Documente Academic
Documente Profesional
Documente Cultură
da Informao
Prof. Christian Meinecke Gross
Prof. Jan Charles Gross
2013
Copyright UNIASSELV 2013
Elaborao:
Prof. Christian Meinecke Gross
Prof. Jan Charles Gross
658.4038
G878s Gross, Christian Meinecke
Segurana em tecnologia da informao / Christian
Meinecke Gross; Jan Charles Gross. Indaial : Uniasselvi,
2013.
244 p. : il
ISBN 978-85-7830-765-3
I. Tecnologia da informao.
II. Segurana.
1.Centro Universitrio Leonardo da Vinci.
2. Gross, Christian Meinecke.
Apresentao
Caro(a) acadmico(a)!
III
UNI
Voc j me conhece das outras disciplinas? No? calouro? Enfim, tanto para
voc que est chegando agora UNIASSELVI quanto para voc que j veterano, h novidades
em nosso material.
O contedo continua na ntegra, mas a estrutura interna foi aperfeioada com nova diagramao
no texto, aproveitando ao mximo o espao da pgina, o que tambm contribui para diminuir
a extrao de rvores para produo de folhas de papel, por exemplo.
Eu mesmo, UNI, ganhei um novo layout, voc me ver frequentemente e surgirei para
apresentar dicas de vdeos e outras fontes de conhecimento que complementam o assunto
em questo.
Todos esses ajustes foram pensados a partir de relatos que recebemos nas pesquisas
institucionais sobre os materiais impressos, para que voc, nossa maior prioridade, possa
continuar seus estudos com um material de qualidade.
Bons estudos!
UNI
IV
Sumrio
UNIDADE 1: SEGURANA EM INFORMTICA ........................................................................... 1
V
7.2 NCLEO OPERACIONAL ............................................................................................................ 48
7.3 CPULA ESTRATGICA E GERNCIA INTERMEDIRIA . ................................................. 49
7.4 FORNECEDORES, CONSULTORES E PRESTADORES DE SERVIO . ................................. 50
7.5 ACORDOS DE CONFIDENCIALIDADE .................................................................................... 50
7.6 TREINAMENTO DE FUNCIONRIOS E PRESTADORES DE SERVIO ............................. 51
7.7 ENGENHARIA SOCIAL ................................................................................................................ 51
7.8 SEGREGAO DE FUNES . .................................................................................................... 52
7.9 PROCESSO DISCIPLINAR ............................................................................................................ 52
RESUMO DO TPICO 1 ....................................................................................................................... 53
AUTOATIVIDADE ................................................................................................................................. 54
VI
TPICO 3: SEGURANA EM SISTEMAS DISTRIBUDOS ........................................................ 93
1 INTRODUO ..................................................................................................................................... 93
2 PROTEO DE OBJETOS EM UM SISTEMA DISTRIBUDO ................................................. 95
3 PROTEO DE PROCESSOS E SUAS INTERAES ................................................................ 96
4 O INVASOR ........................................................................................................................................... 97
4.1 AMEAAS AOS PROCESSOS . ..................................................................................................... 98
4.2 AMEAAS AOS CANAIS DE COMUNICAO . .................................................................... 98
5 ANULANDO AMEAAS SEGURANA .................................................................................... 99
5.1 CRIPTOGRAFIA E SEGREDOS COMPARTILHADOS . ........................................................... 99
5.2 AUTENTICAO ........................................................................................................................... 100
5.3 CANAIS SEGUROS ......................................................................................................................... 101
6 OUTRAS POSSVEIS AMEAAS .................................................................................................... 101
6.1 NEGAO DE SERVIO .............................................................................................................. 102
6.2 CDIGO MVEL ............................................................................................................................ 102
7 USO DOS MODELOS DE SEGURANA ....................................................................................... 102
LEITURA COMPLEMENTAR ............................................................................................................... 103
RESUMO DO TPICO 3 ....................................................................................................................... 106
AUTOATIVIDADE ................................................................................................................................. 107
VII
8 MAIORES OBSTCULOS PARA IMPLEMENTAO DA POLTICA .................................. 160
9 ESTRUTURA DE UMA POLTICA DE SEGURANA ................................................................ 162
LEITURA COMPLEMENTAR ............................................................................................................... 165
RESUMO DO TPICO 3 ....................................................................................................................... 168
AUTOATIVIDADE ................................................................................................................................. 169
VIII
3.2 CONTROLES DE DOCUMENTAO DE SISTEMAS ............................................................. 209
3.3 OBJETIVOS DA AUDITORIA . ...................................................................................................... 210
4 AUDITORIA DE CONTROLES DE HARDWARE ........................................................................ 210
4.1 COMPREENSO DO PROCESSO DE CONTROLE DE HARDWARES ................................ 211
4.2 OBJETIVOS DA AUDITORIA DE CONTROLES DE HARDWARES . .................................... 213
5 AUDITORIA DE CONTROLES DE ACESSO ................................................................................ 213
6 AUDITORIA DE OPERAO DO COMPUTADOR ................................................................... 215
6.1 OBJETIVOS DE AUDITORIA ........................................................................................................ 216
6.2 PROCEDIMENTOS DE CONTROLES INTERNOS ................................................................... 217
7 AUDITORIA DE CONTROLES DE SUPORTE TCNICO ......................................................... 217
7.1 COMPREENSO DO PROCESSO DE SUPORTE TCNICO .................................................. 218
7.2 OBJETIVOS DE AUDITORIA ........................................................................................................ 218
7.3 PROCEDIMENTOS DE CONTROLES INTERNOS ................................................................... 218
8 PROCEDIMENTOS DE AUDITORIA DE SISTEMAS APLICATIVOS ................................... 219
8.1 COMPREENSO DO FLUXO DE SISTEMAS APLICATIVOS ................................................ 220
8.2 OBJETIVOS DE AUDITORIA ........................................................................................................ 221
8.3 PROCEDIMENTOS DE CONTROLES INTERNOS ................................................................... 222
9 AUDITORIA DE PLANOS DE SEGURANA ............................................................................... 222
9.1 OBJETIVOS DE AUDITORIA ........................................................................................................ 223
10 AUDITORIA DE REDES ................................................................................................................... 223
10.1 OBJETIVOS DE AUDITORIA ...................................................................................................... 224
11 RELATRIOS DE AUDITORIA ...................................................................................................... 225
RESUMO DO TPICO 2 ....................................................................................................................... 227
AUTOATIVIDADE ................................................................................................................................. 228
IX
X
UNIDADE 1
SEGURANA EM INFORMTICA
OBJETIVOS DE APRENDIZAGEM
A partir do estudo desta unidade, ser possvel:
PLANO DE ESTUDOS
Esta unidade est dividida em trs tpicos, sendo que ao final de cada
um deles, voc encontrar atividades que auxiliaro na apropriao dos
conhecimentos.
Assista ao vdeo
desta unidade.
1
2
UNIDADE 1
TPICO 1
1 INTRODUO
Antes de iniciarmos nossos estudos em torno do assunto, necessrio
entendermos o que significa segurana no ambiente computacional e conhecer
algumas das consequncias da utilizao dos mesmos.
2 SEGURANA E INFORMAES
Ao longo da histria, o ser humano sempre buscou o controle sobre as
informaes que lhe eram importantes de alguma forma; isso verdadeiro mesmo
na mais remota Antiguidade.
o acesso a elas restritas a uma minoria sempre ligada ao grupo que dominava o
poder econmico e poltico da sociedade.
UNI
E
IMPORTANT
4
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL
E
IMPORTANT
Fontes (2006, p. 12) cita que proteger a informao significa garantir, alm
das propriedades de confidencialidade, integridade e disponibilidade:
6
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL
para o negcio devem ser protegidas contra as ameaas que podem levar
sua destruio, indisponibilidade temporria, adulterao ou divulgao no
autorizada.
Conforme Fontes (2006, p. 2), voc pode no ter se dado conta, mas a
informao um recurso que move o mundo, alm de nos dar conhecimento de
como o universo est caminhando. Prestando ateno, podemos identificar que
somos o que somos porque transformamos informao em vida.
7
UNIDADE 1 | SEGURANA EM INFORMTICA
NOTA
2.1.2 Obteno
Definidas as necessidades de informao, conforme Beal (2008, p. 5), a prxima
etapa a de obteno das informaes que podem suprir essas necessidades. Nesta
etapa, so desenvolvidas as atividades de criao, recepo ou captura de informao,
proveniente de fonte externa ou interna, em qualquer mdia ou formato. Na maioria
dos casos, o processo de obteno da informao no pontual, precisando repetir-
se ininterruptamente para alimentar os processos organizacionais (por exemplo,
informaes sobre o grau de satisfao de clientes com os produtos ofertados
normalmente sero coletados repetidamente, por meio de pesquisas peridicas).
8
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL
2.1.3 Tratamento
Antes de estar em condies de ser aproveitada, de acordo com Beal (2008,
p. 5-6), comum que a informao precise passar por processos de organizao,
formatao, estruturao, classificao, anlise, sntese, apresentao e reproduo,
para torn-la mais acessvel, organizada e fcil de localizar pelos usurios. Nesta
etapa, a preocupao com a integridade continua em evidncia, principalmente se
estiverem envolvidas tcnicas de adequao do estilo e adaptao de linguagem,
contextualizao e condensao da informao, entre outras. O uso dessas tcnicas
deve levar em conta a preservao das caractersticas de quantidade e qualidade
necessrias para que a informao efetivamente sirva ao fim a que se prope. No
caso das atividades de reproduo da informao para posterior distribuio, as
questes relacionadas preservao da confidencialidade podem adquirir grande
relevncia, uma vez que a existncia de diversas cpias de uma mesma informao,
qualquer que seja a mdia utilizada (computador, papel, disquete, fita de udio ou
vdeo etc.), amplia os problemas de restrio de acesso aos usurios devidamente
autorizados.
