros.

78
Captulo 11
Atividade 11
1) Responda:
a) Quais so os mecanismos aplicados para garantir a segurana
dos meios fsicos e lgicos?
b) Quais so os erros mais comuns ao manusear documentos nas
empresas?
c) Comente como a proteo das mdias pode ser efetuada?
d) Descreva o porqu o controle patrimonial importante?
e) Que tipo de plano de contingncia o mais adequado caso haja
falta energia na empresa?
f) Por que o ambiente lgico necessita de mais proteo?
g) Qual a importncia em se criar conta de acesso no sistema
para cada usurio?
h) Quais so os programas mais comuns utilizados para proteo
do ambiente lgico?
i) Cite algumas aplicaes lgicas primordiais para o funciona-
mento da empresa?
j) Descreva qual o papel do gestor da tecnologia da informao
no ambiente lgico?
2) Complete com (V) verdade ou (F) falso:

( ) O ambiente fsico trata os softwares e regras de negcios da
empresa.
( ) Ao tratar a parte fsica da empresa necessrio proteger: har-
dware, mdias e documentos.
( ) O permetro de segurana setor da empresa responsvel pelo
controle de acesso.
( ) O trafegar de informaes na rede efetuado pelo controle lgico.
3) Relacione:
1) Lgico
2) Fsico
( ) Controle patrimonial na empresa.
( ) Dificuldade para encontrar falhas.
( ) Efetuar conexo com a rede mundial dos computadores.
( ) Permetro de segurana na empresa.

79
CESAR, Ricardo. Quando os dados mentem. Revista Computerwold, 2005.
BEAL, Adriana. Segurana da Informao: Princpios e melhores prticas para prote-

o dos ativos de informao nas organizaes. Ed. Atlas. 2005
Padres 17999. Disponvel em <http://www.iso.org/iso/home.htm>. Acesso em: 05 out.

2009.
ARIMA, Carlos Hideo. Metodologia de auditoria de sistemas.So Paulo: rica, 2007.
IMONIANA, Joshua Onome. Auditoria de sistemas de informao So Paulo: Atlas,

2008.
GIL, Antnio de Loureiro. Auditoria de Computadores. 5.ed. Atlas, 2000.
DIAS, Cludia. Segurana e auditoria da tecnologia da informao. Rio de Janeiro: Ed.

Axcel Books, 2000.

0 Auditoria Seguran A Sistemas WEB1

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

0 Auditoria Seguran A Sistemas WEB1

Hochgeladen von

Copyright:

Verfügbare Formate

1

PROF. JEFFERSON RIBEIRO DE LIMA

AUDITORIA E SEGURANA DE SISTEMAS

Diretora do CEAD Centro de Educao a Distncia

Curso de Tecnologia em Anlise e Desenvolvimento de Sistemas

Catalogao da fonte: Rogria Gomes Belchior - CRB 12/417

Crditos de autoria da editorao

Tecnologia em Anlise e Desenvolvimento de Sistemas

um prazer t-lo conosco.

O Ifes Instituto Federal do Esprito Santo oferece a voc, em parceria

Na EaD Educao a Distncia, voc o grande responsvel pelo sucesso

Fique atento s orientaes de estudo que se encontram no Manual

A EaD, pela sua caracterstica de amplitude e pelo uso de tecnologias mo-

Desejamos-lhe sucesso e dedicao!

Auditoria e Segurana de Sistemas

Conceitos importantes. Fique atento!

Atividades que devem ser elaboradas por voc,

Indicao de leituras complemtares, referentes

Destaque de algo importante, referente ao

Reflexo/questionamento sobre algo impor-

Espao reservado para as anotaes que voc

Tecnologia em Anlise e Desenvolvimento de Sistemas

CAP 1 - AUDITORIA E SEGURANA DE SISTEMAS11

CAP 2 - TIPOS DE AUDITORIA17

CAP 3 - PLANEJAMENTO DA AUDITORIA23

CAP 4 - CONTROLES INTERNOS 31

Auditoria e Segurana de Sistemas

4.2.6. Procedimentos de controle para sistemas de

CAP 5 AUDITORIA AUXILIADA POR SOFTWARES 39

CAP 6 - AUDITORIA DE HARDWARE E SOFTWARE 47

CAP 7 - GESTO DO RISCO EM SISTEMA DE

CAP 8 - PADRES DE PROCESSOS 59

CAP 9 - POLTICA DE SEGURANA DA INFORMAO 63

CAP 10 - ASPECTOS HUMANOS DA SEGURANA DA

CAP 11 - SEGURANA DO AMBIENTE 71

Tecnologia em Anlise e Desenvolvimento de Sistemas

11.1.2. Proteo de mdias73

Auditoria e Segurana de Sistemas

Tecnologia em Anlise e Desenvolvimento de Sistemas

Meu nome Jefferson Ribeiro de Lima,

sou responsvel pela disciplina Auditoria e Segurana de Sistemas. Sou gra-

Atuo como professor do Ifes h cinco anos e j lecionei em vrias outras

Sobre a disciplina, aprenderemos os conceitos e prticas, normalmente

Atravs da abordagem aplicada nesse material e seguindo os padres

Conheceremos inicialmente alguns conceitos e termos aplicveis no pro-

O objetivo deste material auxili-lo no estudo da disciplina, por meio

Desejo sucesso a voc!!!

Prof. Jefferson Ribeiro de Lima

Auditoria e Segurana de Sistemas

Tecnologia em Anlise e Desenvolvimento de Sistemas

Atualmente as empresas buscam melhorias no processo da gesto de

Esse conceito pode ser interpretado como mecanismo do exame dos

Auditoria e Segurana de Sistemas

Segundo Dias (2000), uma atividade que engloba o exame das

Conforme o prprio conceito explica, auditoria a anlise minuciosa

1.1.1. Campo, mbito e rea.

Dentro da auditoria de sistemas, necessrio definir claramente os ob-

Tecnologia em Anlise e Desenvolvimento de Sistemas

O campo define o que ser fiscalizado, como tambm o tempo da exe-

No mbito, sero definidos quais so os processos da empresa sero ava-

Em relao rea, podemos definir como dimenso dos trabalhos entre o

1.2. Auditoria assistida

uma tcnica que utiliza o computador para auditar os recursos e pro-