Auditoria de Sistemas de Informao e

infraestrutura de TI com base nas

melhores prticas
Edson Vidal
JUNHO 2015

Sumrio
1

Introduo sobre a auditoria de TI..........................................................2

1.1

Definio e Objetivos da Auditoria..........................................................2

1.2

Dimenses da Auditoria de TI..................................................................2

1.3

Segurana da Informao e Auditoria Aliada Gesto de TI...................2

1.4

Consideraes Sobre a Auditoria de Sistemas de Informao.................2

2 Auditoria de Sistemas de Informao e sua Insero nas Melhores

Prticas................................................................................................................2

2.1

Conceitos Bsicos do CobiT.....................................................................2

2.2

Estrutura do CobiT...................................................................................2

2.3

Concluses Gerais Sobre o CobiT e sua Aplicabilidade...........................2

2.4

CobiT e Auditoria de Demonstraes Financeiras...................................2

2.5
TI

Consideraes Sobre a Insero da Auditoria nas Melhores Prticas de

2

Requisitos da auditoria para anlise da TI da empresa.......................2

3.1

Definio dos Testes Aplicados na Empresa............................................2

3.1.1 01.01-Transaes Crticas dos Sistemas...............................................2

3.1.2 01.02-Parametrizao de Senhas dos Aplicativos................................2
3.1.3 01.03-Reviso dos Perfis de Acesso dos Usurios................................2
3.1.4 01.04-Revogao de Acessos Aplicao............................................2
3.1.5 01.05-Poltica de acesso aos bancos de dados....................................2
3.1.6 01.06-Antivrus.....................................................................................2
3.1.7 01.07-Conexo Remota........................................................................2
3.1.8 01.08-Firewall.......................................................................................2
3.1.9 01.09-Inventrio de Hardware e Software............................................2
3.1.10

01.10-Parametrizao de Senhas da Rede........................................2

3.1.11

01.11-Utilizao da Rede Wireless....................................................2

3.1.12

01.12-Revogao de Acessos Rede................................................2

3.1.13

01.13- Termo de utilizao ativos de TI, rede e internet................2

3.1.14

02.01-Gerenciamento de Mudanas.................................................2

3.1.15

02.02-Segregao entre Ambientes..................................................2

3.1.16

02.03-Gesto de projetos..................................................................2

3.1.17

03.01-Backup....................................................................................2

3.1.18

03.02-Instalaes do CPD.................................................................2

3.1.19

03.03-Monitoramento do Ambiente de TI.........................................2

3.1.20

03.04-Plano de Contingncia e Continuidade do Negcio................2

3.1.21

03.05-Requisies e Incidentes.........................................................2

3.1.22

03.06-Gesto de Catalogo de Servios de TI....................................2

3.1.23
4

03.07-Base de conhecimentos..........................................................2

Glosrio...........................................................................................................2

1 Introduo sobre a auditoria de TI

A auditoria de TI poder ser definida como parte integrante dos
trabalhos de uma auditoria de demonstraes financeiras. Definindo
quais so seus objetivos e explicando sua diviso genrica e fazendo
uma relao dessa atividade com o processo de gesto da empresa.

1.1 Definio e Objetivos da Auditoria

A auditoria um termo muito amplo. Para o pesquisador Ron
Weber definida como um processo de recolhimento e avaliao de
evidncias para determinar o quanto uma estrutura de TI controla
seus sistemas e salvaguarda os bens, mantendo a integridade de
seus dados, permitindo atingir os objetivos da organizao de forma
eficaz e utilizando os recursos de forma eficiente.
possvel perceber, que no h definio dos objetivos de uma
auditoria da mesma forma, tambm no h regras gerais de como
conduzir um trabalho desse tipo. Esses dois aspectos (objetivos e
metodologia) depender de onde partiu a necessidade de se instaurar
o processo de auditoria.
Ela pode ser solicitada como uma tentativa de descobrir e verificar
pontos de melhoria nos controles de TI. Projeto este, que ser
realizado por uma rea de auditoria externa da empresa.
Por fim, a prpria rea de TI pode realizar este tipo de trabalho
com um enfoque maior na segurana dos dados e na eficincia dos
recursos.
A seo 315 do ISA no possui uma definio clara e objetiva do
que um trabalho de auditoria de sistemas dentro de um projeto de
auditoria contbil. Apenas definindo riscos de inconsistncias nas
demonstraes financeiras que devem ser observados pela empresa
e um exame para a equipe de auditoria obter o chamado conforto nos
controles de TI.

