Apostila Auditoria Seguran A V8

AUDITORIA E SEGURANA DE SISTEMAS
Profesora. Mislene Dalila

Fonte:
Segurana e Auditoria da Tecnologia da Informao Cludia Dias 2000
Auditoria de Sistemas de Informao Joshua Onome Imoniana 2004
Segurana em Informtica e de Informaes Carlos Caruso e Flvio Steffen - 1999
- 1 -

ESCOLA ESTADUAL PROFESSOR ANTNIO DIAS
MACIEL NORMAL

APOSTILA
PROFESSORA MISLENE DALILA DA SILVA

Fonte:
- 2 -
CONCEITOS E ORGANIZAO DA AUDITORIA

Auditoria:
- exame comprobatrio relativo s atividades contbeis e financeiras de uma empresa
ou instituio; auditagem.

Auditor:
- que ou aquele que ouve; ouvinte;
- tcnico ou pessoa com conhecimento suficiente para emitir parecer sobre assunto de
sua especialidade;
- perito de contabilidade a quem se d a incumbncia de examinar minuciosamente e
dar parecer sobre as operaes contbeis de uma empresa ou instituio, atestando a
correo ou incorreo das mesmas e a veracidade do balano geral;
- magistrado, juiz togado com jurisdio privativa ou cumulativa na Justia Militar.

Conceitos de bsicos

A auditoria uma atividade que engloba o exame das operaes, processos, sistemas e
responsabilidades gerenciais de uma determinada entidade, com intuito de verificar sua
conformidade com certos objetivos e polticas institucionais, oramentos, regras, normas
ou padres.

A atividade de auditoria pode ser divida em trs fases: planejamento, execuo e relatrio.

Campo, mbito e rea.

O campo da auditoria compe-se de aspectos como: objeto a ser fiscalizado, perodo e
natureza da auditoria.
Objeto: entidade a ser auditada (completa ou parcialmente, rgo ou funo).
Perodo: espao de tempo sobre o qual a auditoria ir atuar.
Natureza: o tipo de auditoria executada numa entidade.

O mbito da auditoria constitui-se da amplitude e exausto dos processos de auditoria,
incluindo uma limitao racional dos trabalhos a serem executados, nvel de
aprofundamento e grau de abrangncia.

A rea de verificao o conjunto formado por campo e mbito de auditoria. A rea
delimita de modo preciso os temas da auditoria, em funo da entidade a ser fiscalizada e
da natureza da auditoria.

Fonte:
- 3 -

Controles, objetivos de controle, procedimentos, achados de auditoria, papis de
trabalho e recomendaes de auditoria.

O controle a monitorao, fiscalizao ou exame minucioso, que obedece a determinadas
expectativas, normas, convenes sobre as atividades de pessoas, rgos, ou sobre
produtos a fim de no haver se desviarem das normas preestabelecidas.

Podemos classificar os controles em trs tipos:
Controles preventivos: preveno de erros, omisses ou fraudes (previne, evita,
antes da ocorrncia).
Controles detectivos: deteco de erros, omisses ou fraudes e ainda relatar sua
ocorrncia (por exemplo, software de controle de acesso e relatrios de
tentativas de acesso no autorizado a um determinado sistema).
Controles corretivos: usado para reduzir impacto ou corrigir erros, uma vez
detectados (por exemplo, planos de contingncia).

Os objetivos de controle so metas de controle a serem alcanadas, ou efeitos negativos a
serem evitados, para atingirmos esses objetivos, so traduzidos em procedimentos de
auditoria.

Os procedimentos de auditoria formam um conjunto de aes (verificaes e
averiguaes) que permitem obter e analisar as informaes necessrias formulao do
parecer do auditor.

recomendado, que, antes de iniciar a auditoria, seja definida a lista de procedimento, ou
seja, a relao dos pontos a serem verificados. Entidades fiscalizadoras (RF, TCU)
costumam ter manuais de auditoria contendo objetivos de controle e procedimentos de
auditoria preestabelecidos para cada rea de verificao ou natureza de auditoria.

Os achados de auditoria so fatos significativos observados pelo auditor durante a
execuo da auditoria. Esses fatos, no necessariamente, erros, falhas ou fraudes, podem
ser pontos fortes da instituio, rgo, funo ou produto devem ser relevantes e baseados
em dados e evidncias incontestveis.

