Download [7072 - 19225]Auditoria de Seg Da Informacao...
Auditoria de Segurança da Informação Luiz Otávio Botelho Lento Márcio Ghisi Guimarães
Créditos Universidade do Sul de Santa Catarina | Campus UnisulVirtual | Educação Superior a Distância
Avenida dos Lagos, 41 – Cidade Universitária Pedra Branca | Palhoça – SC | 88137-900 | Fone/fax: (48) 3279-1242 e 3279-1271 | E-mail:
[email protected] | Site: www.unisul.br/unisulvirtual
Reitor Ailton Nazareno Soares Vice-Reitor Sebastião Salésio Heerdt Chefe de Gabinete da Reitoria Willian Corrêa Máximo Pró-Reitor de Ensino e Pró-Reitor de Pesquisa, Pós-Graduação e Inovação Mauri Luiz Heerdt Pró-Reitora de Administração Acadêmica Miriam de Fátima Bora Rosa Pró-Reitor de Desenvolvimento e Inovação Institucional Valter Alves Schmitz Neto Diretora do Campus Universitário de Tubarão Milene Pacheco Kindermann Diretor do Campus Universitário da Grande Florianópolis Hércules Nunes de Araújo Secretária-Geral de Ensino Solange Antunes de Souza Diretora do Campus Universitário UnisulVirtual Jucimara Roesler Equipe UnisulVirtual Diretor Adjunto Moacir Heerdt
Secretaria Executiva e Cerimonial Jackson Schuelter Wiggers (Coord.) Marcelo Fraiberg Machado Tenille Catarina
Assessoria de Assuntos Internacionais Murilo Matos Mendonça
Assessoria de Relação com Poder Público e Forças Armadas Adenir Siqueira Viana Walter Félix Cardoso Junior
Assessoria DAD - Disciplinas a Distância
Patrícia da Silva Meneghel (Coord.) Carlos Alberto Areias Cláudia Berh V. da Silva Conceição Aparecida Kindermann Luiz Fernando Meneghel Renata Souza de A. Subtil
Assessoria de Inovação e Qualidade de EAD
Denia Falcão de Bittencourt (Coord.) Andrea Ouriques Balbinot Carmen Maria Cipriani Pandini
Assessoria de Tecnologia
Osmar de Oliveira Braz Júnior (Coord.) Felipe Fernandes Felipe Jacson de Freitas Jefferson Amorin Oliveira Phelipe Luiz Winter da Silva Priscila da Silva Rodrigo Battistotti Pimpão Tamara Bruna Ferreira da Silva
Coordenação Cursos Coordenadores de UNA
Diva Marília Flemming Marciel Evangelista Catâneo Roberto Iunskovski
Auxiliares de Coordenação
Ana Denise Goularte de Souza Camile Martinelli Silveira Fabiana Lange Patricio Tânia Regina Goularte Waltemann
Coordenadores Graduação
Aloísio José Rodrigues Ana Luísa Mülbert Ana Paula R.Pacheco Artur Beck Neto Bernardino José da Silva Charles Odair Cesconetto da Silva Dilsa Mondardo Diva Marília Flemming Horácio Dutra Mello Itamar Pedro Bevilaqua Jairo Afonso Henkes Janaína Baeta Neves Jorge Alexandre Nogared Cardoso José Carlos da Silva Junior José Gabriel da Silva José Humberto Dias de Toledo Joseane Borges de Miranda Luiz G. Buchmann Figueiredo Marciel Evangelista Catâneo Maria Cristina Schweitzer Veit Maria da Graça Poyer Mauro Faccioni Filho Moacir Fogaça Nélio Herzmann Onei Tadeu Dutra Patrícia Fontanella Roberto Iunskovski Rose Clér Estivalete Beche
Vice-Coordenadores Graduação Adriana Santos Rammê Bernardino José da Silva Catia Melissa Silveira Rodrigues Horácio Dutra Mello Jardel Mendes Vieira Joel Irineu Lohn José Carlos Noronha de Oliveira José Gabriel da Silva José Humberto Dias de Toledo Luciana Manfroi Rogério Santos da Costa Rosa Beatriz Madruga Pinheiro Sergio Sell Tatiana Lee Marques Valnei Carlos Denardin Sâmia Mônica Fortunato (Adjunta)
Coordenadores Pós-Graduação
Aloísio José Rodrigues Anelise Leal Vieira Cubas Bernardino José da Silva Carmen Maria Cipriani Pandini Daniela Ernani Monteiro Will Giovani de Paula Karla Leonora Dayse Nunes Letícia Cristina Bizarro Barbosa Luiz Otávio Botelho Lento Roberto Iunskovski Rodrigo Nunes Lunardelli Rogério Santos da Costa Thiago Coelho Soares Vera Rejane Niedersberg Schuhmacher
Gerência Administração
Acadêmica Angelita Marçal Flores (Gerente) Fernanda Farias
Secretaria de Ensino a Distância Samara Josten Flores (Secretária de Ensino) Giane dos Passos (Secretária Acadêmica) Adenir Soares Júnior Alessandro Alves da Silva Andréa Luci Mandira Cristina Mara Schauffert Djeime Sammer Bortolotti Douglas Silveira Evilym Melo Livramento Fabiano Silva Michels Fabricio Botelho Espíndola Felipe Wronski Henrique Gisele Terezinha Cardoso Ferreira Indyanara Ramos Janaina Conceição Jorge Luiz Vilhar Malaquias Juliana Broering Martins Luana Borges da Silva Luana Tarsila Hellmann Luíza Koing Zumblick Maria José Rossetti
Marilene de Fátima Capeleto Patricia A. Pereira de Carvalho Paulo Lisboa Cordeiro Paulo Mauricio Silveira Bubalo Rosângela Mara Siegel Simone Torres de Oliveira Vanessa Pereira Santos Metzker Vanilda Liordina Heerdt
Gestão Documental
Patrícia de Souza Amorim Poliana Simao Schenon Souza Preto
Karine Augusta Zanoni Marcia Luz de Oliveira Mayara Pereira Rosa Luciana Tomadão Borguetti
Gerência de Desenho e Desenvolvimento de Materiais Didáticos
Assuntos Jurídicos
Márcia Loch (Gerente)
Bruno Lucion Roso Sheila Cristina Martins
Desenho Educacional
Marketing Estratégico
Rafael Bavaresco Bongiolo
Carolina Hoeller da Silva Boing Vanderlei Brasil Francielle Arruda Rampelotte
Cristina Klipp de Oliveira (Coord. Grad./DAD) Roseli A. Rocha Moterle (Coord. Pós/Ext.) Aline Cassol Daga Aline Pimentel Carmelita Schulze Daniela Siqueira de Menezes Delma Cristiane Morari Eliete de Oliveira Costa Eloísa Machado Seemann Flavia Lumi Matuzawa Geovania Japiassu Martins Isabel Zoldan da Veiga Rambo João Marcos de Souza Alves Leandro Romanó Bamberg Lygia Pereira Lis Airê Fogolari Luiz Henrique Milani Queriquelli Marcelo Tavares de Souza Campos Mariana Aparecida dos Santos Marina Melhado Gomes da Silva Marina Cabeda Egger Moellwald Mirian Elizabet Hahmeyer Collares Elpo Pâmella Rocha Flores da Silva Rafael da Cunha Lara Roberta de Fátima Martins Roseli Aparecida Rocha Moterle Sabrina Bleicher Verônica Ribas Cúrcio
Reconhecimento de Curso
Acessibilidade
Multimídia
Lamuniê Souza (Coord.) Clair Maria Cardoso Daniel Lucas de Medeiros Jaliza Thizon de Bona Guilherme Henrique Koerich Josiane Leal Marília Locks Fernandes
Gerência Administrativa e Financeira Renato André Luz (Gerente) Ana Luise Wehrle Anderson Zandré Prudêncio Daniel Contessa Lisboa Naiara Jeremias da Rocha Rafael Bourdot Back Thais Helena Bonetti Valmir Venício Inácio
Gerência de Ensino, Pesquisa e Extensão Janaína Baeta Neves (Gerente) Aracelli Araldi
Elaboração de Projeto
Maria de Fátima Martins
Extensão
Maria Cristina Veit (Coord.)
Pesquisa
Daniela E. M. Will (Coord. PUIP, PUIC, PIBIC) Mauro Faccioni Filho (Coord. Nuvem)
Pós-Graduação
Anelise Leal Vieira Cubas (Coord.)
Biblioteca
Salete Cecília e Souza (Coord.) Paula Sanhudo da Silva Marília Ignacio de Espíndola Renan Felipe Cascaes
Gestão Docente e Discente
Enzo de Oliveira Moreira (Coord.)
Capacitação e Assessoria ao Docente
Alessandra de Oliveira (Assessoria) Adriana Silveira Alexandre Wagner da Rocha Elaine Cristiane Surian (Capacitação) Elizete De Marco Fabiana Pereira Iris de Souza Barros Juliana Cardoso Esmeraldino Maria Lina Moratelli Prado Simone Zigunovas
Tutoria e Suporte
Anderson da Silveira (Núcleo Comunicação) Claudia N. Nascimento (Núcleo Norte-
Nordeste)
Maria Eugênia F. Celeghin (Núcleo Pólos) Andreza Talles Cascais Daniela Cassol Peres Débora Cristina Silveira Ednéia Araujo Alberto (Núcleo Sudeste) Francine Cardoso da Silva Janaina Conceição (Núcleo Sul) Joice de Castro Peres Karla F. Wisniewski Desengrini Kelin Buss Liana Ferreira Luiz Antônio Pires Maria Aparecida Teixeira Mayara de Oliveira Bastos Michael Mattar
Vanessa de Andrade Manoel (Coord.) Letícia Regiane Da Silva Tobal Mariella Gloria Rodrigues Vanesa Montagna
Avaliação da aprendizagem
Portal e Comunicação
Catia Melissa Silveira Rodrigues Andreia Drewes Luiz Felipe Buchmann Figueiredo Rafael Pessi
Gerência de Produção
Arthur Emmanuel F. Silveira (Gerente) Francini Ferreira Dias
Design Visual
Pedro Paulo Alves Teixeira (Coord.) Alberto Regis Elias Alex Sandro Xavier Anne Cristyne Pereira Cristiano Neri Gonçalves Ribeiro Daiana Ferreira Cassanego Davi Pieper Diogo Rafael da Silva Edison Rodrigo Valim Fernanda Fernandes Frederico Trilha Jordana Paula Schulka Marcelo Neri da Silva Nelson Rosa Noemia Souza Mesquita Oberdan Porto Leal Piantino Sérgio Giron (Coord.) Dandara Lemos Reynaldo Cleber Magri Fernando Gustav Soares Lima Josué Lange
Claudia Gabriela Dreher Jaqueline Cardozo Polla Nágila Cristina Hinckel Sabrina Paula Soares Scaranto Thayanny Aparecida B. da Conceição
Conferência (e-OLA)
Gerência de Logística
Marcelo Bittencourt (Coord.)
Jeferson Cassiano A. da Costa (Gerente)
Logísitca de Materiais
Carlos Eduardo D. da Silva (Coord.) Abraao do Nascimento Germano Bruna Maciel Fernando Sardão da Silva Fylippy Margino dos Santos Guilherme Lentz Marlon Eliseu Pereira Pablo Varela da Silveira Rubens Amorim Yslann David Melo Cordeiro
Avaliações Presenciais
Graciele M. Lindenmayr (Coord.) Ana Paula de Andrade Angelica Cristina Gollo Cristilaine Medeiros Daiana Cristina Bortolotti Delano Pinheiro Gomes Edson Martins Rosa Junior Fernando Steimbach Fernando Oliveira Santos Lisdeise Nunes Felipe Marcelo Ramos Marcio Ventura Osni Jose Seidler Junior Thais Bortolotti
Gerência de Marketing
Eliza B. Dallanhol Locks (Gerente)
Relacionamento com o Mercado Alvaro José Souto Relacionamento com Polos Presenciais Alex Fabiano Wehrle (Coord.) Jeferson Pandolfo
Carla Fabiana Feltrin Raimundo (Coord.) Bruno Augusto Zunino Gabriel Barbosa
Produção Industrial
Gerência Serviço de Atenção Integral ao Acadêmico Maria Isabel Aragon (Gerente) Ana Paula Batista Detóni André Luiz Portes Carolina Dias Damasceno Cleide Inácio Goulart Seeman Denise Fernandes Francielle Fernandes Holdrin Milet Brandão Jenniffer Camargo Jessica da Silva Bruchado Jonatas Collaço de Souza Juliana Cardoso da Silva Juliana Elen Tizian Kamilla Rosa Mariana Souza Marilene Fátima Capeleto Maurício dos Santos Augusto Maycon de Sousa Candido Monique Napoli Ribeiro Priscilla Geovana Pagani Sabrina Mari Kawano Gonçalves Scheila Cristina Martins Taize Muller Tatiane Crestani Trentin
Universidade do Sul de Santa Catarina
Auditoria de Segurança da Informação Livro Digital
Palhoça UnisulVirtual 2012
Copyright © UnisulVirtual 2012 Nenhuma parte desta publicação pode ser reproduzida por qualquer meio sem a prévia autorização desta instituição. Edição – Livro Digital Professor Conteudista Márcio Ghisi Guimarães Luiz Otávio Botelho Lento
Coordenação de Curso Luiz Otávio Botelho Lento
Design Instrucional Delma Cristiane Morari
Projeto Gráfico e Capa Equipe Design Visual
Diagramação Jordana Paula Schulka
Revisão Amaline Mussi
005.8 L59
Lento, Luiz Otávio Botelho Auditoria de segurança da informação : livro digital / Luiz Otávio Botelho Lento, Márcio Ghisi Guimarães ; design instrucional Delma Cristiane Morari. – Palhoça : UnisulVirtual, 2012. 116 p. : il. ; 28 cm. Inclui bibliografia.
1. Proteção de dados - Auditoria. 2. Sistemas de recuperação da informação – Medidas de segurança. I. Guimarães, Márcio Ghisi. II. Morari, Delma Cristiane. III. Título.
Ficha catalográfica elaborada pela Biblioteca Universitária da Unisul
Luiz Otávio Botelho Lento Márcio Ghisi Guimarães
Auditoria de Segurança da Informação Livro Digital
Designer Instrucional Delma Cristiane Morari
Palhoça UnisulVirtual 2012
Sumário
7
Apresentação
9
Palavras dos professores
11
Plano de estudo
15
Unidade 1 Auditoria e sua importância em uma organização
43
Unidade 2 Auditoria da tecnologia da informação
69
Unidade 3 Auditoria de segurança da informação
89
Unidade 4 Auditoria de sistemas de gestão de segurança da informação
105 Para concluir os estudos 107 Minicurrículos 109 Respostas e comentários das atividades de autoaprendizagem e colaborativas
113
Referências
Apresentação
Caro/a estudante, O livro digital desta disciplina foi organizado didaticamente, de modo a oferecer a você, em um único arquivo pdf, elementos essenciais para o desenvolvimento dos seus estudos. Constituem o livro digital: •• Palavras dos professores (texto de abertura); •• Plano de estudo (com ementa, objetivos e conteúdo programático da disciplina); •• Objetivos, Introdução, Síntese e Saiba mais de cada unidade; •• Leituras de autoria do professor conteudista; •• Atividades de autoaprendizagem e gabaritos; •• Enunciados das atividades colaborativas; •• Para concluir estudos (texto de encerramento); •• Minicurrículos dos professores conteudistas; e •• Referências. Lembramos, no entanto, que o livro digital não constitui a totalidade do material didático da disciplina. Dessa forma, integram o conjunto de materiais de estudo: webaulas, objetos multimídia, leituras complementares (selecionadas pelo professor conteudista) e atividades de avaliação (obrigatórias e complementares), que você acessa pelo Espaço UnisulVirtual de Aprendizagem. Tais materiais didáticos foram construídos especialmente para este curso, levando em consideração as necessidades da sua formação e aperfeiçoamento profissional. Atenciosamente, Equipe UnisulVirtual
Palavras dos professores
Caro/a estudante, Seja bem-vindo/a à disciplina Auditoria de Segurança da Informação. Como você já deve saber, o Sistema de Gestão de Segurança da Informação (SGSI) é estratégico para o sucesso do negócio de uma organização. Neste mundo globalizado, a necessidade de manter o SGSI adequado às necessidades da organização passou a constituir prioridade entre a alta direção e os gestores de segurança das organizações. Por sua vez, o processo de auditoria tornou-se uma ferramenta eficaz aí, pois suas constatações e conclusões podem ajudar a manter o sistema de gestão dentro das expectativas da organização. Esta disciplina tem como objetivo apresentar a você, na perspectiva dos autores, uma primeira visão do que vem a ser Auditoria de Segurança da Informação. Buscando ressaltar, igualmente, a sua importância para o negócio de uma organização. Na atualidade, as empresas dependem dos recursos da Tecnologia da Informação para terem competitividade nos negócios. Não existe mais espaço para processamento de dados manualmente. Todas as informações estão gravadas em banco de dados e as regras de negócios estão implementadas em sistemas de informação. Sem os recursos de TI, a grande maioria das empresas deixa de operar. Nesse contexto, a segurança das informações é vital para a continuidade dos negócios das empresas. Mas será que as informações estão seguras nas empresas? A resposta a essa pergunta pode ser encontrada pela auditoria de segurança das informações. Somente realizando constantes auditorias nos recursos de TI é que se pode afirmar estarem as informações realmente seguras, ou não.
A abrangência da auditoria pode variar conforme a complexidade dos recursos de TI utilizados pela empresa, ou seja, a auditoria é dinâmica e deve ser realizada por um auditor independente. Este livro abordará alguns tópicos relevantes de TI que devem ser auditados e as razões para a realização da auditoria. Bom estudo a todos! Professores Márcio Ghisi Guimarães e Luiz Otávio Botelho Lento
Pós-graduação
Plano de estudo
O plano de estudo visa a orientá-lo/a no desenvolvimento da disciplina. Possui elementos que o/a ajudarão a conhecer o contexto da disciplina e a organizar o seu tempo de estudos. O processo de ensino e aprendizagem na UnisulVirtual leva em conta instrumentos que se articulam e se complementam, portanto a construção de competências se dá sobre a articulação de metodologias e por meio das diversas formas de ação/mediação. São elementos desse processo: •• o livro digital; •• o Espaço UnisulVirtual de Aprendizagem (EVA); •• as atividades de avaliação (a distância, presenciais e de autoaprendizagem); •• o Sistema Tutorial.
Objetivo geral Compreender as principais estratégias que norteiam a realização de uma auditoria computacional e desenvolver habilidades para a sua execução em ambientes corporativos.
Ementa Conceito e organização de auditoria. Controles organizacionais. Controle de mudanças. Controle de operação de sistemas. Controle sobre o ambiente de rede.
Conteúdo programático/objetivos A seguir, as unidades que compõem o livro digital desta disciplina e os seus respectivos objetivos. Estes se referem aos resultados que você deverá alcançar ao final de uma etapa de estudo. Os objetivos de cada unidade definem o conjunto de conhecimentos que você deverá possuir para o desenvolvimento de habilidades e competências necessárias a este nível de estudo.
Unidades de estudo: 4
Unidade 1 – Auditoria e sua importância em uma organização Pode-se afirmar que a auditoria é a atribuição responsável por fiscalizar os processos de uma organização. Sua principal função é revelar se os processos estão sendo executados corretamente, constantemente, de forma preventiva ou corretiva, e, principalmente, independente. A auditoria pode ser classificada por tipos, como: interna, externa, administrativa, contábil, financeira, operacional e de tecnologia da informação.
Unidade 2 – Auditoria de tecnologia da informação Esta unidade estuda a importância da auditoria na área de TI, pois ela compreende todas as áreas relacionadas à TI. Todos os processos podem e devem ser auditados, desde a decisão sobre tecnologias a ser adotadas, desenvolvimento de sistemas, integração entre sistemas, comunicação entre máquinas, mudanças de sistemas e tecnologias, equipes de desenvolvimentos, prioridades, controles organizacionais, legalidade jurídica, bem como os resultados. A auditoria no setor TI é imprescindível, haja vista que, hoje, muitas organizações param de operar pelo fato de a respectiva tecnologia de TI adotada deixar de funcionar.
Pós-graduação
Unidade 3 – Auditoria de segurança da informação Atualmente, uma organização não consegue mais operar sem sistemas de informação que operam de forma integrada entre si, pois isto é vital para assegurar a continuidade de funcionamento das organizações. A operação de sistemas revela o resultado de todo um trabalho de análise e implantação de sistemas. Auditando a operação de sistemas, pode-se concluir que as regras de negócio foram implantadas e executadas corretamente. Os níveis de auditoria devem aprofundar, de acordo com a segurança crítica das informações, por meio dos controles de acesso lógico e físico.
Unidade 4 – Auditoria de sistemas de gestão de segurança da informação Esta unidade trata da importância de se ter um sistema de gestão de segurança da informação (SGSI) implementado em uma organização, o que permite ao responsável pela segurança das informações visualizar, com muito mais eficiência e em tempo real, a situação dos sistemas integrados.
Carga horária: 30 horas
Auditoria de Segurança da Informação
Unidade 1
Auditoria e sua importância em uma organização
Objetivos de aprendizagem ••Compreender a necessidade de realização de auditoria nas organizações. ••Distinguir os tipos de auditoria e sua aplicabilidade. ••Perceber a contribuição da constante aplicação de auditoria para a segurança das informações de uma organização. ••Conhecer o planejamento da auditoria e a importância do planejamento na aplicação da auditoria.
Introdução A globalização e a dinâmica na composição e realização de negócios entre as organizações no país e no mundo é uma realidade crescente a cada dia. A necessidade do uso contínuo de sistemas computacionais em seus negócios assegurou às organizações oferecerem produtos com mais qualidade e competitividade. Esse novo cenário passou a prover uma nova demanda de técnicas e soluções de monitoramento e controle dos processos de negócio. Isso porque a necessidade, cada vez maior, de minimizar falhas e impactos no negócio da organização, como por exemplo, riscos de investimentos, boa imagem junto aos seus stakeholders, veio a tornar-se uma das prioridades de seus gerentes. Dentre os diversos mecanimos existentes que podem prover o monitoramento e controle dos processos do negócio de uma organização, pode-se citar a auditoria. É que a auditoria consiste em um importante instrumento do processo de gestão de Tecnologia da Informação (TI) de uma organização. Esta unidade irá apresentar os conceitos básicos de auditoria em uma organização.
16
Conceito, tipos e características de auditoria Luiz Otávio Botelho Lento
No decorrer dos anos, o mundo empresarial cresceu de forma significativa, integrando universos diversos, compostos por organizações de vários segmentos de mercado, e oferecendo um leque amplo de produtos, com variedade de formatos referentes à aquisição e utilização. A competitividade no mercado globalizado está mais voraz. Fatores como a interação das economias (ex: MERCOSUL, Europa e NAFTA), as constantes alterações geopolíticas e sociais, em conjunto com a evolução tecnológica, reforçam a competitividade. As organizações que fazem parte dessa nova realidade estão cada vez mais vulneráveis perante esse mercado, pois necessitam manter uma constante atualização em relação às diversas demandas emergentes. Uma solução para esse problema é juntar esforços. Em virtude disto, as organizações se unem, de forma cooperativa, com o objetivo de atender uma determinada demanda de negócio. Com isso, novas estruturas interorganizacionais, criadas e distribuídas com base na ajuda mútua, são, atualmente, uma realidade e uma solução cabível ante as obrigatoriedades estabelecidas por um novo mercado.
Organizações visuais Um estilo de computação escalável de recursos de TI é identificado como um fornecimento de “serviço” para clientes externos, por meio da tecnologia da internet. Os consumidores desses serviços visualizam-nos apenas para utilização, sem se preocupar com a arquitetura de implementação ou programação desses. Saiba mais em: .
Cloud Computing É a designação aceita para redes independentes, formadas dinamicamente por meio de empresas e organizações convencionais de um modo geral, distribuídas geograficamente, com objetivos comuns, compartilhando tecnologia de informação e comunicação, trabalhando de forma cooperativa, de modo a possibilitar uma melhor qualidade de serviço e competências na solução de problemas comuns. (ZHANG; GU, 2003).
Pós-graduação
A busca constante por novas soluções e produtos deve-se a essa crescente evolução do mercado, cada vez mais competitivo e volátil, que, junto à globalização da tecnologia e da economia, é fator influente na busca de soluções mais eficientes, com custos mais acessíveis. As empresas que estão vivenciando esta realidade vêm buscando unir forças para minimizar custos e obter soluções que atendam de forma objetiva os seus clientes. Nesse contexto, vem crescendo a utilização de organizações virtuais como solução, em conjunto com o conceito de Cloud Computing, pois asssegura uma saída para esta questão, possibilitando: ••coordenar recursos compartilhados de forma descentralizada (sem controle centralizado); ••fazer uso de protocolos e interfaces padrões, de propósito geral e aberta; e ••proporcionar qualidades de serviços não triviais.