1.2 Dimenses da Auditoria de TI

A seo 315 do ISA divide os riscos de TI para a equipe de

auditoria em quatro dimenses: Acesso a programas e dados,
Mudanas
de
programas,
Operaes
computadorizadas
e
Desenvolvimento de programas.
Para a dimenso de Acesso a programas e dados o ISA definido 3
riscos:

O acesso no autorizado a dados pode resultar em sua

destruio ou alterao indevida, incluindo o registro de
transaes no autorizadas. Quando vrios usurios
acessam um banco de dados comum, riscos especficos
podem surgir;

A possibilidade do pessoal de TI ganhar privilgios de acesso

alm do necessrio para executar suas funes, apresenta
risco para a auditoria e descaracteriza a segregao de
funes;

Intervenes manuais inadequadas nos processos de TI

geram riscos para a auditoria.

Para a dimenso de Mudanas de programas o ISA define 3 riscos:

Mudanas sem autorizao nos arquivos mestre;

Mudanas sem autorizao nos sistemas ou programas;

Falha em fazer mudanas necessrias nos sistemas ou

programas.

Para a dimenso de Operaes computadorizadas o ISA define

apenas um risco:

Potencial perda dos dados ou impossibilidade de acess-los.

Para a dimenso de Desenvolvimento de programas o ISA define 2

riscos:

Mudanas sem autorizao em sistemas ou programas;

Falha em fazer mudanas necessrias nos sistemas ou

programas.

Note que os riscos da dimenso de Desenvolvimento de programas

esto includos nos da dimenso de Mudanas de programas. Dessa
forma, mesmo para empresas que no possuam rea de
desenvolvimento interno, a equipe de auditoria pode confiar,
dependendo do caso, nos controles apresentados pela equipe de TI.

As reas de tecnologia da informao das empresas costumam j

apresentar controles que mitigam alguns dos riscos apresentados.
Dessa forma, o objetivo da auditoria de verificar se esses controles
funcionam de forma adequada e se esto em bom nmero. Os
controles de TI mais comuns esto apresentados na Figura 1:

Figura 1 - Controles de TI
Material extrado de SAT_ITGC_vFinal2.pptx, de posse da PriceWaterhouseCoopers Auditores
Independentes

1.3 Segurana da Informao e Auditoria Aliada Gesto

de TI
A informao, na viso de Rezende e Abreu (2000), so os dados
com uma interpretao lgica ou natural agregada pelo usurio. A
informao um ativo que, como qualquer outro ativo importante
6

para os negcios, tem um valor para a organizao e,

consequentemente, necessitando ser adequadamente protegida (NBR
ISSO/IEC 17799, 2003). A informao o principal patrimnio da
empresa e est sob constante risco.
Constata-se a alta relevncia da informao e sabe-se da sua
indispensabilidade no processo de gesto de uma empresa, para
suportar as decises. Os gerentes de TI modernos, ou CIOs (Chief
Information Officer) ou CISOs (Chief Information Security Officer)
devem estar constantemente preocupados com os controles de TI.
Para ajudar os gestores a monitorar os controles de TI e para
propor melhorias nesses controles existe a auditoria de TI. Para nosso
caso especfico este trabalho poder ser parte integrante da auditoria
contbil, essa atividade tambm auxilia os gestores de TI. Isso porque
na carta de controles internos que enviada no relatrio de auditoria,
estaro todos os pontos identificados pelo auditor para serem
reportados administrao.
A auditoria auxiliar e muito os gestores de TI, de forma a
aprimorar os controles da rea. Em contrapartida, para que isso
acontea, um trabalho dessa magnitude deve possuir o apoio da alta
administrao e dos prprios gestores de TI.

1.4 Consideraes Sobre a Auditoria de Sistemas de Informao

Uma auditoria de sistemas e processos de TI como parte
integrante de um trabalho e auditoria contbil, permite o
fornecimento de um exame para a empresa em exame, com um
panorama dos controles de TI da empresa. Como qualquer empresa
bem estruturada deseja sempre estar no nvel mais alto de padres
de governana, isso um valor agregado que no pode ser
dispensado.
Caso necessrio ao final o trabalho de auditoria recomendar para
a empresa em exame, os pontos de melhorias identificados segundo
as melhores prticas do mercado.
Esse um privilgio que os gestores de TI possuiro, sempre que
recebem visitas de auditores de sistemas.
Portanto, possvel perceber que a insero do trabalho da
auditoria com base nas melhores prticas um fator determinante
7

para, alm do respaldo das recomendaes reportadas, auxiliar na

maturidade e crescimento organizacional estruturado da empresa.

2 Auditoria de Sistemas de Informao e sua

Insero nas Melhores Prticas
Este Captulo que se segue, ir mostrar a relao entre o
framework CobiT e as recomendaes de possveis testes que
sero realizados pela auditoria.
Para isso, esse o Captulo inicia-se com a introduo de
conceitos bsicos, estruturas, concluses gerais e aplicabilidade
desse framework de alta relevncia no mercado atual de TI de
forma bsica. Aps essa etapa inicial, ser realizada a relao do
contedo do CobiT com as recomendaes da auditoria.

