Professional Documents
Culture Documents
VERSO 1
AUDITORIA E CONFORMIDADE DE
GSIC345
SEGURANA DA INFORMAO
CEGSIC
Coordenao
Jorge Henrique Cabral Fernandes
Secretaria Administrativa
Indiara Luna Ferreira Furtado
Jucilene Gomes
Martha Arajo
Texto e ilustraes: Roberto W. S. Rodrigues; Jorge H. C. F.ernandes | Capa, projeto grfico e diagramao: Alex Harlen
Sumrio
[6] Currculo Resumido do Autor (Roberto Wagner da Silva Rodrigues)
[7] 1. Introduo
1.1 Princpios Gerais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
1.2 Controle Interno . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
1.3 Auditoria e Controle, Interno e Externo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.4 Porque Necessria a Segurana da Informao? . . . . . . . . . . . . . . . . . . . 10
1.5 Porque Auditar a Segurana da Informao? . . . . . . . . . . . . . . . . . . . . . . . . 11
3
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
4
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
[53] Referncias
5
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
6
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
1. Introduo
A sempre crescente demanda por prestao de mais e melhores servios pblicos tornou
necessrio disponibilizar meios de processamento de dados e de comunicao para troca de
informaes, bem como para permitir interao entre as organizaes pblicas e os cidados.
Essa interao tem sido mediada cada vez mais pela Internet e por meio de servios de e-gov
apoiados em sistemas de informao computadorizados. Consequentemente, a segurana (es-
pecialmente a disponibilidade, a integridade, a confidencialidade ou sigilo e a autenticidade)
dessas informaes passou a ser uma preocupao do poder pblico e um tema crtico da
gesto moderna, seja ela pblica ou privada. Uma forma de gerenciar essa criticidade criar
normas, formular polticas, padronizar procedimentos e prticas, estabelecer medies e m-
tricas, alm de automatizar controles, de modo a no s aumentar previsibilidade dos resulta-
dos dessa prestao de servio, mas principalmente melhorar a capacidade de lidar com riscos
decorrentes das vulnerabilidades dos sistemas sejam eles manuais ou automatizados - e das
ameaas existentes (sobretudo as originadas da Internet).
Essas normas, polticas, procedimentos, prticas, mtricas e mecanismos automatizados
so controles, e podem ser analisadas atravs de sua vinculao com os objeto de controle
que so decompostos em pontos de controle. A auditoria de segurana de informao uma
atividade devidamente estruturada para examinar criteriosamente a situao desses controles
que se aplicam segurana da informao, especialmente por meio da anlise de objetos e
seus pontos de controle, vis-a-vis a probabilidade de ameaas s informaes crticas sobre as
quais atuam esses controles. Isto necessrio porque os controles ou a ausncia deles podem
se constituir em vulnerabilidades explorveis ou portas de entrada para produzir incidentes
de segurana da informao. A auditoria cria condies tcnicas para investigar e emitir um
juzo sobre as evidncias encontradas, de modo a se antecipar ante a possveis riscos de viola-
o de um patrimnio precioso: os ativos de informao. Esses ativos correspondem quelas
informaes e todos os recursos associados que tm alto valor para o negcio pblico ou pri-
vado. Consideram-se como ativos de informao os processos organizacionais e processuais
(procedimentos, roteiros, atividades), itens fsicos (instalaes, equipamentos, cabeamento) e
lgicos (programas, sistemas, estruturas de dados), que devem ser auditados continuamente.
De outra forma, auditoria a expresso de opinio feita por um profissional devidamente
qualificado, acerca de uma determinada situao, e documentada na forma de um relatrio
ou parecer. Para tal, o auditor emprega prticas geralmente aceitas, baseadas em um mtodo
racional, em evidncias, em respeito aos princpios ticos, com responsabilidade perante o
cliente, com devido cuidado e habilidade profissional, sujeito reviso por pares, mas com
independncia no que se refere roteirizao, investigao e anlise e produo do relato.