17
Em paralelo, novas vulnerabilidades e ameaças foram criadas, tornando os negócios das organizações mais suscetíveis a ataques. Tal possibilidade forçou os administradores, em conjunto com a sua equipe de Tecnologia da Informação, a buscar alternativas de proteção com a finalidade de mitigar essas vulnerabilidades e, assim, reduzir a chance de ocorrer ataques ao seu negócio. Dessa forma, conforme citado em Sêmola (2010), a importância da Gestão da Segurança da Informação é hoje um fator fundamental para o sucesso do negócio de qualquer organização, independente de seu tamanho ou área de atuação. A implantação de um Sistema de Gestão de Segurança da Informação (SGSI), em conformidade com os requisitos descritos na norma ISO 27001, é fator estratégico e de sucesso para o negócio da organização. Em paralelo, a aplicação de boas práticas de segurança da informação, conforme citadas na ISO 27002, também deve ser adotada no projeto de segurança de informação da organização. A norma ISO 27001, responsável em estabelecer os requisitos do SGSI de uma organização, baseia-se no modelo de processo PDCA (Plan – Do – Check – Act), conforme pode ser visualizado na Figura 1. Modelo PDCA aplicado ao processo do SGSI Parceiros Interessados
Parceiros Interessados
Plan Especifíca o SGSI
Do
Implementa e opera o SGSI
Expectativas e necessidades de segurança da informação
Manutenção e monitora o SGSI
Act
Monitora e revisa o SGSI
Check
Segurança da informação gerenciada
Figura 1 - Modelo de Processos PDCA Fonte: ISO 27001 (2005).
Como pode ser visto, o ciclo PDCA é representado por quatro fases: ••Planejamento: nesta, de forma geral, são planejadas e projetadas as atividades referentes ao SGSI, como por exemplo, políticas e procedimentos de segurança; ••Execução: aqui, são implantadas e operacionalizadas as políticas, controles, processos e procedimentos do SGSI; ••Verificação: de uma forma geral, nessa etapa audita-se o SGSI, analisando e avaliando a eficiência, por exemplo, de suas políticas, procedimentos e controles;
Auditoria e sua importância em uma organização
18
••Ações corretivas: com base na etapa de verificação, são tomadas ações que previnam ou que venham a corrigir as atividades referentes ao SGSI, especificadas na fase de planejamento e implantadas na fase de execução. O sucesso da implantação e manutenção do SGSI está baseado na verificação constante das suas atividades. A auditoria dos seus componentes possibilita que o SGSI esteja sempre alinhado às necessidades de segurança da informação do negócio da organização. Esse fato torna a auditoria, de forma ampla, uma ferramenta fundamental à manutenção e adequação do SGSI à estratégia do negócio. Evidência de auditoria Evidências de auditoria: são registros, apresentação de fatos ou outras informações, pertinentes aos critérios de auditoria. A auditoria pode ser quantitativa ou qualitativa.
Critérios de auditoria
Conceituar auditoria pode ser considerado um tanto quanto fácil, pois existem algumas definições em torno desse assunto. Todavia a NBR ISO 19011 define auditoria como um processo sistemático, documentado e independente para obter evidências de auditoria e avaliá-las objetivamente de modo a determinar a extensão na qual os critérios de auditoria são atendidos.
Critérios de auditoria: consiste em um conjunto de políticas, procedimentos ou requisitos. Os critérios de auditoria são usados como uma referência contra a qual a evidência da auditoria é comparada.
Outra definição interessante de auditoria está em UFERSA (2010): são exames, análises, avaliações, levantamento e comprovações, metodologicamente estruturados para a avaliação da integridade, adequação, eficiência, eficácia e economicidade dos processos, dos sistemas de informações e de controles internos integrados da organização, visando a atingir o cumprimento de seus objetivos. Segundo Mello (2005), a auditoria pode ser definida como uma atividade que engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada entidade, com o intuito de verificar a sua conformidade com certos objetivos e políticas institucionais, orçamentos, regras, normas ou padrões. Poderiam ser mencionadas, ainda, algumas definições mais: acredita-se, entretanto, que essas duas atendam às expectativas deste estudo. Ressalta-se que uma auditoria caracteriza-se pela confiança e princípios, tornandose ferramenta eficiente e confiável. Dessa forma, contribui para as políticas de gestão e controle, provendo as organizações de informações que possibilitem melhorar os seus processos de negócio. A NBR ISO 19011 apresenta alguns desses princípios, relacionados aos auditores, possibilitando que sejam fornecidas conclusões de auditoria relevantes e suficientes e permitindo que auditores trabalhem de forma independente e cheguem a conclusões semelhantes em situações semelhantes. Veja na sequência.
Pós-graduação
19
Conduta ética: consiste na alma do profissional, confiança, integridade, confidencialidade e discrição. A ética consiste em uma característica inerente às ações do ser humano, tornando-se um componente fundamental à sociedade. Obrigação: existe a obrigação de reportar com veracidade e exatidão todas as informações pertinentes à auditoria, relacionadas com as constatações e as conclusões da auditoria e seus respectivos relatórios. Consciência profissional: os auditores devem ter a preocupação de realizar as tarefas da forma mais profissional, de acordo com a importância e a confiança depositada em uma auditoria. Independência: é a base para a imparcialidade e objetividade das conclusões de uma auditoria, porque os auditores são independentes em relação ao que será auditado, assim como não se ligam aos interesses e às tendências apresentadas. Evidência: a evidência de auditoria pode ser verificada, pois ela é realizada com base em amostras de informações que se encontram disponíveis.
Sendo assim, pode-se dizer que a auditoria é talvez um mal/bem necessário a qualquer organização. Saber até quanto o seu processo de negócio é eficiente, ou mesmo, até quanto o seu sistema de informações é seguro, é uma necessidade estratégica para o negócio. Logo, se for perguntado por que auditar, a resposta pode ser imediata: é uma necessidade estratégica para o negócio da organização, o qual pode ser validado pela auditoria.
Tipos de auditoria As auditorias podem estar em conformidade com diversos critérios, como por exemplo, o objetivo, a periodicidade e o posicionamento do auditor/órgão fiscalizador. O objetivo de uma auditoria pode estar relacionado à necessidade de se verificarem falhas em um processo e, assim, poder corrigi-lo. A periodicidade de uma auditoria pode estar relacionada à necessidade ou ao tipo de negócio. Sendo assim, Neto e Solonca (2007) apresentam um quadro com os tipos de auditoria, separando-os em 3 classes abrangentes: forma de abordagem; órgão fiscalizador e área envolvida. Com isso, oferecem uma ampla visão dos diversos tipos de auditoria que podem existir.
Auditoria e sua importância em uma organização
20
Classificação
Quanto à forma de abordagem:
Quanto ao órgão fiscalizador:
Quanto à área envolvida:
Tipos de auditoria
Descrição
Auditoria horizontal
Auditoria com tema específico, realizada em várias entidades ou serviços, paralelamente.
Auditoria orientada
Foca em uma atividade específica qualquer ou atividades com fortes indícios de fraudes ou erros.
Auditoria interna
Auditoria realizada por um departamento interno, responsável pela verificação e avaliação dos sistemas e procedimentos internos de uma entidade. Um de seus objetivos é reduzir a probabilidade de fraudes, erros, práticas ineficientes ou ineficazes. Esse serviço deve ser independente e prestar contas diretamente à classe executiva da corporação.
Auditoria externa
Auditoria realizada por uma empresa externa e independente da entidade que está sendo fiscalizada, com o objetivo de emitir um parecer sobre a gestão de recursos da entidade, sua situação financeira, a legalidade e regularidade de suas operações.
Auditoria articulada
Trabalho conjunto de auditorias internas e externas, devido à superposição de responsabilidades dos órgãos fiscalizadores, caracterizado pelo uso comum de recursos e comunicação recíproca dos resultados.
Auditoria de programas de governo
Acompanhamento, exame e avaliação da execução de programas e projetos governamentais. Auditoria do planejamento estratégico – verifica se os principais objetivos da entidade são atingidos e se as políticas e estratégias são respeitadas.
Auditoria administrativa
Engloba o plano da organização, seus procedimentos, diretrizes e documentos de suporte à tomada de decisão.
Auditoria contábil
É relativa à fidedignidade das contas da instituição. Essa auditoria, consequentemente, tem como finalidade fornecer alguma garantia de que as operações e o acesso aos ativos se efetuem de acordo com as devidas autorizações. continua...
Pós-graduação
21
Classificação
Quanto à área envolvida:
Tipos de auditoria
Descrição
Auditoria financeira
Conhecida também como auditoria das contas. Consiste na análise das contas, da situação financeira, da legalidade e regularidade das operações e aspectos contábeis, financeiros, orçamentários e patrimoniais, verificando se todas as operações foram corretamente autorizadas, liquidadas, ordenadas, pagas e registradas. Auditoria de legalidade – conhecida como auditoria de conformidade. Consiste na análise da legalidade e regularidade das atividades, funções, operações ou gestão de recursos, verificando se estão em conformidade com a legislação em vigor.
Auditoria operacional
Incide em todos os níveis de gestão, nas fases de programação, execução e supervisão, sob a ótica da economia, eficiência e eficácia. Analisa também a execução das decisões tomadas e aprecia até que ponto os resultados pretendidos foram atingidos.
Auditoria da Tecnologia da Informação
Tipo de auditoria essencialmente operacional, por meio da qual os auditores analisam os sistemas de informática, o ambiente computacional, a segurança de informações e o controle interno da entidade fiscalizada, identificando seus pontos fortes e deficiências.
Quadro 1 – Classificação das auditorias Fonte: Neto e Solonca (2007).
Auditoria interna/externa A classificação quanto ao órgão fiscalizador/posicionamento do auditor destaca 2 tipos de auditoria aplicados, em sua maioria, nas organizações, independente da área de atuação ou forma de abordagem. Essa terminologia é utilizada pela grande maioria dos auditores para classificar um processo de auditoria. Desta forma, este item busca um maior detalhamento das características das auditorias internas e externas, dando maior atenção à auditoria interna, tendo em vista a sua aplicabilidade dentro das organizações.
Auditoria e sua importância em uma organização
22
Segundo CONAB e COAUD (2008, p. 5), a auditoria interna é o conjunto de técnicas que visa avaliar, de forma amostral, a gestão da companhia, pelos processos e resultados gerenciais, mediante a confrontação entre uma situação encontrada com um determinado critério técnico, operacional ou normativo. Trata-se de um importante componente de controle das corporações na busca da melhor alocação dos recursos do contribuinte, não só atuando para corrigir os desperdícios, as impropriedades/ disfunções, a negligência e a omissão, mas, principalmente, antecipandose a essas ocorrências, buscando garantir os resultados pretendidos, além de destacar os impactos e benefícios sociais advindos, em especial sob a dimensão da equidade, intimamente ligada ao imperativo de justiça social.
A necessidade de realizar auditorias internas vai de encontro com os objetivos de controle, controle de processos, processos e procedimentos do sistema de gestão. Logo, qualquer organização deverá garantir que as auditorias sejam realizadas em intervalos de tempo planejados, de acordo com os elementos citados. Quanto à auditoria externa, são encontradas algumas definições, principalmente relacionadas à questão financeira/contábil da organização, como a citada no portal da auditoria, que a trata como o exame das demonstrações financeiras feitas, com o propósito de expressar uma opinião sobre a propriedade com que estas apresentam a situação patrimonial e financeira da empresa e o resultado das operações no período do exame. Entretanto uma definição mais genérica de auditoria externa ocorreria quando se audita um fornecedor ou quando se é auditado por um cliente, por exemplo. Um exemplo simples é quando uma organização sofre uma auditoria de segurança da informação com base na norma ISO 27001. O auditor externo, de forma macro, verifica se todos os controles de segurança da informação necessários estão implantados.
Iniciação de uma auditoria Para que uma auditoria seja iniciada, os seus objetivos globais devem estar alinhados aos objetivos do programa de auditoria, bem como o escopo de abrangência e os seus critérios.
Pós-graduação
23
Objetivos ••determinar a extensão da conformidade dos documentos da organização contra os critérios de auditoria; ••avaliar a capacidade da documentação da organização de garantir conformidade com requisitos legais, contratuais e regulamentares; ••determinar a eficácia da documentação da organização em atender os objetivos especificados; ••identificar as possíveis melhorias da documentação.
Escopo O escopo de uma auditoria está relacionado à descrição da extensão e limites da auditoria em termos de localização física, unidades organizacionais, atividades, processos, ativos de informação, avaliações de risco.
Critérios Os critérios podem incluir políticas e procedimentos aplicáveis à organização, normas, requisitos legais (leis), regulamentos, requisitos contratuais, sistema de gestão, e práticas, entre outros.
Atributos e responsabilidades de um auditor Um auditor deve possuir alguns atributos, como: ••possuir capacidade de decisão; ••ser rígido e possuir autoconfiança; ••ser ético, educado e instruído; ••ser versátil, ter a mente aberta, ser diplomático, perceptivo e observador (BSI, 2008); ••estar sempre em conformidade com os requisitos da organização; ••participar na confecção da agenda da auditoria, bem como conduzi-la de forma adequada; ••registrar e relatar as constatações; ••manter a independência e confidencialidade, bem como manter os registros de auditoria.
Auditoria e sua importância em uma organização
24
Boas práticas de uma auditoria Conforme citado em BSI 2008, Curso Auditor Interno, algumas boas práticas durante uma auditoria devem ser observadas: ••notifique sempre e com antecedência a realização de uma auditoria, seja ela externa ou interna, e também informe a importância dela para a organização; ••faça as perguntas às pessoas responsáveis pela área que está sendo auditada. Não se esqueça de que as perguntas devem ser claras e objetivas. Evite realizar várias perguntas ao mesmo tempo; ••seja imparcial durante todo o processo de auditoria, buscando sempre evidências: com isso, você evita quaisquer conclusões precipitadas; ••seja sempre atencioso e educado, procure usar uma linguagem polida, não argumente com qualquer pessoa ou segmento da organização; não discuta, não faça críticas; e ••procure sempre apresentar as suas constatações durante o processo da auditoria.
Terminologia adotada em uma auditoria Este item visa a apresentar alguns conceitos, considerados como gerais, utilizados, normalmente, durante um processo de auditoria, independente de sua classificação. Conceitos como campo, âmbito e natureza são básicos para qualquer tipo de auditoria.
Campo: está relacionado ao objeto (pode ser uma instituição pública ou privada ou um determinado setor da mesma) a ser fiscalizado, período e o tipo da auditoria (operacional, financeira, etc.). Âmbito: define o grau de abrangência e a profundidade das tarefas. Área de verificação: delimita de modo preciso os temas da auditoria, em função da entidade a ser fiscalizada e da natureza da auditoria. Controle: consiste na fiscalização exercida sobre as atividades das pessoas, departamentos, produtos, etc., de forma que as atividades executadas ou produtos mantenham-se dentro das normas preestabelecidas.
Pós-graduação
25
Três tipos de controle são exercidos: ••Preventivo - previne erros e invasões, por exemplo, identificação e autenticação de usuários do sistema via a utilização de senhas; ••Detector - detecta erros, tentativas de invasões, etc. (arquivos logs, realização de controle de acesso de usuários); ••Corretivo - minimiza o impacto causado por falhas ou erros, corrigindo-os (política de segurança, plano de contingência). Objetivos de controle: são metas de controle a serem alcançadas, ou aspectos negativos a ser evitados em cada transação, atividade ou função fiscalizada. Procedimentos de auditoria: é um conjunto de verificações e averiguações que permite obter e analisar as informações necessárias ao parecer do auditor. Esses procedimentos devem ser de conhecimentos dos auditores antes do início da auditoria. Achados de auditoria: são fatos a ser considerados como importantes para o auditor. Para que esses dados constem no relatório, eles devem estar baseados em fatos e evidências. Papéis de trabalho: são registros que evidenciam atos e fatos observados pelo auditor (planilhas, documentos, etc.). Recomendações de auditoria: realizada na fase de relatório, isto é, são medidas corretivas exequíveis, sugeridas para corrigir as falhas detectadas (DIAS, 2000).
Programa de auditoria Um programa de auditoria, segundo a NBR ISO 19011, consiste em uma ou um conjunto de auditorias planejado para um determinado período de tempo e com um propósito específico. A quantidade de auditorias que irão compor um programa de auditoria está diretamente relacionada ao escopo de abrangência, à natureza (ex.: corretiva ou punitiva) e ao tipo de negócio da organização, o nível de complexidade da organização que será auditada. O programa de auditoria é responsável, também, por estabelecer todas as atividades que possibilitam o planejamento e organização, execução e manutenção de todas as auditorias que fazem parte do programa, independente do tipo, fornecendo todos os recursos necessários para que sejam executadas de forma eficiente, em um determinado período de tempo (NBR, 2002).
Auditoria e sua importância em uma organização
26
Desta forma, pode-se dizer que o programa de auditoria é um plano de ação, detalhado, com o objetivo de dar ao auditor as diretivas necessárias à realização de seu trabalho. Possui objetivos, escopo de abrangência, um conjunto de procedimentos necessários à equipe de auditoria na realização de seu trabalho. O programa de auditoria deverá ser estruturado, com base em um padrão, e poderá conter elementos como: ••características do sistema organizacional a ser auditado; ••áreas/segmentos de negócio envolvidos; ••período de realização da auditoria; ••objetivos da auditoria; ••cronograma dos trabalhos; ••equipe de auditores; ••custos envolvidos para a realização da auditoria; ••procedimentos para a realização da auditoria; ••questionários de coleta de informações; ••campo para observações dos auditores; ••orientações gerais (CONAB; COAUD, 2008). Vale a pena ressaltar que o programa de auditoria deve ser flexível o suficiente para sofrer alterações, no caso de situações não previstas ou intempestivas durante o processo de auditoria. Ele também deve apoiar-se no processo de decisão da equipe de auditoria, caso exista a necessidade de ampliar a coleta de informações, análises e/ou realizações de teste de auditoria.
A gerência de um programa de auditoria O modelo de gerência do programa de auditoria segue as prerrogativas descritas pelo modelo de processos do ciclo PDCA, conforme pode ser visualizado na Figura 2. Normalmente, em uma auditoria interna, a autoridade da gerência do programa de auditoria é delegada pela alta direção da organização ao seu respectivo responsável, o gerente do programa. Esse gerente é responsável em estabelecer, implantar, monitorar, analisar e melhorar o programa de auditoria, além de identificar e garantir que todos os recursos necessários a sua execução sejam providos (NBR, 2002). No caso de uma auditoria externa, o auditor chefe será o responsável em conduzir todo o processo que está relacionado a ela, do início ao final das atividades.
Pós-graduação
27
Alta direção Responsab
ilidade a
m gra prooria o o d dit stã au Ge de
Gerente
Executar Implementar o programa de auditoria
Planejar
Estabelecer o programa de auditoria
Processo de Gestão
Monitorar e analisar o programa de auditoria
Verificar
Melhorar o programa de auditoria
Agir
Figura 2 – Processo de gestão do programa de auditoria Fonte: Elaboração do autor (2011).
Referências AUDITORIA externa ou auditoria independente. Portal da auditoria. nov. 2011. Disponível em: . Acesso em: 14 dez. 2011. ÀVILA, Rafael. Imagem de lupa sobre gráficos financeiros: auditoria. Blog luz loja de consultoria. 2 nov. 2011. Disponível em: . Acesso em: 7 dez. 2011. BRITISH STANDARDS INSTITUTE (BSI). Auditor Interno ISO/IEC 27001:2005 Sistema de Gestão de Segurança da Informação – BSI Learning, 2008. BRITISH STANDARDS INSTITUTE (BSI). Curso Auditor Interno ISO/IEC 27001: 2005 SGSI, BSI Learning, 2008.
Auditoria e sua importância em uma organização
28
DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: Excel Books, 2000. ISO/IEC 27001. Tecnologia da Informação, Técnicas de Segurança, Sistemas de Gerenciamento de Segurança da Informação, Necessidades ISO/IEC, 2005. ISO/IEC 27002. Information technology, Security techniques, Code of practice for information security management, Redesignation of ISO/IEC 17799: 2005. MANUAL de auditoria interna. 2ª versão. Companhia Nacional de Abastecimento – CONAB; Coordenadoria de Auditoria Interna (COAUD), 2008. Disponível em: . Acesso em: 9 dez. 2011. MELLO, Agostinho de Oliveira. Instituto dos auditores internos do Brasil. Organização básica da auditoria interna. Biblioteca Técnica de Auditoria Interna, 2005. NBR ISO 19011. Diretrizes para auditorias de sistema de gestão da qualidade, NBR. 2002. NETO, Abílio Bueno; SOLONCA, Davi. Auditoria de sistemas informatizados. Palhoça: UnisulVirtual, 2007. SÊMOLA, Marcos. A importância da gestão da segurança da informação. 2010. Disponível em: . Acesso em: 9 dez. 2011. SHAO-HUA Zhang, NING Gu. Research on Workflow of Virtual Organization, The Eighth International Conference on Computer Supported Cooperative Work in Design, Xiamen, China, 2003. UNIDADE de auditoria interna. Definições de auditoria interna. Universidade Federal Rural do Semi-Árido (UFERSA), 05 mar. 2009. Disponível em: . Acesso em: 9 dez. 2011.
Pós-graduação
29
Planejameto da auditoria Luiz Otávio Botelho Lento Márcio Ghisi Guimarães
O planejamento é a peça fundamental para o sucesso da auditoria, sendo o tempo alocado para a etapa de planejamento compatível com a sua realização. Desta forma, não se deve reduzir o tempo de realização dessa etapa, pois isso poderá incorrer em erros durante a execução da auditoria, provenientes de um mau planejamento. Durante a fase de planejamento, o programa de auditoria é estabelecido, e, então, o gerente se preocupa, basicamente, com três aspectos: ••os objetivos e o escopo de abrangência do programa de auditoria; ••os recursos (orçamentos) necessários para a realização da auditoria; ••as responsabilidades e a importância relativa ou papel desempenhado para cada situação ou segmento de negócio em um determinado momento/contexto; ••os procedimentos, como por exemplo: as possíveis situações críticas que devem ser controladas, identificadas em um determinado segmento de negócio da organização, por exemplo. Referem-se às vulnerabilidades, aos riscos operacionais latentes, entre outros (NBR, 2002; CONAB; COAUD, 2008).
Objetivos/escopo de abrangência Os objetivos do programa de auditoria são estabelecidos para direcionar tanto o planejamento quanto a realização das auditorias. Esses objetivos estão principalmente relacionados com: ••a prioridade da alta direção e suas perspectivas de negócio; ••os requisitos e necessidades do sistema de gestão da organização; ••os estatutos, regulamentos e contratos; ••a necessidade do cliente, dos parceiros (fornecedores), ou seja, dos “stakeholders”; ••os riscos referentes ao negócio da organização.
Stakeholders São as partes interessadas, qualquer grupo ou indivíduo que pode afetar ou ser afetado pela realização dos objetivos da empresa. (FREEMANN, 1984).
Auditoria e sua importância em uma organização
30
Quanto à abrangência do programa de auditoria, ela é estabelecida em conformidade com o tipo de negócio, tamanho da empresa, entre outros aspectos. Ressalta-se que os objetivos determinados na fase de planejamento estão diretamente relacionados à abrangência, bem como a sua duração. Questões como a diversidade dos segmentos de negócio, filiais e/ou departamentos influenciam na abrangência, pois se pode determinar que ela esteja fisicamente relacionada a um departamento e/ou filial, ou logicamente relacionada a um ou a mais segmentos de negócio dentro da organização.
Recursos Um programa de auditoria necessita de vários elementos para a sua realização, sendo que a alocação de recursos para a execução está diretamente relacionada ao seu sucesso. Recursos financeiros são primordiais, pois eles possibilitam que as atividades da auditoria sejam desenvolvidas, implantadas, gerenciadas e melhoradas. Questões como viagens, hospedagens, aquisição de dispositivos necessários à execução do programa de auditoria devem ser alocadas nessa fase do planejamento. A equipe de auditores é outro elemento fundamental. Ter uma equipe qualificada e competente para realizar as tarefas de auditoria é essencial na obtenção do resultado final com qualidade, confiável e compatível com as expectativas do cliente.
Responsabilidades Além da figura do gerente do programa de auditoria designado pela alta direção em uma auditoria interna, ou o auditor chefe, devem existir outros componentes, capazes tecnicamente (auditores), que também irão assumir responsabilidades. Esses auditores poderão assumir responsabilidades como: ••estabelecer os objetivos e a abrangência do programa de auditoria; ••garantir que os recursos sejam fornecidos; ••garantir que o modelo de gestão do programa de auditoria seja executado de forma eficiente; ••garantir que todas as informações coletadas e analisadas, bem como as conclusões (ex: relatórios), sejam armazenadas e mantidas de forma segura e pelo tempo necessário.