2.1 Conceitos Bsicos do CobiT

O CobiT (Control Objectives for Information and related
Technology) um modelo para governana e gesto de TI
desenvolvido pela ISACA (Information Systems Audit and Control
Association).
A ISACA, organizao que teve sua fundao em 1996, uma
organizao lder de profissionais de controle em TI. Ela uma
entidade privada e voluntria que possui mais de 86.000 membros ao
redor do mundo e reconhecida como entidade lder global em
governana de TI. A ISACA possui mais de 185 captulos (sedes) em
aproximadamente 75 pases. O foco da associao na rea de
auditoria de sistemas, controles de TI e questes de segurana da
informao.
Com a criao do CobiT (seu principal produto), a ISACA definiu
seus objetivos. Em sua criao, ficou acertado que o objetivo do CobiT
seria fornecer ao gerenciamento dos processos de negcio, um
modelo de governana em TI, desenhado para ajudar no
entendimento e gerenciamento dos riscos associados. Tambm se
tornou objetivo do CobiT o fato dele ser orientado ao negcio, ou seja,
8

o fato dele direcionar a governana de TI e seus recursos para as

estratgias de negcio.
Atualmente, o CobiT est em sua 5 edio (lanada no incio de
2012) e dividido em agrupamento de afinidades dos principais
processos e atividades de TI. Ele prov boas prticas atravs de sua
estrutura que distribui controles atravs de uma estrutura lgica e
gerencivel.

2.2 Estrutura do CobiT

O CobiT, em sua recente verso 5, possui, ao todo, 37 processos
descritos de acordo com as melhores prticas do mercado de TI. O
framework, nessa recente verso, comea a separar os seus
processos entre atividades de governana de TI e atividades de
administrao de TI. Dentro dessas duas perspectivas, o CobiT possui
os seguintes domnios:

Esses domnios interagem entre si de acordo com a relao da

figura 2.

Figura 2 - Relao entre os Domnos do CobiT

A listagem completa dos 37 processos do CobiT, bem como uma

melhor visualizao de sua organizao entre os domnios do
framework, pode ser visualizada na figura 3:

Figura 3 - Organizao dos Processos do CobiT

10

2.3 Concluses Gerais Sobre o CobiT e sua Aplicabilidade

O CobiT um framework aplicado para diversos tipos de
stakeholders. Tanto para o comit executivo de uma empresa, para os
gestores de negcio, para o gerente de TI, para o gerente de projetos,
para os desenvolvedores, para a rea de operaes, para os usurios
da rea de TI, para o Chief Information Security Officer e para
auditores de sistemas.
De todos esses possveis envolvidos com a aplicabilidade do CobiT,
seu principal pblico-alvo so os gerentes de TI, os usurios da rea
de TI e os auditores de sistemas.
Os gerentes de TI precisam do framework para avaliar as decises
de investimento em TI, para balancear riscos e controles de
investimentos em TI que geralmente so imprevisveis e para fazer
comparaes com ambientes de TI atuais e futuros.
Os usurios dos sistemas providos pela rea de TI de uma empresa
precisam do CobiT para obter garantia na segurana e controle de
produtos e servios fornecidos internamente e por terceiros.
Por fim, os auditores de sistemas devem possuir um
embasamento sobre esse modelo de melhores prticas
substanciar as opinies para a gerncia de controles internos e
conseguir entender quais so os controles mnimos necessrios
cada negcio.

alto
para
para
para

2.4 CobiT e Auditoria de Demonstraes Financeiras

Conforme j abordado o ISA define alguns riscos de distores nas
demonstraes financeiras de uma empresa que devem ser cobertos
por controles de TI. Existem 28 controles (divididos em 4 domnios) de
TI ditos como mais comuns nos ambientes de informtica das
empresas brasileiras que procuram mitigar o efeito desses riscos.
O trabalho da auditoria, ser de avaliar a eficcia dos controles de
TI e em seu trabalho, agregando o embasamento nas melhores
prticas,

11

A Tabela 1 exibe uma relao entre a auditoria, o framework de

melhores prticas do mercado trabalhado nesse documento. Essa
tabela relaciona os processos do CobiT de maior relevncia para
auditoria de sistemas com os domnios do ISA.