Em linhas gerais, a auditoria de segurana da informao pretende assegurar que os ati-
vos de informao, considerados os objetos de auditoria em segurana da informao, este-
jam absolutamente sob controle da organizao. Para tal, preciso verificar que os controles
estejam de acordo com as normas e polticas de segurana estabelecidas para esses ativos,
bem como se o que est em operao alcana os objetivos de segurana definidos. A auditoria
de segurana de informao envolve tambm o provimento de uma avaliao independente
dos controles da organizao (normas, polticas, padres, procedimentos, prticas, mtricas
e mecanismos) empregados para salvaguardar a informao, em formato eletrnico ou no,
contra perdas, danos, divulgao no intencional e indisponibilidades. Por fim, a auditoria
uma atividade realizada na forma de aes projetizadas, que tem um incio, meio e fim, e que
visam produzir resultados dentro de custos, prazos e qualidades esperadas. Para alcanar tais
objetos, as auditorias, projetos individuais, agrupam-se em programas, que compreendem a
realizao de vrias auditorias ao longo de um perodo de tempo de meses ou anos, e que
visam melhorar sistematicamente o desempenho, a eficincia e a segurana organizacionais.
7
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
8
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
Ambiente de Controle
Avaliao do risco
Atividades de Controle
Informao e Comunicao
Monitoramento
Segundo o COSO (2007), monitoramento uma avaliao, por pessoal apropriado, acerca
do desenho e operao de controles de uma forma adequadamente regular e a tomada de
aes necessrias. O monitoramento pode ser efetuado por meio de atividades contnuas e
avaliaes separadas. Os sistemas de controle interno devem ser estruturados para monitora-
rem a si mesmos de forma contnua, at um certo de grau, de modo que quanto maior for o
grau e a efetividade do monitoramento contnuo, menor a necessidade de avaliaes separa-
das. Por fim, tambm conforme o COSO, usualmente, alguma combinao de monitoramento
contnuo e avaliaes em separado garantir que o sistema de controle interno manter sua
efetividade ao longo do tempo. A auditoria uma abordagem de avaliao em separado.
9
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
Texto complementar
No caso do Brasil, a Lei n10.180, de 2001, organiza e disciplina os Sistemas de Planejamento e de Or-
amento Federal, de Administrao Financeira Federal, de Contabilidade Federal e de Controle Interno do
Poder Executivo Federal, e d outras providncias. O Ttulo V desta Lei descreve as finalidades, a organi-
zao e as competncias deste controle interno, coordenado pela Secretaria Federal de Controle Interno da
Controladoria Geral da Unio, e que, dentre outras atribuies deve realizar auditorias nos sistemas cont-
bil, financeiro, oramentrio, de pessoal e demais sistemas administrativos e operacionais.
Texto Complementar
Auditoria Contbil
O tema Auditoria herda um arcabouo conceitual slido da rea contbil, onde mais se desenvolveu. A
auditoria contbil tem como objeto as contas pblicas ou privadas, seja para verificar o desempenho da
organizao frente ao seus objetivos de lucros nas organizaes privadas, seja na verificao da prestao
de contas nas organizaes pblicas. Tem ainda a funo de verificar que os registros contbeis esto em
conformidade com as normas e procedimentos exarados nos marcos regulatrios da atividade contbil. A
funo da contabilidade no s ser um instrumento de deciso, mas tambm de informao. Na medida
em que a informao passa a ser o bem mais precioso das organizaes na era da Sociedade da Informao,
h tendncia de convergncia entre as atividades de auditoria contbil e de segurana da informao. No
de somenos importncia mencionar que o resultado de auditorias contbeis tem srias implicaes sociais
e econmicas nas esferas pblicas e privadas pelos impactos que podem provocar na vida das pessoas em
funo de sua natureza alocativa.
10
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
sejam eles pblicos ou privados. Essas atividades constituem a gesto da informao, que tem
suas prticas definidas pelos sistemas de informao que apiam os processos de trabalho na
organizao, sejam eles manuais ou automticos. A gesto da informao tem fundamentos
na administrao, na contabilidade, na arquivologia, nas tecnologias da informao e da co-
municao, nas cincias da informao e da computao, entre outras. Como ferramenta de
segurana, a gesto da informao lana mo de elementos organizacionais, humanos, fsicos
e tecnolgicos, integrados por meio de arquitetura e engenharia de sistemas, ou de forma
mais geral atravs de uma abordagem ciberntica.