Pós-graduação
31
Procedimentos O programa de auditoria, como citado, é um plano de ação, e esse, por conseguinte, é composto por um conjunto de procedimentos. Esses procedimentos abrangem um leque de tarefas, especificadas durante a etapa de planejamento, responsáveis pelas diretrizes de todo o processo de auditoria. Conforme citado na NBR (2002), os procedimentos devem tratar de aspectos como: ••planejar e programar as auditorias; ••executar as auditorias; ••selecionar auditores em conformidade com as atividades a serem realizadas, bem como especificar as suas funções e responsabilidades; ••realizar monitoramento das atividades da auditoria como também manter os seus registros de controle; ••elaborar relatórios a serem apresentados posteriormente ao cliente; ••monitorar a eficiência da auditoria.
Exemplos de produtos da fase de planejamento Pode-se ver que a etapa de planejamento é substancial para o sucesso do processo de auditoria. Para resumir e prover um melhor entendimento desta etapa, detalham-se algumas decisões que lhe são específicas: I. determinar e acordar o escopo; II. firmar os objetivos da auditoria; III. estabelecer os critérios da auditoria; IV. planejar a frequência com que ela será executada, bem como a sua importância; V. fixar o tempo de duração; VI. definir a equipe de auditoria e o planejamento dos custos envolvidos. Acompanhe no Quadro 1 o exemplo de um programa de auditoria em que é descrito o departamento que será auditado entre os meses de janeiro a dezembro. X – auditoria programada somente com base na importância S – auditoria adicional
Auditoria e sua importância em uma organização
32
Departamento Financeiro Projeto
Jan
Fev Mar Abr Mai Jun Jul
X X
Nov Dez
S X
X
Jurídico
S S
X
Pessoal (RH)
S
Administrativo Produção
Set Out
S
Pesquisa Vendas
Ago
X X
S
Marketing
X
S X
Quadro 1 – Programa de auditoria Fonte: BSI (2008).
Os principais pontos de uma agenda de auditoria a ser desenvolvidos durante a fase de planejamento são: ••reunião de abertura/apresentações; ••análise do escopo da auditoria e dos processos que estarão envolvidos; ••responsabilidades; ••conformidade e aspectos legais; ••especificação dos pontos que farão parte da auditoria (correção de processos de venda); ••resumo/reunião de encerramento.
Executar Durante esta etapa, o programa de auditoria é implementado e as partes interessadas são apresentadas a esse programa. Iniciam-se todas as tarefas de coordenação e planejamento do programa de auditoria; a equipe de auditoria é escolhida; os recursos são disponibilizados para a realização desse processo, entre outras tarefas. Sendo assim, pode-se dizer que a implementação da auditoria consiste basicamente na sua execução, referida no que foi planejado.
Pós-graduação
33
Nessa fase do processo de gestão do programa de auditoria, faz-se necessário manter registros referentes à: ••execução da auditoria – planos de auditoria, relatórios de auditoria, relatórios de não conformidade, relatórios de ação corretiva e preventiva; ••análise do programa de auditoria; ••pessoal da auditoria – seleção da equipe, competência de seus membros; avaliação de desempenho da equipe (NBR, 2002).
Verificar Nesta etapa, o programa de auditoria sofre um monitoramento em intervalos de tempo adequados, e também é avaliado se os objetivos da auditoria foram alcançados. A análise crítica do programa de auditoria deve considerar algumas questões, como resultados e tendências do monitoramento; conformidade com os procedimentos; evolução e expectativas dos “stakeholders”; registros do programa de auditoria e consistência no desempenho entre as equipes de auditoria em situações semelhantes (NBR, 2002).
Agir Esta etapa busca melhorar o programa de auditoria, com base nas informações que foram monitoradas e analisadas na etapa anterior. Tais resultados podem prover uma oportunidade de melhoria do programa, possibilitam que ações corretivas possam ser planejadas e conduzidas, provendo melhorias ao processo de auditoria. Os resultados obtidos durante e após a implantação das melhorias no programa de auditoria podem ser apresentados à alta direção.
Atividades de uma auditoria A auditoria é composta por um conjunto de atividades, conforme pode ser visualizado na Figura 1, e que serão descritas a seguir.
Auditoria e sua importância em uma organização
34
Iniciar a auditoria
Realizar a análise e crítica dos documentos
Preparar as atividades da auditoria
Executar as atividades de auditoria
Relatórios da auditoria
Conclusão e acompanhamento da auditoria
Figura 1 - Atividades de consultoria Fonte: NBR (2002).
Iniciar a auditoria Escolhido o líder da equipe de auditoria, são definidos os objetivos, o escopo e os critérios dela. Os objetivos da auditoria, normalmente definidos pelo cliente, podem incluir: o quanto o sistema auditado deve estar em conformidade com os critérios de auditoria; a avaliação da capacidade do sistema em concordância com os requisitos, regulamentos e contratos; a avaliação da eficácia do sistema em alcançar os seus objetivos; e a identificação dos módulos do sistema que podem sofrer melhorias (NBR, 2002). O escopo está relacionado à abrangência e aos limites da auditoria como localizações físicas (filiais, departamentos, etc.), atividades e processos a serem auditados, bem como o tempo de sua execução. No caso do critério de auditoria, trata-se de uma referência utilizada para verificar a conformidade do sistema com as políticas, normas, regulamentos, etc. Escolhida a equipe de auditoria, é estabelecido o contato inicial com o cliente. Esse contato busca: estabelecer canais de comunicação entre o auditor e o auditado; apresentar o líder da auditoria; fornecer informações sobre o tempo de duração e a equipe da auditoria; solicitar acesso aos documentos que serão utilizados durante a auditoria e definir regras de segurança.
Pós-graduação
35
Análise crítica dos documentos Antes do início da auditoria, os documentos do auditado devem ser analisados de forma criteriosa, com o objetivo de verificar a conformidade do sistema, como documento, com o critério da auditoria. A documentação fornecida pode ser composta por registros referentes ao sistema e/ou documentos de auditorias anteriores, por exemplo. Vale a pena ressaltar que a análise deve levar em consideração o tipo, a complexidade e a abrangência do negócio da organização. No caso da documentação ser considerada inadequada, o líder da equipe da auditoria informa ao cliente o problema, e é decidido se ela será interrompida ou suspensa, até que o problema referente à documentação seja resolvido. (NBR, 2002).
Preparar as atividades de auditoria (fonte 13) Dentre as atividades da auditoria, existe a confecção do seu plano. Esse plano é um acordo entre a auditoria e o auditado para fornecer uma base referente à realização do processo. O plano deverá conter, basicamente: os objetivos da auditoria; o critério e qualquer documento de referência; o escopo da auditoria; as datas e lugares onde as atividades serão realizadas; a duração da atividade no local (reuniões com o auditado e com a equipe de auditoria); as funções e responsabilidades dos membros da equipe de auditoria; e, a alocação dos recursos para a realização da auditoria. (NBR, 2002).
Executar as atividades de auditoria (fonte 13) A primeira atividade é realizar a reunião de abertura com a direção e os responsáveis pelas funções ou processos do auditado. Essa reunião visa a: confirmar o plano de auditoria; apresentar as atividades que serão executadas; confirmar os canais de comunicação; e, ouvir questionamentos do auditado e dar respostas. Durante a realização da auditoria, é importante manter a comunicação entre os membros da equipe, como também com o cliente auditado. Essa comunicação dá uma visão do andamento da auditoria e das preocupações ao auditado sobre as constatações negativas, bem como as evidências que proporcionem um risco evidente e significativo. (NBR, 2002).
Auditoria e sua importância em uma organização
36
As informações coletadas durante o processo de auditoria devem ser feitas por amostragem e verificadas (objetivos, escopo, critério, atividades e processos). Somente essas informações averiguadas é que podem ser evidências de auditoria, sendo, inclusive, registradas. Vale ressaltar que as evidências são informações verificadas, obtidas por amostragem, geram uma incerteza, que deve ser tratada/ relembrada por aqueles que atuam baseados nas conclusões. Essas informações podem ser coletadas via entrevistas, com os membros dos segmentos de negócio a serem auditados; ou, por observação das atividades realizadas na organização; ou, também, por meio da análise crítica dos documentos do sistema de gestão, fornecidos pelo auditado. As constatações da auditoria são geradas com base na análise das evidências, de acordo com o critério da auditoria. As constatações, segundo a NBR 2002, podem indicar tanto conformidade quanto não conformidade com o critério da auditoria. Por exemplo, quando um controle de segurança não foi implantado, ele pode estar em não conformidade com a norma ISO 27001. As constatações também podem ser utilizadas como uma oportunidade de melhoria para o sistema de gestão da organização, pois uma falha ou problema foi constatado durante o processo de auditoria. As conclusões da auditoria devem, antes de apresentadas, ser discutidas entre a equipe de auditoria. As discussões têm de levar em consideração algumas questões, por exemplo: análise crítica das constatações, bem como quaisquer outras informações coletadas durante o processo de auditoria; acordo fechado em relação às conclusões, sem se esquecer das incertezas do processo de auditoria; recomendações especificadas. Dessa forma, na reunião de encerramento, todas as constatações e conclusões são apresentadas ao auditado, para que ele possa, além de ter a ciência dos fatos, compreender o relatório final da auditoria. Lembra-se que o relatório final deve ser entregue, exclusivamente, para quem encomendou a auditoria, e não ao auditado (NBR, 2002). A NBR 2002 apresenta um fluxo geral do processo de auditoria desde a coleta das informações até a sua conclusão da auditoria, como pode ser visto na Figura 2.
Pós-graduação
37
Fontes de Informação
Coleta de informações por amostragem e verificação
Evidência da Auditoria
Avaliação com base no critério da auditoria
Constatações da Auditoria
Analisando Criticamente
Conclusões da Auditoria
Figura 2 - Processo de auditoria Fonte: NBR (2002).
Relatórios de auditoria Os relatórios de auditoria são de responsabilidade do líder da equipe, o qual deve fornecer todas as informações do processo de auditoria, de modo preciso, resumido e claro, além de todos os elementos que fizeram parte do processo de auditoria (critério, constatações, conclusões, etc.). O relatório da auditoria é de propriedade de quem a solicitou, devendo ser mantido o grau de confidencialidade necessária, emitido dentro de um prazo acordado entre auditor e cliente, bem como datado e assinado.
Auditoria e sua importância em uma organização
38
Conclusão e acompanhamento da auditoria Pode-se dizer que uma auditoria foi concluída quando todas as atividades descritas no programa dela foram concluídas e o relatório aprovado e distribuído. Todos os documentos referentes ao processo devem ser guardados de forma adequada, ou, então, destruídos de acordo com o que foi combinado entre o auditor e o cliente, bem como o descrito no programa de auditoria. As conclusões da auditoria podem levar a ações corretivas, preventivas ou de melhorias pela organização. Essas ações são realizadas pelo auditado dentro de um determinado prazo, acordado entre ambas as partes, para que posteriormente seja verificado se foram todas realizadas e de forma eficiente. Pode-se acrescentar que essa verificação é chamada de auditoria subseqüente (NBR, 2002).
Referências AUDITORIA externa ou auditoria independente. Portal da auditoria. nov. 2011. Disponível em: . Acesso em: 14 dez. 2011. ÁVILA, Rafael. Imagem de Lupa sobre Gráficos Financeiros: auditoria. Blog luz loja de consultoria. 2 nov. 2011. Disponível em: . Acesso em: 7 dez. 2011. BRITISH STANDARDS INSTITUTE (BSI). Auditor Interno ISO/IEC 27001: 2005 Sistema de Gestão de Segurança da Informação – BSI Learning, 2008. BRITISH STANDARDS INSTITUTE (BSI). Curso Auditor Interno ISO/IEC 27001:2005 SGSI, BSI Learning, 2008. DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. São Paulo: Excel Books, 2000. FREEMAN, R. E. Strategic management: a stakeholder approach. Massachusetts: Pitman, 1984.
Pós-graduação
39
ISO/IEC 27001. Tecnologia da Informação, Técnicas de Segurança, Sistemas de Gerenciamento de Segurança da Informação, Necessidades, ISO/IEC, 2005. ISO/IEC 27002. Information technology, Security techniques, Code of practice for information security management, Redesignation of ISO/IEC 17799: 2005. MANUAL de auditoria interna. 2ª versão. Companhia Nacional de Abastecimento – CONAB; Coordenadoria de Auditoria Interna (COAUD), 2008. Disponível em: . Acesso em: 9 dez. 2011. MCAFEE compra de empresa de gestão da segurança da informação. Notícias do setor. Multidata: tecnologia, gestão, resultados. 5 out. 2011. Disponível em: Acesso em: 8 dez. 2011. MELLO, Agostinho de Oliveira. Instituto dos auditores internos do Brasil. Organização básica da auditoria interna. Biblioteca Técnica de Auditoria Interna. 2005. NBR ISO 19011. Diretrizes para auditorias de sistema de gestão da qualidade, 2002. NETO, Abílio Bueno; SOLONCA, Davi. Auditoria de sistemas informatizados. Palhoça: UnisulVirtual, 2007. SÊMOLA, Marcos. A importância da gestão da segurança da informação. 2010. Disponível em: . Acesso em: 9 dez. 2011. SHAO-HUA Zhang, NING Gu. Research on Workflow of Virtual Organization, The Eighth International Conference on Computer Supported Cooperative Work in Design, Xiamen, China, 2003. UNIDADE de auditoria interna. Definições de auditoria interna. Universidade Federal Rural do Semi-Árido (UFERSA). 05 mar. 2009. Disponível em: . Acesso em: 9 dez. 2011.
Auditoria e sua importância em uma organização
40
Atividades de autoaprendizagem 1. Considerando o conteúdo estudado nesta unidade, assinale as alternativas corretas. a. ( ) Uma auditoria caracteriza-se pela confiança e pelos princípios de conduta ética, obrigação, consciência profissional, independência e evidência. b. ( ) As auditorias são únicas e integrais, não podendo ser classificadas por tipos. c. ( ) A auditoria interna é realizada por uma empresa externa e independente da entidade que está sendo fiscalizada. d. ( ) A auditoria da tecnologia da informação audita o ambiente computacional sempre em conjunto com o departamento contábil. e. ( ) O auditor deve ser independente de quem encomendou a auditoria, para não haver influência no relatório. f. ( ) O planejamento da auditoria é a fase mais importante do processo. g. ( ) O escopo de uma auditoria representa os seus limites e deve ser alterado durante a execução da auditoria. h. ( ) É recomendável que o relatório da auditoria seja entregue primeiramente a quem a encomendou. 2. A partir dos estudos sobre auditoria da tecnologia da informação, analise as proposições a seguir, marcando V para as sentenças verdadeiras e F para as falsas, com relação à auditoria da tecnologia da informação: a. ( ) Restringe-se ao ambiente computacional do departamento de TI. b. ( ) Relaciona-se com o departamento financeiro e o departamento contábil. c. ( ) Pode também auditar a equipe de desenvolvimento de sistemas. d. ( ) Pode ter no âmbito da auditoria apenas um sistema específico.
Pós-graduação
41
Atividades colaborativas Com base no que você estudou nesta unidade, responda às perguntas abaixo na ferramenta Fórum e comente as respostas dos seus colegas. 1. Qual é a diferença entre auditoria interna e externa? 2. Por que é importante estabelecer os objetivos da auditoria na fase de planejamento do programa de auditoria? 3. Por que razão o auditor deve ser independente?
Síntese A necessidade de realização de auditoria na área da tecnologia da informação faz-se presente pela importância que os sistemas integrados de informação têm para com uma organização. Como os sistemas na atualidade são vitais para a continuidade e competitividade de uma organização, não é aconselhável e seguro deixá-los sem constantes auditorias. Em muitos casos, os erros e deficiências nos sistemas computacionais só são percebidos quando ocorrem, gerando, certamente, prejuízos que poderiam ser evitados por auditorias. As auditorias podem ser classificadas em diversos tipos, como interna, externa, operacional, contábil, financeira ou relacionada à tecnologia da informação. A auditoria está relacionada diretamente à segurança da informação, ou seja, quanto mais crítica for a informação, mais intensa e constante devem ser realizadas as auditorias. É fundamental que cada auditoria tenha inicialmente o seu planejamento, pois a sua execução deve seguir o que foi planejado, não se afastando do que fora estabelecido.
Auditoria e sua importância em uma organização
42
Caso ocorra, durante uma auditoria, um achado importante, esse pode desencadear outra, para que a auditoria inicial não saia do âmbito estabelecido no planejamento. Por fim, é fundamental que o auditor seja completamente independente, para que os resultados não sejam encomendados ou distorcidos. E, ainda: o relatório final da auditoria deve ser entregue primeiramente a quem a encomendou, pois os resultados desse processo, na maioria dos casos, são sigilosos e não devem ser conhecidos por terceiros.
Saiba mais MONTEIRO, Emiliano Soares. Segurança em ambientes corporativos. Florianópolis: VisualBooks, 2003. FERREIRA, Fernando Nicolau Freitas. Segurança da informação. Rio de Janeiro: Ciência Moderna, 2003.
Pós-graduação
Unidade 2
Auditoria da tecnologia da informação
Objetivos de aprendizagem ••Compreender a abrangência e importância da auditoria da tecnologia da informação em cada área da TI e no todo. •• Conhecer as principais áreas da TI que devem ser auditadas. •• Compreender a importância de se realizarem auditorias contínuas para a segurança da organização.
Introdução Quanto custa a perda da informação? Não se trata de uma pequena informação, mas de toda a base de dados de uma empresa Atualmente, pela competitividade das empresas e tempo de resposta da informação, não há mais controle de informações de forma manual, como havia até o início da década de 80. Hoje, as empresas manipulam seus dados, gerando informações, via tecnologia da informação, através dos quatro pilares mais relevantes, interligados entre si: banco de dados, redes, sistemas e hardware. Se apenas um desses pilares deixar de funcionar, todo o gerenciamento das informações para e, consequentemente, a empresa para. Não há mais espaço para correr riscos. As empresas estão totalmente dependentes da área de TI para terem continuidade no negócio. Para se ter uma ideia de como, atualmente, estamos dependentes da área de Tecnologia da Informação, imagine um produto que, ao ser passado no caixa de um supermercado, faz surgir a mensagem “produto não cadastrado”. A venda simplesmente não se realiza. Se uma lotérica está com o sistema fora do ar, a operação simplesmente não é realizada, pois não existe espaço para ser realizada manualmente. Passagens não são vendidas, quando seus sistemas estão fora do ar. Bancos não realizam transações com sistemas fora do ar. Ligações telefônicas não são realizadas com sistemas fora do ar. Sem que
44
percebamos, nossas vidas e as das empresas já estão muito comprometidas com a TI e dependentes dela. Então, nada mais importante que realizar auditoria na área de TI, para se ter certeza de que a mesma está segura e se evitarem panes e paradas indesejáveis. Esta unidade aborda as principais áreas da TI que devem ser auditadas com frequência. De acordo com o porte das empresas, as áreas destacadas podem sofrer expansões ou alterações. Sendo assim, todo recurso novo de TI tem de ser relacionado no planejamento da auditoria.
Pós-graduação
45
Abrangência da auditoria da TI e sua importância Márcio Ghisi Guimarães
Definir com exatidão a abrangência da TI e as áreas que podem ser auditadas seria uma atitude não muito correta, pois a complexidade pode variar, de uma empresa para outra, bem como o volume de recursos que uma empresa utiliza e que, do mesmo modo, pode variar de empresa para empresa. Outro ponto relevante com relação à auditoria é a dinâmica. A abrangência da segurança de uma auditoria não pode ser a mesma. A auditoria tem de ser dinâmica, de acordo com a variação dos recursos de informática que a empresa utiliza. Até mesmo uma área de abrangência como banco de dados pode ser dividida em subáreas, conforme a complexidade dos dados, como criptografias, procedures, armazenamentos, usuários, senhas de acesso, permissões, indo até os logs de transações. Quanto mais crítica a informação, mais importância deve ser atribuída à segurança da mesma. Desta forma, qual a correta abrangência da auditoria na área da Tecnologia da Informação? A resposta correta está na amplitude de cada empresa. Se a empresa é grande, maior o número de áreas que devem ser auditadas; já, se a empresa é pequena, o número de áreas a serem auditadas é menor. Mas, sendo a empresa grande ou pequena, todas as áreas em que a empresa utiliza Tecnologia da Informação devem ser abrangidas pela auditoria. Logo, não devendo nenhuma área ficar sem proteção, a auditoria deve ser completa e proporcional aos recursos da TI que a empresa utiliza. O responsável pela solicitação da auditoria da TI pretende obter a maior segurança possível; em decorrência, a auditoria terá abrangência em todas as áreas relacionadas a TI, não ficando neste caso nenhuma área importante ou relevante descoberta. Também desta forma, a responsabilidade sobre a auditoria é atribuída a quem realiza a mesma, devendo responder por erros não apontados ou omissões. A auditoria da TI pode ser específica a uma determinada área ou abranger todo o ambiente da TI. Pode ser uma auditoria do tipo operacional, buscando verificar a gestão dos recursos de informática, ou o nível de segurança do recurso de informática em questão. Lembra-se que, antes de realizar a auditoria em si, o planejamento da mesma deve ser realizado previamente e aprovado. A seguir, serão apresentadas as quatro áreas mais relevantes da área da Tecnologia da Informação que devem ser auditadas, relativamente à segurança da informação, como banco de dados, sistemas de desenvolvimento, redes e hardware. As outras áreas não são menos importantes e também devem ser vistas pela auditoria, a saber, criptografia, contratos, manutenções, atualizações, resultados, tempos de resposta, etc.
Auditoria da tecnologia da informação
46
Área de banco de dados A área de banco de dados é considerada de suma importância e vital para a continuidade de operação de uma empresa. Praticamente, com raras exceções, não existe uma empresa que sobreviva com suas operações sem um banco de dados, seja de qual tipo for. Inclusive a área de banco de dados é muito visada por ataques, para deixá-lo fora de operação e, consequentemente, interromper a operação da empresa. Para se ter uma ideia mais precisa da importância do banco de dados, imagine todas as outras áreas mais importantes operando corretamente, como rede e aplicações. Mas, se o banco de dados fica fora de operação, a operação da empresa também para. As abordagens a seguir não serão do ponto de vista técnico e específico de um determinado banco de dados, como Oracle ou SQL-Server, mas de um ponto de vista genérico, possibilitando que sejam aplicadas a qualquer banco de dados. Instalação: Do ponto de vista da segurança da informação, a auditoria deve checar se a instalação foi seguida corretamente como determina o fornecedor, bem como se o banco de dados foi instalado por pessoa com competência suficiente para tal. Também deve verificar se os respectivos programas de atualizações fornecidos foram aplicados. É que, uma instalação incorreta pode deixar portas vulneráveis a ataques, assim como, por questões de tempo de acesso, o dimensionamento das datas bases, as senhas ou as permissões podem ter de ser desinstalados e instalados novamente no banco de dados, e este processo pode deixar a empresa fora de operação. Também deve checar se a instalação foi coerente com a licença de uso adquirida pela empresa. Instalações sem as respectivas licenças constituem um risco muito alto à segurança do banco de dados e, por isso, durante a auditoria, deve ser apontado o risco que a empresa está correndo. Configuração: Pode-se atribuir à configuração de um banco de dados todos os requisitos pertinentes, como data bases, tabelas, usuários, senhas, permissões, chaves de acesso das tabelas e tempo de acesso. As tabelas de um banco de dados e seus relacionamentos devem receber uma atenção maior da auditoria. Tabela muito grande ou tempo de acesso muito lento pode comprometer o desempenho da aplicação e, consequentemente, a satisfação do usuário. A solicitação do detalhamento dos acessos às tabelas de um banco de dados pode apontar uma sobrecarga em uma determinada tabela, assim como o número total de registros. Caso essas duas características sejam constatadas, devem ser apontadas na auditoria, para a devida correção.
Pós-graduação
47
Além da verificação das tabelas e relacionamentos entre as mesmas, também deve ser confirmada a correta configuração dos usuários nas respectivas aplicações. O correto é cada usuário estar configurado somente para o respectivo banco de dados ao qual tem acesso. Caso a configuração não esteja correta, a segurança dos dados pode estar seriamente comprometida, pois usuário sem permissão a um determinado banco de dados pode acessá-lo e obter informações para as quais não tenha permissão. Esta constatação é muito relevante e também deve ser notificada no relatório de auditoria, especificando o usuário que não está devidamente configurado. Ainda há a possibilidade de algum usuário que já tenha se desligado da empresa fazer parte da configuração de usuários do banco de dados. Além de destacar a importância de, imediatamente, ser removida a referida configuração, é importante apurar se existe uma metodologia de acompanhamento de desligamento de usuário, quando o funcionário é demitido da empresa.