Processo
Cobit
Domnio ISA

Acesso a
programas e
Dados

Mudana
de
Programa
s

APO12-Adm. Riscos
X
BAI01-Adm. Projetos
BAI06-Adm. Mudanas
BAI10-Adm.
Configuraes
DSS01-Adm.
Operaes
DSS02-Adm
Solicitaes e
Incidentes de Servios
DSS04-Adm.
Continuidade
Tabela 1 - Relao dos Processos CobiT

Operaes
Computadoriza
das

Desenvolvimento
de Programas

X
X

X
X
X
X

com Domnios ISA

ressaltada a alta relevncia do processo APO12, pois ele

aborda os mesmos princpios do domnio de Acesso a Programas e
Dados. Esse processo fala sobre a garantia que apenas acessos
autorizados sejam concedidos para os recursos de informao. Assim,
podendo garantir a integridade dos dados.
Da mesma forma, ressaltamos a alta relevncia dos processos
BAI01 e BAI06, pois eles abordam os mesmos princpios do domnio
de Desenvolvimento e Mudanas de Programas. Esses
processos, com auxlio de outros, atestam que novos e as alteraes
em programas existentes e componentes de infraestrutura
relacionados sejam, planejados, solicitadas, autorizadas, executadas,
testadas e adequadamente implementadas.
Tambm na tabela, verifica-se que o processo BAI10 abrange
tanto o domnio de Mudanas de Programas quanto o de
12

Desenvolvimento de Programas. Isso acontece, porque uma boa

Gerncia de Configurao imprescindvel para um ambiente de
Controles de TI estruturado e, dessa forma, deve ser alvo frequente
de auditorias.
Verifica-se tambm da tabela, que o domnio de Operaes
Computadorizadas possui trs processos que caracterizam muito
bem sua essncia: garantir o adequado funcionamento servio e
componentes de tecnologia da empresa. Atualmente, nesse domnio,
as grandes empresas tm se preocupado bastante com a qualidade
dos servios, planos de contingncia e de recuperao de desastres.

2.5 Consideraes Sobre a Insero da Auditoria nas Melhores

Prticas de TI
fcil notar a grande dimenso de aplicaes que o modelo de
governana/gesto de TI que proposta pelo CobiT abrange. Este
especificamente dentre vrios outros conjuntos de melhores prticas
citados, tem enorme importncia para uma auditoria em TI.
No entanto a auditoria, em suas recomendaes, pode se basea
em outros modelos, no especificamente pr-formatados. O bom
senso e/ou a experincia acumulada, ser utilizada para compor o
trabalho.

3 Requisitos da auditoria para anlise da TI

da empresa
Este Captulo demonstrar uma formalizao da auditoria com
suporte para um projeto de auditoria contbil ou de sucesso. A
auditoria est, com visto nos captulos anteriores, fundamentada nas
melhores prticas abordadas no mercado.
Sero expostos testes para 23 controles previamente identificados
como necessrios para concluso do trabalho. O Capitulo 2 explicar
os mtodos utilizados em cada teste, j o Capitulo 4 que ainda no
faz parte deste documento, ir expor os resultados obtidos em cada
um dos 23 testes aplicados na empresa.
13

As formalizaes que se seguem, contemplaro nomes de pessoas,

ferramentas especficas, datas, documentos (evidncias) externos,
com o intuito de formalizar e tornar claro o entendimento da situao
atual.

3.1 Definio dos Testes Aplicados na Empresa.

Como visto anteriormente, o ISA 315 define apenas riscos para a
rea de TI e no controles, a auditoria tem a liberdade de auditar essa
rea conforme experincia e entendimento da necessidade, desde
que os testes avaliem a cobertura dos riscos mencionados no ISA.
Assim, foram previamente selecionados para esse trabalho, com
uma viso macro do ambiente computacional, os controles expostos
na Tabela 2. Esses controles foram escolhidos devido a sua relevncia
dentro do ambiente computacional da empresa em e devido a sua
cobertura aos riscos descritos no ISA 315.
Na Tabela 2, os controles selecionados, esto divididos em 3
domnios ISA: Acesso a Programas e Dados, Mudanas de
Programas e Operaes Computadorizadas. No foram definidos
controles a serem testados para o domnio de Desenvolvimento de
Programas, pois foi identificado que na empresa, no h
desenvolvimento interno de sistemas aplicativos.