O objetivo da auditoria da segurana da informao, aderente ao componente de monito-
ramento do COSO (2007) ento o controle de informaes relevantes para o relato da gesto,
conforme tais informaes so produzidas, identificadas, armazenadas, distribudas, usadas e
processadas, dentro dos parmetros estabelecidos pelos processos de controle da organiza-
o, a fim de suportar o alcance dos objetivos de negcio.
Note que o controle, mesmo sendo necessrio para o alcance de garantias para o desem-
penho organizacional, cria limitaes s aes dos agentes que executam processos na orga-
nizao. Ou seja, por sua prpria natureza e necessidade, produz cerceamento de liberdade de
aes dos agentes, que se no fossem feitas levariam ao caos. Desta forma importante que
todos estes agentes recebam uma clara mensagem da alta administrao quanto forma de
tratar a informao com segurana, pois central para o controle dos negcios e alcance da
misso institucional. As responsabilidades individuais dos agentes devem ser alinhadas com
essa mensagem (viso de segurana) e a questo da segurana da informao deve ser embu-
tida na cultura organizacional.
A mensagem da necessidade de segurana da informao usualmente estabelecida por
uma poltica. A poltica de segurana da informao, tratada em detalhes no texto de Souza
Neto (2010), deve tornar claro que cada participante ou colaborador na organizao (agentes
em geral) um ator relevante quando se trata de proteger ativos de informao, principalmen-
te aqueles considerados estratgicos ou crticos. Os agentes devem estar cientes dos riscos de
segurana existentes e das medidas preventivas que devem ser tomadas (OECD, 2002). Alm
disso, responsabilidades claras devem ser atribudas aos agentes, de modo que se possam dis-
tribuir tarefas especficas ou gerais para que se esteja sempre aperfeioando os mecanismos
de segurana da informao implantados. De forma mais prtica, a poltica de segurana da
informao o principal controle de segurana numa organizao, e a ele se articulam (e na
maioria dos casos se subordinam) todos os demais controles
11
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
12
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
13
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
Somente uma anlise contextualizada, produzida por um auditor poder indicar qual o
melhor propsito da auditoria. Questes especficas sobre propsito de uma auditoria de se-
gurana da informao so descritas na Seo 3.
Destaque
Pontos de controle podem remeter a artefatos fsicos, como placas de sinalizao e instalaes fsicas ou
artefatos lgicos tais como senhas de acesso a sistemas. Portanto, podem ser fsico ou lgicos, tangveis ou
intangveis. Desvios ou percepes de riscos devem ser examinados para se identificar quais pontos de con-
trole tm relao com esses riscos, definindo seu grau de criticidade para a segurana. A busca de indcios
e evidncias de situaes de insegurana que merecem ateno e sua correta interpretao pode levar a
uma constatao ou achado importante, desde que executados com mtodos claros e reproduzveis, e, se for
o caso, com mtodos cientficos. Veja, por exemplo Lopez (2010).
14
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
15
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
16
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
cionais de auditoria e os pareceres. O Auditor dever produzir pelo menos um plano de auditoria,
um relatrio situacional e um parecer para cada engajamento de auditoria (ver Seo 8).
17
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
Cada um dos tipos de auditoria pode seguir mtodos diferentes e possui um arcabouo
conceitual e necessidades de especializao distintas.
18
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
19
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
20
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
21
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
operacional se tem a preocupao com a eficincia e eficcia das operaes, cuja inobservn-
cia compromete os resultados aumentando os riscos.
No caso da auditoria de conformidade, os objetos de auditoria tm como propsito ga-
rantir a integridade, a disponibilidade e a confiabilidade desses ativos conforme preconizam
os padres e especificaes determinados pela e para a organizao dos controles em prtica.
Pontos de controle requerem observncia de regras que esto mais sujeitas a questes de con-
sistncia da regras ou de aderncia das aes de segurana em face do que est determinado
nas regras. Nas sees seguintes so apresentados detalhes de cada tipo de auditoria.
22
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
23
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
24
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
25
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
26
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
27
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
6.1.10 Todas as comunicaes com os dispositivos que acessam a rede interna da or-
ganizao devem ser criptografadas utilizando os protocolos adequados.