9
UNIDADE 1 | SEGURANA EM INFORMTICA
2.1.5 Uso
Beal (2008) cita que o uso a etapa mais importante de todo o processo
de gesto da informao, embora seja frequentemente ignorado nos processos de
gesto das organizaes. No a existncia da informao que garante os melhores
resultados numa organizao, mas sim o uso, dentro de suas finalidades bsicas:
conhecimento dos ambientes interno e externo da organizao e atuao nesses
ambientes. Nesta etapa, os objetivos de integridade e disponibilidade devem receber
ateno especial: uma informao deturpada, difcil de localizar ou indisponvel
pode prejudicar as decises e operaes da organizao. Como j mencionado,
a preocupao com o uso legtimo da informao pode levar a requisitos de
confidencialidade, destinados a restringir o acesso e o uso de dados e informaes s
pessoas devidamente autorizadas.
2.1.6 Armazenamento
Segundo Smola (2003, p. 10), o armazenamento o momento em que a
informao armazenada, seja em banco de dados compartilhado, em anotao
de papel posteriormente postada em um arquivo de ferro, ou, ainda, em mdia de
disquete depositada na gaveta da mesa de trabalho.
NOTA
Toda informao deve ser protegida contra desastres fsicos (fogo, calor, inundao
etc.) e lgicos (vrus, acesso indevido, erro de programas, alterao incorreta etc.). (SMOLA,
2003, p. 58).
10
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL
NOTA
2.1.7 Descarte
De acordo com Smola (2003, p. 10), o descarte o momento no qual
a informao descartada, seja ao depositar um material impresso na lixeira
da empresa, ao excluir um arquivo eletrnico de seu computador, ou ainda, ao
descartar uma mdia usada que apresentou erro na sua leitura.
11
UNIDADE 1 | SEGURANA EM INFORMTICA
NOTA
TI, ou Tecnologia da Informao, de acordo com Beal (2008, p. 8), uma soluo
ou um conjunto de solues sistematizadas baseadas em mtodos, recursos de informtica,
comunicao e multimdia, que tem por objetivo resolver os problemas relativos a gerar, tratar,
processar, armazenar, veicular e reproduzir dados, e ainda subsidiar os processos que convertam
estes dados em informaes.
De acordo com Baltzan e Phillips (2011, p. 9), a TI dedica-se ao uso da tecnologia na gesto
e processamento da informao, podendo a tecnologia da informao ser um facilitador
considervel do sucesso das organizaes e da inovao em seus negcios.
A tecnologia da informao, segundo Laudon e Laudon (2004, p. 13), uma das diversas
ferramentas que os gestores usam para enfrentar mudanas.
12
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL
NOTA
De acordo com Beal (2008, p. 9), o termo hacker serve para referenciar indivduos
que buscam obter acesso no autorizado a sistemas computacionais com o propsito de
acessar informaes, corromper dados ou utilizar os recursos disponveis para realizar
atividades ilegtimas numa rede.
Stair e Reynolds (2001, p. 543) comentam que um hacker, tambm chamado cracker, uma
pessoa habilidosa no uso do computador que tenta obter acesso no autorizado ou ilegal aos
sistemas computacionais para roubar senhas, corromper arquivos e programas ou mesmo
para transferir dinheiro. Em muitos casos, os hackers so pessoas que buscam agito o desafio
de vencer o sistema.
Segundo Laudon e Laudon (2004, p. 170), hackers exploram os pontos fracos da segurana
da Web para obter acesso a dados como informaes sobre clientes e senhas. Podem usar
cavalos de Troia (Trojan), softwares que se passam por legtimos, para obter informaes de
um computador hospedeiro.
13
UNIDADE 1 | SEGURANA EM INFORMTICA
14
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL
NOTA
J conforme Ferreira e Arajo (2008, p. 163), risco trata-se de um possvel evento/ao que,
se efetivado, gera um impacto negativo, em funo da explorao da fraqueza/vulnerabilidade,
considerando tanto a probabilidade quanto o impacto de ocorrncia.
Por fim, segundo Smola (2003, p. 50), risco a probabilidade de algumas ameaas explorarem
vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade,
causando, possivelmente, impactos nos negcios.
15
UNIDADE 1 | SEGURANA EM INFORMTICA
16
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL
17
UNIDADE 1 | SEGURANA EM INFORMTICA
18
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL
E
IMPORTANT
19
QUADRO 1 RELAO DE AMEAAS E IMPACTOS RELACIONADOS A INSTALAES E COMPONENTES DE TI
Impacto para
Tipo de recurso Impacto para o objetivo de Impacto para o objetivo de
Ameaa o objetivo de
vulnervel (alvo) confidencialidade confidencialidade
integridade
Controles fsicos de acesso
podem ser desconsiderados Todos os servios podem ser
Desastres naturais
Edifcios, torres de durante a recuperao do prejudicados e dados podem
como terremoto,
comunicao. desastre e equipamentos ser perdidos ou permanecerem
nevasca e furaco.
descartados podem conter temporariamente indisponveis.
informaes confidenciais.
UNIDADE 1 | SEGURANA EM INFORMTICA
20
Principalmente Computadores infectados
Dados podem ser
computadores podem parar de funcionar e
Vrus. corrompidos pelo
pessoais conectados dados importantes podem ser
vrus.
em rede. apagados.
O objetivo dos hackers pode ser a quebra do sigilo de informaes ou a
Todos os sistemas indisponibilidade dos servios (ataque do tipo DoS, Denial of Service), a alterao
Hacking.
em rede. ou destruio de dados ou a utilizao dos recursos informatizados da organizao
para realizar invases a terceiros.
Cdigo no autorizado Funes Programas podem ser
pode levar ao vazamento escondidas podem projetados para destruir dados
Cdigo escondido. Todo o software.
de informaes sigilosas manipular dados ou negar acesso autorizado a
tais como senhas de acesso. indevidamente. servios.
Hardware danificado
Dados podem ser
pode ser enviado para
Falha de hardware. Todo o hardware corrompidos quando Servio indisponvel.
manuteno contendo
o hardware falha.
informao sigilosa.
A falha dos controles
de acesso pode levar Dados podem ser
Falha de software Todo o software. Servio indisponvel.
divulgao indevida de corrompidos.
dados e informaes
Funcionrios podem destruir
Funcionrios podem
informaes acidentalmente,
divulgar acidentalmente Funcionrios podem
danificar hardware ou
Erro Humano. Todos os sistemas. informaes sigilosas, por inserir dados
interromper o funcionamento
exemplo, enviando dados incorretamente.
do sistema por erro de
para a impressora errada.
configurao.
21
FONTE: Adaptado de Beal (2008, p. 20-21)
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL
UNIDADE 1 | SEGURANA EM INFORMTICA
22
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL
I
///////// XXXXXX XXXXXX XXXXXX
Catstrofe
II
///////// XXXXXX XXXXXX
Alta
III
///////// /////////
Mdia
IV
Baixa
24
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL
25
UNIDADE 1 | SEGURANA EM INFORMTICA
26
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL
27
UNIDADE 1 | SEGURANA EM INFORMTICA
28
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL
O segundo ponto a ser considerado que, ainda que o principal fator deva
ser a anlise da relao custo/benefcio, a mesma envolve bom senso. Mesmo nos
casos em que no possvel uma anlise direta da relao custo/benefcio, h meios
indiretos de se obterem valores bem prximos dos reais. Um exemplo o caso
de sistemas de computao das companhias areas em que toda a operao da
companhia diretamente controlada atravs de sistemas on-line. difcil justificar
a aquisio de um sistema no-break somente em funo do tempo de processamento
perdido; entretanto, o retorno financeiro da aquisio e implantao de uma
instalao geradora de energia do tipo no-break mais facilmente justificado em
funo das receitas oriundas de vendas de passagens, controle da alocao de
carga em aeronaves, manuteno programada das aeronaves, controle de estoques
de peas, etc. A soma das receitas e dos gastos decorrentes da indisponibilidade
pode, facilmente, superar vrias vezes o custo de um sistema no-break, para cada
ocorrncia (CARUSO; STEFFEN, 1999).
29
UNIDADE 1 | SEGURANA EM INFORMTICA
Avaliao do risco
Prioridades da proteo
Medidas de proteo
FONTE: Adaptado de Caruso e Steffen (1999, p. 67)
30
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL
Riscos Consequncias
Peso Probabilidade Peso Grau
1 Extremamente improvvel 1 Insignificante
2 Improvvel 2 Mdio
3 Possvel 3 Grande
Pe em perigo a existncia
4 Bem possvel/j aconteceu 4
da empresa
FONTE: Adaptado de Caruso e Steffen (1999, p. 68)
Inerente aos sistemas de informaes, de acordo com Caruso e Steffen (1999, p. 70),
31
UNIDADE 1 | SEGURANA EM INFORMTICA
Alm disso, temos que ter sempre em conta que no existe informao sem
custo; mesmo em casos em que as informaes so obtidas sem nenhum custo, a
estrutura organizacional e de recursos necessria para a coleta tem um custo, que
rateado em cima de cada unidade de informao coletada.
32
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL
O primeiro item deve tratar das consequncias que uma ocorrncia danosa
provocaria para a organizao e o segundo deve listar os riscos a que cada ativo
est sujeito.
33
UNIDADE 1 | SEGURANA EM INFORMTICA
Para isto, de acordo com Caruso e Steffen (1999, p. 72), importante fazer
uma avaliao mais precisa possvel do nvel de exposio, caso o mesmo no
possa ser reduzido ou a prpria exposio eliminada, e estar preparado para suas
eventuais ocorrncias, de modo que sejam ao mximo evitadas; mas, no caso de as
mesmas virem a acontecer, importante ter medidas de segurana prontas para
serem ativadas.