01 -Acesso a Programas e Dados

02-Mudanas de Programas

01.01-Transaes crticas dos sistemas

02.01-Gerenciamento de
mudanas
02.02-Segregao entre
Ambientes
02.03-Gesto de Projetos

01.02-Parametrizaes de Senhas dos

Aplicativos
01.03-Reviso dos Perfis de Acesso dos
Usurios
01.04-Revogao de Acessos a
Aplicao
01.05-Poltica de acesso aos bancos de
dados
01.06-Antivrus
01.07-Conexo remota
01.08-Firewall
01.09-Inventrio de Hardware e
Software
01.10-Parametrizao de senhas da
rede
01.11-Utilizao da rede Wireless
01.12-Revogao de acessos a rede
01.13-Termo de utilizao ativos de
TI, rede e internet

03 -Operaes
computadorizadas
03.01-Backup
03.02-Instalao do CPD
03.03-Monitoramento do Ambiente
de TI
03.04-Plano e contingncia e
continuidade do negcio
03.05-Requisies e Incidentes
03.06-Gesto de Catalogo de
Servios de TI
03.07-Gesto do conhecimento

14

Tabela 2 - Diviso dos Controles a serem Testados entre os Domnios do ISA

O intuito do trabalho verificar a eficcia de cada um desses 23

controles de TI. Para verificar esse desempenho, como no existem
prticas definidas no ISA 315, relacionaremos as estratgias definidas
nas prximas 23 Sees.
3.1.1 01.01-Transaes Crticas dos Sistemas
Esse controle, pertencente ao domnio de Acesso a Programas e
Dados, busca detectar a realizao de transaes crticas de um
sistema aplicativo por pessoas no autorizadas. Dessa forma, esperase que em um ambiente tecnolgico complexo, pessoas sejam
responsveis por, periodicamente, verificar se uma srie de
transaes consideradas crticas pela gerncia da empresa s
estejam sendo desempenhadas pelas pessoas a elas determinadas.
Por exemplo, para uma transao de aprovao e baixa manual
de ttulos a pagar, deve-se verificar, periodicamente, se essa
transao s est sendo processada por gestores da rea financeira
da empresa.
Para testar a eficcia desse controle na empresa, necessrio
entrevistar as pessoas responsveis pelo sistema aplicativo sobre a
realizao dessa atividade. Nessa entrevista, primeiramente ser
necessrio verificar se o sistema permite esse monitoramento atravs
do que chamamos de log (textos que registram o processamento do
sistema). Depois, questionando os responsveis se esses logs so
utilizados para o monitoramento e qual a poltica de armazenamento
do log (com evidncia de sua realizao).

3.1.2 01.02-Parametrizao de Senhas dos Aplicativos

Esse controle, pertencente ao domnio de Acesso a Programas e
Dados, busca dificultar, ao mximo, a possibilidade que sistemas
sejam acessados por pessoas no autorizadas. Como muitos usurios
costumam escolher senhas muito simples, h, nos sistemas
15

modernos, como restringir a complexidade de suas senhas atravs de

alguns parmetros.
Por exemplo, limitar o tamanho mnimo da senha, fazer com que
os usurios sempre estejam mudando suas senhas para novos
conjuntos de caracteres, bloquear usurios com tentativas repetidas
de acesso sem sucesso e definir a complexidade das senhas (uso de
maisculas, nmeros e caracteres especiais) so alguns parmetros
de senha que podem ser configurados nos sistemas de informao.
Para testarmos a eficcia de um controle desse tipo, verificar-se se
a poltica de segurana da informao possuir evidencias de sua
definio e parametrizao, e analise da tela de opes do sistema
em questo e relacionarmos a poltica de senhas da empresa.

3.1.3 01.03-Reviso dos Perfis de Acesso dos Usurios

Esse controle, pertencente ao domnio de Acesso a Programas e
Dados, busca garantir que os acessos dos usurios no sistema de
informao utilizado sejam revisados. bastante claro que usurios
de um sistema de informao complexo e integrador de diferentes
reas no devem ter acesso a todas as transaes possveis do
sistema.
Por exemplo, no faz sentido que a prpria pessoa que realizou
uma transao de solicitao de reembolso no sistema a aprove.
Devido a concesso de acessos a transaes nas empresas ser
bastante dinmica e mutvel, recomenda-se como uma boa prtica
de mercado estar sempre revisando os acessos dos usurios.
Para testarmos a eficcia desse controle basta, em conversa com
a rea de TI da empresa, ser analisado se existe algum processo
peridico desse tipo, obtendo evidncias da realizao.
Tambm a documentao dos perfis de acesso como entrega das
evidncias de sua parametrizao.

16

3.1.4 01.04-Revogao de Acessos Aplicao

Esse controle, pertencente ao domnio de Acesso a Programas e
Dados, verificando se no existem no sistema de informao usurios
genricos (usurios utilizados por mais de uma pessoa), usurios
desconhecidos da empresa, usurios duplicados e usurios que j foram
desligados da empresa.
As melhores prticas do mercado dizem que a existncia desses usurios
acarreta riscos de processamentos cujos autores no podem ser
identificados pela empresa.
Para o teste da eficcia desse controle, iremos obter uma listagem de
funcionrios ativos e desligados da empresa e realizao de uma anlise
dos usurios dos sistemas de informao em planilha eletrnica.