28
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
29
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
30
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
31
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
Novamente cabe destacar que a lista no exaustiva, e que a todos os itens deve ser dada
ateno conforme as necessidades de proteo da organizao. Cada objeto de auditoria pode
ser desmembrado em pontos de controle ainda mais detalhados. A Seo 9 apresenta um
modelo de investigao desses objetos com seus respectivos pontos de controle, detalhando
ainda mais o modelo da Figura 2.
32
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
7. Auditoria de Conformidade
A Auditoria de Conformidade em segurana da informao tem o propsito de verificar que
as informaes produzidas pela organizao, seja por sistemas computacionais ou por registros
manuais, esto em conformidade com os padres de segurana definidos em documentos nor-
mativos reconhecidos. Dado que se est tratando de organizaes que se apoiam fortemente
em sistemas computacionais, esse tipo de auditoria centra em procedimentos para verificar que
recursos tecnolgicos, ou que as informaes produzidas por sistemas computacionais ou arma-
zenadas em banco de dados esto em conformidade com os normativos. Observe que se inclui,
no caso do servio pblico, o arcabouo legal referente rea de segurana (ver anexo I).
Segundo Juran e outros (1990), quando tratando de auditorias na rea da qualidade, uma
auditoria de conformidade uma auditoria que examina se aquilo que est sendo auditado est
de acordo com as especificaes de produtos e servios. Esse texto segue analogamente a mes-
ma ideia, no sentido de que a auditoria de conformidade examina se os objetos de auditoria de
segurana da informao esto de acordo com as especificaes dos servios ou bens relaciona-
dos segurana da informao, desde que essas especificaes, materializadas em normas, es-
tejam homologadas pela gesto. Tais especificaes podem estar em qualquer documento que
tenha como propsito a padronizao, o que inclui documentos externos organizao pblica.
33
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
34
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
TEXTO COMPLEMENTAR
15.2.1 conformidade com as polticas e normas de segurana de informao (ISO/IEC 27002:2005)
Controle
Convm que gestores garantam que todos os procedimentos de segurana da informao dentro de sua rea
de responsabilidade esto sendo executados corretamente para atender s normas e polticas de segurana da
informao.
Diretrizes de implementao
Convm que os gestores analisem criticamente, a intervalos regulares, a conformidade do processamento da
informao dentro de sua rea de responsabilidades com as polticas de segurana da informao, normas ou
qualquer outros requisitos de segurana.
Se qualquer no-conformidade for encontrada como um resultado da anlise crtica, convm que os gesto-
res:
a) determinem as causas da no-conformidade;
b) avaliem a necessidade de aes para assegurar que a no-conformidade se repita
c) determinem e implementem ao corretiva apropriada;
d) analisem criticamente a ao corretiva tomada.
()
35
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
36
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
Texto Complementar
Um modelo de poltica de segurana da informao
Politica de Segurana da Informao
Art. 1. Entende-se por Poltica de Segurana da Informao o conjunto de princpios, orientaes e regras
formalmente declaradas a respeito do que deve ser seguido em termos de segurana dos ativos de informao.
Art. 2. Considera-se ativos de informao todos os recursos tecnolgicos que incluem documentos, dados e
sistemas, procedimentos e processos, necessrios ao atendimento das necessidades de negcio da organizao.
Pargrafo nico. Mudanas neste documento s podero ser realizadas pelo comit de segurana da infor-
mao a e aprovadas pela alta direo.
Art 5. Dever se disponibilizado e divulgado para toda a organizao um conjunto de orientaes quanto ao
ativos de informao.
Pargrafo nico. Em atendimento ao caput deste artigo devero ser criadas regras que regulem ativos de
informao quanto a:
i) coleta de informaes;
ii) armazenamento de dados;
iii) publicao de informao;
iv) classificao de documentos;
v) sistemas de informao;
vi) processamento de dados;
vii) acesso fsico;
viii) acesso lgico;
ix) fluxo de dados e documentos;
x) distribuio;
xi) formatao.
()
37
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
7.5 Concluses
A auditoria de conformidade consiste ento em examinar se objetos ou aes realizados
ou em realizao esto de acordo com normas pr-estabelecidas. Essas normas geralmente de-
finem padres de desempenho, de procedimentos, de processos, de execuo, de produtos de
sistemas e demais objetos ou aes que tm especificaes normativas que servem de refern-
cia para exame da auditoria. As normas criam expectativas de que, uma vez seguida as regras,
haver maior previsibilidade de resultados proporcional ao grau de aderncia a esses padres.