Permissões de usuários: Além da correta configuração de cada usuário da empresa, também é pertinente verificar as permissões que cada um tem e se estão corretamente configuradas no banco de dados. Um determinado usuário pode ter acesso a um determinado banco, mas pode não ter total permissão de acesso a todas as tabelas do mesmo, ou ainda, a parte de determinada tabela do banco. Este tipo de controle e implantação é mais trabalhoso, mas lembrar que se trata de uma excelente porta de entrada de invasores. Conforme a importância, segurança e sigilo das informações, as permissões devem estar corretamente configuradas. Tão importante quanto atribuir permissões, é destacar quem é o responsável por configurar as respectivas permissões, pois estas são dinâmicas como a empresa, ou seja, a permissão atribuída hoje pode já não ser a mesma em um período seguinte. Backup: A rigor, todo banco de dados deve ter um backup digno da sua importância. Não é concebível um banco de dados sem um procedimento de backup. A periodicidade, número de cópias, local de armazenamento, mídia, etc., variam de empresa para empresa. O que se observa nos dias atuais é que os discos estão com uma enorme área de armazenamento, e isto permite armazenar todas as transações, inviabilizando a realização de uma cópia de segurança. Nestes casos, é realizado um espelhamento da informação, ou seja, a informação é atualizada, simultaneamente, em dois ou mais discos. Mas vale lembrar que um disco é uma máquina como outra qualquer e também está sujeita a falhas. De uma forma ou de outra, um procedimento de backup é imprescindível e deve existir, mas, caso não exista, a auditoria deve recomendar que o mesmo seja implantado imediatamente. Tão importante quanto ter um backup é realizar uma simulação de restore (retorno dos dados do backup ) para a certificação da consistência do próprio backup, pois o procedimento de restore não pode deixar a empresa com suas operações interrompidas, enquanto é realizado.
Auditoria da tecnologia da informação
48
Documentação: As pessoas não são eternas em uma empresa, tanto podem ser desligadas, como mudar de área de atuação. Na falta dessas, a documentação é o melhor canal de entendimento do diagrama de tabelas e seus respectivos relacionamentos. Também, ter a documentação não é suficiente, pois é preciso verificar se a mesma está sendo constantemente atualizada. E somente pessoas autorizadas à documentação é que podem ter acesso a ela, pois a documentação nas mãos de pessoas não autorizadas pode revelar informações sigilosas. Disponibilidade: Teoricamente, por se tratar de uma área vital de funcionamento e, muitas vezes, durante os 365 dias por ano e 24 horas por dia, a disponibilidade do banco de dados deve ser real o tempo todo. A disponibilidade passa pelo tempo de acesso aceitável das informações e pela equipe responsável pela manutenção do mesmo. Há quem diga que ter um é não ter nenhum e ter dois é talvez ter um. Desta forma, ter disponível apenas uma pessoa para a manutenção do banco de dados não é seguro, pois, na falta dessa pessoa, o banco fica sem manutenção. Integridade: Uma informação não pode ter redundância, pois este é um fator que contribui para erros na informação. Muitas vezes, a integridade é de difícil constatação, por exigir um conhecimento mais detalhado das tabelas e relacionamentos do banco. Uma forma mais rápida de averiguar a integridade é contatá-lo junto aos usuários, indagando deles se as informações estão sendo disponibilizadas de forma correta (SCHNEIER, 2001). Confiabilidade: Da mesma forma que a integridade, ao perderem a confiabilidade os dados colocam todo um sistema em descrédito diante do usuário, o qual passa a ter certo tipo de restrição ao uso do mesmo. A confiabilidade é de suma importância para a segurança dos dados. A perda de contabilidade deve ser ressaltada na auditoria, caso seja detectada (SCHNEIER, 2001). Senhas de acesso: Muitas das senhas de acesso das aplicações e permissões de usuários ficam armazenadas no banco de dados. É importantíssimo que estas estejam criptografadas. A vulnerabilidade das senhas pode acarretar vazamento de informações, em caso de acesso indevido às aplicações, assim como alterações não permitidas. Também é interessante verificar se há controle sobre uma periodicidade de alterações das senhas e checar os tamanhos e caracteres das senhas. Existem senhas fortes e senhas fracas. As fracas são combinações que podem facilmente ser descobertas por alguém ou por algum software.
Pós-graduação
49
Área de sistemas de informação A importância da área de sistemas de informação é proporcional ao gerenciamento das informações da empresa. É por meio dos sistemas desenvolvidos ou adquiridos por terceiros que a empresa gera suas informações. Sistemas mal concebidos geram ineficiência, ineficácia, atraso, conflito, falta de agilidade e perda da competitividade no gerenciamento das informações. Os sistemas não são e não podem ser estáticos. A manutenção deve ser constante, diante de alterações em legislações, erros de desenvolvimento ou mudanças nas regras de negócio. Sempre deve haver uma garantia de disponibilidade de manutenção, pois a falta de manutenção certamente colocará a segurança das informações em risco. Portanto, inevitavelmente a área de sistemas deve ser auditada constantemente. De regra, os principais pontos da área de sistemas, segundo Dias (2000), são equipe de desenvolvimento, sistemas terceirizados e tecnologias de desenvolvimento. Equipe de desenvolvimento: Quando se faz a opção de desenvolvimento interno, há a necessidade da constituição de uma equipe competente para tal. O desenvolvimento interno traz como grande vantagem, justamente, o desenvolvimento de um sistema específico para o negócio da empresa. Isto pode resultar em grande vantagem, mas a condição é que a equipe interna de desenvolvimento tenha condições de promovê-lo e de fazer as respectivas manutenções. Trata-se de um ponto muito importante para ser auditado, pois, se a equipe não estiver capacitada tecnicamente e em número compatível com os sistemas existentes, fatalmente a segurança da informação estará comprometida. Normalmente, pessoas já comprometidas com um número determinado de sistemas não têm mais disponibilidade para novos desenvolvimentos ou manutenções. A equipe também deve estar apta com relação à tecnologia adotada pela empresa, especificamente com referência à linguagem de programação, plataformas de desenvolvimento, linguagem SQL de banco de dados, etc. Não é nada significante uma equipe grande, onde poucos de seus membros aos detentores de conhecimento técnico apto, rápido e eficaz. A auditoria deve verificar tais aspectos e apontá-los, se for o caso. Rotatividade na equipe de desenvolvimento não é bem vista, devido à complexidade dos sistemas: o repasse de informações nesse contexto não ocorre facilmente, tampouco em curto espaço de tempo. Também a satisfação pessoal, salarial e o ambiente de trabalho devem ser vistos. Em conversa com alguns membros da equipe, isto se pode observar facilmente.
Auditoria da tecnologia da informação
50
O aperfeiçoamento também é de suma importância. Uma equipe não pode ficar sem continuidade de treinamento tecnológico. Por parte da empresa ou dos próprios membros da equipe ou ainda de uma forma mista, o treinamento deve acontecer. Equipe sem treinamento comprometerá, em algum momento, a continuidade de operação dos sistemas, por incompatibilidade tecnológica. Sistemas terceirizados: Em alguns casos, a empresa opta pela terceirização de desenvolvimento, passando a adquirir um sistema pronto, comumente chamado de “pacote”, pelo fato de a empresa ter que usá-lo da forma como é entregue. Esta prática traz como vantagens a independência de uma equipe interna, ou seja, a empresa não se preocupa com a área de sistemas, passando esta responsabilidade para outra empresa. Pode ser comum, com o passar de algum tempo, que a empresa usuária fique de certa forma dependente da empresa terceirizada. Esta forma de relacionamento deve ser auditada, para averiguar a situação de relacionamento referente ao desempenho, manutenção, satisfação, tempo de atendimento e atualização dos sistemas conforme as necessidades da empresa usuária. Também deve ser considerada a relação custo-benefício.
Exemplo Quando uma empresa A terceiriza seus sistemas a uma empresa B, com o tempo a empresa A pode ficar dependente da empresa B, devido ao domínio da complexidade dos sistemas, somente pela empresa B. Assim, a empresa B acaba relaxando suas atividades com a empresa A, porque sabe da dependência desta. Tal relação deve ser verificada. Isto se percebe na prática. Não é uma regra, mas pode acontecer e deve-se verificar através de auditoria.
Outro ponto a ser verificado é a capacidade de continuidade da empresa terceirizada no mercado. Uma ruptura pode ter consequências fortes no negócio da empresa usuária, pela possibilidade de interrupção em seus negócios. Uma boa prática é assuntar se a empresa terceirizada consta com uma boa carteira de clientes. As mudanças na legislação ocorrem com mais ou menos frequência, dependendo da área de atuação dos sistemas, como tributária ou previdenciária, e estas mudanças devem ser atualizadas nos sistemas. Em alguns, é normal as empresas terceirizadas terem um maior controle e acompanhamento dessas mudanças do que as empresas usuárias, fato que pode evitar processamento errôneo de informações e, consequentemente, a geração de multas e correções. Este ponto deve ser verificado atentamente pela auditoria, para a segurança da correta aplicação dos sistemas.
Pós-graduação
51
Uma desvantagem de terceirizar os sistemas com apenas um fornecedor é ficar na dependência do mesmo, e ter de aceitar os termos e custos da relação contratual. Desta forma, é conveniente apurar se esta prática está acontecendo, buscando comparação contratual com outras empresas. Conforme já afirmado, percebe-se que uma grande vantagem da terceirização está na despreocupação da empresa usuária com a área de sistemas, passando a preocupar-se totalmente com o ramo do seu negócio de atuação. Quando a terceirização traz uma boa relação custo benefício, no sentido de satisfação dos processamentos dos sistemas, rapidez na manutenção, acompanhamento da legislação, essa prática passa a ser uma boa opção. É importante destacar que terceirizados são os sistemas, não os dados. Portanto a propriedade dos dados armazenados nos banco de dados é da empresa usuária, e, no caso de haver ruptura na relação com a empresa terceirizada, a empresa usuária garante a integridade dos dados. Esse ponto é importantíssimo e deve ficar esclarecido na relação contratual e averiguado na auditoria, para a segurança da informação. Tecnologias de desenvolvimento: O ideal seria que todas as empresas utilizassem tecnologia de ponta no desenvolvimento de sistemas. Mas isso nem sempre é possível ou atingível, pois há um alto custo envolvido. Um sistema com, aproximadamente, quatro milhões de linhas de código escrito em uma linguagem de programação com Delphi, por exemplo, não é fácil converter para outra tecnologia, como Java. Nem sempre as conversões obtêm sucesso com um único programa conversor. Além de converter um sistema de milhões de linhas de código, há um custo financeiro, de tempo e de disponibilidade de mão de obra, que nem sempre está disponível.
Importante Existem programas com o propósito de converter sistemas escritos em uma determinada linguagem de programação para outra. Só que estes programas conversores não conseguem converter, na prática, 100% do código pretendido. Estas partes não convertidas devem ser convertidas na mão. Por este motivo, nem sempre as conversões obtêm sucesso automaticamente.
Por dificuldade das condições apontadas e por comodidade em atualizar um sistema que vem funcionando a contento da empresa usuária, os sistemas acabam passando décadas com a mesma tecnologia, que pode já estar descontinuada pelo fornecedor. Isso representa um problema que pode acarretar a não
Auditoria da tecnologia da informação
52
obtenção de mão de obra para dar continuidade e manutenção aos sistemas. E, consequentemente, a empresa usuária fica comprometida em suas operações. Um grande exemplo dessa constatação são os sistemas desenvolvidos em COBOL e que ainda rodam perfeitamente, principalmente nos bancos. A solução encontrada por estes para obterem, atualmente, programadores com conhecimento de COBOL foi dar-lhes treinamento próprio, pois os cursos de graduação não ofertam mais este tipo de tecnologia. Outro ponto relevante é quanto à decisão de mudança de tecnologia. Toda mudança para melhor é bem-vinda, mas, antes de iniciar, é preciso ter certeza de que há uma equipe com conhecimento na nova tecnologia e disponibilidade de tempo. Caso estas condições não estejam disponíveis, uma forte tendência para o fracasso de mudança de tecnologia acontecerá. Neste caso, a empresa pode chegar ao ponto de conviver com duas tecnologias ao mesmo tempo, ou seja, a antiga e a nova, aumentando consideravelmente o tempo e disponibilidade de manutenção e, principalmente, o comprometimento de integração entre sistemas. Esta situação pode vir a prejudicar, em muito, a operação de uma empresa, podendo inclusive ocorrer paradas de processamentos e prejuízos certos. Esta constatação deverá ser apontada em auditoria, caso haja indícios de que possa ocorrer ou esteja ocorrendo. Mesmo que não haja um trabalho de migração de tecnologia em andamento, a auditoria deve verificar se as tecnologias utilizadas no momento estão em continuidade pelos respectivos fornecedores. Caso haja uma tendência de migração, esta deve iniciar com um planejamento, que destacará as capacidades necessárias e disponíveis, como os recursos humanos tecnicamente capacitados, hardware e software. Inicialmente, é recomendável que se faça um teste piloto, com um pequeno módulo de um sistema, e seguir migrando passo a passo, pois, caso aconteça algum imprevisto, fica mais fácil retornar à situação inicial. Mudanças do todo, de uma só vez, tem fortes probabilidades de apresentar imprevistos e problemas.
Área de redes A comunicação entre o ambiente corporativo é viabilizada através da rede de computadores. Sem uma rede, a troca de informações, as atualizações de dados, as consultas e as emissões de relatórios simplesmente não ocorrem. Mesmo havendo um excelente banco de dados e um eficaz sistema de informação, a empresa deixa de operar, se não contar com a rede de computadores. Portanto é de suma importância esta área ser auditada. A confiabilidade, integridade e disponibilidade são pontos específicos de auditoria. As informações devem chegar
Pós-graduação
53
aos usuários de forma íntegra e confiável. Para que isso aconteça, todos os pontos por onde a rede trafega devem estar disponíveis. O tráfego de rede deve ser monitorado pelo administrador da rede para conferir se há ocorrência de gargalos e pontos de sobrecarga. A rede de computadores é um ótimo instrumento de verificação do desempenho de sistemas. Muitas vezes o tempo de resposta de sistemas não é satisfatório, não por deficiência da rede, mas por deficiência na concepção dos sistemas de informação que geram enormes tráfegos de informações desnecessárias a serem trafegadas na rede. A segurança da rede também é ponto de averiguação de auditoria, pois esta é essencial contra ataques de hackers e funcionários mal-intencionados. A segurança deve ser aumentada, quando a empresa usuária expande seus negócios, realizando novas conexões com filiais: quanto maior a evolução, maior fica a preocupação com a segurança da rede. A área de redes é muito visada para ataques, pois basta comprometer a rede, que a empresa usuária deixa de operar. Atualmente o grande grau de conectividade trouxe outros tipos de problema inerentes às novas tecnologias, e estes problemas servem como porta de entrada de ataques, se não forem corretamente configurados e protegidos (SCHNEIER, 2001). Com relação à internet, o surgimento do conjunto de protocolos Transmission Control Protocol/ Internet Protocol (TCP/IP) aumentou o alcance das invasões. Já, com relação aos investimentos na segurança da rede, estes devem ser vistos também pela auditoria para evitar redes vulneráveis e incidentes. Uma análise de riscos e uma metodologia para quantificar e qualificar os níveis de segurança da rede são importantes. Esta análise auxilia na criação de uma proposta de justificativa de investimentos para a implantação de um sistema de segurança adequado. Fundamental e fortemente a se destacar é a existência de uma política de segurança na empresa. Quando há uma política definida sobre o que pode e o que não pode na empresa, esta deve ser apresentada a todos os funcionários da empresa. De uma forma ou de outra, nenhum funcionário pode violar a política de segurança, alegando desconhecimento da mesma. Uma vez tomado conhecimento, o funcionário evitará violar as regras de segurança, por conhecimento das penalidades que possa sofrer. A política de segurança é a base para a segurança da informação. Caso não haja este procedimento implantado, o auditor deve efetuar a constatação no relatório de auditoria. A importância desta política é vital, pois é esta que definirá, por exemplo, as normas de definição de senhas, firewall, softwares permitidos, regras de e-mail, drivers, sites permitidos, etc. Em suma, vários pontos da rede devem ser checados, como o sistema de detecção de intrusão, criptografia, autenticação, configuração do ambiente corporativo, funcionalidades de redes sem fio, arquitetura de rede, entre outros.
Auditoria da tecnologia da informação
54
Área de hardware O processamento somente pode ocorrer caso exista o hardware. Ele é uma máquina como outra qualquer e, consequentemente, está sujeita a panes. Há quem pense que o hardware tem que funcionar até o resto da vida e só muda esta concepção quando o vê quebrar, deixando uma determinada operação inviabilizada. É comum algumas pessoas confiarem tanto em seus hardwares que acabam não realizando os devidos backups das informações. A grande surpresa acontece quando esses param de funcionar. Atualmente, os preços dos hardwares estão estabilizados, não permitindo realizar grandes economias no parque de hardware. A troca ou substituição do parque de hardware é recomendável e deve ocorrer sempre de forma contínua. Normalmente, em empresas com grandes quantidades de servidores e computadores, as substituições ocorrem por partes, sempre de forma gradativa, onde os mais velhos são substituídos por mais novos e, assim, sucessivamente. Repete-se: não é aconselhável deixar correr um determinado tempo relevante sem aquisições de novos hardwares, por risco de, em algum tempo, ter um parque desatualizado e velho. Hardwares velhos costumam apresentar problemas de contato e comprometimento da segurança da informação (SCHNEIER, 2001). Em áreas vitais de segurança da informação, é recomendável que se troquem os hardwares constantemente, por mais novos que sejam, para evitar riscos de paradas. A política de troca deve ser examinada pela auditoria. Outro ponto a ser visto são os contratos de manutenção ou garantias. Normalmente as empresas utilizam hardwares até enquanto o prazo de garantia está vigorando e, após o término deste, adquirem hardwares novos e transferem os usados para áreas menos críticas. O acesso de pessoas a determinados hardwares, como servidores, deve ser visto pela auditoria por questões de segurança, como também os riscos quanto a raios, alagamentos, umidade e incêndio. A proteção aos roteadores de rede é importante para evitar atos de pessoas mal-intencionadas em desativá-los.
Referências DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: Excel Books, 2000. SCHNEIER, Bruce. Segurança com: segredos e mentiras sobre a proteção na vida digital. Rio de Janeiro: Campus, 2001.
Pós-graduação
55
Controles organizacionais Márcio Ghisi Guimarães
Estrutura do departamento de informática O departamento de informática deve ter sua estrutura organizacional delineada de acordo com os objetivos e estratégias da empresa. Sem uma estrutura bem definida, a desorganização impede um definido e claro atendimento aos demais departamentos. É que as funções e atribuições não ficam claras perante as solicitações, por indefinição das funções e as atribuições de cada funcionário. Assim, não se sabe exatamente quem é o responsável por determinado atendimento ao usuário e acaba-se acumulando funções em demasia para uns e poucas para outros.
Exemplo Caso exista na estrutura uma divisão de desenvolvimento de sistemas, e esta dividida por setores de sistemas, fica claro a quem atribuir a responsabilidade por determinado sistema, referente à manutenção ou implementação de novas funcionalidades. Inclusive o comprometimento de pessoas com os projetos.
Uma estrutura bem definida de informática passa pelas divisões básicas, como banco de dados, redes, desenvolvimento de sistemas, suporte ao cliente e a gerência geral para comunicação com a alta diretoria (CAMPOS, 2006). Havendo uma estrutura bem definida e comprometida, fica fácil para a gerência de informática realizar seu planejamento, assim como justificar necessidades, prazos, comprometimentos, disponibilidades, prioridades e recursos. As pessoas envolvidas têm ciência de suas responsabilidades e, consequentemente, se comprometem em cumprir suas funções, pois sabem que a possibilidade de serem cobradas é líquida e certa, visto que já foram previamente definidas como responsáveis pelo atendimento de determinada área.
Exemplo Se, na área de banco de dados, a função de backup é determinada para o funcionário X, fica fácil cobrar de X a realização, ou não, do referido backup. Caso a função de backup não seja definida a nenhum funcionário específico, fica difícil responsabilizar uma determinada pessoa pela função.
Auditoria da tecnologia da informação
56
Quanto maior a empresa, mais recursos de informática são consumidos e mais pessoas são envolvidas. Ficando a cargo da gerência de informática fixar a estratégia de informática a ser seguida por um tempo determinado, esta estratégia pode ser definida como um Plano Diretor de Informática, projetado em conjunto com a alta gerência (MONTEIRO, 2003). O envolvimento da alta gerência é fundamental e necessário, pois, quando a mesma está comprometida com as atribuições do departamento de informática, a liberação de recursos fica mais viável. O departamento de informática é o responsável em atribuir aos respectivos funcionários a função de documentação e padronização dos sistemas. A documentação é importante para não gerar dependência de funcionários. Caso não haja documentação atualizada e acessível a quem a necessite, a empresa pode ficar sob risco de dependência de determinados funcionários. E caso a pessoa responsável por determinado sistema sem documentação se desligue da empresa, esta poderá ter grandes chances de ter seus sistemas comprometidos. Padrões devem rigorosamente ser cumpridos, não se pode deixar que programadores e analistas trabalhem como bem queiram. É necessário que estes trabalhem sob um padrão único e conhecido e utilizado por todos. Departamento de informática que utiliza padrões tem maiores produtividades, pois a semelhança de trabalho entre os membros da equipe passa a ser regra, e isto facilita o entendimento e o relacionamento. Desta forma, a auditoria da Tecnologia da Informação tem que passar pela verificação da estrutura do departamento de informática, visto que uma estrutura bem organizada e definida contribui muito para a segurança das informações; já, uma estrutura não definida e desorganizada coloca em risco a segurança das informações, referente a retrabalho, sobrecarga de funções, delegações mal definidas de competência, responsabilidades não assumidas, mau atendimento aos usuários e até backup inexistente dos dados ou desatualizados.
Recursos humanos No departamento de informática, a base dos recursos humanos é composta por programadores e analistas de desenvolvimento e suporte. Esta não é uma boa concepção, no caso de ocorrer alto índice de rotatividade de pessoal no departamento. Devido à complexidade das funções de programação e análise de sistemas, as pessoas necessitam de um entendimento da arquitetura do sistema que está sendo desenvolvido.
Pós-graduação
57
O não entendimento da arquitetura do sistema por uma nova pessoa exige algum tempo até que venha a ter compreensão do sistema no qual vai trabalhar, tornando a rotatividade um problema para a continuidade de desenvolvimento e operação de sistemas. Ainda, muitas vezes não é tão simples e fácil encontrar pessoas disponíveis no mercado, as quais tenham a habilidade necessária. Desta forma, a auditoria deve averiguar no departamento de recursos humanos a rotatividade de pessoal do departamento de informática. Atualmente, pela legislação trabalhista brasileira, o tempo de aviso prévio é proporcional ao tempo de serviço, assim o tempo é muito curto para divulgar vaga de trabalho, selecionar candidatos e realizar treinamento. Nesse contexto, é bem possível que, ao ser contratada, esta pessoa já não encontre disponível para lhe repassar informações o funcionário que a antecedeu. Esta constatação pode contribuir para a segurança da informação, caso a pessoa demissionária seja a única a entender a arquitetura do sistema e, ainda, se o sistema não tiver a documentação adequada. Também é importante examinar a forma de contratação. O ideal é que as pessoas que formam a equipe de desenvolvimento sejam selecionadas por competência e experiência, e não por indicação política ou de parentesco. Uma equipe composta por pessoas não qualificadas suficientemente não deve receber atribuições, pelo simples fato de não ter capacidade técnica para assumi-las. Em desdobramento, estas pessoas acabam procurando tarefas menos importantes, entretenimento na internet, conversa com colegas, perturbando e atrapalhando, consequentemente, o ambiente de desenvolvimento. Essa constatação é importante e deve ser relacionada na auditoria da segurança da informação. As contratações devem ser realizadas baseadas nas tecnologias que a empresa utiliza, pois realizar treinamentos de novas ferramentas despende tempo e dinheiro e o retorno não vem em curto prazo. Outro ponto a ser destacado é a prioridade pessoal de trabalho. Os funcionários com maior tempo na empresa se atribuem prioridade de treinamento relativamente a funcionários novos. Dessa maneira, oferecer treinamento a recém-chegado pode levar os veteranos a sentirem-se constrangidos e ofendidos. Certamente estes poderão diminuir a produtividade por falta de reconhecimento ou procurar outra empresa para trabalhar. Na área da TI, as ferramentas de desenvolvimentos são constantemente renovadas no mercado e o treinamento da equipe de desenvolvimento é crucial para que esta não fique defasada perante o que é ofertado no mercado. O ideal é que a empresa tenha um planejamento de treinamento. Os custos de treinamento podem ser por conta do funcionário, da empresa ou uma combinação mista.