5 CLASSIFICAO DE INFORMAES
Segundo Ferreira e Arajo (2008, p. 78), a classificao de informaes
o processo no qual se estabelece o grau de importncia das informaes conforme
seu impacto no negcio. Quanto mais decisiva e estratgica para o sucesso ou
manuteno da organizao, maior ser sua importncia.
E
IMPORTANT
34
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL
NOTA
Toda informao classificada, quando passar por alterao de contedo, deve ser
submetida a novo processo de classificao, com o objetivo de rever o nvel mais adequado.
(FERREIRA; ARAJO, 2008, p. 79).
35
UNIDADE 1 | SEGURANA EM INFORMTICA
36
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL
6 DIREITOS DE ACESSO
Associado ao acmulo de funes e seu consequente acesso s informaes
relacionadas com essas funes, de acordo com Caruso e Steffen (1999, p. 91),
aparece o direito de determinado indivduo de acess-la. No passado, o direito
de acesso a informaes baseava-se em regras militares (autoritrias) ou em
regras acadmicas (amigveis). Um sistema de aplicaes comerciais no pode ser
to restrito quanto s aplicaes militares, nem to aberto quanto s aplicaes
acadmicas. Em nenhum dos casos acima h preocupao com a fonte da
autoridade para conceder direitos de acesso, pois no caso de aplicaes militares o
acesso controlado por regulamentos rgidos e no caso de aplicaes acadmicas
no se discute a questo do direito de acesso.
Para cada caso, segundo Caruso e Steffen (1999, p. 91), a fonte da autoridade
deve estar claramente definida na poltica de segurana da organizao. As regras
de controle de acesso devem levar em conta os cinco componentes da poltica de
controle de acesso:
38
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL
6.1 AUTORIDADE
Em organizaes comerciais e industriais, de acordo com Caruso e Steffen
(1999, p. 92),
Alm disso, possvel que as regras determinem que ele mesmo no possa
ter direito de acessar os recursos para os quais concede direito de acesso. Portanto,
deve-se separar o direito de acesso do direito de conceder acesso; o primeiro
decorrente da necessidade legtima de executar funes que faam uso de recursos
protegidos, ao passo que o segundo decorrente da delegao de autoridade
por parte do legtimo proprietrio, e essa delegao de autoridade no precisa
necessariamente abranger o prprio direito de o administrador acessar o recurso
que vai administrar em nome do proprietrio. (CARUSO; STEFFEN, 1999, p. 92).
39
UNIDADE 1 | SEGURANA EM INFORMTICA
40
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL
Com base no exposto acima, ainda segundo Caruso e Steffen (1999, p. 94),
41
UNIDADE 1 | SEGURANA EM INFORMTICA
Caruso e Steffen (1999, p. 94) afirmam que o direito de acesso deve ser
definido formalmente, como qualquer outra responsabilidade dentro de uma
organizao, e deve incluir os critrios para sua delegao. A cadeia de delegao
da autoridade deve ser passvel de controle em ambos os sentidos e deve estar
baseada na fonte da autoridade, a partir do conselho diretor da empresa. Podem
ser delegadas trs classes de direitos:
6.3.3 Legislao
Conforme Caruso e Steffen (1999, p. 96),
em alguns pases existem leis que regulam claramente as
responsabilidades de usurios e de administradores de recursos de
informaes em geral; em outros ainda no existem dispositivos legais
claros a respeito do assunto, ou quando existem no so claros ou
completos. Onde existem, a legislao determina as responsabilidades
gerais de administradores em relao proteo aos ativos e as
penalidades previstas.
43
UNIDADE 1 | SEGURANA EM INFORMTICA
44
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL
45
UNIDADE 1 | SEGURANA EM INFORMTICA
7 DIREITOS DE ACESSO
De acordo com Beal (2008, p. 71), as pessoas so, acertadamente,
consideradas o elo frgil da segurana da informao. A associao pode ser
entendida quando se imagina que qualquer esquema de segurana, por mais
sofisticado que seja, pode ser derrubado pela atuao de uma nica pessoa que
decida abusar de seus privilgios de acesso a dados ou instalaes de processamento
da informao.
46
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL
47
UNIDADE 1 | SEGURANA EM INFORMTICA
48
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL
49
UNIDADE 1 | SEGURANA EM INFORMTICA
50
TPICO 1 | SEGURANA NO AMBIENTE COMPUTACIONAL
51
UNIDADE 1 | SEGURANA EM INFORMTICA
A ISO 17799 (item 8.1.4) sugere, nos casos em que for difcil implementar a
segregao de funes, que outros controles, como a monitorao das atividades,
trilhas de auditoria e superviso gerencial, sejam considerados para diminuir a
vulnerabilidade da organizao. (BEAL, 2008, p. 79).
52
RESUMO DO TPICO 1
Caro(a) acadmico(a)! Neste primeiro tpico, voc estudou os seguintes
aspectos:
53
AUTOATIVIDADE
( ) CERTO.
( ) ERRADO.
Assista ao vdeo de
resoluo da questo 2
54
UNIDADE 1
TPICO 2
1 INTRODUO
Os problemas de segurana da informao so complexos, conforme Beal
(2008), e normalmente tm sua origem em preocupaes organizacionais e de
negcio, no de tecnologia. Para garantir um nvel de proteo adequado para seus
recursos de informao, as organizaes precisam ter uma viso clara dos ativos
que esto tentando salvaguardar, de que ameaas e por que razo, antes de poder
passar seleo de solues especficas de segurana fsica, lgica e organizacional.
2 SEGURANA LGICA
desnecessrio justificar as demandas de segurana nas instalaes de
Tecnologia da Informao. As informaes de uma empresa tm valor no s
para ela, como tambm para seus concorrentes (espionagem empresarial) e para
outras empresas (cadastros de clientes, lista de produtos etc.). A preocupao com
a segurana das informaes da empresa deve ser uma constante em todos os
setores, principalmente na rea de Tecnologia de Informao (FOINA, 2009).
55
UNIDADE 1 | SEGURANA EM INFORMTICA
56
TPICO 2 | SEGURANA LGICA, FSICA E AMBIENTAL
57
UNIDADE 1 | SEGURANA EM INFORMTICA
58
TPICO 2 | SEGURANA LGICA, FSICA E AMBIENTAL
Da existncia de padres.
60
TPICO 2 | SEGURANA LGICA, FSICA E AMBIENTAL
Alm disso, pode ser necessria uma equipe de apoio. Esta equipe deve ser
composta por analistas de segurana e apoio administrativo e do administrador
de segurana.
NOTA
Diz-se que um bom profissional de segurana deve ter corao de pedra e nervos
de ao e ser insensvel a ofensas e insultos. (CARUSO; STEFFEN, 1999, p. 110).
61
UNIDADE 1 | SEGURANA EM INFORMTICA
2.2.7 Padronizao
Padronizao de nomenclatura o tipo de atividade que todos acham
necessria, mas que, frequentemente, vai sendo adiada indefinidamente. Para
Caruso e Steffen (1999, p. 111), se a organizao conseguiu desenvolver padres
vlidos em nvel global antes da implantao da segurana, ser muito mais fcil
padronizar as nomenclaturas, j que os produtos de segurana so baseados, em
grande parte, no agrupamento de funes de segurana.
62
TPICO 2 | SEGURANA LGICA, FSICA E AMBIENTAL
2.2.9 Controles
Algumas atividades administrativas necessitam de controles firmes, e
segurana de informaes uma delas. necessrio controlar o domnio de usurios,
o domnio de recursos e as interaes entre os dois domnios. A esta altura da
montagem da estrutura de segurana devem ser definidos os controles desejados
que sero implantados aps a escolha da ferramenta de segurana. Muitos pacotes
de controle de rede tambm possuem recursos de segurana embutidos, apesar de
63
UNIDADE 1 | SEGURANA EM INFORMTICA
b) Recursos:
Grupos de recursos protegidos.
Recursos de cada grupo.
Nvel de proteo de cada grupo de recurso.
Nvel de proteo de cada recurso individual.
Recursos com proteo especial.
64
TPICO 2 | SEGURANA LGICA, FSICA E AMBIENTAL
65
UNIDADE 1 | SEGURANA EM INFORMTICA
66
TPICO 2 | SEGURANA LGICA, FSICA E AMBIENTAL
67
UNIDADE 1 | SEGURANA EM INFORMTICA
68
TPICO 2 | SEGURANA LGICA, FSICA E AMBIENTAL
Quem so os usurios?
Quais so os recursos e como eles podem ser classificados?
Quem o responsvel por cada recurso?
Qual o perfil atual de acesso a recursos?
Qual o perfil desejvel de acesso a recursos?
69
UNIDADE 1 | SEGURANA EM INFORMTICA
Ainda de acordo com Caruso e Steffen (1999, p. 137), deve ser dada
ateno especial quanto ao atendimento de quesitos dependentes de verses ou
caractersticas do ambiente operacional, como, por exemplo, o fato de a proteo de
programas em alguns ambientes s poder ser feita usando-se sistemas operacionais
especficos com modelos especficos de equipamentos.
71
UNIDADE 1 | SEGURANA EM INFORMTICA
de rede que fica entre uma rede interna (ex.: LAN privativa) de uma rede no
confivel externa, como a internet. A DMZ atua como intermediria tanto para o
trfego de entrada quanto de sada. O termo vem do uso militar, significando uma
rea neutra que separa dois inimigos (BEAL, 2008).
72
TPICO 2 | SEGURANA LGICA, FSICA E AMBIENTAL
73
UNIDADE 1 | SEGURANA EM INFORMTICA
74
TPICO 2 | SEGURANA LGICA, FSICA E AMBIENTAL
75
UNIDADE 1 | SEGURANA EM INFORMTICA
3 SEGURANA FSICA
Ferreira e Arajo (2008, p. 123) citam que a segurana fsica desempenha
um papel to importante quanto segurana lgica, porque a base para a proteo
de qualquer investimento feito por uma organizao. Investir em diferentes
aspectos da segurana sem observar suas devidas prioridades pode ocasionar uma
perda de todos os recursos investidos em virtude de uma falha nos sistemas mais
vulnerveis.