38
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
39
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
Segundo Fernandes (2010b), a gesto de riscos tem o efeito de tornar uma organizao
mais segura, isto , que possui um grau satisfatrio de garantia de que continuar a funcionar
adequadamente conforme suas caractersticas estabelecidas, mesmo na presena de eventos
negativos decorrentes da interao com agentes maliciosos ou na ocorrncia de eventos de-
correntes de acidentes ou desastres de origem natural ou ambiental. Segurana significa con-
tinuar a cumprir seus objetivos de negcio, mesmo em face do sinistro. (Fernandes, 2010b).
A garantia de funcionamento da organizao decorre da implementao de um plano
de segurana da informao, cujo principal insumo o Plano de Tratamento do Risco (PTR),
produzido na fase de Tratamento do Risco (Ver Figura 4). O Tratamento do Risco ocorre aps
a Anlise e Avaliao do Risco, tambm chamada de Apreciao. Do Plano de Tratamento do
Risco deriva diretamente o Plano de Segurana da Informao, pois o primeiro precisa ser acei-
to pelo gestor da organizao na fase de Aceitao do Risco (Ver Figura 4). Uma vez aceito, o
Plano de Segurana passa a ser executado e continuamente monitorado e comunicado entre
os agentes que constituem a organizao.
O Quadro 2 apresenta um modelo de plano de tratamento do risco, usualmente desenvol-
vido na Fase de Tratamento do Risco na gesto do Risco.
importante destacar que a gesto do risco se inicia (ver topo da Figura) com uma Definio
do Contexto para a gesto do risco, na qual so definidos os critrios para a gesto do risco. Para
detalhes sobre o processo geral descrito na figura o leitor remetido a Fernandes (2010).
Conforme a ISO/IEC 27005:2008, os benefcios decorrentes da adoo de uma abordagem
de gesto de riscos aderente norma compreendem:
Riscos so identificados.
Riscos so apreciados em termos de consequncias e chances de ocorrncia.
As chances e consequncias de riscos so comunicadas e compreendidas.
Uma ordem de prioridade para tratamento de riscos estabelecida.
Uma ordem de prioridade para reduo dos riscos estabelecida.
40
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
41
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
9. Instrumentos e Ferramentas
A realizao de uma auditoria eficaz no pode prescindir de instrumentos, ferramentas e
eventualmente, trabalhos de tcnicos especializados, descritos no restante desta seo.
42
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
Observe que o Quadro 1 lista os objetos e os pontos de controle e faz trs perguntas. A pri-
meira indica se o controle existe para cada objeto e ponto de controle. A resposta vem de uma
lista de verificao respondida com SIM, NO e No se Aplica (N/A). A coluna em Andamento
indica que providncias j esto sendo tomadas para a anlise. A coluna Verificado indica se
o ponto de controle foi testado. A coluna Validado indica se o controle referente ao PC foi
43
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
validado, ou seja, se foi testado e est em pleno funcionamento. O formulrio per se permi-
te abordagens diferenciadas, envolvendo testes de controle e testes substantivos, onde for o
caso. Na coluna Lista de Verificao, por exemplo, o objetivo perguntar sobre a existncia ou
no do controle. Uma entrevista poder ser suficiente, se o propsito fazer um levantamento
da situao para saber se certos controles j foram elencados. Responder SIM ou NO apenas
confere se a organizao j iniciou o processo de segurana de seus ativos de informao.
Algumas combinaes obtidas no Quadro levam a providncias e procedimentos diferentes.
Se um ponto de controle, j catalogado como sensvel segurana dos ativos de informao
ainda no foi implantado, uma auditoria de gesto recomendada.
Razes diversas como falta de profissionais qualificados, custos elevados, ou mesmo a ine-
xistncia de ferramentas cuja aquisio no foi priorizada, podem determinar essa ausncia.
Outros controles precisam ser testados. Por exemplo, a sequncia OA1/PC3 => N,N,N,N indica
que no existe o controle em prtica, e, portanto, nada pde ser verificado ou validado. Neste
caso, preciso consultar as decises relacionadas a este ponto de controle quanto a prazos,
custos, pessoal, dentre outras auditorias. Ou seja, a auditoria deve ser aprofundada e conside-
rada prioritria para o OA1/PC3.