Auditoria da tecnologia da informação
58
De uma forma ou de outra, o treinamento deve ser realizado. Caso a auditoria constate que não há na empresa uma constância de cursos de treinamento para acompanhar as tecnologias do mercado, fatalmente a empresa terá uma equipe defasada tecnologicamente. A combinação salário, treinamento, ambiente de trabalho e horário deve resultar numa equação satisfatória tanto ao funcionário como à empresa. Uma relação salarial boa, porém com baixa oferta de treinamento e um ambiente de trabalho ruim, pode levar a uma baixa satisfação do funcionário. Já uma baixa política salarial pode ser compensada por uma boa política de treinamento e ambiente de trabalho. A constatação para a auditoria é que, se não houver harmonia no trabalho entre estes elementos, a equipe de desenvolvimento pode ficar desfalcada, a qualquer momento, de um de seus membros, e esta perda pode comprometer o desenvolvimento ou manutenção de sistema e, consequentemente, a segurança da informação (DIAS, 2000). Um plano de avaliação e desempenho é bem-vindo na empresa. As pessoas devem saber que possuem metas a serem cumpridas e sentirem-se satisfeitas ao atingi-las. As metas não podem ser rigorosas, a ponto de deixar os funcionários estressados e com jornada de trabalho longa para cumpri-las. Também não podem ficar “soltas”, a ponto de terminar uma tarefa quando bem entenderem. Os desempenhos devem ser tabulados e mostrados ao funcionário para acompanhamento. Em algumas empresas, o desempenho é convertido em remuneração salarial. A avaliação de desempenho deve ser verificada pela auditoria. Quanto à segurança da informação referente a pessoas, as férias podem dar um bom indício da situação pessoal na empresa. No caso de uma determinada pessoa não usufruir de férias por seguidos anos e exercer praticamente as mesmas funções, na hipótese de haver alguma intenção de fraude ou sabotagem fica mais fácil de esconder operações mal-intencionadas. Porém, quando há substituição de pessoas, as mesmas funções são exercidas por pessoas diferentes e, neste caso, fica mais difícil esconder ou fraudar procedimentos. Esta constatação deve ser observada pelo auditor da TI. O acúmulo de funções e procedimentos também pode ser um indício de colaboração para atos mal-intencionados, pois uma mesma pessoa detém todos os passos de um determinado procedimento (DIAS, 2000). Esta prática deve ser averiguada com atenção pela auditoria e, conforme a importância dos procedimentos, o auditor deve recomendar que haja uma divisão de responsabilidades destes procedimentos.
Pós-graduação
59
Recursos computacionais de hardware e software Os recursos computacionais devem ser geridos de forma otimizada e, exclusivamente, para trabalho, não sendo utilizados para fins particulares. Desvios de funcionalidades ou ociosidade de equipamentos de hardware ou software não são vistos como uma boa prática. Primeiro, porque, quanto mais equipamentos houver em uma determinada empresa, mais difícil fica a justificativa de novas aquisições. Segundo, porque, com o passar do tempo, os equipamentos se defasam e precisam ser trocados, comprometendo o orçamento do departamento de informática, que pode fazer falta em outras áreas essenciais, e, de forma indireta, comprometer a segurança da informação. Existem exemplos de computadores que são, praticamente, utilizados para pouco trabalho, ou seja, ficam ligados e executam quase nenhuma tarefa relacionada ao trabalho, na maioria do tempo restam disponíveis a entretenimento na internet (CAMPOS, 2006). Essas questões devem ser localizadas pelo auditor. Aquisição de equipamentos de hardware deve ser contemplada no planejamento de aquisição (FERREIRA, 2003). Para empresas com grande número de equipamentos, é recomendável uma rotina de aquisição, para evitar que todo o parque tenha que ser trocado de uma só vez. A decisão da empresa em adiar as trocas dos equipamentos pode acarretar insuficiência de recursos financeiros no momento das aquisições e a necessidade de conviver com equipamentos velhos e ultrapassados, sujeitos a interrupções de processamento ou perda de informações, afetando, consequentemente, a segurança da informação. A manutenção dos equipamentos, seja durante o prazo de garantia, ou não, deve ser revista pela auditoria, pois uma manutenção com tempo de atendimento longo compromete a segurança da informação. Os softwares a serem utilizados pelos funcionários da empresa devem ser somente aqueles definidos e autorizados pela política de segurança estabelecida e difundida pela empresa. A ausência de controle sobre a utilização de software propicia que funcionários instalem softwares sem as devidas licenças de aquisição, de forma a colocar a empresa sob risco de pirataria. Aqui, o auditor deve verificar quais são os softwares autorizados pela empresa e confrontar com os utilizados pelos funcionários. Caso o auditor detecte a existência de um software pirata instalado em algum equipamento de funcionário, além da recomendação da desinstalação do mesmo, a atitude principal é detectar de que maneira a instalação ocorreu, para que esta ocorrência seja evitada em outros equipamentos.
Auditoria da tecnologia da informação
60
Referências CAMPOS, André L. N. Sistema de segurança da informação. Florianópolis: Visual Books, 2006. DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: Excel Books, 2000. FERREIRA, Fernando Nicolau Freitas. Segurança da informação. Rio de Janeiro: Ciência Moderna, 2003. MONTEIRO, Emiliano Soares. Segurança em ambientes corporativos. Florianópolis: VisualBooks, 2003.
Pós-graduação
61
Controle de mudanças Márcio Ghisi Guimarães
Mudanças na área de TI devem ser vistas com cautela (DIAS, 2000). Uma mudança deve ser bem fundamentada perante a relação custo benefício. É primordial que todos os recursos necessários à mudança estejam disponíveis no momento que forem necessários. Mudanças mal planejadas podem levar a empresa a ficar numa situação pior que anteriormente e comprometer a segurança da informação. As piores decisões de mudanças ocorrem quando as necessidades não são bem fundamentadas e quando decididas por apenas uma pessoa (GRAEML, 2003). Os principais tópicos que o auditor deve verificar com atenção são os que seguem.
Mudança de ferramentas de tecnologia Uma das áreas mais sensíveis e complexas a mudanças, quando não planejada corretamente, é a de sistemas de informação. As operações e transações das empresas dependem de seus sistemas de informação, e, por isso, não podem parar um dia sequer. As ferramentas de desenvolvimento, como as linguagens de programação, passam por evolução constantemente. Como os grandes sistemas de informação iniciam seus códigos fontes com uma determinada linguagem de programação e seguem nesta até o final do desenvolvimento, estes acabam exigindo, às vezes, até uma década para chegar a um nível de excelência de integração com outros sistemas. Ao serem concluídos, correm o risco de estar escritos em uma linguagem em início de descontinuação. Como todo investimento que se deve pagar, é comum que estes sistemas acabem sendo aproveitados por mais um tempo ainda.
Destaque Em suma, quando se percebe, todo o parque de sistemas está defasado em termos de tecnologia, não em termos de satisfação das necessidades. Assim, esta necessidade vai ficando cada vez mais inadiável e chega um momento em que a disponibilidade de mão de obra especializada começa a ficar escassa, difícil de ser encontrada para prestação das manutenções necessárias.
Auditoria da tecnologia da informação
62
Essa é uma forte necessidade e justificativa de mudança, sendo que os recursos necessários para a mudança devem estar rigorosamente assegurados, sob o risco de colocar a segurança das informações em jogo. Mudanças mal sucedidas podem levar a empresa a ficar no meio de uma mudança, ou seja, não ter mais recursos, principalmente, de mão de obra, para continuar a mudança e ficar com parte dos sistemas em uma tecnologia e parte com outra. Isto acarreta ainda mais recursos especializados para prestação de manutenção. Caso o auditor encontre um planejamento de mudança, ainda há tempo para verificação da garantia dos recursos necessários antes do início da execução da referida mudança. Caso a mudança já tenha sido iniciada e não esteja seguindo o planejamento por questões não previstas, a recomendação é que se procure trabalhar na viabilização de recursos a mais para terminar a mudança. A decisão por mudança que não deve ser autorizada é a baseada em mudar por mudar, sem uma justificativa aceita pelos usuários, departamento de informática e, principalmente, alta gerência (DIAS, 2000).
Exemplo Pode-se atribuir como exemplo das principais mudanças, como sendo as mais críticas, as linguagens de programação dos sistemas, bancos de dados, ambiente de redes e sistemas proprietários para software livre.
É comum mudanças mal-sucedidas após um determinado tempo de execução entrarem em conflito de responsabilidades, onde as pessoas acabam umas colocando culpas em outras e fugindo dos insucessos. Desta forma, a auditoria tem de verificar se existe em andamento alguma decisão por mudança tecnológica no planejamento ou se ainda não foi detectada, mas se faz necessária.
Mudança por concepção de sistemas de informação Mudança por concepção de sistemas de informação não se refere à mudança de tecnologia. A mudança pode ocorrer na mesma tecnologia utilizada pelo sistema antigo, ou não. Normalmente esta necessidade vem por defasagem de concepção de sistemas escritos há algum tempo, cujas necessidades não mais atendem aos negócios da empresa. Em alguns casos, as mudanças são mais simples de implementação, mas, quando são mais extensas e complexas, exigem mais atenção no planejamento da mudança para certificação da garantia dos recursos necessários (GRAEML, 2003).
Pós-graduação
63
Em alguns casos, os sistemas de informação acabam recebendo manutenções mal implementadas e documentadas ao longo do tempo. Esse fato acaba tornando a manutenção cada vez mais trabalhosa e dificultosa, a ponto de o departamento de informática decidir pelo desenvolvimento de um novo sistema de informação (DIAS, 2000). Perante os olhos dos usuários, que não visualizam os códigos de programação, mas apenas utilizam os sistemas, trocar um sistema que teoricamente “funciona” por outro, somente se esse for tão bom quanto o velho sistema, ou melhor. Caso este benefício não seja alcançado pela falta de recursos para a concretização da mudança, a insatisfação dos usuários será grande e terá forte poder de influência na alta gerência. Portanto qualquer decisão de mudança na concepção de sistemas de informação deve ser criteriosamente verificada pelo auditor da TI, porque este tipo de mudança pode comprometer fortemente a segurança da informação.
Mudança por integração em sistemas de informação Mudança por integração em sistemas de informação recebe um tratamento muito especial e uma atenção detalhada por parte da auditoria. A integração com sistemas de informações novos ou a partir de modificações afeta diretamente os dados armazenados no banco de dados, podendo fortemente afetar as transações de informações. O cuidado que deve ser executado é referente à realização de um teste piloto como prevenção e, posteriormente, realizar testes exaustivos nas novas bases de dados integradas. É que, caso uma integração não tenha sucesso no todo ou em parte, a recuperação da situação inicial pode ser muito trabalhosa. Normalmente, estas recuperações são executadas por meio de programas auxiliares, de modo que todo um controle de procedimentos das transações é burlado, colocando em risco a segurança das informações. Quando a necessidade de integração faz-se presente, a execução da mesma torna-se inevitável. Logo um planejamento da execução deve ser elaborado cuidadosamente, podendo retornar à situação inicial, caso necessário. A dificuldade de retorno da situação inicial é relevante devido ao fato de que, atualmente, as transações das empresas são executadas vinte e quatro horas por dia. Assim, retornar a uma posição de um ou dois dias atrás torna-se problemático, pois um grande número de transações é realizado enquanto a integração é executada, e essas não podem ser desprezadas. Por exemplo: enquanto os sistemas são alterados para a realização da integração, a empresa continua a operar com vendas, compras, pagamentos, alterações em cadastros, etc. Portanto, quando a auditoria constata esta necessidade, tem de apontá-la, pois este procedimento afeta diretamente as informações armazenadas no banco de dados.
Auditoria da tecnologia da informação
64
As mudanças de sistema operacional são mais fáceis, ao ponto de serem integradas pela facilidade de realização de um teste piloto. O auditor deve averiguar se uma simulação da troca do sistema operacional foi realizada ou está prevista. Nesta simulação, o sistema de gestão da empresa também deve ser testado, não se reduzindo apenas à simulação do sistema operacional. Também uma atenção deve ser atribuída quando os sistemas de informação são integrados com sistemas básicos baseados em software livre. A migração deste tipo de software requer cuidados na realização de testes pilotos de compatibilidade e garantias da existência de manutenção. É possível que a migração de um sistema operacional proprietário para sistema operacional um livre comprometa algumas funcionalidades dos sistemas de informação de gestão da empresa. Este cuidado deve ser levado em consideração pelo auditor, caso constate essa iniciativa de migração. Outro ponto a ser destacado é a resistência a mudanças por determinadas pessoas, principalmente, quando essas detêm o controle das informações. É possível que as informações necessárias não sejam repassadas na sua totalidade ou o sejam de forma errônea propositadamente. A resistência a mudanças pode acontecer por motivos de perda de poder, ou seja, em alguns casos a mudança pode alterar procedimentos e funções de determinadas pessoas, e estas não querem perder poder ou status. Essa situação tem de ser analisada cuidadosamente pelo auditor, pois uma integração falha em alguma parte pode resultar em prejuízos na segurança da informação.
Referências DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: Excel Books, 2000. GRAEML, Alexandre Reis. Sistemas de informação: o alinhamento da estratégia de TI com a estratégia corporativa. São Paulo: Atlas, 2003.
Pós-graduação
65
Atividades de autoaprendizagem 1. Com base nos seus estudos na área de banco de dados, assinale V para as sentenças verdadeiras e F para as falsas. a. ( ) A instalação do banco de dados deve ser verificada pelo auditor. b. ( ) Não é necessário atribuir permissões a todos os usuários. c. ( ) Backup do banco de dados não deve ser auditado. d. ( ) As senhas de acesso devem ser armazenadas com criptografia. 2. A partir dos estudos na área de sistemas de informação, analise as proposições a seguir, marcando V para as sentenças verdadeiras e F para as falsas. a. ( ) A rotatividade da equipe de desenvolvimento é uma boa prática. b. ( ) O desenvolvimento interno requer uma equipe competente. c. ( ) A terceirização diminui a necessidade de uma equipe interna. d. ( ) A mudança de linguagem de programação de um sistema de informação é uma tarefa simples de execução. 3. De acordo com o que você estudou nesta unidade, analise as frases a seguir e assinale as alternativas corretas. a. ( ) A área de redes deve ser auditada por ser muito visada por hackers. b. ( ) O acúmulo de funções no departamento de informática não é preocupante. c. ( ) A forma de contratação de recursos humanos para o departamento de informática não é de competência do auditor da TI. d. ( ) O acúmulo de funções e procedimentos também pode ser um indício de colaboração para atos mal-intencionados. e. ( ) Mudança de ferramentas de tecnologia pode comprometer a segurança das informações.
Auditoria da tecnologia da informação
66
Atividades colaborativas 1. Defina uma área da Tecnologia da Informação que você considera muito importante e que deve ser auditada e justifique a escolha. Publique sua resposta na ferramenta Fórum e troque informações com os seus colegas. 2. Por que a mudança de ferramenta de desenvolvimento de sistemas de informação pode acarretar riscos à segurança da informação? Pesquise em livros, revistas, jornais, internet, dentre outros meios. Publique sua pesquisa na ferramenta Exposição.
Síntese Com a leitura desta unidade, pode-se concluir que a auditoria da Tecnologia da Informação é ampla e dinâmica. Esta unidade apresentou alguns tópicos considerados relevantes, mas o conhecimento não se deve limitar apenas ao que foi apresentado aqui. A auditoria deve seguir a dinâmica da empresa, e não ser estática, devendo acompanhar os recursos de informática da empresa. Algumas áreas são vitais e, por isso, devem sempre ser auditadas, como: banco de dados, sistemas de informação, redes e hardware. Esses quatro pilares são básicos e devem sofrer auditoria constantemente. A importância da área de banco de dados está diretamente relacionada com o armazenamento dos dados. Se esse ficar fora do ar, nenhuma informação pode ser inserida, alterada, excluída ou listada. Simplesmente a empresa para de operar. Através de um controle rígido de senhas de acesso e definição de permissões para todos os usuários, o banco de dados deve estar protegido de acessos indevidos. Ter apenas um banco de dados não significa que este jamais vá apresentar algum tipo de pane, parada ou perda dos dados. Assim, é recomendável que, através de backup ou replicação, os dados tenham uma cópia de segurança, a qual possa ser restaurada a qualquer momento e de forma rápida. Assim, a auditoria na área de bancos de dados precisa ser constante. A área de sistemas de informação também é outra área crítica de segurança e auditoria, pois é através dos sistemas que as informações são manipuladas.
Pós-graduação
67
Os sistemas refletem as regras de negócio da empresa, que, por muitas vezes, são sigilosas e levam tempo para funcionar corretamente e de forma integrada com outros sistemas. Se os sistemas estiverem também fora do ar, novamente a empresa para de operar. As tecnologias empregadas no desenvolvimento dos sistemas requerem muita atenção e cuidado, para que os sistemas não fiquem defasados com o tempo, levando a uma espécie de bola de neve de difícil renovação tecnológica. As equipes de desenvolvimento também devem ser acompanhadas pela auditoria, referentemente à capacidade técnica, remuneração, ambiente de trabalho, rotatividade e treinamento. A área de redes é outra área vital, ela é a responsável pela comunicação entre os servidores e as estações de trabalho, na modelagem atual de cliente-servidor. Esta área é muito visada por hackers, pois é através da rede que as invasões encontram a porta de entrada para atacar outras áreas. O administrador de redes deve monitorar, constantemente, os acessos pela rede, detectando possíveis invasões, gargalos e monitoração do tráfego da rede. Políticas de segurança também devem ser divulgadas na empresa, como mais uma forma de restringir o que pode e o que não pode ser utilizado. Também esta área deve ser monitorara constantemente pela auditoria. O hardware também deve ter um acompanhamento do estado em que se encontra e o tempo de vida. Para um grande parque de equipamentos, é recomendável que, constantemente, parte dos equipamentos seja trocada. Equipamentos responsáveis pelo armazenamento ou manipulação de informações críticas devem ser renovados com mais frequência, para evitar paradas de informação. A eficiente utilização do hardware evita a compra de equipamentos desnecessários e consequente aumento dos custos de aquisição e manutenção. Estas áreas são os pilares da Tecnologia da Informação. Outras áreas também devem ser auditadas, como comunicação, equipes, controles organizacionais, mudanças, criptografia, contratos, alinhamento do departamento de informática com a alta gerência, segregação de funções, etc. O conjunto destas áreas forma a abrangência da auditoria da TI referente à segurança da informação. O controle organizacional também tem sua importância na estrutura e organização do departamento de informática. Esse departamento é o que controla os recursos de informática da empresa. Uma estrutura bem definida define corretamente as responsabilidades e atribuições de cada membro da equipe. Sem responsabilidades definidas, a cobrança torna-se de difícil aplicação.
Auditoria da tecnologia da informação
68
Quanto aos recursos humanos, estes devem estar capacitados tecnicamente para assegurar mais produtividade em menor tempo de desenvolvimento de novos sistemas e nas manutenções. Deve-se prestar atenção quanto à oferta de treinamentos, que têm de ocorrer de forma coerente com as atribuições dos membros da equipe. A auditoria também tem de estar atenta ao controle das mudanças. É possível que uma mudança mal planejada e sem garantia dos recursos computacionais para realizar a mudança comprometa completamente a segurança das informações, chegando ao caos tecnológico. Em suma, a auditoria da segurança da Tecnologia da Informação tem uma responsabilidade acima da própria TI, pois é a auditoria que aponta se os recursos de informática estão sendo utilizados plenamente, ou se há erros, omissões ou falhas. A auditoria deve ser constante e dinâmica; e, ainda, preventiva, ou corretiva.
Saiba mais Se você pretende continuar aprofundando seus estudos, de forma a consolidar, ainda mais, seus conhecimentos sobre auditoria da tecnologia da informação, acesse os sites: Gabinete de Segurança Institucional da República. Departamento de Segurança da Informação e Comunicações. Disponível em: . Acesso em: 12 mar. 2012. Revista Info Exame. Disponível em: . Acesso em 12 mar. 2012. Software livre no governo do Brasil. Disponível em: . Acesso em: 12 mar. 2012
Pós-graduação
Unidade 3
Auditoria de segurança da informação
Objetivos de aprendizagem ••Compreender os aspectos necessários para a correta operação de sistemas, de modo que estes não comprometam a segurança da informação e não interrompam a continuidade dos negócios da empresa. •• Identificar os níveis de segurança de controles lógicos, físicos e ambientais implantados pela Política de Segurança da Informação definida pela empresa.
Introdução Os recursos da Tecnologia da Informação de uma empresa, como banco de dados, redes, desktops, servidores, sistemas, não representam, sozinhos ou parados, a área de TI em operação. É preciso que esses recursos estejam em funcionamento em conjunto, para que se perceba o funcionamento dos sistemas projetados. Os sistemas de informação, quando em funcionamento, representam a operação de sistemas. Por meio dela, é possível diagnosticar se o planejamento e projetos de recursos de TI estão em correto funcionamento. Geralmente, é mais fácil auditar a operação de sistemas do que, especificamente, todos os recursos de TI em separado, pois a operação de sistemas representa o resultado final esperado do conjunto dos recursos de TI. Para auditar a operação de sistemas, o auditor tem de dividir essa tarefa em partes, de forma a seguir toda a trajetória do fluxo da informação, a saber, a entrada de dados, o processamento e a saída. O auditor não pode confiar no sistema informatizado, sendo necessário, portanto, realizar partes do fluxo manualmente, em separado, e confrontar os resultados obtidos manualmente com as saídas geradas pelo computador.
70
Muitos erros de operação de sistemas somente são descobertos pelo usuário, e, neste momento, os erros já causaram danos de inconsistência nas informações. Trata-se de erros que podem demandar custos financeiros, tempo e mão de obra para a correção, podendo, inclusive, conforme a gravidade, interromper as operações da empresa. Por causa desse risco na segurança das informações, o auditor precisa realizar auditoria na operação de sistemas, constantemente. A tecnologia utilizada nos sistema é relevante perante a auditoria, pois a utilização de tecnologias ultrapassadas comprometerá a operação dos sistemas no futuro. Em termos de falta de mão de obra para a manutenção, a evolução dos sistemas operacionais e hardware podem não comportar a tecnologia ultrapassada, levando a empresa a utilizar recursos velhos e desgastados. É importante frisar que os sistemas não operam de forma isolada, atualmente, como uma ilha dentro da empresa. Ao contrário, necessitam estar integrados com os demais sistemas, para que não haja redundância nas informações. Assim, o auditor precisa estar atento à tecnologia adotada nos sistemas, de modo que a integração seja uma tarefa fácil na empresa. Sistemas de informação, quando não integrados, aumentam a operação dos próprios sistemas e colocam em risco a segurança das informações. Quanto aos níveis de segurança da informação, estes são definidos pela implantação de uma Política de Segurança da Informação, definida pela empresa, e submetida ao conhecimento e cumprimento de todos os funcionários, sem exceção. Os níveis de segurança da informação abordados nesta unidade são relacionados aos controles lógicos, físicos e ambientais, que podem ser mais ou menos intensificados, conforme a necessidade de segurança da informação.
Pós-graduação
71
Controles de operação de sistemas Márcio Ghisi Guimarães
A operação de sistemas não compreende somente a execução isolada de um sistema, mas a integração com os demais sistemas da empresa. Muitas vezes, esse controle acaba não sendo de fácil verificação, devido ao volume de transações ou pela possibilidade de os sistemas terem sidos desenvolvidos por fornecedores diferentes, fato que dificulta mais ainda a auditoria. Outro ponto relevante é a indisponibilidade do código fonte pelas empresas desenvolvedoras, pois a empresa usuária adquire um sistema de terceiros, esta adquire apenas a licença de uso do sistema, sem a disponibilização do código fonte, acarretando, desta forma, a necessidade da auditoria apenas na operação de sistemas. Quando o sistema é desenvolvido na própria empresa usuária por uma equipe de desenvolvimento interno, o código fonte fica acessível para auditoria (DIAS, 2000). Mas compreender a lógica de programação dos sistemas não é uma tarefa fácil e simples, devido ao extenso número de linhas de código dos sistemas, podendo passar facilmente da casa de milhões de linhas de código. Para compreender o código fonte, é necessário que o auditor tenha conhecimentos profundos na mesma linguagem em que o sistema foi desenvolvido, ou em mais de uma, quando há sistemas desenvolvidos por diferentes linguagens de programação e integrados entre si. Em suma, auditar a operação de sistemas pode ser uma forma mais fácil e eficaz, porque tem a possibilidade de verificar diretamente os resultados iniciais, o processamento e as saídas, e, caso exista algum comprometimento, auditandose a operação de sistemas, constatar-se-á a ocorrência de inconsistência mais facilmente. Na sequência, são apresentados alguns tópicos relevantes na auditoria de operação de sistemas.
Entrada de dados A entrada de dados tem uma grande importância e significância na relação entre a entrada, o processamento e a saída de dados. Caso os dados de entrada sejam inseridos de forma inconsistente, comprometem a relação do processamento e da saída. Para a segurança dos dados, o auditor deve realizar uma auditoria na entrada de dados.