Sub 1 Sub 3 Sub 2
mbit
o
Camp
o
Objeto
Perodo
Natureza
rea de
Verificao
Fonte:
- 4 -
Os papis de trabalho so registros que evidenciam atos e fatos observados pelo auditor
(documentos, tabelas, planilhas, listas de verificaes, arquivos informatizados, etc.). Esses
papis do suporte ao relatrio de auditoria, neles esto o registro da metodologia adotada,
procedimentos, verificaes, fontes de informaes, testes e outras informaes
relacionadas ao trabalho executado pelo auditor.

As recomendaes de auditoria so feitas na fase de relatrio, so medidas corretivas
possveis, a fim de corrigir deficincias detectadas durante a auditoria. Dependendo da
competncia ou posio hierrquica do rgo de controle em relao entidade auditada,
as recomendaes podem se transformar em determinaes a serem cumpridas.

Natureza da auditoria

No existe padro classificatrio (tipologia) dos diversos tipos de auditoria existentes, a
seguir apresentamos alguns tipos mais comuns, classificados de acordo com os seguintes
aspectos:
rgo fiscalizador
o Auditoria interna
Realizada por rgo interno da entidade, tem como objetivo
reduzir as probabilidades de fraudes, erros, prticas ineficientes
ou ineficazes. Deve ser independente e prestar contas
diretamente direo da instituio.
o Auditoria externa
Realizada por instituio externa e independente da entidade
fiscalizada, com objetivo de emitir parecer sobre gesto de
recursos, situao financeira, a legalidade de suas operaes.
o Auditoria articulada
Trabalho conjunto de auditorias internas e externas caracteriza-
se pelo uso de recursos e comunicaes recprocas dos
resultados.

Forma de abordagem do tema
o Auditoria horizontal
Aborda tema especfico, realizada em vrias entidades ou
servios paralelamente.
o Auditoria orientada
Focada em uma atividade especfica qualquer ou em atividade
com fortes indcios de erros ou fraudes.

Tipo ou rea envolvida
o Auditoria de programas do governo
Acompanhamento, exame e avaliao da execuo de programas
e projetos governamentais especficos (efetividade das medidas
governamentais).
o Auditoria do planejamento estratgico
Verifica se os principais objetivos da entidade so atingidos e se
as polticas e estratgias de aquisio, utilizao e alienao de
recursos so respeitadas.
o Auditoria administrativa
Fonte:
- 5 -
Engloba o plano da organizao, seus procedimentos e
documentos de suporte tomada de deciso.
o Auditoria contbil
Auditoria tem objetivo de garantir a correo das contas da
instituio, conforme as devidas autorizaes.
o Auditoria financeira
Ou auditoria das contas, anlise das contas, da situao
financeira, da legalidade e regularidade das operaes e aspectos
contbeis financeiros, oramentrios e patrimoniais, verificando
se todas as operaes foram corretamente autorizadas,
liquidadas, ordenadas, pagas e registradas.
o Auditoria de legalidade
Analise da legalidade ou regularidade das atividades, funes,
operaes ou gesto de recursos, verificando se esto em
conformidade com a legislao em vigor.
o Auditoria operacional
Analisa todos os nveis de gesto, nas fases de programao,
execuo e superviso, sob o ponto de vista da economia,
eficincia e eficcia. Tambm conhecida como auditoria de
eficincia, de gesto, de resultados ou de prticas de gesto. So
auditados todos os sistemas e mtodos utilizados pelo gestor pata
a tomada de deciso, analisa a execuo das decises a aprecia
at que ponto os resultados pretendidos foram atingidos.
o Auditoria integrada
Inclui auditoria financeira e a operacional.
o Auditoria da tecnologia da informao
Analisa os sistemas de informao, o ambiente computacional, a
segurana de informaes, e o controle interno da entidade,
identificando deficincias e pontos fortes. essencialmente
operacional, conhecida como auditoria informtica,
computacional ou de sistemas.

AUDITORIA DA TECNOLOGIA DA INFORMAO

A Auditoria da TI uma auditoria operacional, isto , que analisa a gesto de recursos,
com o foco nos aspectos de eficincia, eficcia, economia e efetividade. A abrangncia
desse tipo de auditoria pode ser o ambiente de informtica como um todo ou a organizao
do departamento de informtica:
Ambiente de informtica:
o Segurana dos outros controles;
o Segurana fsica;
o Segurana lgica;
o Planejamento de contingncias;
o Operao do centro de processamento de dados.
Organizao do departamento de informtica:
o Aspectos administrativos da organizao;
o Polticas, padres, procedimentos, responsabilidades
organizacionais, gerncia pessoal e planejamento de capacidade;
o Banco de dados;
Fonte:
- 6 -
o Redes de comunicao e computadores;
o Controle sobre aplicativos:
Desenvolvimento,
Entradas, processamento e sadas.