Agora, caso seja constatada a existncia do controle e sua operao j tenha sido implan-
tada, a auditoria recomendada a de desempenho operacional, desde que se queira checar
indicadores de eficcia do controle. O exemplo OA4/PC4 => S,S,S,S significa que o PC foi vali-
dado. Para que tal validao acontea, o funcionamento do IPSEC deve ser demonstrado, seja
por um analisador de protocolos, seja por verificao da configurao da VPN (Virtual Private
Network), mesmo que seja bvio que o IPSEC esteja sendo utilizado. Em segurana mesmo o
que bvio no pode ser negligenciado. bvio que agentes de uma organizao no a sabo-
tariam. A Engenharia Social est a para mostrar que isso pode ser feito at mesmo sem haver
inteno de faz-lo.
Para finalizar, no se pode deixar de mencionar a gesto e os planos de continuidade.
Esse plano no ser tratado aqui por questo de espao, mas verificar a sua existncia e seus
parmetros j por si s objeto de uma auditoria que merece muita ateno. Planos de conti-
nuidade devem ser testados, pois descrevem em detalhes os procedimentos de manuteno
dos negcios crticos e a restaurao de plena capacidade operacional da organizao em caso
de crises e catstrofes. , portanto, um elemento indispensvel para a segurana.
44
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
45
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
A atividade de um hacker tico deve seguir os seguintes passos, conforme indica Graves (2007):
Discusso de necessidades com o cliente
Preparao e assinatura de acordo de confidencialidade
Organizao do time de ethical hacking
Conduo de testes, comumente chamados de testes de penetrao ou anlise de
vulnerabilidades
Anlise de resultados
Preparao e apresentao do relatrio
46
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
47
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
PROGRAMA DE AUDITORIA
Datas
Auditor(res) Incio
N Programa __/__/___
____________ Fim
_______________________________________ __/__/___
Cdigo Tipo
Descrio Prioridade (severidade)
Pontos de Controle de Auditoria
Gesto (G)
OC.PC XXXXXXXXXXXX (1,2,3 ou 4) Operacional (O)
Conformidade (C)
Justificativa Parmetros Objetivo Obs.
xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx
48
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
5. Cada ponto de controle deve ser descrito tal qual ele foi elencado. Importante que
todos os objetos de controle e pontos de controle faam parte de um catlogo onde
estejam definidos o que fazer (procedimentos e testes) para cada um deles.
6. O nvel de risco e severidade da situao determinante do nvel de prioridade que
se deve dar auditoria para cada ponto de controle. Se um stio eletrnico est sob
constante ataque, provvel que o nvel de severidade seja mximo, portanto, com
prioridade mxima de atendimento.
7. Deve-se justificar porque determinado ponto de controle est merecendo ateno ou
se apenas parte de uma rotina de auditoria.
8. O objetivo da auditoria deve ser claramente definido. Observar que existe um custo
associado a cada projeto e sua utilidade deve ser avaliada. O nvel de risco um par-
metro importante na deciso de prosseguir com a auditoria.
9. Observar que para um mesmo ponto de controle podem ser realizados vrios tipos
de auditoria.
Um relatrio tcnico de auditoria de segurana da informao deve sugerir as penalida-
des a ser aplicadas em caso de descumprimento dos acordos de nvel de servios pactuados e
contratados ou das normas legais a que se referem de cada um dos servios de segurana da
organizao, quando assim for caso. Esses relatrios devem levar em considerao os resulta-
dos da auditoria dos indicadores ou dos pontos de controle selecionados.
Os relatrios tcnicos de auditoria devem ser elaborados em prazos determinados a con-
tar do recebimento do incio da execuo do plano de auditoria, pois tais relatrios so usados
como insumos para anlise do resultado da gesto, das operaes e dos testes de conformida-
de realizados pela equipes de segurana da informao. Devem ser elaborados periodicamen-
te, contendo o resultado dos indicadores dos servios de auditoria realizados. Tal informao
servir de insumo para a avaliao dos servios realizados e dos indicadores alcanados no
perodo.