E
IMPORTANT
76
TPICO 2 | SEGURANA LGICA, FSICA E AMBIENTAL
NOTA
77
UNIDADE 1 | SEGURANA EM INFORMTICA
NOTA
A edificao deve ter toda a infraestrutura necessria pensada para permitir seu
adequado funcionamento e expanso futura. (CARUSO; STEFFEN, 1999, p. 217).
78
TPICO 2 | SEGURANA LGICA, FSICA E AMBIENTAL
NOTA
79
UNIDADE 1 | SEGURANA EM INFORMTICA
Controle de acesso;
Preveno e combate a incndios;
Controle do fornecimento de energia;
Controle das condies ambientais;
Entrada e sada de equipamentos, materiais e produtos;
Segurana dos meios de armazenamento.
80
TPICO 2 | SEGURANA LGICA, FSICA E AMBIENTAL
podem causar picos muito altos com efeitos graves, apesar da durao de
milionsimos de segundo. Emissoras de ondas de rdio e principalmente de radar
merecem cuidados especiais, mesmo a distncias variando entre 1 e 2 km.
4 SEGURANA AMBIENTAL
De acordo com Beal (2008, p. 81), a adequada proteo do ambiente e
dos ativos fsicos de informao, tanto como no caso do ambiente lgico, exige a
combinao de medidas preventivas, detectivas e reativas.
NOTA
81
UNIDADE 1 | SEGURANA EM INFORMTICA
De acordo com Caruso e Steffen (1999, p. 284), as salas devem ter iluminao
de emergncia, sinalizao fosforescente e farolete a pilha. Recomendamos o
uso de sistemas de iluminao de emergncia dotados de baterias recarregveis.
Devido ao risco de vazamento do contedo das pilhas comuns, recomendamos o
uso de pilhas secas em faroletes.
82
TPICO 2 | SEGURANA LGICA, FSICA E AMBIENTAL
Ferreira e Arajo (2008, p. 125) citam cinco itens que devem ser considerados:
Foina (2009, p. 187) cita que boa parte dos defeitos dos computadores e
perifricos ocorre em virtude de problemas de origem eltrica e de temperatura. As
instalaes eltricas, mesmo quando bem executadas, devem ser periodicamente
revisadas para deteco de curtos-circuitos, fugas eltricas, ruptura de isolamentos,
contatos oxidados, aterramento flutuante, conectores frouxos etc.
83
UNIDADE 1 | SEGURANA EM INFORMTICA
Transformadores.
Estabilizadores.
Sistema short break.
Sistema motor/alternador sncrono.
Sistema eltrico ininterrupto de corrente alternada.
Um grupo gerador diesel.
4.3 LOCALIZAO
A escolha da localizao correta , provavelmente, a medida isolada
mais importante que se pode tomar na fase de projeto. Na medida do possvel,
as reas de processamento de informaes devem ser isoladas das destinadas a
outras atividades por distncias e construes corta-fogo, de acordo com a carga
de incndio existente. O simples afastamento entre dois edifcios vizinhos, cuja
distncia mnima determinada pelas normas municipais, nem sempre suficiente
para proteger os equipamentos de informtica de um incndio no prdio contguo;
em princpio, uma edificao destinada a abrigar um ambiente de informaes
deve estar separada de qualquer outra edificao por uma distncia mnima igual
a, pelo menos, a altura da maior das duas edificaes, mais uma folga de no mnimo
20% (CARUSO; STEFFEN, 1999).
4.4 CLIMATIZAO
Ao se fazer um projeto de uma sala destinada a abrigar equipamentos de
processamento de informaes ou qualquer aplicao que implique um ambiente
de alta qualidade, a exemplo de salas limpas de indstrias eletrnicas e at mesmo
centros cirrgicos, muito importante que se pense desde o incio nas instalaes de
climatizao de ambiente (CARUSO; STEFFEN, 1999).
85
UNIDADE 1 | SEGURANA EM INFORMTICA
NOTA
86
TPICO 2 | SEGURANA LGICA, FSICA E AMBIENTAL
E
IMPORTANT
Caruso e Steffen (1999) citam que a maioria das instalaes, inclusive muitas
de grande porte, no possua equipamentos de sensoriamento e alarme contra
gases e fogo, dispondo apenas do equipamento bsico exigido por lei (extintores
manuais). Alguns possuam alarmes de acionamento manual (quebra de vidro),
que dependem da ao humana. Vimos tambm instalaes dotadas de hidrantes
e sprinklers. Em si, os sprinklers e os hidrantes no so um problema; este reside na
forma de operao do sistema de sprinklers e dos hidrantes.
87
UNIDADE 1 | SEGURANA EM INFORMTICA
NOTA
Ferreira e Arajo (2008) citam que, quanto mais crticos forem os equipamentos
para o negcio, mais investimentos em recursos devem ser efetuados, com um tcnico de
segurana avaliando a necessidade da utilizao dos seguintes recursos:
- Uso de equipamentos para extino automtica.
- Uso de portas corta-fogo.
- Uso de alarmes de incndio e detectores de fumaa.
88
TPICO 2 | SEGURANA LGICA, FSICA E AMBIENTAL
Cpia.
Armazenamento.
Transmisso pelo correio ou fax.
Descarte seguro.
89
UNIDADE 1 | SEGURANA EM INFORMTICA
90
RESUMO DO TPICO 2
Caro(a) acadmico(a)! Neste segundo tpico, voc estudou os seguintes
aspectos:
91
AUTOATIVIDADE
( ) CERTO.
( ) ERRADO.
Assista ao vdeo de
resoluo da questo 1
92
UNIDADE 1
TPICO 3
SEGURANA EM SISTEMAS
DISTRIBUDOS
1 INTRODUO
Muitos recursos de informao que se tornam disponveis e so mantidos
em sistemas distribudos tm um alto valor intrnseco para seus usurios. Portanto,
sua segurana de considervel importncia (GROSS, 2008).
Embora um firewall possa ser usado para formar uma barreira em torno
de uma intranet, restringindo o trfego que pode entrar ou sair, isso no garante
o uso apropriado dos recursos pelos usurios de dentro da intranet, nem o uso
apropriado de recursos na internet, que no so protegidos por firewalls. (GROSS,
2008, p. 13).
NOTA
93
UNIDADE 1 | SEGURANA EM INFORMTICA
DICAS
Nada melhor do que aprender algo assistindo a um bom filme. Muitos so os filmes
retratando problemas de segurana na internet ou em redes de computadores. Este muito
bom! A Rede.
Ela no tem mais carto de crdito, conta bancria,
carteira de motorista,... e perdeu ainda o nmero
da identidade. Foi tudo deletado. Ela simplesmente
deixou de existir! Sandra Bullock, Jeremy Northam
e Dennis Miller estrelam este suspense sobre uma
especialista em computadores cuja vida apagada por
uma conspirao eletrnica.
Angela Bennett (Sandra Bullock) uma analista de
sistemas freelance que passa os dias procurando por
vrus de computador, e as noites conversando com
outros tmidos fanticos pelo cyber-espao na rede
internet. Nessa rotina solitria ela se sente tranquila
e feliz, mantida em sua redoma protetora... at que
o mundo eletrnico que ela criou a faz mergulhar
numa criminosa teia de corrupo e conspirao.
Enquanto conserta alguns defeitos num programa de
games, Angela acessa um quebra-cabeas com dados
altamente secretos do governo. Rapidamente percebe
que penetrou numa conspirao por computador, e que
sinistros piratas da informtica no se detero enquanto
ela no for eliminada. Angela descobre que todos os traos de sua existncia foram apagados
e que recebeu uma nova identidade nos arquivos da polcia e se tornara uma criminosa com
a cabea a prmio. Agora ela vai ter que sair da frente do computador e escapar com vida no
mundo real.
A REDE. Direo de Irwin Winkler. EUA: Sony Pictures Entertainment, 1995, DVD (114 min), color.
94
TPICO 3 | SEGURANA EM SISTEMAS DISTRIBUDOS
DICAS
Prepare a pipoca! Outro filme interessante e que traz alguns pontos importantes
sobre segurana A Rede 2.0:
95
UNIDADE 1 | SEGURANA EM INFORMTICA
FONTE: Adaptado de COULOURIS, G.; DOLLIMORE, J.; KINDBERG, T. Distributed Systems: Concepts
and Design. 3. ed. England: Addison Wesley, 2001.
4 O INVASOR
Para modelar as ameaas segurana, postulamos um invasor (por vezes
conhecido como atacante), que capaz de enviar qualquer mensagem para qualquer
processo e ler ou copiar qualquer mensagem entre processos, como demonstra a
figura a seguir.
FONTE: Adaptado de COULOURIS, G.; DOLLIMORE, J.; KINDBERG, T. Distributed Systems: Concepts
and Design. 3. ed. England: Addison Wesley, 2001.
97
UNIDADE 1 | SEGURANA EM INFORMTICA
NOTA
98
TPICO 3 | SEGURANA EM SISTEMAS DISTRIBUDOS
De acordo com Gross (2008, p. 90), essas ameaas podem ser anuladas a
partir do uso de canais seguros de comunicao, descritos a seguir e baseados em
autenticao e criptografia.
99
UNIDADE 1 | SEGURANA EM INFORMTICA
DICAS
Vamos assistir a outro grande filme, que ilustra a utilizao de criptografia a partir
da famosa mquina Enigma, usada pelos submarinos alemes durante a segunda guerra
mundial para a criptografia de mensagens?
5.2 AUTENTICAO
De acordo com Coulouris, Dollimore e Kindberg (2007), o uso de segredos
compartilhados e da criptografia fornece a base para a autenticao de mensagens
provar as identidades de seus remetentes. A tcnica de autenticao bsica
consiste em incluir em uma determinada mensagem uma parte cifrada que possua
contedo suficiente para garantir a sua autenticidade.