3.1.5 01.05-Poltica de acesso aos bancos de dados

Esse controle, pertencente ao domnio de Acesso a Programas e
Dados, funciona de maneira bastante semelhante e possui os
mesmos princpios do controle descrito na Seo 01.01. A nica
diferena entre os dois que o primeiro funciona no nvel da
aplicao e esse funciona no nvel da base de dados, se
considerarmos uma arquitetura de sistemas de informao
tradicional.

Como nos sistemas de informao, muitos usurios possuem

acesso para editar informaes diretamente na base de dados, temos
que nos precaver que isso no acontece por pessoas no autorizadas.
Por causa disso deve existir uma poltica de acesso formal e um forte
monitoramento dessa atividade.

Como no primeiro controle, para teste da eficcia desse

controle na empresa, so entrevistadas as pessoas responsveis pelo
banco de dados, sobre a realizao dessa atividade. Nessa indagao,
primeiramente e verificar se o SGBD (Sistema de Gerenciamento de
Banco de Dados) permite esse monitoramento atravs do que
chamamos de log (textos que registram o processamento do
sistema). Depois, temos que questionar os responsveis se esses logs
17

so utilizados para o monitoramento e qual

armazenamento (com evidncia de sua realizao).

poltica

de

3.1.6 01.06-Antivrus
Esse controle, pertencente ao domnio de Acesso a Programas e
Dados, tem como objetivo a proteo do ambiente computacional da
empresa. Essa proteo tem tanto como finalidade a continuidade do
negcio da empresa quanto proteo de seus dados crticos.
Dependendo do tipo de negcio desempenhado pela empresa,
esse controle deve ser mais ou menos rigoroso. Por exemplo,
empresas que guardam dados de clientes devem preservar ao
mximo o sigilo de suas informaes.
Para o teste da eficcia desse controle, antes de tudo necessrio
verificar se a empresa utiliza alguma ferramenta com amplo respaldo
do mercado. Em segundo lugar, identifica-se se os funcionrios
utilizam a ferramenta de forma adequada com todas suas
possibilidades, se o pessoal de TI efetua o monitoramento adequado
da ferramenta e se a mesma est em constante atualizao na
empresa.
Tambm analisado se os controles e perfis do antivrus, so
formalmente documentados e esto atualizados

3.1.7 01.07-Conexo Remota

Esse controle, pertencente ao domnio de Acesso a Programas e
Dados, busca controlar os acessos rede da empresa por seus
funcionrios e parceiros de negcio, quando eles esto fora de seus
domnios fsicos. Dessa maneira, uma empresa com alta maturidade
em controles no deve liberar esse tipo de acesso a qualquer
funcionrio. A empresa deve institucionalizar uma gesto de
concesso de acessos eficiente para casos como esse.
Para o teste da eficcia desse controle, necessrio entender,
junto aos funcionrios da rea de TI, como os colaboradores realizam

18

acesso remoto aos sistemas. Alm disso, precisamos entender como

ocorre a concesso de novos acessos a essa funcionalidade.
Tambm analisado se as concesses
formalmente documentados e esto atualizados

de

acesso,

so

3.1.8 01.08-Firewall
Esse controle, tambm pertencente ao domnio de Acesso a
Programas e Dados, possui objetivos semelhantes ao do controle da
Seo 01.05. Esse controle busca a proteo do ambiente
computacional da empresa atravs de ferramentas que controlam o
trfego de dados entre o ambiente interno e externo.
Para o teste da eficcia desse controle, necessrio verificar se a
empresa utiliza uma ferramenta de Firewall de respaldo do mercado.
Alm disso, verifica-se tambm se essa ferramenta utilizada de
maneira eficaz com, dentre outras finalidades, o bloqueio de sites
considerados perigosos para a empresa. Como muitas ferramentas de
Firewall j vm acopladas com ferramentas de IDS (Intrusion
Detection System), nesse teste, verifica-se tambm se a empresa
utiliza uma ferramenta desse tipo para prevenir a intruso da rede
interna.
Tambm analisado se os controles de acesso que passam pelo
Firewall, so formalmente documentados e esto atualizados

3.1.9 01.09-Inventrio de Hardware e Software

Esse controle, pertencente ao domnio de Acesso a Programas e
Dados, tem dois objetivos principais.
O primeiro que a empresa controle, de forma estruturada
(atravs de alguma ferramenta do mercado), a quantidade de
equipamentos de hardware e licenas de software que possui.
Seu segundo objetivo que a empresa coba a instalao de
softwares no autorizados por sua administrao. Prevenindo,
portanto, a instalao de softwares perigosos ao ambiente
computacional.