Auditoria de segurança da informação
72
A entrada de dados pode acontecer de duas formas: inseridas pelo usuário, através de alguma interface de entrada de dados; ou, pela saída de algum sistema (onde a saída de um sistema é a entrada de outro). Entre essas duas alternativas, a primeira é mais simples de ser verificada. Mesmo assim, não se trata de uma tarefa simples de verificar, pois é preciso conferir o armazenamento dos dados de entrada no banco de dados sem passar por rotinas de processamento. Desta forma, é requisito do auditor ter conhecimento de linguagem de banco de dados, por exemplo, no caso, a linguagem SQL, para realizar as seleções no banco e confrontar com as informadas pelo usuário na entrada de dados. Outra necessidade para o auditor é saber identificar em quais tabelas do banco de dados estes estão armazenados. Caso o auditor não detenha tais informações, pode ser assessorado por um técnico de sua confiança (DIAS, 2000). A auditoria deve ser independente, mas a independência de que se trata aqui não se resume apenas a um requisito ao auditor. Caso o auditor requisite um técnico para assessorá-lo, este não deve ser uma pessoa relacionada com o sistema de informação que está sendo auditado. É que tal técnico pode esconder alguma violação na entrada de dados, ou direcionar o auditor para outra área, a fim de esconder uma área que deseja não ser auditada. A importância dessa constatação é efetiva, pois a influência de um técnico comprometido com os sistemas auditados pode comprometer os resultados da auditoria fortemente. É importante também conferir a massa de dados, pois checar somente a entrada de um simples documento pode não representar toda a extensão dos tipos de dados e seus relacionamentos. Aconselha-se que todos os dados sejam anotados manualmente, para comparação com os dados que ficaram armazenados no banco de dados, como por exemplo, nomes, descrição, números, datas. Uma perfeita entrada de dados está diretamente relacionada com as críticas e validações implantadas nas interfaces de entrada. Quanto mais críticas as validações dos dados na entrada, menores serão as possibilidades de armazenamento errôneo. Acontece que a implantação de críticas nas interfaces consome tempo da equipe de desenvolvimento e, muitas vezes, esta está com prazos curtos para a entrega de sistemas e acaba não desenvolvendo as críticas da forma mais ideal e segura. O auditor não deve averiguar somente a sintaxe dos tipos de dados de entrada, como float, moeda, inteiro, datas e texto, mas também a entrada lógica dos dados, por exemplo, uma data posterior não ser menor que a anterior, aceitar um tipo fora da escala existente no sistema, aceitar valores nulos quando não são permitidos, diferenciar os valores de nulo, zero e vazio, etc.
Pós-graduação
73
Pela complexidade, em alguns casos é necessário que o auditor desenvolva uma rotina de captação dos dados de entrada após serem armazenados no banco de dados para uma posterior apreciação. Na auditoria de entrada de dados, quando estes não são informados pelo usuário, mas sim por meio da saída de sistema, isto requer mais cautela e cuidado. Ou seja: a entrada de dados não é informada pelo usuário, como a digitação de um cadastro qualquer, por exemplo, o resultado do total das vendas por vendedor no final do dia, que será a entrada para outro sistema, automaticamente. Muitas vezes não existe tempo de parada nos sistemas para coleta e observação, devido à velocidade com que os dados estão integrados. Nestes casos, o auditor tem de implantar uma rotina de captura dos dados e inseri-la no sistema, para acompanhamento dos dados. É uma tarefa que requer ajuda de algum técnico com conhecimento em estrutura de tabelas do sistema. Isso nem sempre é uma tarefa fácil de ser implantada, seja por comprometimento do técnico com a entrada de dados, pelo tempo de disponibilidade dele pelo conhecimento do sistema, seja por acesso ao código fonte do sistema. Resumindo, a tarefa de auditar a entrada dos dados é muito importante e nem sempre representa uma tarefa simples. Para afirmar em auditoria que a entrada dos dados está segura, é preciso ter averiguado, realmente, a entrada de dados. E, ainda: para o relatório da auditoria ter credibilidade é necessário relatar, com detalhes, a maneira que a entrada de dados foi auditada, de modo a não haver contestação.
Processamento de dados O processamento está entre a entrada e a saída de dados. É possível auditar o processamento dos dados analisando o código fonte dos sistemas ou a operação dos mesmos. Lembra-se que nem sempre o código fonte está disponível para ser auditado. Porém, mesmo disponível, a complexidade de rotinas e o volume destes códigos ao serem analisados exigiriam muito tempo para a auditoria ser completada. E, considerando que muitas rotinas podem estar em linguagem de programação diferente, isto demandaria ao auditor mais conhecimentos técnicos que o normal. A segurança das informações pode estar comprometida por rotinas de processamento que foram alteradas de forma a gerar saídas diferentes para certas ocorrências pré-determinadas. O processamento dos dados é uma porta de manipulação indevida de dados de fácil implantação, pois uma rotina pode
Auditoria de segurança da informação
74
simplesmente ser iniciada ou escondida por um simples comando de operação. Por esta razão é que o auditor deve, além de ser independente, ter certeza do comprometimento das pessoas que estão participando da auditoria, evitando prejudicar a eficácia da mesma. Uma das maneiras do auditor conferir o processamento dos dados é por meio da análise das partes específicas do processamento manualmente e em paralelo, para confrontação dos resultados (DIAS, 2000). Mas, para que isto seja possível, ainda é necessário que o auditor tenha conhecimento lógico do processamento pretendido, ou seja, conhecimentos de contabilidade, administração, tributação, previdência, entre outros. O resultado de um processamento é gravado, normalmente, no banco de dados, para posterior disponibilização. Tratando-se de uma intenção de fraudar dados, nem sempre os dados que são gravados são disponibilizados na saída, ocorrendo, então, um banco de dados paralelos, controlados por um processamento também paralelo. Desta forma, se preciso for, o auditor deve inserir algumas rotinas de sua confiança entre o processamento, por um determinado tempo e região, para posterior conferência. Quando a auditoria for preventiva ou corretiva, o sigilo da mesma não é tão necessário, mas, quando esta for encomendada por suspeita de fraude, o sigilo é necessário, pois a divulgação de uma auditoria faz com que as pessoas comprometidas retirem rotinas de processamento fraudadoras dos sistemas, enquanto a auditoria está acontecendo. Como visto, realizar auditoria no processamento dos dados não é uma tarefa simples, mas altamente necessária. Para a segurança das informações, o auditor não pode deixar esta área descoberta.
Saída de dados A saída de dados é o resumo da entrada e o processamento. Se há erros na entrada e/ou no processamento, certamente a saída de dados ficará comprometida. Muitos erros que ocorrem na entrada ou no processamento somente são descobertos na saída de dados. É comum os erros na saída de dados serem descobertos apenas pelo usuário. Quando isso ocorre, já é tarde, e, provavelmente, os erros já estão gravados no banco de dados, comprometendo alguma parte dos dados por um determinado período de transação.
Pós-graduação
75
Alguns erros descobertos na saída de dados podem ter consequências tributárias ou previdenciárias, gerando valores a pagar a mais e multas e correções financeiras, além da mão de obra necessária para a correção, podendo inclusive a empresa ficar sem operação, no todo ou em parte, por algum tempo. Para não descobrir erros na saída de dados por intermédio do usuário, é necessário à equipe de desenvolvimento testar exaustivamente o sistema, principalmente na saída de dados. Esta tarefa, em alguns casos, é realizada, de forma muito simples ou viciada, pelo desenvolvedor. Aqui, este não testa a saída de dados com diferentes formas de entrada de dados e processamento.
Exemplo O teste de uma rotina de cálculo de juros de uma conta sendo paga em atraso. O desenvolvedor sempre testa a diferença de dias entre as duas datas, a de vencimento e a de pagamento. Presume-se que a data de pagamento seja sempre posterior à data de vencimento. Na pressa, ou por falta de qualidade, o desenvolvedor sempre testa com duas datas válidas. O auditor deve testar esta rotina, por exemplo, com uma ou duas datas inválidas, ou ainda, com a data de vencimento sendo igual ou anterior à data de pagamento, para verificar se a rotina prevê estas condições errôneas. É que datas inválidas não podem calcular o montante de juros sem apresentar mensagem de erro.
Assim o auditor deve observar se a etapa de testes dos sistemas foi exaustiva, pois a pouca averiguação nos testes pode comprometer a segurança dos dados.
Destaque A inexistência de erros na saída de dados não significa a inexistência de erros.
Somente uma auditoria completa e minuciosa pode afirmar a existência, ou não, de erros (DIAS, 2000). Desta forma, é conveniente que o auditor refaça manualmente uma operação de todo o processo de entrada, processamento e saída, para confrontar com as saídas do computador. Devido à integração de sistemas e necessidades de conhecimentos administrativos, tributários ou previdenciários, nem sempre essa tarefa é de fácil realização. Caso o auditor não detenha todos os conhecimentos necessários, ele deve ser assessorado.
Auditoria de segurança da informação
76
Em alguns sistemas, as saídas de dados foram amparadas por legislação específica. Nestes casos, é preciso verificar a legislação em vigor para certificar-se de que as alterações, por ventura ocorridas, foram implantadas para a correta saída de dados. Um dos pontos principais que afetam a saída de dados é a mudança de sistemas ou a integração com outros (DIAS, 2000). Caso isto esteja ocorrendo, ou, em curto espaço de tempo, tenha ocorrido, o auditor deve ser mais atento à auditoria na saída de dados. Concluindo, o auditor jamais pode deixar a saída de dados sem auditoria, pois esta é o resultado final de todo o aproveitamento dos recursos da Tecnologia da Informação que a empresa utiliza.
Controle de acessos e permissões Na concepção de sistemas de informação, não existe operação de sistemas onde todos têm permissão de utilizar todas as funcionalidades possíveis. Por questão de segurança, não é admissível que sistemas de informação não disponham de controles de acesso e controle de permissões. Pessoas não autorizadas a acessar um determinado sistema de informação não devem ter acesso ao mesmo (DIAS, 2000). Para este controle, inicialmente, todas as entradas principais de acesso ao menu principal do sistema devem ser protegidas por senha e login de acesso. Mesmo que o indivíduo seja funcionário de confiança de uma empresa, se ele não fizer parte do relacionamento de determinado sistema, não deve receber os códigos de acesso. Esta atitude é necessária, porque, em caso de descobrimento de acessos indevidos ou fraudes, fica mais fácil identificar o universo de pessoas habilitadas ao acesso do sistema, e, consequentemente, iniciar a averiguação de responsabilidades. O auditor deve confrontar pessoalmente quais pessoas estão habilitadas a operar determinado sistema e verificar se as senhas estão corretamente cadastradas no sistema e armazenadas com criptografia. Não é seguro armazenar senhas não criptografadas, pois outras pessoas do departamento de informática, que detêm conhecimento de programação e banco de dados, podem facilmente descobrir as senhas de acesso e passar a acessar o sistema com a senha de outro, ou ainda repassar para terceiros. As senhas de acesso devem ser frequentemente trocadas e os funcionários que são desligados da empresa devem ter as senhas bloqueadas imediatamente. É comum encontrar senhas de acesso ainda cadastradas para funcionários
Pós-graduação
77
já desligados da empresa há um bom tempo. Isso acontece pela ausência de uma Política de Segurança detalhada ou inexistência da mesma na empresa. A falta de implantação de senhas de acesso pode ocasionar acessos indevidos e, consequentemente, vazamento de informações confidenciais. Portanto, a existência de senhas de acesso é fundamental para a segurança da informação e tem de ser auditada, assim como a relação de pessoas habilitadas ao acesso. Implantar apenas o controle de acesso nos sistemas de informação não é uma medida suficiente para a segurança da informação. Assim, todas as pessoas que tenham acesso ao sistema teriam as mesmas permissões. É preciso implantar as permissões pertinentes a cada pessoa que tenha acesso ao sistema. A implantação de permissões é importantíssima em um sistema de informação e deve ser verificada pelo auditor.
Exemplo Um estagiário tem acesso ao sistema tanto quanto um gerente, mas as permissões dentro do sistema para o estagiário e o gerente devem ser diferentes.
A estrutura de permissões deve estar bem protegida para evitar a facilidade de alteração temporária. Funcionários com conhecimento técnico podem alterar a estrutura de permissões para possibilitar acesso além do permitido a determinado funcionário e depois retornar a situação inicial. Assim, também é fundamental que a estrutura de permissões esteja em local restrito ou protegido por criptografia. O auditor tem que averiguar tal situação com muita atenção.
Manutenção de sistemas A operação de sistema deve ocorrer de forma contínua, conforme o planejamento das funcionalidades dos sistemas, de modo que não haja interrupção na operação, pois, se ocorresse, poderia provocar a parada de funcionamento da empresa (DIAS, 2000). Dá para imaginar uma lotérica funcionando normalmente sem a operação de seus sistemas, ou um supermercado ou um banco com parada no computador? Até quando a operação dos sistemas terá continuidade normal em função de alterações em novas necessidades, integrações e alterações de legislações? Para que estas alterações sejam implantadas rapidamente e de forma correta, de modo a não comprometer a operação dos sistemas, é necessário que haja uma equipe ou empresa terceirizada sempre de prontidão para a realização das manutenções nos sistemas.
Auditoria de segurança da informação
78
Ter uma equipe de desenvolvimento totalmente comprometida com o desenvolvimento de novos sistemas é sinal de falta de mão de obra para a manutenção dos sistemas já existentes e, consequentemente, risco para a operação dos sistemas e segurança das informações. O desenvolvimento de novos sistemas significa trabalhar em sistemas que a empresa ainda não disponibilizou para operação e funcionamento. A manutenção de sistemas significa trabalhar em sistemas que já estão em funcionamento. Isto representa equipes com diferentes comprometimentos, e, se a maioria das equipes está alocada com o desenvolvimento de novos sistemas, consequentemente faltará equipe ou pessoas para dar continuidade de manutenção nos sistemas já existentes. (DIAS, 2000). Outro ponto a ser analisado pelo auditor é se existem funcionários com conhecimento da arquitetura de determinado sistema aptos a dar manutenção ao mesmo. A falta ou indisponibilidade desse profissional tornará a manutenção muito mais demorada, além de comprometer a eficácia do próprio trabalho de manutenção em si, pois funcionário sem competência fatalmente poderá realizar manutenção errônea. A manutenção de sistemas não é muito bem vista pela equipe de desenvolvimento. Em muitas situações, não é tarefa fácil de ser implantada, por requerer bons conhecimentos da arquitetura do sistema e porque, normalmente, o serviço realizado não aparece perante os olhos de chefes e usuários. Por isso, as pessoas acabam preferindo o desenvolvimento de novos sistemas ou módulos: são mais fáceis de iniciação e apresentam resultados mais vistosos. Sem desconsiderar que existe um rótulo na área de informática: quem não tem capacidade de realizar um novo sistema é alocado para a manutenção. Desta forma, é possível que, ao realizar a auditoria na manutenção dos sistemas, o auditor constate a falta de pessoas destinadas à manutenção. Esta constatação representa um risco à segurança da informação e tem de ser destacada no relatório de auditoria.
Futuro dos sistemas É de suma importância que o auditor analise o futuro de continuidade dos sistemas de informação, o qual está relacionado à existência de manutenção e acompanhamento da tecnologia oferecida no mercado. Sob o aspecto de acompanhamento da tecnologia de mercado, o auditor deve verificar com atenção as tecnologias utilizadas pelos sistemas e a situação de continuidade de tais tecnologias asseguradas pelos respectivos fornecedores. Como os sistemas chegam a um volume grande de linhas de código, passando a casa dos milhões (linhas de código já testadas e funcionando), a troca dessas por outra tecnologia não é tarefa de simples realização, em termos de complexidade, custos
Pós-graduação
79
financeiros e disponibilidade de mão de obra. Por essas razões, os sistemas acabam utilizando a linguagem de desenvolvimento concebida inicialmente. Não é difícil encontrar grandes sistemas em operação escritos em linguagens de programação pouco utilizadas na atualidade, como COBOL, Delphi, MUMPS ou Assembly. Conforme já analisado anteriormente, a grande desvantagem de um sistema estar escrito em uma linguagem de pouca oferta no mercado reside na escassez de oferta de mão de obra com conhecimento na referida linguagem, comprometendo, consequentemente, a manutenção e continuidade do mesmo Postergar no tempo a atualização de tecnologias de desenvolvimento nos sistemas é colocar em risco a segurança das informações, pois é possível que um novo sistema operacional ou hardware não suporte mais o funcionamento de tecnologias descontinuadas e que leve a empresa a ficar refém de tecnologias ultrapassadas e velhas. Outro ponto a ser auditado é a integração de novos sistemas e tecnologias. O conceito de informatização está cada vez mais integrado nas soluções, não havendo espaço para ilhas isoladas de sistemas. E, por desatualização de tecnologia, a integração com outros sistemas pode tornar a integração uma tarefa de difícil realização, trazendo conflitos nas operações dos sistemas e emperrando o fluxo das informações. Os acompanhamentos das tecnologias utilizadas pelos sistemas em comparação com as ofertadas pelo mercado passam pela capacidade da equipe técnica. Um comparativo entre as tecnologias utilizadas pelos sistemas de informação na empresa e as ofertadas pelo mercado de trabalho deve ser analisado, para verificar se as tecnologias utilizadas pela empresa estão defasadas, ou não. Assim, se necessário for, uma política de treinamento inicial e constante deve existir na empresa. Quanto ao futuro dos sistemas, constata-se que se trata de um grande patrimônio da empresa e a porta de relacionamento com clientes e fornecedores. Por isso mesmo, merece receber atenção especial do auditor, para evitar que a segurança das informações esteja comprometida no futuro. Além destes aspectos, devem ser auditados a atualização do hardware, cargas de aumento dos bancos de dados, satisfação dos usuários, aumento do tráfego de rede, controles físicos e ambientais, etc. Eles formam as bases para o suporte dos sistemas e, se não estiverem corretamente dimensionados, certamente a operação de sistemas estará comprometida.
Referência DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: Excel Books, 2000.
Auditoria de segurança da informação
80
Níveis de segurança da informação Márcio Ghisi Guimarães
Basicamente, a Política de Segurança é um conjunto de normas que define o que é e não é permitido na empresa, em termos de software e hardware. Essa política deve ser de conhecimento de todos os funcionários, sem exceção. Inclusive funcionários do alto escalão devem cumprir a política de segurança, para dar exemplo aos demais funcionários. Têm de saber sobre suas normas, aceitação e implementação. O conhecimento de todos os funcionários inibe a alegação de desculpas para justificar a realização de ato não permitido pela Política de Segurança (DIAS, 2000). Os termos definidos pela Política de Segurança, basicamente, são referentes aos softwares permitidos, hardware, gerenciamento dos e-mails, acesso de pessoas, acessos lógicos, físicos e ambientais. Um bom exemplo de norma é quanto aos softwares permitidos. Ela deve especificar os softwares que os funcionários podem instalar e utilizar em seus computadores, de modo a evitar a utilização de cópias piratas na empresa. Com isso, evitam-se riscos de toda ordem, inclusive a instalação de vírus. Mesmo tendo um controle de segurança das informações eficiente, tudo pode ser perdido caso haja furto de um servidor, por exemplo. Nesse caso, todas as informações depositadas no referido servidor são perdidas, como instalação do banco de dados, dados, sistemas, configuração de senhas, permissões, redes, etc. Aqui, a Política de Segurança deve definir os acessos físicos de pessoas aos locais dos hardwares que requerem maiores segurança, portas com senhas para abertura, câmeras de vigilância, etc. (DIAS, 2000). Há que se considerar o acompanhamento de funcionários aos visitantes durante a permanência na empresa. Os níveis de segurança da informação são dinâmicos, portanto, e crescem à medida que a informação requer maior ou menor segurança. A seguir serão abordados os níveis de acesso lógico, físico e de controles ambientais.
Pós-graduação
81
Nível de acesso lógico Quanto custa a perda da informação? Para algumas empresas, significa o fechamento ou interrupção por algum tempo; para outras, pode não acontecer nada, porque há como repor as informações perdidas. Supondo-se que, nos dias atuais, não existe controle de informação fora do computador, deduz-se que todas as informações estão depositadas no computador. Por isso, os níveis de controle dos acessos lógicos têm de ser checados pelo auditor com muita atenção. É que qualquer software que venha a ser danificado propositadamente pode comprometer toda a operação da empresa. Para que a empresa tenha um alto nível de controle de acesso lógico em alguns de seus principais recursos computacionais, algumas práticas devem ser observadas. Veja no quadro.
Banco de dados: Os bancos de dados devem estar protegidos por senhas de acesso ao banco e permissões em nível de tabelas, por usuário, estendendo as permissões em nível de atributo da tabela. Ainda, se for o caso, os acessos podem ser direcionados por View, que são basicamente uma consulta, e não um acesso direto ao banco. O banco de dados é o coração das informações e deve estar protegido fortemente, em nível de usuário, pois alguns funcionários da área de TI podem acessar indevidamente o banco de dados sem ser por uma aplicação comercial da empresa, mas por outros meios de acesso, por exemplo, pelo ambiente de desenvolvimento do programador. Outros controles também podem ser averiguados pelo auditor, como alternância de senhas de acesso ao banco pelo Database Administrator (DBA), implantação de Trigger, Ruler, Stored Procedure, etc. Os backups também devem ser cuidadosamente verificados pelo auditor em termos de frequência, número de cópias, replicação dos dados, acessos remotos, etc. Os próprios arquivos de senhas devem estar armazenados de forma criptografada e em local seguro quanto a acesso. Aplicativos: Os códigos fontes dos aplicativos são alvos de ataques. Por isso, o local onde os códigos fontes ficam armazenados deve ser muito seguro, inviabilizando o acesso por pessoas não autorizadas (DIAS, 2000). Definir as pessoas que têm acesso ao código fonte aumenta a segurança do mesmo, além de evitar violações indevidas; também fica mais fácil levantar os responsáveis por eventual alteração indevida. Dentro do código fonte, rotinas podem ser inseridas para captação e transferência de dados, alteração do banco de dados ou parte dele, aumento de acesso via rede, etc. Consequentemente, a segurança das informações pode estar em risco. Por esses motivos, o auditor deve verificar o controle de acesso ao código fonte dos aplicativos. O estudo do código fonte pode desvendar a arquitetura de armazenamento dos dados no banco de dados e facilitar acesso indevido.
Auditoria de segurança da informação
82
Sistema operacional: É um software muito visado para ataques, inclusive a configuração, pois a neutralização do sistema operacional interrompe todo o funcionamento dos demais softwares da empresa, mesmo o banco de dados, redes e sistemas de gestão. É um software que requer atenção especial do auditor, no que se refere à sua segurança. Log de transações: O log de transações é uma ferramenta que transmite segurança altíssima, pois todas as transações realizadas ou parte delas podem ser armazenadas para posterior auditoria, vale dizer, ele registra as ações dos usuários. É interessante destacar que o log pode ser parametrizado a qualquer momento por quem tenha acesso a ele, e isso pode comprometer as suas informações caso uma suposta fraude venha a ser realizada. Senhas de rede: As senhas de rede em conjunto com o logon identificam o usuário e, consequentemente, as permissões de acesso que esse terá em aplicativos da empresa. A importância do sigilo das senhas de rede é relevante (DIAS, 2000), e, se não estas forem totalmente confidenciais, outro funcionário pode acessar um computador com a senha de um colega e visualizar todas as suas informações sem permissão. Por isso, é aconselhável que, ao saírem momentaneamente de seus locais de trabalho, funcionários ativem o controle de bloqueio do computador, não deixem os referidos computadores acessados nas aplicações. O auditor tem que checar o local e forma do armazenamento das senhas de rede e o sigilo entre os funcionários.
Deste modo, constata-se que o nível de segurança atribuído aos controles de acesso lógico é diretamente proporcional ao nível crítico da segurança da informação. Os riscos a controles de acesso inadequado podem ser os mais variados possíveis, desde uma simples visualização de informações até como provocar a parada de uma empresa. Portanto é recomendado ao auditor averiguar constantemente os níveis de segurança da informação.
Nível de acesso físico O controle de acesso físico verifica o acesso físico das pessoas aos equipamentos de hardware, por exemplo, servidores, desktops, roteadores, etc. (DIAS, 2000). A perda desses equipamentos por sabotagem ou furtos traz graves problemas à segurança da informação. Por medida preventiva, apenas as pessoas autorizadas podem ter acesso a esses equipamentos.