100
TPICO 3 | SEGURANA EM SISTEMAS DISTRIBUDOS
FONTE: COULOURIS, G.; DOLLIMORE, J.; KINDBERG, T. Sistemas Distribudos: Conceitos e Projeto.
4. ed. Porto Alegre: Bookman, 2007.
101
UNIDADE 1 | SEGURANA EM INFORMTICA
102
TPICO 3 | SEGURANA EM SISTEMAS DISTRIBUDOS
listando todas as formas de ataque s quais o sistema est exposto e uma avaliao
dos riscos e consequncias de cada um. A eficcia e o custo das tcnicas de segurana
necessrias podem ento ser ponderadas em relao s ameaas (COULOURIS;
DOLLIMORE; KINDBERG, 2007).
LEITURA COMPLEMENTAR
Andra Bertoldi
Segue a reportagem:
103
UNIDADE 1 | SEGURANA EM INFORMTICA
* AFolha de Londrinapublicou a matria Capital intelectual: novo alvo dos crimes virtuaisno
dia 26 de maio de 2011, entrevistando o Eng. Christian Bachmann daBS Brasil. A reportagem
sobre invaso digital, com foco no roubo de informaes.
FONTE: BERTOLDI, Andra. Folha de Londrina. Capital intelectual: novo alvo dos crimes virtuais.
Entrevista de 26 de maio de 2011. Disponvel em: <http://blog.bsbrasil.com.br/?p=194>. Acesso
em: 9 jul. 2013.
105
RESUMO DO TPICO 3
Caro(a) acadmico(a)! Neste terceiro tpico, voc estudou os seguintes
aspectos:
106
AUTOATIVIDADE
( ) CERTO.
( ) ERRADO.
a) ( ) Falsidade.
b) ( ) Negao de servio.
c) ( ) Anlise de trfego.
d) ( ) Repetio.
Assista ao vdeo de
resoluo da questo 2
107
108
UNIDADE 2
PLANOS E POLTICA DA
INFORMAO
OBJETIVOS DE APRENDIZAGEM
A partir do estudo desta unidade, ser possvel:
PLANO DE ESTUDOS
Esta unidade est dividida em trs tpicos, sendo que ao final de cada um
deles, voc encontrar atividades que auxiliaro na apropriao dos conhe-
cimentos.
Assista ao vdeo
desta unidade.
109
110
UNIDADE 2
TPICO 1
PLANO DE CONTINUIDADE
OPERACIONAL
1 INTRODUO
111
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO
112
TPICO 1 | PLANO DE CONTINUIDADE OPERACIONAL
113
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO
114
TPICO 1 | PLANO DE CONTINUIDADE OPERACIONAL
115
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO
Alm disso, ainda segundo Caruso e Steffen (1999, p. 70), temos que ter
sempre em conta que no existe informao sem custo; mesmo em casos em que
as informaes so obtidas sem nenhum custo, a estrutura organizacional e de
recursos necessria para a coleta tem um custo, que rateado em cima de cada
unidade de informao coletada.
116
TPICO 1 | PLANO DE CONTINUIDADE OPERACIONAL
117
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO
De acordo com Smola (2003, p. 100-101), percebe-se que muitas das tarefas
realizadas pelo BIA poderiam ser complementadas pelos resultados de uma anlise
de riscos, sendo esta, portanto, a atividade primeira e mais importante para orientar
todas as aes de segurana da informao. Se esta herana ocorresse efetivamente,
o BIA se resumiria a quantificar os impactos e a selecionar as ameaas a serem
consideradas pelo plano de continuidade do negcio. (consulte a figura 19).
118
TPICO 1 | PLANO DE CONTINUIDADE OPERACIONAL
NVEL DEFINIO
Perda significante dos principais ativos e recursos.
Alto Perda da reputao, imagem e credibilidade.
Impossibilidade de continuar com as atividades de negcio.
119
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO
NOTA
120
TPICO 1 | PLANO DE CONTINUIDADE OPERACIONAL
Por conta disso, Smola (2003, p. 130-131) sugere que seja feita uma
campanha de divulgao, que dever lanar mo de diversos artifcios para
comunicar os padres, critrios e instrues operacionais, como cartazes, jogos, peas
promocionais, protetores de tela, e-mails informativos, e-mails de alerta, comunicados
internos, pginas especializadas na Intranet etc..
121
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO
E
IMPORTANT
7 TESTE DO PLANO
De acordo com Imoniana (2011, p. 194), os objetivos da auditoria de Business
Continuity Planning compreendem:
S / N /
N Controles/Procedimentos de Testes Obs.
NA
P2 Quem a pessoa?
- Gerente de controladoria
- Gerente Administrativo/Financeiro
- Gerente de Operaes
- Gerente de Vendas
- Gerente de Crises
- Gerente de Risco
- Consultor Externo
- Outro, citar _________________________________________.
123
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO
124
TPICO 1 | PLANO DE CONTINUIDADE OPERACIONAL
125
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO
Fontes (2006, p. 60-61) coloca algumas perguntas que devem ser feitas, para
reflexo:
DICAS
Que tal assistir a outro grande filme, e ver como o governo norte-americano
coloca em prtica seu plano de contingncia quando o pas vtima de um ciber ataque?
Doze anos aps a apario em Duro de Matar: A
Vingana, John McClane (Bruce Willis) convocado
para a ltima misso: combater criminosos que atuam
pela internet. Os terroristas planejam desligar todos os
sistemas de computadores no feriado de 4 de julho,
dia da independncia dos Estados Unidos. A trama se
passa em Washington, mas acompanha a velocidade
das transmisses cibernticas, englobando todo o
territrio norte-americano na possvel catstrofe.
Os Estados Unidos sofrem um novo ataque terrorista,
desta vez atravs da informtica. Um hacker consegue
invadir a infraestrutura computadorizada que controla
as comunicaes, transporte e energia do pas,
ameaando causar um gigantesco blecaute. O autor do
ataque planejou todos os passos envolvidos, mas no
contava que John McClane (Bruce Willis), um policial
da velha guarda, fosse chamado para confront-lo.
DURO DE MATAR 4.0. Direo de Len Wiseman. EUA:
Fox Filmes, 2007, DVD (128 min), color.
127
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO
128
TPICO 1 | PLANO DE CONTINUIDADE OPERACIONAL
Alm dos backups realizados por empresas terceiras, como, por exemplo,
provedores de sites de contingncia, deve-se produzir uma cpia adicional
de segurana dos backups considerados mais crticos para ser armazenada
nas instalaes da organizao independentemente das clusulas contratuais
estabelecidas, que visam proteger a organizao. (FERREIRA; ARAJO, 2008, p.
115).
129
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO
<Nome Empresa>
<rea>
Servidor: ABC
Backup Semanal
Data: dd/mm/aaaa
Hora: hh:mm
Cdigo:
Descrio:
<rea>
Backup Semanal
FONTE: Adaptado de Ferreira e Arajo (2008, p. 116)
130
RESUMO DO TPICO 1
Caro(a) acadmico(a)! Neste tpico, voc estudou que:
131
AUTOATIVIDADE
Assista ao vdeo de
resoluo da questo 2
132
UNIDADE 2 TPICO 2
PLANO DE CONTINGNCIA
1 INTRODUO
Primariamente, o plano de contingncia e de recuperao de desastres
significa medidas operacionais estabelecidas e documentadas para serem seguidas,
no caso de ocorrer alguma indisponibilidade dos recursos de informtica, evitando-
se que o tempo no qual os equipamentos fiquem parados acarrete perdas materiais
aos negcios da empresa (IMONIANA, 2011).
133
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO
134
TPICO 2 | PLANO DE CONTINGNCIA
Para fins de familiarizao, Imoniana (2011) cita que sero abordados, neste
plano, somente casos com nveis de riscos altos e/ou intermedirios em ambiente
de rede operada pelas empresas mdias.
Para fins desse plano, segundo Imoniana (2011, p. 169), geralmente as empresas
industriais costumam estabelecer as seguintes aplicaes mais crticas das empresas:
136
TPICO 2 | PLANO DE CONTINGNCIA
No que diz respeito aos servidores, de acordo com Imoniana (2011, p. 170-171),
137
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO
4 CONTINGNCIAS EM RELAO
A APLICATIVOS CRTICOS
No caso da indisponibilidade das linhas telefnicas por perodos
prolongados e no suportados, segundo Imoniana (2011, p. 172-173), devero ser
tomadas as seguintes medidas em relao aos sistemas:
5 MATRIZ DE RESPONSABILIDADES
A seguir, Imoniana (2011, p. 173) apresenta a matriz de responsabilidades
da equipe de contingncia.
138
TPICO 2 | PLANO DE CONTINGNCIA
139
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO
140
TPICO 2 | PLANO DE CONTINGNCIA
141
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO
142
TPICO 2 | PLANO DE CONTINGNCIA
143
RESUMO DO TPICO 2
Caro(a) acadmico(a)! Neste tpico, voc estudou que:
Aps a avaliao do nvel de risco, o usurio deve verificar que tipo de proteo
a mais recomendada.
144
AUTOATIVIDADE
2 Cite trs medidas que devem ser tomadas para manter a continuidade
operacional da empresa.
4 Cite alguns os aspectos que devem ser observados sob a tica da auditoria
referentes avaliao do plano de contingncia.
Assista ao vdeo de
resoluo da questo 3
145
146
UNIDADE 2
TPICO 3
POLTICA DE SEGURANA
1 INTRODUO
147
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO
148
TPICO 3 | POLTICA DE SEGURANA
2 CONSIDERAES IMPORTANTES
149
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO
150
TPICO 3 | POLTICA DE SEGURANA
151
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO
E
IMPORTANT
152
TPICO 3 | POLTICA DE SEGURANA
3 PLANEJAMENTO DA POLTICA
O incio do planejamento da poltica de segurana exige uma viso
abrangente, de modo que os riscos sejam entendidos para que possam ser
enfrentados. Normalmente, a abordagem com relao segurana reativa, o que
pode, invariavelmente, trazer futuros problemas para a organizao. A abordagem
proativa , portanto, essencial e depende de uma poltica de segurana bem
definida, na qual a definio das responsabilidades individuais deve estar bem
clara, de modo a facilitar o gerenciamento da segurana em toda a organizao
(NAKAMURA; GEUS, 2007).