19

Para analisar a eficcia desse controle, primeiramente procurado

entender se a empresa possui alguma ferramenta, mesmo que
simplria, que controle seus ativos de TI. Em seguida tenta-se realizar
a instalao de um programa qualquer em uma mquina aleatria da
empresa. Com essa tentativa identificado se a empresa est
bloqueando a instalao de softwares no autorizados.
analisado se h documentao destes inventrios seja
impresso ou em mdia e tambm se h mecanismos de atualizao
automatizados ou manuais.
3.1.10

01.10-Parametrizao de Senhas da Rede

Esse controle, pertencente ao domnio de Acesso a Programas e

Dados, possui os mesmos princpios do controle da Seo 01.02. A
diferena entre esses dois controles que o primeiro funciona no
nvel da aplicao e esse funciona no nvel da rede da empresa.
Da mesma forma que para o controle da Seo 01.02, testa-se a
eficcia desse controle, verificar quais parmetros de complexidade
de senha esto configurados para acesso rede da empresa. Para a
grande maioria das empresas, que utilizam sistemas operacionais
Windows, a gesto da rede da empresa se d atravs da ferramenta
Active Directory.

3.1.11

01.11-Utilizao da Rede Wireless

Esse controle, pertencente ao domnio de Acesso a Programas e

Dados, tem como finalidade garantir que o acesso rede sem fio da
empresa seja adequado. Seu principal ponto de ateno a garantia
de que o acesso rede sem fio para visitantes seja diferenciado do
acesso rede sem fio para funcionrios. Isso garante que arquivos
confidenciais no sejam acessados por pessoas no autorizadas, por
exemplo.
Para anlise da eficcia desse controle, deve-se entender como
est montada a topografia da rede sem fio da empresa. Isso visa a
garantir essa segregao entre rede de visitantes e rede de
funcionrios.
20

3.1.12

01.12-Revogao de Acessos Rede

Esse controle, pertencente ao domnio de Acesso a Programas e

Dados, busca princpios parecidos ao do controle da Seo 01.04. A
diferena entre esses dois controles que o primeiro funciona no
nvel da aplicao e esse a nvel da rede da empresa.
Da mesma forma que para o primeiro controle, este analisa se no
existam na rede da empresa usurios genricos (usurios utilizados
por mais de uma pessoa), usurios desconhecidos da empresa,
usurios duplicados e usurios que j foram desligados da empresa.
Para analise da eficcia desse controle, podemos obtm-se uma
listagem de funcionrios ativos e desligados da empresa em exame e
realizarmos uma anlise dos usurios da rede em planilha eletrnica.

3.1.13

01.13-Termo de utilizao ativos de TI, rede e internet

Esse controle, ltimo pertencente ao domnio de Acesso a

Programas e Dados, busca que os funcionrios da empresa estejam
cientes de suas responsabilidades no uso dos ativos de TI, rede e
internet. Para isso, muitas empresas se utilizam de termos que devem
ser assinados por seus funcionrios.
Para analisar a eficcia desse controle, obtm-se uma lista dos
novos funcionrios da empresa e feita uma seleo aleatoriamente
alguns deles. Aps essa etapa solicitado rea que fica de posse
desses documentos os mesmos para verificarmos se eles esto
devidamente assinados.

3.1.14

02.01-Gerenciamento de Mudanas

Esse controle, pertencente ao domnio de Mudanas de

Programas, tem como objetivo que a empresa possua um adequado
21

procedimento formalizado para o gerenciamento das mudanas

realizadas em seus sistemas. Alm disso, a empresa deve possuir em
seu procedimento fases como testes e requisio de usurio. Por fim,
no se pode falar em gerenciamento de mudanas sem um controle
de verso adequada.
Para analisarmos a eficcia desse controle, primeiramente
verificado se a empresa possui um procedimento desse tipo e se ele
est formalizado. Aps essa etapa, se a empresa possuir um
procedimento de controle de verso adequado solicitado evidncias
da realizao das fases descritas para algumas mudanas realizadas.

3.1.15

02.02-Segregao entre Ambientes

Esse controle, pertencente ao domnio de Mudanas de

Programas, tem como objetivo a separao entre os ambientes onde
as diferentes verses do sistema esto instaladas. importante que a
empresa possua ambientes de teste e de produo. Alm disso, as
boas prticas dizem que a responsabilidade quanto a migrao dos
ambientes da equipe de TI.
Para analise da eficcia desse controle, procurar-se entender
como est disposio das diferentes verses do sistema nos
servidores. Alm disso, entende-se tambm como ocorre a migrao
das mudanas desenvolvidas para o ambiente de produo. Nessa
ltima etapa, deve-se atentar se o procedimento utilizado para esta
finalidade permite a reverso do processo.
3.1.16