Pós-graduação
83
Como alguns desses equipamentos armazenam os dados - os servidores de banco de dados --, pessoas não autorizadas podem copiar, alterar, excluir ou verificar informações diretamente destes equipamentos. Assim, o acesso deve ser restrito, os horários de acesso devem ser monitorados: em horários fora do expediente normal da empresa, os equipamentos podem ficar vulneráveis a acessos físicos indevidos. Os controles administrativos mais comuns para os acessos físicos são os crachás de identificação, que devem ser retirados na entrada da empresa e identificar a pessoa como visitante durante todo o tempo em que estiver em suas dependências. (DIAS, 2000). Em empresas maiores, nem todos os funcionários são conhecidos por outros funcionários. Assim, pela falta de crachá de identificação de visitante, por exemplo, um funcionário pode identificar uma pessoa dentro da empresa como colega de trabalho, quando esta pode ser um visitante. Um funcionário ao ver uma pessoa dentro da empresa com crachá de visitante tomará medidas mais cautelosas com relação a este visitante. Outro controle administrativo relevante é quanto a receber algum visitante. Ter um funcionário da empresa para acompanhá-lo em todo o tempo do trajeto que este realizar na empresa (DIAS, 2000). Ter atenção também quanto a papeis e rascunhos em cima das mesas, pois podem trazer informações úteis a pessoas indevidas. Ter os documentos e informações importantes dentro de gavetas protegidas por chaves. Controles explícitos são bem-vindos, inibem violações, como por exemplo, a instalação de câmeras de filmagem dos ambientes. Os níveis de controle físico devem ser maiores ou menores conforme for a necessidade de segurança das informações. O auditor tem de apontar a situação existente juntamente com a situação ideal, se for o caso.
Nível de controle ambiental Os controles ambientais devem estar definidos na Política de Segurança com relação a incêndios, enchentes, raios, ondas de calor, umidade, fornecimento de energia elétrica e refrigeração dos equipamentos (DIAS, 2000). Devido às mudanças climáticas que estão acontecendo com mais frequência, sendo muitas delas imprevisíveis, como enchentes e ondas de calor, estas, quando acontecem, podem danificar os equipamentos, comprometendo a segurança das informações. Desta forma, o local físico dos equipamentos pode ser mais ou menos vulnerável a riscos ambientais.
Auditoria de segurança da informação
84
Incêndios: Os controles inerentes à proteção contra incêndios podem ser atribuídos à existência de extintores de incêndio próximos aos equipamentos, móveis com materiais a prova de fogo, ausência de papéis próximos a equipamentos, existência de equipamentos detectores de fumaça ou calor, etc. Enchentes: Caso os principais equipamentos como, principalmente, os servidores de aplicação, banco de dados, redes ou e-mail ficarem em solo, ao nível da rua, qualquer enchente pode atribuir comprometimento. O ideal é que os equipamentos mais importantes fiquem em andares mais altos. Porém, se ficarem logo abaixo do telhado, é possível que goteiras, infiltrações ou vazamentos de água caiam sobre os equipamentos. Portanto é aconselhável ao auditor verificar a localização dos equipamentos estratégicos da empresa para a segurança das informações. Raios: Durante as trovoadas, os raios são frequentes, e contar com a sorte não é uma boa política de segurança, pois, se um raio cai na rede de energia da empresa, pode queimar os equipamentos e, consequentemente, provocar a perda das informações. Checar o sistema de proteção a raios faz parte da auditoria de segurança da informação. Umidade: Locais próximos à praia ou muito chuvosos transmitem maior umidade ao ar, provocando queima nas placas dos equipamentos e danos diversos, com a possibilidade de determinar a parada do equipamento. É importante o auditor verificar a umidade do ar em locais propensos a estas condições.
Referência DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: Excel Books, 2000.
Pós-graduação
85
Atividades de autoaprendizagem 1. De acordo com o que você estudou sobre a operação de sistemas, analise as frases a seguir e assinale V para as sentenças verdadeiras e F para as falsas. a. ( ) O sistema de informação deve criticar e validar a entrada de dados. b. ( ) Normalmente inconsistências nas saídas de dados são descobertas pelos usuários. c. ( ) Não é possível representar partes do processamento de dados manualmente. d. ( ) Não é necessário auditar o processamento de dados, pois os sistemas são corretos. 2. Com base nos estudos desta disciplina, assinale as alternativas corretas. a. ( ) Os controles de acesso e permissões delimitam as funcionalidades permitidas aos usuários nos sistemas de informação. b. ( ) Não é necessário ter controle de permissões nos sistemas de informação, basta apenas senhas de acesso. c. ( ) Sistemas de informação somente requerem manutenção após um ano de funcionamento. d. ( ) A tecnologia empregada nos sistemas de informação pode comprometer o futuro funcionamento do mesmo, por falta de disponibilidade de mão de obra capacitada para a manutenção, mesmo que o hardware suporte o sistema de informação defasado. e. ( ) Auditar operação de sistemas pode requerer conhecimentos além da área de informática.
Auditoria de segurança da informação
86
3. A partir dos estudos sobre os níveis de segurança da informação, analise as proposições a seguir, marcando V para verdadeiras e F para as falsas. a. ( ) Os níveis de segurança para os acessos lógicos não são aplicados ao banco de dados. b. ( ) Os níveis de segurança não devem ser aplicados a proteção dos códigos fontes dos Sistemas de informação. c. ( ) Os níveis de controle de acesso físico preocupam-se com a segurança dos equipamentos. d. ( ) Os controles ambientais não fazem parte dos níveis de segurança da informação, por terem importância menor que os controles lógicos e físicos.
Atividades colaborativas 1. Com base no que você estudou nesta unidade, responda à pergunta abaixo na ferramenta Exposição e lembre-se de consultar a resposta dos seus colegas. Qual a importância de realização de auditoria na operação de sistemas?
2. Qual é a razão de os controles de acesso lógico serem auditados? Responda à pergunta na ferramenta Exposição e consulte as respostas dos seus colegas.
Pós-graduação
87
Síntese Nesta unidade, estudou que a auditoria sobre a operação de sistemas fazse necessária pelo motivo de a operação de sistema representar o resultado da execução de todos os recursos de TI utilizados pela empresa. Caso haja inconsistência na entrada de dados, no processamento ou na saída, a operação de sistemas mostrará esta inconsistência. O auditor deve auditar pelo menos as áreas principais da operação de sistemas, mesmo não havendo erros ou inconsistências aparentes, podendo realizar auditoria preventiva, em vez de corretiva. Normalmente, inconsistências nos dados ou informações processadas erroneamente são descobertas pelos usuários e, neste caso, as consequências já se consumaram no armazenamento das informações no banco de dados. A recuperação de prováveis inconsistências pode demandar custos financeiros, tempo e mão de obra, podendo provocar, inclusive, a parada das operações da empresa no todo ou em parte. Você também viu que, além das entradas de dados, processamento e saída de dados, o auditor também deve verificar o controle de acessos e permissões. Estes têm a função de evitar que pessoas não autorizadas tenham acesso a determinado sistema ou parte deste. O controle de acessos deve ser implantado para todos os usuários do sistema e é de fundamental importância para a segurança e sigilo das informações. Você também constatou que nenhum sistema funciona para sempre, conforme projetado inicialmente. Que as regras de negócio da empresa são dinâmicas e mudam constantemente, de acordo com a competitividade de mercado. Por esta razão, os sistemas precisam acompanhar tais mudanças de regras através da manutenção de sistemas. Desta forma, o auditor precisa verificar a existência de uma estrutura de manutenção constante, para prestar o necessário suporte aos sistemas. Sem a manutenção necessária, rapidamente os sistemas se defasam e ficam inúteis, comprometendo a segurança das informações. Você também constatou que a verificação da tecnologia utilizada pelos sistemas em operação é de suma importância, pois utilizar tecnologias defasadas certamente comprometerá a continuidade de operação no futuro, podendo chegar ao ponto de não haver oferta de suporte tecnológico e/ou mão de obra suficiente para a continuidade de operação dos sistemas, comprometendo totalmente a segurança das informações.
Auditoria de segurança da informação
88
Você também concluiu que os níveis de segurança devem aumentar ou diminuir conforme a importância da informação, através dos controles de acesso lógico, físico e ambiental. Que esses controles podem ser definidos pela Política de Segurança da Informação, implantada pela empresa, com consentimento da alta gerência, e de conhecimento de todos os funcionários, sem exceção. O controle de acesso lógico requer muita atenção por parte do auditor, pois tem que atribuir segurança de acessos ao banco de dados, código fonte dos aplicativos, sistema operacional, senhas de rede e o log de transações, ferramenta poderosíssima para futura auditoria, no caso de violação. Assim, a verificação das operações de sistemas e a definição dos níveis de segurança representam, em conjunto, a auditoria de segurança da informação de uma empresa e, conforme a importância da informação, deve ocorrer de forma constante.
Saiba mais CAMPOS, ANDRÉ, L. N. Sistema de segurança da informação. Florianópolis: Visual Books, 2006. FERREIRA, Fernando Nicolau Freitas. Segurança da informação. Rio de Janeiro: Ciência Moderna, 2003. MONTEIRO, Emiliano Soares. Segurança em ambientes corporativos. Florianópolis: VisualBooks, 2003.
Pós-graduação
Unidade 4
Auditoria de sistemas de gestão de segurança da informação
Objetivos de aprendizagem •• Compreender o significado de um Sistema de Gestão de Segurança da Informação, as razões para elaboração, implantação, execução e acompanhamento. •• Conhecer os passos e as estratégias necessárias para o monitoramento e auditoria. •• Entender a abrangência das responsabilidades e competências das pessoas envolvidas no Sistema de Gestão de Segurança da Informação. •• Reconhecer a importância de existência de um Sistema de Gestão de Segurança da Informação para a segurança das informações, em um mundo onde as informações estão depositadas totalmente em sistemas de informação.
Introdução No momento empresarial atual, as empresas não conseguem operar sem os recursos da Tecnologia da Informação. As informações das empresas estão, praticamente em sua plenitude, depositadas em banco de dados hospedados em computador. Toda a arquitetura de hardware e software é necessária para a operação dessas informações. A utilização dos recursos de TI é, de certa forma, complexa e exige algum tempo até que todos os sistemas estejam integrados entre si e funcionando conforme as regras de negócio da empresa. Desta forma, é uma questão de sobrevivência não perder as informações armazenadas nos computadores. Sem elas, a empresa pode certamente parar de operar. Proteger as informações é uma questão prioritária e sem espaço para erros ou amadorismo.
90
Mas como saber se as informações estão seguras, ou não? Neste contexto, não se pode deixar as empresas contando com a sorte. A melhor prática para assegurar a segurança é implantar um SGSI para garantia da continuidade dos negócios. Apenas a existência de um Sistema de Gestão de Segurança da Informação (SGSI) não significa que as informações estejam seguras. É preciso auditar o SGSI para constatar se o mesmo está sendo eficiente e condizente com a segurança necessária, averiguando o comprometimento dos funcionários, os responsáveis pelo cumprimento das regras, e se estão recebendo apoio da alta gerência. Algumas normas técnicas apresentam um roteiro para implantação e execução de auditoria em SGSI. A mais voltada para a auditoria é regulamentada pela Associação Brasileira de Normas Técnicas (ABNT), pela norma ABNT NBR ISSO/IEC 27001: 2006, que especifica requisitos e fornece orientações para os organismos que prestam serviços de auditoria e certificação de um Sistema de Gestão da Segurança da Informação.
Pós-graduação
91
Auditoria de Sistemas de Gestão de Segurança da Informação Marcio Ghisi Guimarães
Antes de verificar o escopo da auditoria de Sistema de Gestão de Segurança da Informação (SGSI), é necessário compreender a sua abrangência. A seguir serão apresentados alguns tópicos (ISO/IEC 27001, 2005, 2006) mais relevantes que norteiam o auditor ao adequar a abrangência da auditoria ao porte da empresa e do fator crítico de segurança da informação, analisando-lhe os passos desde a implantação até a execução do mesmo.
SGSI Um Sistema de Gestão de Segurança da Informação é um conjunto de regras e normas adotado por uma empresa, com o intuito de garantir a segurança de suas informações quanto a controles, perdas, roubos, alterações e consultas indevidas. Não se trata de um sistema de informação convencional programado com uma linguagem de programação, mas de um procedimento para monitorar e analisar o comportamento das informações e garantir a segurança destas. Os objetivos pretendidos do SGSI devem ser confrontados com os resultados esperados, desta maneira o SGSI deve ser parametrizado para adequar-se com os processos da empresa e garantir a segurança de continuidade dos negócios. Os riscos envolvidos com a perda da informação versus a segurança do SGSI devem ser analisados. A abrangência de auditoria de um SGSI vai desde a segurança física e lógica da informação até a verificação da legislação pertinente às obrigações contratuais. A documentação do SGSI tem de estar sempre em conformidade com o que é praticado pela empresa e pelos funcionários envolvidos, sendo revista constantemente e reapresentada a todos os envolvidos pelos responsáveis em conferir a execução do SGSI.
Abrangência do SGSI A delimitação da abrangência é muito importante para o auditor, pois é por meio desta que se consegue constatar as responsabilidades dos envolvidos. Normalmente, quando as responsabilidades, funções e limites não ficam bem definidos, por exemplo, nos casos de perda da informação, fica difícil encontrar
Auditoria de sistemas de gestão de segurança da informação
92
o verdadeiro responsável. Assim, a abrangência atribui não somente as responsabilidades como também os requisitos cobertos pelo SGSI. Pode variar de empresa para empresa, devendo cobrir áreas como tecnologia envolvida em desenvolvimento de sistemas, sistemas operacionais, ferramentas de escritório, integração de sistemas, banco de dados, redes, controles organizacionais, equipes, etc. Em cada área de abrangência, o auditor deve checar se o SGSI está sendo cumprido e se condiz para que a segurança da informação realmente seja eficaz.
Alinhamento do SGSI com os negócios da empresa O SGSI tem de estar alinhado com os negócios da empresa em relação a estratégias de negócio, competitividade, atuação no mercado, relação com clientes e fornecedores, dentre outros. O momento atual e o futuro pretendido devem estar alinhados com as normas e regras do SGSI.
Exemplo Se a empresa pretende utilizar tecnologia WEB na totalidade de seus sistemas de gestão de vendas, o SGGI deve conter uma regra proibindo o desenvolvimento de novas soluções que não utilizem a tecnologia WEB, e assim por diante.
Outro ponto relevante a ser auditado é se a parte legal envolvida está implantada nos sistemas ou se esta pode gerar impedimento para novos negócios, como por exemplo, se as licenças dos softwares existentes são suficientes para futuros negócios.
Riscos Os riscos devem ser mensurados e constados no SGSI e estar bem claros para todos os envolvidos, assim como para a alta gerência. O auditor tem de constatar se os riscos estão contemplados pelo SGSI e se condizem com a realidade. Os riscos podem ser divididos em atuais e futuros. Os atuais envolvem a integração dos sistemas existentes com o negócio atual. Os riscos futuros são derivados de futuros negócios que a empresa pretenda, como por exemplo, a fusão com outras empresas, aberturas de filiais, mudanças de tecnologia, expansão de negócios com fornecedores, que podem comprometer a utilização dos recursos de TI.
Pós-graduação
93
A importância de mensurar os riscos é tão relevante, porque, justamente através do conhecimento destes é que se implantam as regras de segurança no SGSI. Essencial que a alta gerência tenha conhecimento dos riscos que a empresa esteja correndo, para não ser surpreendida. Uma avaliação constante dos riscos deve ser realizada e a estratégia de recuperação, em caso de perda ou dano, tem que estar relacionada. Muitas vezes, as políticas de contenção para evitar riscos demandam custos financeiros, tempo e consomem mais recursos computacionais e humanos. Por estes motivos, gerentes de informática ou diretores relegam o segundo plano de implantação de medidas, no sentido de evitar riscos, deixando que eles existam e possam acontecer. Nestes casos, cabe ao auditor responsabilizar pontualmente a pessoa pelo eventual risco que a empresa está correndo. O simples fato de atribuir um determinado risco a uma determinada pessoa faz com que esta delegue medidas para evitar o risco de segurança da informação.
Ameaças de invasão Ameaça de invasão é o que toda empresa não quer. As invasões podem vir tanto de fora da empresa como de dentro. A proteção contra invasão tem de ser contemplada pelo SGSI e o auditor tem de verificar se existem tentativas de invasão ou se já ocorreram. As invasões podem interferir na continuidade dos negócios da empresa, como perda de confiabilidade das informações, integridade e, principalmente, a continuidade de disponibilidade da mesma. O auditor avalia o grau de risco de cada possibilidade de invasão. Normalmente a proteção contra invasão está na constante atualização dos softwares de proteção. Ter evitado uma invasão não significa que a empresa não vá mais sofrer o mesmo ataque, por isso os controles contra acessos indevidos precisam estar ativos durante as 24 horas do dia, inclusive sobre dados e informações que saiam da empresa, como por exemplo, o envio de cópias de segurança para locais fora da empresa.
Recursos de TI abrangentes no SGSI Os recursos de TI, hardware e software, devem estar documentados no SGSI. Ter os respectivos recursos autorizados pode não ser o suficiente, é preciso que estes sejam utilizados em conformidade com o estipulado pelo SGSI. Um exemplo de utilização pode ser conferido aos e-mails, os quais devem ser utilizados com a
Auditoria de sistemas de gestão de segurança da informação
94
finalidade de efetuar operações relacionadas ao trabalho na empresa, e não para assuntos particulares. Atividades de trabalho inerentes às atividades da empresa também devem ser conferidas pelo auditor, pois é possível que funcionários tragam trabalhos externos à empresa, para serem executados ali. Este tipo de prática tem de ser verificado por softwares que realizem varreduras nas estações de trabalho, em busca de conteúdos suspeitos.
Implantação do SGSI Antes de realizar a implantação do SGSI, é preciso checar se o mesmo condiz com as medidas e as regras condizentes, por sua vez, com a natureza da segurança da informação de que a empresa necessita. O auditor também deve averiguar se as pessoas envolvidas na elaboração do SGSI têm capacidade técnica para tal realização. Uma vez elaborado o SGSI, um plano de implantação deve ser tratado, visto que pode haver resistência por parte de alguns funcionários com relação a poder e antiguidade na empresa. O processo de implantação deve deixar clara a necessidade de um SGSI na empresa e o benefício do mesmo para a segurança da informação, como tornar evidente que este é um processo irreversível.
Execução do SGSI Tudo não pode ficar excelente apenas no papel, é preciso averiguar se as normas e controles propostos no SGSI estão sendo executados pelos envolvidos e respaldados pela alta gerência. O auditor tem que conferir detalhadamente as normas contidas no SGSI e verificar in loco se estão sendo cumpridas. O não cumprimento do SGSI representa um risco de alto nível. Pior que não ter um SGSI é ter um que não é cumprido, é ter a sensação que as informações estão protegidas, quando não estão. O auditor deve realizar esta verificação em vários níveis e locais na empresa, inclusive realizando tentativas de violação das regras do SGSI para a verificação da eficiência dos controles de segurança. É relevante que uma avaliação periódica do SGSI seja feita e repassada ao conhecimento dos envolvidos, para, cada vez mais, ampliar as responsabilidades dos funcionários da empresa perante a aplicação do SGSI. O início da implantação do SGSI tem que ser documentado e validado pela alta gerência e levado ao conhecimento de todos os funcionários envolvidos e, se for o caso, coletar um ciente de cada funcionário da empresa. A importância do conhecimento elimina, futuramente, a alegação de desconhecimento do SGSI para justificar práticas ilegais.
Pós-graduação
95
Acompanhamento do SGSI Não basta implantar um SGSI e virar as costas e achar que tudo correrá perfeito: é necessário acompanhar a execução para analisar se o que foi elaborado está sendo cumprido e se o mesmo é suficiente para garantir a segurança da informação. O acompanhamento deve existir e um relatório deve ser divulgado constantemente a todos os envolvidos, inclusive os erros e ajustes que se fizeram necessários devem constar aí. Para que o SGSI não seja relegado a segundo plano, justifica-se a importância do acompanhamento, assim como é importante divulgar as ações de correção e se estas foram suficientes. O acompanhamento ainda deve verificar se as auditorias foram realizadas regularmente e a sua respectiva abrangência. A ausência de auditoria pode esconder deficiências do SGSI, e, conforme a gravidade dessas, colocar as informações em risco. É possível que o SGSI fique defasado por falta de recursos humanos disponíveis na empresa, o que pode decorrer de uma forte mudança de estratégia em seus negócios. Esta constatação deve ser apontada pelo auditor para certificação de que o SGSI não esteja prejudicado em sua abrangência. O relatório do acompanhamento, como o próprio auditor, também pode sugerir um aperfeiçoamento no SGSI. Manter um histórico do acompanhamento é muito útil para constatar se as ações passadas se tornaram eficazes. Um histórico é um forte respaldo para justificar uma ação futura, inclusive uma ação de conduta individual não apropriada.
Importante Um aspecto relevante quanto ao acompanhamento é levar em consideração as constatações colocadas pelos funcionários, pois algumas sugestões podem trazer medidas de segurança eficazes, visto que são eles que lidam no dia a dia com as informações.
Ou seja, a leitura que se faz da necessidade de acompanhamento traduz-se na constatação de que o SGSI é eficaz, ou não, o que é muito importante para o auditor, pois, conforme o caso, pode levar a rever todo o modelo do SGSI, ou garantir a tranquilidade de que as informações estão seguras.
Referências ISO/IEC 27001. Tecnologia da Informação, Técnicas de Segurança, Sistemas de Gerenciamento de Segurança da Informação, Necessidades ISO/IEC, 2005. ISO/IEC 27001. Tecnologia da Informação, Técnicas de Segurança, Sistemas de Gerenciamento de Segurança da Informação, Requisitos ISO/IEC, 2006.
Auditoria de sistemas de gestão de segurança da informação
96
Responsabilidades e competências Marcio Ghisi Guimarães
A garantia dos recursos tecnológicos também deve ser auditada, pois, sem estes recursos prometidos, fatalmente alguma interferência na segurança das informações ocorrerá. As responsabilidades podem ser atribuídas a recursos humanos, competência de auditoria, parecer da alta gerência, do mesmo modo que a responsabilidade sobre o futuro da aplicação das auditorias.
Responsabilidades e competências da alta gerência Quando a alta gerência define uma linha a ser tomada pelo Sistema de Gestão de Segurança da Informação (ISO/IEC 27001, 2006), esta deve assumir a responsabilidade do sucesso ou do fracasso. Se os resultados não forem os esperados, uma auditoria pode revelar os motivos de tal resultado. Influências alheias (crises internacionais, enchentes, etc.) à vontade da alta gerência podem ocasionar desvios de resultados, mas o não cumprimento das regras estipuladas deve ser apurado, e verificadas as devidas responsabilidades (GIL, 2000). Em muitos casos, a execução do SGSI requer recursos financeiros que foram garantidos previamente pela alta gerência. A liberação parcial desses recursos pode comprometer os objetivos esperados. De forma independente, se for o caso, o auditor deve apontar esta constatação em seu relatório de auditoria. A competência da alta gerência não deve influenciar diretamente os trabalhos técnicos dos funcionários. Para a comunicação entre ambos existem os chefes intermediários, os quais devem ser acionados para tal comunicação. A ação direta da alta gerência sobre os funcionários pode violar a estrutura organizacional da empresa e acarretar o constrangimento de chefes intermediários e descontentamentos por parte de outros. A responsabilidade e a competência mais relevante da alta gerência residem no cumprimento da liberação dos recursos autorizados inicialmente e limitamse a sua abrangência de competência. (GIL, 2000). Também não deve trocar os objetivos ou metas anteriormente estipuladas sem uma razão consistente, pelo fato de que mudanças de objetivos podem acarretar perdas de trabalho ou retrabalho.
Pós-graduação
97
Responsabilidades da garantia de recursos tecnológicos Recursos previamente estipulados com relação a hardware, software e recursos humanos devem ser garantidos e liberados pela alta gerência, conforme estipulados no SGSI (ISO/IEC 27001, 2006). A falta desses pode comprometer os objetivos, as metas e os prazos. O não comprometimento de recursos justificase quando as ocorrências alheias à vontade da alta gerência ocorrem, como por exemplo: enchentes, colapsos na economia, perda de clientes potenciais, etc. De forma independente, se a falta de recursos comprometer a segurança da informação, o auditor deve apontar no relatório de auditoria o detalhamento ocasionado pelo não cumprimento dos recursos previamente autorizados.
Responsabilidades de recursos humanos Não é suficiente aos recursos humanos a capacidade técnica apenas; também é necessário o comprometimento com os projetos de desenvolvimento, relativo ao cumprimento dos prazos já estabelecidos (GIL, 2000). A existência de uma estrutura organizacional bem definida e respeitada faz com que os recursos humanos não sejam submetidos a tarefas além das já assumidas. O descontrole na deliberação de atividades para recursos humanos pode comprometer prazos e qualidade dos projetos. Normalmente os recursos humanos têm um limite na capacidade de atividade e a sobrecarga pode gerar insatisfação. A delegação de atividades, responsabilidades no cumprimento de prazos tem de ser auditada; igualmente deve ser checada no SGSI a existência ou não de algum controle neste sentido. A TI sofre atualizações tecnológicas constantemente, deste modo o treinamento dos recursos humanos faz-se necessário, evitando que a empresa fique tecnologicamente defasada e tenha dificuldades de continuação de negócio (ISO/IEC 27001, 2006). O treinamento deve ocorrer por responsabilidade dos funcionários, da empresa ou de forma mista. Cabe ao auditor verificar a quem compete a responsabilidade de treinamento. As atribuições de atividades aos recursos humanos não capacitados comprometem diretamente os prazos, a qualidade de software, a satisfação dos clientes. Recurso humano não capacitado à tarefa ao qual é submetido pode chegar ao ponto de ele não cumprir os projetos, além de estender os prazos de entrega. Por isso, é relevante ao auditor apurar a responsabilidade de cada recurso humano com relação à atividade que executa.