De acordo com Nakamura e Geus (2007, p. 189), ter uma poltica proativa
tambm fundamental, pois, sem essa abordagem, a questo da segurana das
informaes no se, mas sim quando o sistema ser atacado por um hacker.
O apoio dos executivos importante para que isso acontea, o que faz com
que os recursos financeiros para as solues necessrias sejam garantidos.
Quando uma poltica de segurana planejada e definida, os executivos
demonstram claramente o seu comprometimento e apoio segurana da
informao de toda a organizao. Um ponto importante para que a poltica
tenha o seu devido peso dentro da organizao que ela seja aprovada
pelos executivos, publicada e comunicada para todos os funcionrios, de
forma relevante e acessvel. (NAKAMURA; GEUS, 2007, p. 189-190).
153
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO
154
TPICO 3 | POLTICA DE SEGURANA
Uma caracterstica importante de uma poltica que ela deve ser curta
o suficiente para que seja lida e conhecida por todos os funcionrios da
empresa. A essa poltica de alto nvel devem ser acrescentados polticas,
normas e procedimentos especficos para setores e reas particulares, como
por exemplo, para a rea de informtica. (NAKAMURA; GEUS, 2007, p. 194).
155
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO
156
TPICO 3 | POLTICA DE SEGURANA
157
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO
158
TPICO 3 | POLTICA DE SEGURANA
159
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO
160
TPICO 3 | POLTICA DE SEGURANA
161
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO
1 Introduo
1.1 Poltica de segurana
1.1.1 Informaes gerais
1.1.2 Objetivos
1.2 Estrutura de responsabilidade organizacional
1.2.1.1.1 Servios de informao corporativos
1.2.1.1.2 Servios de informao de unidades de negcio
1.2.1.1.3 Organizaes internacionais
1.2.1.1.4 Encarregados
1.2.2 Padres de segurana
1.2.2.1.1 Confidencialidade
1.2.2.1.2 Integridade
1.2.2.1.3 Autorizao
1.2.2.1.4 Acesso
1.2.2.1.5 Uso apropriado
1.2.2.1.6 Privacidade dos funcionrios
2 Descrio do sistema
2.1 Papel do sistema
2.1.1 Tipo de informao manipulada pelo sistema
Tipos de usurio (administrao, usurio normal, controlador de
2.1.2
impresso etc.)
2.1.3 Nmero de usurios
Classificao dos dados (dados acessveis apenas para o departamento
2.1.4
de finanas, se necessrio)
2.1.5 Quantidade de dados (nmero de bytes)
163
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO
164
TPICO 3 | POLTICA DE SEGURANA
LEITURA COMPLEMENTAR
Edison Fontes
3) Escopo da soluo
165
UNIDADE 2 | PLANOS E POLTICA DA INFORMAO
4) Confiana no parceiro
167
RESUMO DO TPICO 3
Caro(a) acadmico(a)! Neste tpico, voc estudou que:
168
AUTOATIVIDADE
Assista ao vdeo de
resoluo da questo 4
169
170
UNIDADE 3
AUDITORIA DE SISTEMAS
OBJETIVOS DE APRENDIZAGEM
A partir do estudo desta unidade, ser possvel:
PLANO DE ESTUDOS
Esta unidade est dividida em trs tpicos, sendo que ao final de cada um
deles, voc encontrar atividades que auxiliaro na apropriao dos conhe-
cimentos.
Assista ao vdeo
desta unidade.
171
172
UNIDADE 3
TPICO 1
1 INTRODUO
Todo sistema est sujeito a falhas, erros e mal uso de recursos em geral.
Tanto o computador como a mente humana so instrumentos para grandes
realizaes, porm no so infalveis. (SCHMIDT; SANTOS; ARIMA, 2006, p. 11).
173
UNIDADE 3 | AUDITORIA DE SISTEMAS
174
TPICO 1 | FUNDAMENTOS DE AUDITORIA DE SISTEMAS
175
UNIDADE 3 | AUDITORIA DE SISTEMAS
176
TPICO 1 | FUNDAMENTOS DE AUDITORIA DE SISTEMAS
177
UNIDADE 3 | AUDITORIA DE SISTEMAS
178
TPICO 1 | FUNDAMENTOS DE AUDITORIA DE SISTEMAS
Planejamento de auditoria.
Avaliao de riscos de auditoria.
Superviso e controle de qualidade.
Estudo e avaliao do sistema contbil e de controles internos e
aplicao dos procedimentos de auditoria.
Documentao da auditoria.
Avaliao da continuidade normal dos negcios da entidade.
Aplicao de amostragens estatsticas.
4.1 PLANEJAMENTO
A atividade de planejamento em auditoria de sistemas de informaes
imprescindvel para melhor orientar o desenvolvimento dos trabalhos. De acordo
com Imoniana (2011, p. 23),
179
UNIDADE 3 | AUDITORIA DE SISTEMAS
180
TPICO 1 | FUNDAMENTOS DE AUDITORIA DE SISTEMAS
181
UNIDADE 3 | AUDITORIA DE SISTEMAS
182
TPICO 1 | FUNDAMENTOS DE AUDITORIA DE SISTEMAS
183
UNIDADE 3 | AUDITORIA DE SISTEMAS
NOTA
NOTA
185
UNIDADE 3 | AUDITORIA DE SISTEMAS
NOTA
Superviso
A gerncia por objetivos, procedimentos e tomada de decises deve
manter um controle que a capacite a uma superviso efetiva dentro do
ambiente de tecnologia.
Registro e comunicao
A gerncia da empresa deve estabelecer critrios para criao,
processamento e disseminao de informao de dados atravs de
autorizao e registro de responsabilidade.
Segregao das funes
As responsabilidades e ocupaes incompatveis devem estar segregadas
de maneira a minimizar as possibilidades de perpetuao de fraudes e at
de suprimir erro e irregularidade na operao normal.
Classificao de informao
A gerncia deve estabelecer um plano para classificao de informao
que melhor sirva s necessidades da organizao, em conformidade com
os princpios da contabilidade e tambm padres de auditoria geralmente
aceitos.
186
TPICO 1 | FUNDAMENTOS DE AUDITORIA DE SISTEMAS
Tempestividade
A gerncia deve delinear procedimentos, monitorar os registros
corretos das transaes econmicas, financeiras e contbeis das empresas,
processando-as e comunicando os resultados s pessoas necessrias em
tempo hbil.
Auditoriabilidade
Os procedimentos operacionais devem permitir a programao
e verificao peridica no que concerne preciso do processo de
processamento de dados e de gerao do relatrio, de acordo com as
polticas.
Controle independente
Os sistemas em funcionamento devem ter procedimentos adequados
para identificao e correes de erros no fluxo de processamento,
inclusive nos processos executados concomitantemente.
Monitoramento
A gerncia deve possuir acesso master ao sistema e controle de uso que
lhe permita fazer o acompanhamento pari passu das transaes.
Implantao
A gerncia deve planejar a aquisio, o desenvolvimento, a manuteno
e a documentao de sistema, de forma a coincidir com as metas
empresariais.
Contingncia
A gerncia deve implementar um plano adequado e procedimentos de
implantao para prevenir-se contra as falhas de controles que podem
surgir durante especificaes de sistema, desenho, programao, testes e
documentao de sistemas e nas fases ps-implantaes.
Custo efetivo
Investimentos em tecnologia da informao devem ser propriamente
planejados, a fim de coincidirem com o custo efetivo.
A natureza e extenso de controles necessrios em ambiente de tecnologia
de informao variam, paulatinamente, de acordo com a complexidade da
tecnologia de informao em operao. Para algum que diligentemente
acompanhe o sistema de controle em um ambiente particular, imperativo
que determine e padronize os tipos de equipamentos em operao, a
natureza dos dados que so processados e os procedimentos metodolgicos
existentes. Num ambiente de sistema computadorizado bsico, que
processe seus dados mais manualmente do que computacionalmente,
pode haver uma necessidade de procedimentos tais como: identificao,
autorizao, autenticao e classificao de dados que sejam realizados
manualmente. Evidentemente, o sistema necessitar mais de controles
convencionais do que de controles modernos e computadorizados, que
so bastante direcionados para ambientes de tecnologia de informao
mais complexos.
187
UNIDADE 3 | AUDITORIA DE SISTEMAS
188
TPICO 1 | FUNDAMENTOS DE AUDITORIA DE SISTEMAS
Para Imoniana (2011, p. 51), sabido que alguns destes sistemas so mais
vulnerveis do que outros. Por exemplo: consideram-se as fases de manuseio
de dados fsicos como mais susceptveis a fraudes por computador do que
outros controles, e sugere-se ateno especial no processo de sua avaliao. A
discriminao dos subsistemas tambm no novidade. Isto tende a atribuir maior
importncia ao relacionamento entre custos e benefcios de um ponto de controle
ao qual se deve prestar mais ateno.
Imoniana (2011, p. 52) aconselha que, para maior eficincia dos trabalhos,
sejam concentradas as tarefas de avaliao das atividades de monitoramento
geralmente executadas pelos gerentes em nveis hierrquicos estratgicos e tticos
e nos procedimentos de controles relacionados com as transaes econmicas e
financeiras em nveis operacionais.