02.03-Gesto de projetos

Esse controle, pertencente ao domnio de Mudanas de

Programas, tem como objetivo analisar se h controle de projetos
para novas implementaes na infraestrutura e sistemas da empresa.
Para anlise da eficcia desse controle, procurar-se entender se as
implementaes na TI passaram por controle de projetos, com termo
de abertura aprovado pela alta administrao, plano de projeto,
evidencias de controle de projetos e encerramento.
Diferentemente da Seo 02.01 que trata de mudanas em
sistemas j existentes, est seo aborda novas implementaes em
22

sistemas novos ou
infraestrutura da TI

3.1.17

existentes

alteraes

significante

na

03.01-Backup

Esse
controle,
pertencente ao domnio
de Operaes
Computadorizadas, tem como objetivo garantir que a empresa
salvaguarda de seus dados no caso de problemas que visem
continuidade de seus negcios. Para isso, quase todas as empresas
possuem algum procedimento de armazenamento externo de seus
dados, o que se chama popularmente de backup.
As empresas geralmente utilizam alguma ferramenta para realizar
esse procedimento de forma automtica, armazenam suas fitas de
backup em lugares seguros, realizam testes de restore (reinserir os
dados armazenados no sistema) entre outros procedimentos. Em
empresas mais estruturadas, todos os procedimentos relativos a esse
controle constam em polticas amplamente disseminadas entre os
funcionrios da rea de TI.
Para evidenciar a realizao desse controle em todos os seus
aspectos, deve-se realizar profundo entendimento da rea junto aos
funcionrios de TI.

3.1.18

03.02-Instalaes do CPD

Esse
controle,
pertencente ao domnio
de Operaes
Computadorizadas, procura fazer com que o ambiente fsico onde
esto instalados os servidores da empresa seja o melhor possvel.
Esse ambiente, segundo as melhores prticas, deve possuir controles
de temperatura, umidade, combate a incndios, nobreaks entre
outros artifcios para proteger ao mximo os dados da empresa.
Para analise da eficcia desse controle, uma visita sala onde
esto localizados os servidores da empresa resolve questo. Contudo,
nessa visita, atenta-se a todos os aspectos da sala bem como a
documentao do mapeamento da mesma.
23

3.1.19

03.03-Monitoramento do Ambiente de TI

Esse
controle,
pertencente ao domnio
de Operaes
Computadorizadas, tem como objetivo o constante monitoramento da
ocorrncia de possveis problemas na estrutura do ambiente de TI da
empresa (baixa capacidade de processamento, falta de espao em
disco, entre outros problemas). Para esse constante monitoramento,
as melhores prticas recomendam o uso de softwares.
Para anlise do adequado monitoramento do ambiente de TI,
verificasse se a empresa utiliza alguma ferramenta do mercado para
esse fim e como ela utilizada.

3.1.20

03.04-Plano de Contingncia e Continuidade do Negcio

Esse
controle,
pertencente ao domnio
de Operaes
Computadorizadas, certifica que a empresa esteja prevenida para
quaisquer eventuais catstrofes no esperadas como incndios,
alagamentos e outros desastres naturais. Para isso, com o intuito de
garantir sua continuidade do negcio, muitas empresas desenvolvem
planos de ao para casos como esses.
Para analise da utilizao desse controle, certifica se a empresa
possui algum plano desse tipo formalizado. Alm disso, um plano
desse tipo deve ser amplamente divulgado entre os funcionrios da
rea de TI e deve haver treinamentos e teste para casos como os
descritos.
3.1.21

03.05-Requisies e Incidentes

Esse
controle,
pertencente ao domnio
de Operaes
Computadorizadas, certifica se a empresa possui controle de
requisies e incidentes de TI.
Para anlise da utilizao desse controle, certifica se a empresa
possui registros de controle de requisies e servios registrados por
usurios e reas da empresa

24

3.1.22

03.06-Gesto de Catalogo de Servios de TI

Esse
controle,
pertencente ao domnio
de Operaes
Computadorizadas, certifica se a empresa possui a identificao e
controle de todos os servios que a TI presta empresa.
Para anlise da utilizao desse controle, certifica se a empresa
possui registros que possam evidenciar este controle com a
identificao dos mesmos, fornecedores, SLA acordado e etc.

3.1.23

03.07-Base de conhecimentos

Esse
controle,
pertencente ao domnio
de Operaes
Computadorizadas, certifica se a empresa possui controle para
armazenamento e divulgao dos processos de controle de manuais
operacionais dos sistemas.
Para anlise da utilizao desse controle, certifica se a empresa
possui registros que possam evidenciar esta prtica, e que tenham
poltica de atualizao dos mesmos.

4 Glosrio
Incidente:
Requisio

25