Auditoria de sistemas de gestão de segurança da informação
98
Rotatividade de recursos humanos não é um bom sinal. Repassar o conhecimento de sistemas integrados de informação não é uma tarefa que se faça em curto espaço de tempo. Quando uma pessoa decide sair da empresa, o tempo do aviso prévio determinado pela Consolidação das Leis Trabalhistas (CLT) era de trinta dias corridos. Com o advento da Constituição Federal a duração do aviso prévio era, até outubro/2011, de 30 (trinta) dias, independentemente do tempo de serviço do empregado na empresa. Com a publicação da Lei 12.506/2011, a partir de 13/10/2011 a duração passou a ser considerada de acordo com o tempo de serviço do empregado, podendo chegar até a 90 (noventa) dias. Assim, em um curto espaço de tempo, a empresa tem de selecionar, admitir e treinar uma nova pessoa. Este fato pode comprometer a segurança da informação, pois na área da Tecnologia da Informação nem sempre em um curto espaço de tempo é possível repassar o funcionamento e a arquitetura dos sistemas para outra pessoa facilmente. Desta forma, o auditor deve averiguar as responsabilidades de comprometimento de trabalho dos empregados com a empresa e vice-versa. A rotatividade é de difícil normatização em um SGSI, mas uma linha de comunicação com os recursos humanos sobre satisfação, problemas ocorridos, casos de sucesso, é bem-vinda.
Responsabilidade e competência de auditoria no SGSI A auditoria no Sistema de Gestão de Segurança da Informação tem que analisar desde a elaboração, implantação, execução e documentação (GIL, 2000). Todas estas etapas devem ser auditadas constantemente, conforme o grau crítico de segurança das informações. Neste sentido, cabe ao auditor verificar a quem cabe a responsabilidade de autorizar as auditorias no SGSI. Durante a auditoria no SGSI, o auditor tem que estar ciente das suas competências, de forma a não prejudicar o andamento dos trabalhos dos auditados. A auditoria no SGSI deve ficar limitada ao escopo do SGSI, ou seja, à abrangência do mesmo. Caso o auditor descubra um fato relevante e irrefutável, o auditor deve apontar este fato para outra auditoria, de modo a não comprometer a já existente em termos de qualidade e prazo. Lembra-se que o auditor tem de possuir caráter imparcial, para não deixar que o relatório de auditoria seja influenciado por quem encomendou a auditoria. Se o auditor não for imparcial, coloca em risco a sua reputação perante a empresa, os auditados e os colegas auditores. A auditoria no SGSI deve ter um planejamento, com data inicial e final de auditoria e o escopo da mesma. Após definidos estes parâmetros no planejamento, o custo financeiro é definido. Estes parâmetros não devem ser alterados, pois quem encomenda a auditoria espera receber o relatório da mesma na data final planejada e pelo custo financeiro previamente acordado. Desta forma, o auditor tem responsabilidade com o planejamento da auditoria.
Pós-graduação
99
Parecer da alta gerência sobre a auditoria no SGSI É importante que o auditor entregue o seu relatório final de auditoria somente para quem encomendou a auditoria (ISO/IEC 27001, 2005). Por questões de sigilo, resultados de auditoria devem ser divulgados para o conhecimento de terceiros somente por quem encomendou a auditoria. Mesmo assim, é interessante ao auditor conhecer o parecer da alta gerência sobre o relatório final da auditoria, pois este parecer pode influenciar na qualidade e no planejamento de futuras auditorias. Assim como as auditorias, os pareceres também devem ficar documentados para formar o histórico das auditorias no SGSI. O histórico serve de justificativa para novas ações de auditorias. A satisfação, ou não, da alta gerência pode levar a alteração na elaboração, melhoramento ou até a uma revisão mais profunda.
Futuro da auditoria no SGSI Como as empresas utilizam recursos de TI e dependem deles cada vez mais, faz-se necessária a realização de auditorias no SGSI para a segurança das informações, pois as empresas não podem, em hipótese nenhuma, perdê-las. Com a perda da informação, muitas empresas param de operar, mesmo sem perda de nenhum produto de estoque, por exemplo. Mas como a complexidade tecnológica dos recursos de informática aumenta a capacidade técnica do auditor, também deve acompanhar a evolução tecnológica (ISO/IEC 27001, 2005). Muitas vezes, fica difícil a uma só pessoa dominar o conhecimento de várias áreas. Nestes casos, o auditor deve assessorar-se de outras pessoas que detêm o conhecimento necessário. Sem o conhecimento técnico das diversas áreas tecnológicas, fica difícil realizar a auditoria com a qualidade pretendida. A auditoria deve ser o mais breve possível, para não atrapalhar as atividades dos auditados, não estender os custos e apresentar o retorno o mais breve possível a quem encomendou a auditoria. Portanto realizar auditoria sem conhecimento técnico fará com que o tempo de execução aumente, além de lhe comprometer a eficácia. Assim pode-se deduzir que a necessidade de auditoria é crescente, mas a capacidade de realização, de parte dos auditores passa pela evolução e acompanhamento tecnológico destes.
Auditoria de sistemas de gestão de segurança da informação
100
Referências GIL, Antonio de Loureiro. Auditoria de computadores. São Paulo: Atlas, 2000. ISO/IEC 27001. Tecnologia da Informação, Técnicas de Segurança, Sistemas de Gerenciamento de Segurança da Informação, Necessidades ISO/IEC, 2005. ISO/IEC 27001. Tecnologia da Informação, Técnicas de Segurança, Sistemas de Gerenciamento de Segurança da Informação, Requisitos ISO/IEC, 2006.
Atividades de autoaprendizagens 1. De acordo com o que você estudou sobre Sistema de Gestão de Segurança da Informação (SGSI), analise as frases a seguir e assinale V para as sentenças verdadeiras e F para as falsas. a. ( ) O SGSI deve ter o apoio da alta gerência. b. ( ) A alta gerência não precisa ter conhecimento do SGSI, apenas os funcionários. c. ( ) É necessário realizar auditoria no SGSI apenas na implantação do mesmo. d. ( ) Os riscos são previstos no SGSI.
2. Com base nos estudos desta disciplina, assinale as alternativas corretas. a. ( ) O auditor deve limitar-se à abrangência do SGSI. b. ( ) O SGSI deve estar alinhado com os negócios da empresas e, caso as estratégias de negócio mudem, o SGSI deve ser revisto. c. ( ) As ameaças de invasões que, por ventura, tenham ocorridos não devem constar no histórico do SGSI. d. ( ) Os recursos de TI não são contemplados pelo SGSI. e. ( ) A implantação do SGSI deve ser amplamente divulgada, para evitar alegação de desconhecimento por partes dos envolvidos.
Pós-graduação
101
3. A partir dos estudos sobre as responsabilidades e competências, analise as proposições a seguir, marcando V para as sentenças verdadeiras e F para as falsas. a. ( ) A alta gerência tem responsabilidade sobre o SGSI. b. ( ) Os funcionários não têm responsabilidades sobre o SGSI. c. ( ) Um recurso humano deve ter a competência para realizar a tarefa a que é submetido. d. ( ) A auditoria no SGSI deve ficar limitada ao escopo do SGSI.
Atividades colaborativas 1. Considerando o conteúdo estudado da unidade 4, responda: Por que razão a auditoria deve ficar limitada ao planejamento da mesma? Publique sua resposta na ferramenta Fórum.
2. Considerando o conteúdo estudado, responda, com suas próprias palavras, por que razão o auditor deve ser independente? Justifique a sua resposta, utilizando a ferramenta Fórum.
3. Qual a importância do parecer da alta gerência sobre o relatório final de auditoria? Justifique sua resposta, utilizando a ferramenta Exposição.
Síntese A delimitação da abrangência é muito importante para o auditor, pois é através desta que o auditor pode constatar as responsabilidades dos envolvidos. O SGSI deve estar alinhado com os negócios da empresa, com relação a estratégias de negócio, competitividade, atuação no mercado, relação com clientes e fornecedores, etc.
Auditoria de sistemas de gestão de segurança da informação
102
Os riscos devem ser mensurados e constar no SGSI. Estes devem ficar bem claros para todos os envolvidos, como também para a alta gerência. As invasões podem vir de fora da empresa, como também de dentro. A proteção contra invasão deve ser contemplada pelo SGSI; também deve ser verificado pelo auditor se existem tentativas de invasão e, ainda, se já ocorreram. Claramente, deve estar documentada a utilização dos recursos de hardware e software no SGSI. O auditor também deve verificar se as pessoas envolvidas na elaboração do SGSI têm capacidade técnica para tal realização. Uma vez elaborado o SGSI, um plano de implantação deve ser tratado, visto que pode haver resistência por parte de alguns funcionários com relação a poder e antiguidade na empresa. Na execução do SGSI, é preciso verificar se as normas e controles propostos no SGSI estão sendo executados pelos envolvidos e respaldados pela alta gerência. Por fim, o acompanhamento se faz necessário, para verificar se o que foi elaborado está sendo cumprido e é suficiente para garantir a segurança da informação. As responsabilidades e competências precisam estar bem definidas para melhor comprometimento das pessoas envolvidas. Quando a alta gerência define uma linha a ser tomada pelo SGSI, esta deve assumir a responsabilidade de sucesso ou fracasso. A responsabilidade da garantia de recursos tecnológicos deve estar previamente estipulada com relação a hardware, software e recursos humanos que devem ser garantidos e liberados pela alta gerência, conforme estipulados no SGSI. A falta destes pode comprometer objetivos, metas e prazos. Não é suficiente aos recursos humanos a capacidade técnica apenas. É necessário o comprometimento com os projetos de desenvolvimento, no tocante ao cumprimento de prazos já estabelecidos. O treinamento dos recursos humanos faz-se necessário, para que a empresa não fique tecnologicamente defasada e tenha dificuldades de continuação de negócio. Por responsabilidade dos funcionários, pela empresa ou por uma forma mista, o treinamento deve ocorrer.
Pós-graduação
103
Neste sentido, cabe ao auditor verificar a quem cabe a responsabilidade de autorizar as auditorias no SGSI. Durante a auditoria no SGSI, o auditor deve estar ciente das suas competências, de forma a não prejudicar o andamento dos trabalhos dos auditados. A auditoria no SGSI deve ficar limitada ao escopo do SGSI, ou seja, somente à abrangência do mesmo. Por questões de sigilo, resultados de auditoria devem ser divulgados para o conhecimento de terceiros somente por quem encomendou a auditoria. Mesmo assim, é interessante ao auditor conhecer o parecer da alta gerência sobre o relatório final da auditoria, pois este parecer pode influenciar na qualidade e no planejamento de futuras auditorias. Por fim, o futuro das auditorias nos Sistemas de Gestão da Segurança da Informação está condicionado à capacidade técnica do auditor e da utilização de recursos tecnológicos pelas empresas. As empresas estão consumindo cada vez mais recursos tecnológicos e seguem cada vez mais dependentes destes. Os negócios das empresas estão totalmente inseridos em sistemas de informação, não existindo espaço para operações manuais. Mas, para a realização de auditorias em SGSI, o auditor deve ter conhecimento técnico das áreas que vai auditar, ou assessorar-se de pessoas com os conhecimentos necessários. Desta forma, conclui-se que as auditorias vão se fazer necessárias para garantir a segurança das informações.
Saiba mais ISO/IEC FCD 27007. Information technology, Security techniques, Guidelines for information security management systems auditing. ISO/IEC JTC 1/SC 27 N9971. Information technology, Security techniques, Guidelines for identification, collection, acquisition and preservation of digital evidence. ISO/IEC WD 27008. Information technology, 10 Security techniques, Guidelines for auditors on information security 11 management systems controls.
Auditoria de sistemas de gestão de segurança da informação
Para concluir os estudos
Parabéns por ter concluído com êxito o conteúdo desta disciplina. Após a leitura deste livro didático, você pôde concluir a importância da auditoria diretamente relacionada com a segurança da informação. Quanto mais crítica for a segurança da informação, mais necessária é a auditoria da segurança da informação. Em empresas que dependem totalmente das informações depositadas em computadores para a continuidade de seus negócios, quanto custa a perda das informações? A perda das informações pode deixar uma empresa sem operação por dias, causando enorme prejuízo no faturamento e colocando em risco a sua credibilidade perante clientes, fornecedores e alta gerência. A auditoria não se faz presente somente para evitar perda de informação, mas também para saber se a operação de sistemas está condizente e correta com a legislação pertinente, com as regras de negócio e com o alinhamento da alta gerência. O auditor deve ser imparcial. A importância disto está relacionada diretamente com a qualidade da auditoria. Se o auditor alterar seu relatório de auditoria por interesse de quem encomendou a auditoria, toda a auditoria estará comprometida, como também a sua reputação. O auditor deve por si só descobrir e verificar os fatos, não deve perguntar nada ao auditado. É obvio que se o auditado estiver escondendo alguma operação fraudulenta ou incorreta, este esconderá informações e operações inconsistentes. Também existe a intenção do auditado de tentar prejudicar a auditoria, no sentido de não repassar totalmente as informações para o auditor, ou repassá-las de forma errônea.
106
No mundo da Tecnologia da Informação, todos os recursos de TI utilizados pela empresa, sejam mais ou menos importantes, devem ser auditados, pois o processamento de dados é um conjunto de recursos necessários para disponibilizar as informações, e, se apenas um destes recursos fica fora de operação, a informação pode deixar de ser disponibilizada. Por fim, a auditoria da segurança da informação é dinâmica, devendo ser flexível conforme a complexidade de utilização dos recursos de TI pela empresa. Logo, as áreas apresentadas neste livro como as que devem ser auditadas podem sofrer expansão, aumentando a abrangência da auditoria. Um conhecimento mais aprofundado sobre a Auditoria da Segurança da Informação você encontrará nas referências bibliográficas postas neste livro. Mas, certamente, o conteúdo apresentado neste livro lhe dará o embasamento inicial para a realização da auditoria da segurança da informação.
Pós-graduação
Minicurrículos
Luiz Otávio Botelho Lento Graduado em Ciências Naval, pela Escola Naval. Mestre em Ciência da Computação pela Universidade de Campinas (UNICAMP) (Sistemas Distribuídos) e doutorando na Universidade Federal de Santa Catarina (UFSC), em Engenharia Elétrica, com concentração na área de Segurança da Informação. Oficial da Marinha da reserva, já atuou no governo federal na área de redes de computadores e segurança da informação. Consultor de treinamento e consultor de empresas na área de redes e segurança. Professor das disciplinas Rede de Computadores e Segurança da Informação nos cursos de graduação no Centro Universitário de Brasília (UNICEUB), bem como orientador de trabalhos de conclusão de curso (TCC). Professor de cursos de graduação e pós-graduação na área de redes de computadores e segurança da informação na Universidade Católica de Brasília (UCB). Consultor de Segurança do SENAI de Santa Catarina (CTAI) bem como professor nos cursos de graduação e pós-graduação na área de redes e segurança da informação. Consultor da Federação das Indústrias do Estado de Santa Catarina (FIESC) na área de redes de computadores e segurança da informação. Atualmente, é professor nos cursos de graduação e pós-graduação da Universidade Estácio de Sá na área de redes de computadores e segurança da informação. Professor de graduação e pós-graduação da Unisul, na modalidade presencial, e da UnisulVirtual nas áreas de redes, segurança da informação e software livre, e coordenador do curso de pós-graduação de Implantação de Software Livre e Gestão de Segurança da Informação. Autor de livros didáticos na área de redes, segurança da informação e software livre. Membro da ISACA e da ABNT/CB21/CE 27 – Comitê Brasileiro de Computadores e Processamento de Dados – Segurança da Informação (colaborador).
108
Márcio Ghisi Guimarães Formado em Ciências da Computação pela Universidade Federal de Santa Catarina (UFSC). Especialista em Auditoria de Controle Externo pela Universidade do Estado de Santa Catarina (UDESC). Mestre em Sistemas de Conhecimento pela UFSC. Professor na Universidade do Sul de Santa Catarina (UNISUL), na modalidade de ensino presencial e na UnisulVirtual a distância. Foi conteudista dos livros de Modelos de Negócios em Software Livre, Seleção e Avaliação de Software e, agora, em Auditoria da Segurança da Informação. Atualmente é Auditor Fiscal de Controle Externo no Tribunal de Contas do Estado de Santa Catarina, na área de Ciências da Computação.
Pós-graduação
Respostas e comentários das atividades de autoaprendizagem e colaborativas
Unidade 1 Autoaprendizagem 1. A, E, F, H 2. a) V, b) F, c) V, d) V Colaborativas 1. A interna está relacionada a sua própria organização, isto é, audita-se o próprio sistema, e a externa, quando se audita um fornecedor ou quando se é auditado por um cliente. 2. Os objetivos do programa de auditoria são importantes para direcionar tanto o planejamento quanto a realização das auditorias. 3. Basicamente, para que o relatório final não seja influenciado por quem encomendou a auditoria. Caso o auditor não seja independente, esse coloca sua reputação em dúvida e deve assumir as responsabilidades da divulgação do relatório final. Também outra auditoria pode ser encomendada e ser auditada por outro auditor, para confrontar os relatórios finais.
Unidade 2 Autoaprendizagem 1. a) V, b) F, c) F, d) V 2. a) F, b) V, c) V, d) F 3. A, D, E
110
Colaborativas 1. A escolha da área é pessoal, mas deve ser justificada a escolha para promover debate. 2. A mudança pode comprometer os sistemas de informação e estes afetarem as informações armazenadas no banco de dados.
Unidade 3 Autoaprendizagem 1. a) V, b) V, c) F, d) F 2. A, D, E 3. a) F, b) F, c) V, d) F Colaborativas 1. A operação de sistemas representa o resultado da execução dos recursos de TI que a empresa utilizada pela empresa e representa a operação das transações da empresa. Os sistemas em operação transcrevem as transações que a empresa realiza. Portanto, se a operação de sistema estiver inconsistente, o fluxo de transações da empresa estará também comprometido, visto que, nos dias atuais, as empresas operam totalmente de forma informatizada, as operações das empresas estão implantadas e são executadas pelos sistemas em operação e por esta forte constatação devem ser fortemente auditados os sistemas em operação. 2. Os controles lógicos representam a segurança em recursos vitais, como o banco de dados, aplicativos, sistema operacional e redes. Estes recursos são muito visados por ataques de violação e, por este motivo, requerem uma maior atenção do auditor.
Pós-graduação
111
Unidade 4 Autoaprendizagem 1. a) V, b) F, c) F, d) V 2. a) V, b) V, c) F, d) F, e) V 3. a) V, b) F, c) V, d) V Colaborativas 1. O aluno deve responder no sentido de que a auditoria deve ter uma data de início e término. Dentro deste período, o auditor deve realizar o que foi estipulado no planejamento. Se o auditor se estender além do que foi estipulado no planejamento da auditoria, este correrá o risco de extrapolar os prazos de início e término, como também pode extrapolar os custos financeiros. 2. O aluno deve responder no sentido de que, se o auditor não for independente, o relatório final da auditoria pode não transcrever a situação real da segurança da informação. Também a reputação do auditor pode ficar comprometida. 3. É importante ao auditor conhecer o parecer da alta gerência para saber se os resultados alcançados satisfizeram os interesses da alta gerência, ou não. A satisfação da alta gerência pode alterar a conduta das próximas auditorias. O parecer deve ficar documentado na auditoria.
Auditoria de Segurança da Informação
Referências
ANDRÉ, L. N. Campos. Sistema de segurança da informação. Florianópolis: Visual Books, 2006. AUDITORIA externa ou auditoria independente. Portal da auditoria. nov. 2011. Disponível em: . Acesso em: 14 dez. 2011. ÁVILA, Rafael. Imagem de lupa sobre gráficos financeiros: auditoria. Blog luz loja de consultoria. 2 nov. 2011. Disponível em: . Acesso em: 7 dez. 2011. BRITISH STANDARDS INSTITUTE (BSI). Auditor Interno ISO/IEC 27001:2005 Sistema de Gestão de Segurança da Informação – BSI Learning, 2008. BRITISH STANDARDS INSTITUTE (BSI). Curso Auditor Interno ISO/IEC 27001: 2005 SGSI, BSI Learning, 2008. CAMPOS, André L. N. Sistema de segurança da informação. Florianópolis: Visual Books, 2006. DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: Excel Books, 2000. FERREIRA, Fernando Nicolau Freitas. Segurança da informação. Rio de Janeiro: Ciência Moderna, 2003. FOINA, Paulo Rogério. Tecnologia de informação: planejamento e gestão. São Paulo: Atlas, 2001. FREEMAN, R. E. Strategic management: a stakeholder approach. Massachusetts: Pitman, 1984.
114
Gabinete de Segurança Institucional da República. Departamento de Segurança da Informação e Comunicações. Disponível em: . Acesso em: 12 mar. 2012. GIL, Antonio de Loureiro. Auditoria de computadores. São Paulo: Atlas, 2000. GRAEML, Alexandre Reis. Sistemas de informação: o alinhamento da estratégia de TI com a estratégia corporativa. São Paulo: Atlas, 2003. ISO/IEC 27001. Tecnologia da Informação, Técnicas de Segurança, Sistemas de Gerenciamento de Segurança da Informação, Necessidades, ISO/IEC, 2005. ISO/IEC 27001. Tecnologia da Informação, Técnicas de Segurança, Sistemas de Gestão de segurança da informação, Requisitos, ISO/IEC, 2006. ISO/IEC 27002. Information technology, Security techniques, Code of practice for information security management, Redesignation of ISO/IEC 17799: 2005. ISO/IEC FCD 27007. Information technology, Security techniques, Guidelines for information security management systems auditing. ISO/IEC JTC 1/SC 27 N9971. Information technology, Security techniques, Guidelines for identification, collection, acquisition and preservation of digital evidence. ISO/IEC WD 27008. Information technology, 10 Security techniques, Guidelines for auditors on information security 11 management systems controls. LYRA, Mauricio Rocha Lyra. Segurança e auditoria em sistema de informação. Rio de Janeiro: Ciência Moderna, 2008. MANUAL de auditoria interna. 2ª versão. Companhia Nacional de Abastecimento (CONAB); Coordenadoria de Auditoria Interna (COAUD), 2008. Disponível em: . Acesso em: 9 dez. 2011. MCAFEE compra de empresa de gestão da segurança da informação. Notícias do setor. Multidata: tecnologia, gestão, resultados. 5 out. 2011. Disponível em: Acesso em: 8 dez. 2011. MELLO, Agostinho de Oliveira. Instituto dos auditores internos do Brasil. Organização básica da auditoria interna. Biblioteca Técnica de Auditoria Interna. 2005.
Pós-graduação
115
MONTEIRO, Emiliano Soares. Segurança em ambientes corporativos. Florianópolis: VisualBooks, 2003. NAKAMURA, Emílio Tissato. Segurança de redes em ambientes coorporativos. São Paulo: Novatec Editora, 2007. NBR ISO 19011. Diretrizes para auditorias de sistema de gestão da qualidade, 2002. NETO, Abílio Bueno; SOLONCA, Davi. Auditoria de sistemas informatizados. Palhoça: UnisulVirtual, 2007. RAMOS, Anderson; ANDRUCIOLI, Alexandre; SOUZA, Alexandre de; VARGAS, Alexandre; GALVÃO, Márcio; HASHIMOTO, Rafael; GIORGI,Ricardo; AGIA, Rodrigo. Guia oficial para formação de gestores em segurança da informação. Rio de Janeiro: ZOUK, 2006. REVISTA Info Exame. Disponível em: . Acesso em 12 mar. 2012. ROCHA, João. Os dados da sua empresa estão seguros? Duvido! Rio de Janeiro: Brasport, 2004. SCHNEIER, Bruce. Segurança.com: segredos e mentiras sobre a proteção na vida digital. Rio de Janeiro: Campus, 2001. SÊMOLA, Marcos. A importância da gestão da segurança da informação. 2010. Disponível em: . Acesso em: 9 dez. 2011. SÊMOLA, Marcos. Gestão da segurança da informação: uma visão executiva. Rio de Janeiro: Campus. 2003. SHAO-HUA Zhang, NING Gu. Research on Workflow of Virtual Organization, The Eighth International Conference on Computer Supported Cooperative Work in Design, Xiamen, China, 2003. SOFTWARE livre no governo do Brasil. Disponível em: . Acesso em: 12 mar. 2012. UNIDADE de auditoria interna. Definições de auditoria interna. Universidade Federal Rural do Semi-Árido (UFERSA). 05 mar. 2009. Disponível em: . Acesso em: 9 dez. 2011.
Auditoria de Segurança da Informação