8 FERRAMENTAS DE AUDITORIA DE TI
O principal objetivo do uso de "Tcnicas de Auditoria Assistida por
Computador" (TAAC) , segundo Imoniana (2011, p. 54), auxiliar o auditor para
auditar 100% a populao da rea ou transao revisada, considerando o limite de
tempo que possui, aproveitando os recursos de softwares e as tcnicas de auditoria
em ambiente de computao. Essas tcnicas so importantes, pois auxiliam na
avaliao deste ambiente, que geralmente processa os volumes de transaes
muito grandes. Alm disso, as trilhas de auditorias nem sempre so visveis,
ou por falta de hardcopy, ou em casos de autorizaes atravs de voz, imagens e
impresso digital. A simples confirmao de crditos pode no gerar nenhuma
trilha de auditoria.
189
UNIDADE 3 | AUDITORIA DE SISTEMAS
NOTA
190
TPICO 1 | FUNDAMENTOS DE AUDITORIA DE SISTEMAS
E as desvantagens so:
a) Como processamento das aplicaes envolve gravao de dados (arquivos)
em separado para ser analisada em ambientes distintos, poucas aplicaes
poderiam ser feitas em ambiente on-line.
b) Se o auditor precisar rodar clculos complexos, o software no poder dar este
apoio, pois tal sistema, para dar assistncia generalista a todos os auditores,
evita aprofundar as lgicas e matemticas muito complexas, principalmente
da rea de seguros e arrendamento mercantis.
191
UNIDADE 3 | AUDITORIA DE SISTEMAS
E as desvantagens so:
9 TCNICAS DE AUDITORIA DA TI
Para a execuo de trabalhos, na fase de validao dos Pontos de Controle,
h necessidade de conhecimento da tecnologia de computao e da forma como
aplicar essa tecnologia para a verificao do sistema/ambiente computacional,
segundo o conceito de controle interno (GIL, 2000, p. 67).
192
TPICO 1 | FUNDAMENTOS DE AUDITORIA DE SISTEMAS
Produtividade
Com a melhoria no processo de planejamento, ajuda na reduo do
ciclo operacional de auditoria, focalizando o exerccio nas funes mais
importantes. Ainda com algumas tarefas repetitivas sendo eliminadas
evitam o estresse do auditor.
Custo
Reduz custos relacionados com auditoria, pois no necessita de gerao
de relatrios e listagens para anlise. Adicionalmente, o auditor tem acesso
remotamente, eliminando a necessidade de deslocamento e poupando
custo de viagens. Evita tambm o gasto referente ao desenvolvimento de
programas pelas firmas de auditoria com a disponibilidade de softwares
generalistas.
Qualidade assegurada
Com o uso de softwares que tm padres devidamente testados, o
auditor aproveita para adequar seus trabalhos aos padres internacionais
geralmente aceitos obrigatoriamente, aumentando a qualidade dos
servios prestados. Ademais, 100% dos dados podem ser testados,
consequentemente, aumentando a cobertura dos riscos de auditoria.
Valor agregado
Disponibiliza tempestivamente resultados para a tomada de decises
que necessitam de mudanas de rumos mais urgentes, facilitando a
correo tambm dos desvios ou irregularidades em tempo hbil. Ainda,
possibilita a execuo do procedimento analtico e sinttico das contas
e subcontas das demonstraes financeiras, preparao dos papis de
trabalho, possibilitando reflexo sobre impactos em mbito global.
Benefcios corporativos
Proporcionam s empresas de auditoria os seguintes benefcios:
Eficincia nos trabalhos.
Eficcia em termos de execuo, de somente aqueles passos que atenuam
riscos aparentes.
Otimizao dos recursos disponveis principalmente a respeito de
compartilhamento de ambientes entre vrios auditores em mltiplas
localidades.
Melhoria na imagem do auditor, por utilizar tecnologia mais apropriada.
Benefcios para o auditor
Proporcionam aos auditores os seguintes benefcios:
Independncia, pois no depender do auditor ou do seu funcionrio de
processamento de dados para gerar relatrios.
Renovao do foco de auditoria, visando atender s expectativas e
tendncias do mercado.
Eliminao das tarefas mais repetitivas, que geralmente podem ser
automatizadas.
Mais tempo para pensar e ser criativo nas sugestes para seus clientes, visto
que o processo de emisso de relatrios costuma ser muito corriqueiro.
Reduo do risco de auditoria, uma vez que, tudo sendo programado,
nada passar despercebido.
193
UNIDADE 3 | AUDITORIA DE SISTEMAS
9.1 QUESTIONRIO
Corresponde elaborao de um conjunto de perguntas com o objetivo de
verificao de determinado ponto de controle do ambiente computacional. (GIL,
2000, p. 78).
Para Gil (2000, p. 78), existem dois aspectos que so crticos na aplicao da
tcnica questionrio:
Dessa forma, segundo Gil (2000, p. 79), podem-se ter questionrios voltados
para pontos de controles cujas perguntas guardaro caractersticas intrnsecas
referentes :
194
TPICO 1 | FUNDAMENTOS DE AUDITORIA DE SISTEMAS
Para Gil (2000, p. 80), esta auditoria bsica via aplicao de questionrios a
distncia possibilita o diagnstico de pontos relevantes que possam ser auditados
em maior nvel de detalhamento em momento posterior no processo de arbitragem.
195
UNIDADE 3 | AUDITORIA DE SISTEMAS
196
TPICO 1 | FUNDAMENTOS DE AUDITORIA DE SISTEMAS
De acordo com Gil (2000, p. 87), a tcnica de computao que pode ser utilizada
pelo auditor para efetuar verificaes durante o processamento dos programas,
flagrando situaes como:
Rotinas no utilizadas.
Quantidades de vezes que cada rotina foi utilizada quando submetida a
processamento de uma quantidade de dados.
Segundo Gil (2000, p. 87), a anlise dos relatrios emitidos pela aplicao
do mapeamento estatstico permite a constatao de situaes:
Para a utilizao desta tcnica, Gil (2000) indica que h necessidade de ser
processado um software de apoio em conjugao com o processamento do sistema
aplicativo, ou rotinas especficas devero estar embutidas no sistema operacional
utilizado.
9.6 ENTREVISTA
Segundo Gil (2000, p. 88), este mtodo corresponde realizao de reunio
entre o auditor e os auditados profissionais usurios e de computao envolvidos
com o ambiente ou o sistema de informao computadoriza sob auditoria.
197
UNIDADE 3 | AUDITORIA DE SISTEMAS
NOTA
198
TPICO 1 | FUNDAMENTOS DE AUDITORIA DE SISTEMAS
E
IMPORTANT
199
UNIDADE 3 | AUDITORIA DE SISTEMAS
200
TPICO 1 | FUNDAMENTOS DE AUDITORIA DE SISTEMAS
O auditor pode, conforme Gil (2000), ainda, para maior certeza de que
verifica as instrues que efetivamente compem o programa em linguagem de
mquinas, executar os seguintes procedimentos:
E
IMPORTANT
201
UNIDADE 3 | AUDITORIA DE SISTEMAS
9.11 SNAPSHOT
Tcnica que fornece uma listagem ou gravao do contedo das variveis do
programa (acumuladores, chaves, reas de armazenamento) quando determinado
registro est sendo processado. Para Gil (2000, p. 95), a quantidade de situaes a
serem extradas predeterminada.
De acordo com Gil (2000, p. 95), esta uma tcnica usada como auxlio
depurao de programas, quando h problemas e realmente exige fortes
conhecimentos de processamento eletrnico de dados por parte do auditor de
sistemas.
202
RESUMO DO TPICO 1
Todo sistema est sujeito a falhas, erros e mal uso de recursos em geral. Tanto o
computador como a mente humana so instrumentos para grandes realizaes,
porm no so infalveis.
203
AUTOATIVIDADE
Assista ao vdeo de
resoluo da questo 1
204
UNIDADE 3
TPICO 2
TIPOS DE AUDITORIAS
1 INTRODUO
Caro(a) acadmico(a)! Neste tpico ser possvel conhecer alguns tipos de
auditoria. So os seguintes: auditoria de controles organizacionais; de aquisio,
desenvolvimento e manuteno de sistemas; de controle de hardwares, acesso e
de suporte tcnico; de operao do computador; procedimentos de auditoria de
sistemas aplicativos; auditoria de planos de segurana e redes e relatrios de
auditoria.
Gerenciamento de suprimentos.
205
UNIDADE 3 | AUDITORIA DE SISTEMAS
206
TPICO 2 | TIPOS DE AUDITORIAS
207
UNIDADE 3 | AUDITORIA DE SISTEMAS
Imoniana (2011) tambm afirma que outro controle necessrio nessa fase
o estabelecimento de padres para sistema. Esses padres so cumpridos pelos
usurios ao preencher os requerimentos de sistema e determinados durante a
anlise de sistemas.
NOTA
208
TPICO 2 | TIPOS DE AUDITORIAS
209
UNIDADE 3 | AUDITORIA DE SISTEMAS
NOTA
210
TPICO 2 | TIPOS DE AUDITORIAS
a) BIOS.
b) Processadores (chips).
c) Sistemas operacionais e linguagens.
d) Fabricante/modelo e sries.
e) Monitor e resoluo.
f) Placas de modem, som, vdeo etc.
211
UNIDADE 3 | AUDITORIA DE SISTEMAS
E
IMPORTANT
NOTA
212
TPICO 2 | TIPOS DE AUDITORIAS
Para Gil (2000, p. 146), os seguintes aspectos devem ser validados pelo
auditor de sistemas no que tange segurana fsica e ambiental:
213
UNIDADE 3 | AUDITORIA DE SISTEMAS
Para Gil (2000, p. 150), a segurana lgica diz respeito modificao dos
recursos tecnolgicos, informaes e software, e a confidencialidade diz respeito
captao indevida desses mesmos recursos tecnolgicos. Para a manuteno da
segurana lgica e da confidencialidade necessrio validar e avaliar controles
lgicos inseridos, bem como proteger informaes e programas.