Finalmente, outro relatrio importante o que define uma escala de quais auditores iro
fazer ou fizeram quais auditorias. Poder ser necessrio recuperar a experincia de cada audi-
toria como uma forma de aprendizagem para organizao. As providncias adotadas e aquelas
mais eficazes devem ser compartilhadas e registradas, pois podem ser um insumo importante
para se realizar uma gesto do conhecimento gerado pelos auditores.
Com base no plano de segurana, renovado regularmente, ser preciso formular uma ro-
teirizao de auditoria para cada ao de auditoria prevista dentro de uma rotina de trabalho.
49
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
50
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
51
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
52
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
Referncias
ABIN Agncia Brasileira de Inteligncia. Compilao de legislao relaciona-
da com informao. Disponvel: http://www.abin.gov.br/modules/mastop_
publish/?tac=Legisla%E7%E3o. ltimo acesso em fevereiro de 2011.
ABNT - Associao Brasileira de Normas Tcnicas. NBR ISO 19011: Diretrizes para audi-
torias de sistema de gesto da qualidade e/ou ambiental. Rio de Janeiro: ABNT.
Novembro de 2002. 25 p.
ABNT - Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27001 - Tecnologia da
informao Tcnicas de segurana Sistemas de gesto de segurana da in-
formao Requisitos. Rio de Janeiro: ABNT. 2006.
ABNT - Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27002 - Tecnologia da
informao Tcnicas de segurana Cdigo de prtica para a gesto da se-
gurana da informao. Rio de Janeiro: ABNT. 2005.
ABNT - Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27005 - Tecnologia da
informao Tcnicas de segurana Gesto de riscos de segurana da infor-
mao. Rio de Janeiro: ABNT. 2008.
ARAJO, A. P. F. Infraestrutura de Tecnologia da Informao (Notas de Aula). Braslia:
Departamento de Cincia da Computao do Instituto de Cincias Exatas da Uni-
versidade de Braslia. 2010. 40 p.
BRASIL. Constituio da Repblica Federativa do Brasil de 05/10/1988 - Constituio da
Repblica Federativa do Brasil. (Excertos).
BRASIL. Decreto 1171 de 22/06/1994 - Aprova o Cdigo de tica Profissional do Servidor
Pblico Civil do Poder Executivo Federal.
BRASIL. Decreto 3505 de 13/06/2000 - Institui a Poltica de Segurana da Informao nos
rgos e entidades da Administrao Pblica Federal.
BRASIL. Decreto 4553 de 27/12/2002 - Dispe sobre a salvaguarda de dados, informa-
es, documentos e materiais sigilosos de interesse da segurana da sociedade e
do Estado, no mbito da Administrao Pblica Federal, e d outras providncias.
BRASIL. Decreto 4915 de 12/12/2003 - Dispe sobre o Sistema de Gesto de Documen-
tos de Arquivo - SIGA, da Administrao Pblica Federal, e d outras providncias.
BRASIL. Lei 7170 de 14/12/1983 - Define os Crimes contra a Segurana Nacional, a Ordem
Poltica e Social, Estabelece seu Processo e Julgamento e d outras Providncias.
BRASIL. Lei 8027 de 12/04/1990 - Dispe sobre normas de Conduta dos servidores p-
blicos civis da Unio, das Autarquias e das Fundaes Pblicas, e d outras pro-
vidncias.
BRASIL. Lei 8159 de 08/01/1991 - Dispe sobre a Poltica Nacional de Arquivos Pblicos
e Privados e d outras providncias.
BRASIL. Lei 9279 de 14/05/1996 - Regula direitos e obrigaes relativos propriedade
industrial.
CHAIM, R. M. Modelagem, Simulao e Dinmica de Sistemas (Notas de Aula). Braslia:
Departamento de Cincia da Computao do Instituto de Cincias Exatas da Uni-
versidade de Braslia. 2010. 48 p.
COSO - Committee of Sponsoring Organizations of the Treadway Commission. Internal
Control Integrated Framework: Guidance for Smaller Public Companies: Repor-
ting on Internal Control over Financial Reporting: Executive Summary: Guidance.
EUA: COSO. October 2005. 207 p.
53
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
54
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
55
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
56
>> CEGSIC 2009-2011 >> Auditoria e Conformidade de Segurana da Informao
57