NOTA
215
UNIDADE 3 | AUDITORIA DE SISTEMAS
216
TPICO 2 | TIPOS DE AUDITORIAS
217
UNIDADE 3 | AUDITORIA DE SISTEMAS
Imoniana (2011) afirma que uma funo de suporte bem controlada tem
procedimentos estabelecidos para a manuteno do sistema que controla o sistema
operacional e outros recursos importantes, como o gerenciador de banco de dados e
redes de comunicao. Falhas frequentes no sistema, tais como: incapacidades dos
sistemas aplicativos de acessarem as transaes on-line, para acessar o computador
central, ou outros problemas genricos que indicam desativao das capacidades
de compartilhamento dos recursos de redes, tais como impressoras, entre outros,
podem indicar a existncia de deficincias no controle de suporte ao sistema de
informaes.
218
TPICO 2 | TIPOS DE AUDITORIAS
8 PROCEDIMENTOS DE AUDITORIA
DE SISTEMAS APLICATIVOS
Os procedimentos de auditoria de sistemas aplicativos referem-se queles
executados para averiguar se os sistemas que constituem o cerne de negcio de uma
empresa registram as transaes rotineiras adequadamente. uma abordagem
baseada na avaliao dos sistemas das transaes rotineiras para obteno de
evidncias significativas da operao de tais sistemas. Essa auditoria pode ser
feita quando da aquisio de um aplicativo ou quando do seu desenvolvimento
interno, caracterizando uma reviso de pr-implementao. feita tambm
depois que o sistema colocado em operao, entendida como ps-implantao. A
efetividade dos controles internos esperados nos ambientes de sistemas aplicativos,
normalmente depende dos controles de acessos a informaes, controles de
hardwares, controles organizacionais da rea de processamento de dados, suporte
tcnico e os controles de aquisio, desenvolvimento, manuteno e documentao
de sistemas refletem nos aplicativos (IMONIANA, 2011).
219
UNIDADE 3 | AUDITORIA DE SISTEMAS
a) Identificao de sistemas-chaves:
A identificao de sistemas-chaves fundamental para que o auditor
possa direcionar seus esforos de avaliao aos sistemas mais importantes
para a consecuo dos objetivos dos negcios, os quais, quando propensos
a erros, poderiam apresentar variaes materiais nas demonstraes
financeiras. Geralmente, apresentam os fluxos de informaes mais
significativas.
b) Descrio do sistema:
Levanta-se a finalidade do sistema na conduo do negcio. So controles
que atenuam os riscos, sejam eles controles manuais ou controles
programados.
c) Descrio do perfil do sistema:
Cita-se o volume aproximado de transaes processadas por ms.
Menciona os softwares em uso. Especifica tambm se o sistema foi
desenvolvido internamente ou externamente, qual a linguagem de
programao e quantos programas contm.
d) Documentao da viso geral do processamento:
Workflow das funes-chaves no processamento das informaes
significativas e a frequncia de seu uso. Deve-se observar a necessidade
de documentar o fluxo das transaes atravs de Diagrama de Fluxo de
Dados, enfatizando entradas-chave, lgica dos processamentos e sadas-
chaves.
e) Descrio de riscos dos sistemas aplicativos:
Deve-se documentar se o sistema opera em ambiente de produo ou de
desenvolvimento; em ambas as situaes, quem o responsvel? Verifique
se existem verses da aplicao em uso. Se houver, quantas verses so e
verifique se h planos para a eliminao de verses indesejveis. Verifique
tambm se h processos testados para contingncias e desastres.
220
TPICO 2 | TIPOS DE AUDITORIAS
Integridade.
Confidencialidade.
Privacidade.
Acuidade.
Disponibilidade.
Auditabilidade.
Versatibilidade.
Manutenibilidade.
221
UNIDADE 3 | AUDITORIA DE SISTEMAS
222
TPICO 2 | TIPOS DE AUDITORIAS
10 AUDITORIA DE REDES
A rede empresarial onde habita a informao que alimenta as transaes
e os processos de negcios. , de acordo com Imoniana (2011, p. 177), o local em
que existem as informaes mais importantes para a execuo de transaes no
s econmicas, mas tambm financeiras.
223
UNIDADE 3 | AUDITORIA DE SISTEMAS
224
TPICO 2 | TIPOS DE AUDITORIAS
11 RELATRIOS DE AUDITORIA
Vale ressaltar que somente quando a estratgia de confiana nos controles for
adotada e os controles que mitigam os riscos que podem existir forem identificados
se recomenda avaliao dos controles internos; se no houver estabelecimento
de nvel aceitvel e de confiana nos controles internos no se recomenda sua
avaliao, pois no adianta avali-los, visto que a reviso apenas visa confirmar
se os controles funcionam e se so efetivos. Por sua vez, quando for atender s
necessidades de auditoria interna, seus relatrios ajudaro na compreenso da
extenso da efetividade dos controles implementados no processo de gesto
empresarial (IMONIANA, 2011).
225
UNIDADE 3 | AUDITORIA DE SISTEMAS
NOTA
226
RESUMO DO TPICO 2
227
AUTOATIVIDADE
Assista ao vdeo de
resoluo da questo 2
228
UNIDADE 3
TPICO 3
1 INTRODUO
Normas e padres tcnicos representam uma referncia importante para a
qualidade de qualquer processo. Quando processos de produo de bens e servios
so desenvolvidos em conformidade com um padro de referncia de qualidade,
aumentam as garantias de que estes sejam eficientes, eficazes e confiveis (BEAL,
2008).
E
IMPORTANT
229
UNIDADE 3 | AUDITORIA DE SISTEMAS
3 ISO GUIDE 73
A ISO/IEC Guide 73 (Risk Management vocabulary guidelines for use in
standards), publicada em 2002, define 29 termos da Gesto de Riscos, os quais
foram agrupados nas seguintes categorias: termos bsicos; termos relacionados
a pessoas ou organizaes afetadas por riscos; termos relacionados avaliao de
riscos; termos relacionados a tratamento e controle dos riscos. A norma til para
uniformizar o entendimento em relao aos conceitos relacionados ao risco (BEAL,
2008).
4 ITIL
A IT Infrastructure Library (ITIL) foi inicialmente publicada em 1989 pela
Central Computer Telecommunication Agency (CCTA) (atualmente denominada
de Office of Government Commerce (OGC)), agncia do Reino Unido. Desde
sua publicao original, a ITIL se prope a ser uma fonte de boas prticas de
gerenciamento de ambientes de TI, baseada na experincia de centenas de empresas
de classe mundial e organizadas por um grupo de renomados especialistas em
computao e administrao (FOINA, 2009).
230
TPICO 3 | NORMAS E PADRES DE SEGURANA
5 COBIT
Segundo Beal (2008, p. 32),
NOTA
231
UNIDADE 3 | AUDITORIA DE SISTEMAS
232
TPICO 3 | NORMAS E PADRES DE SEGURANA
NOTA
NOTA
233
UNIDADE 3 | AUDITORIA DE SISTEMAS
parte 2 equivale aos das normas ISO 9001 e ISO 14000, e exemplos de
entidades certificadoras para a BS 7799-2 so BSI, Certification Europe,
KEMA, KPMG e SAI Global Limited.
234
TPICO 3 | NORMAS E PADRES DE SEGURANA
NOTA
De acordo com Ferreira e Arajo (2008), em julho de 2007, foi alterado apenas o
nome da norma NBR ISO/IEC 17799 para NBR ISO/IEC 27002.
235
UNIDADE 3 | AUDITORIA DE SISTEMAS
7 ISO/IEC 13335
A ISO/IEC 13335 (Guidelines for the management of IT security) um conjunto
de diretrizes de gesto de segurana voltadas especificamente para a tecnologia
da informao. A norma composta de cinco partes, que tratam de conceitos e
modelos para a segurana de TI, da administrao e planejamento de segurana
de TI, das tcnicas para a gesto da segurana de TI, da seleo de medidas de
proteo e da orientao gerencial em segurana de redes. A ISO 13335 tem por
objetivo no s servir de base para o desenvolvimento e o aprimoramento de uma
estrutura de segurana de TI, como tambm estabelecer uma referncia comum de
gesto de segurana para todas as organizaes. (BEAL, 2008, p. 35).
Vale ressaltar que a renovao do certificado deve ser efetuada a cada trs
anos e exige-se que seja realizada uma nova Auditoria de Certificao (FERREIRA;
ARAJO, 2008). O custo da certificao depende de vrios fatores, tal como quanto
236
TPICO 3 | NORMAS E PADRES DE SEGURANA
9 SARBANES-OXLEY
O ato Sarbanes-Oxley, elaborado pelo senador americano Paul Sarbanes e pelo
deputado Michael Oxley, tornou-se lei em 30 de julho de 2002 e introduziu mudanas
significativas governana corporativa e ao cenrio financeiro, visando proteger
os investidores atravs da melhoria dos processos que geram as demonstraes
financeiras. (FERREIRA; ARAJO, 2008, p. 143).
237
UNIDADE 3 | AUDITORIA DE SISTEMAS
LEITURA COMPLEMENTAR
238
TPICO 3 | NORMAS E PADRES DE SEGURANA
239
RESUMO DO TPICO 3
240
AUTOATIVIDADE
Assista ao vdeo de
resoluo da questo 3
241
242
REFERNCIAS
BALTZAN, Paige; PHILLIPS, Amy; Sistemas de informao. Porto Alegre:
AMGH, 2012.
243
IMONIANA, Joshua Onome. Auditoria de sistemas de informao. 2. ed. So
Paulo: Atlas, 2011.
SCHMIDT, Paulo; SANTOS, Jos Luiz dos; ARIMA, Carlos Hideo. Fundamentos
de auditoria de sistemas. So Paulo: Atlas, 2006.
WEBER, Kival Chaves. ROCHA, Ana Regina Cavalcanti da; NASCIMENTO, Clia
Joseli do. Qualidade e produtividade em software. 4. ed. renovada. So Paulo:
Makron Books, 2001.
244