Embora no exista tipologia das sub-reas da Auditoria da TI, apresentamos:

Auditoria da tecnologia da informao
abrangente, engloba todos os controles que podem influenciar a segurana de informao
e o correto funcionamento dos sistemas de toda a organizao:
Controles organizacionais;
De mudana;
De operao de sistemas;
Sobre Banco de Dados;
Sobre microcomputadores;
Sobre ambiente cliente-servidor.

Auditoria da segurana de informaes

Determina a postura da organizao com relao segurana. Avalia a poltica de
segurana e controles relacionados com aspectos de segurana institucional mais globais,
faz parte da auditoria da TI. Seu escopo envolve:
Avaliao da poltica de segurana;
Controles de acesso lgico;
Controles de acesso fsicos;
Controles ambientais;
Planos de contingncia e continuidade de servios.

Auditoria de aplicativos

Segurana e controle de aplicativos especficos, incluindo aspectos intrnsecos rea a que
o aplicativo atende:
Controles sobre o desenvolvimento de sistemas aplicativos;
Controles de entradas, processamento e sada de dados;
Controle sobre contedo e funcionamento do aplicativo, com relao
rea por ele atendida.

EQUIPE DE AUDITORIA

Gerente da equipe:
Habilidade para recrutar ou formar profissionais com nvel adequado de capacitao
tcnica em auditoria e TI; determinar forma de atingir a capacitao e os mtodos de
treinamento mais eficazes.

Conhecimento necessrios

Conhecimento na rea (se possvel experincia anterior)
Fonte:
- 7 -
Cpd, desenvolvimento de sistemas, pesquisa aplicada, fornecedor de hardware, software ou
servios de consultoria tcnica de informtica.

Conhecimentos computacionais para planejar, dirigir, supervisionar e revisar o trabalho
executado.

Avaliao da necessidade de um nvel de conhecimento mais especializado e aprofundado
pra a realizao da auditoria.

Dependendo do mbito (abrangncia, profundidade) diferentes nveis de conhecimento
podem ser exigidos, supridos pela equipe bsica (interna) com treinamentos ou contratao
de mo-de-obra especializada.

Conhecimentos tcnicos:
Sistemas operacionais,
Software bsico,
Banco de dados,
Processamento distribudo,
Software de controle de acesso,
Segurana de informaes,
Plano de contingncia, e de recuperao e
Metodologias de desenvolvimento de sistemas.

Conhecimentos em auditoria:
Tcnicas de auditoria,
Software de auditoria e extrao de dados,

Outras capacidades relevantes:
Princpios ticos,
Bom relacionamento,
Comunicao oral e escrita,
Senso crtico,
Conhecimento especfico na rea (finanas, pessoal, estoque...)

Composio da equipe

Na composio da equipe de auditoria, a chefia tem trs opes.

Opes para a formao da equipe:
Consultoria externa
Desenvolver a capacidade tcnica de TI nos auditores
Desenvolver tcnicas de auditagem no pessoal de TI

Dependendo do tamanho da organizao, capacidade dos profissionais, prazos, objetivos e
relao custo - beneficio uma das alternativas ser eleita.

Consultoria externa

Fonte:
- 8 -

Analise (custo, alta capacidade, independncia, durao, investimento pessoal, extenso do
trabalho)

Consultores externos somente para tarefas especficas (conhecimento especializado).

Pontos crticos: custos, contrato e controle sobre atividades.
Definio de objetivos precisos e pontos de controle.

Recomendvel: bom relacionamento, transferncia de conhecimentos.

Ao trmino da auditoria: avaliao dos servios (opinies dos consultores, dos
membros da equipe e da gerencia da organizao), com o objetivo de evitar as
mesmas falhas no futuro.

A possibilidade de contratao de servios externos de auditoria deve ser considerada
desde as primeiras fases do planejamento da auditoria. A partir do momento em que so
definidos o campo da auditoria, seu mbito e as sub-reas a serem auditadas. Decidir
contratar consultoria externa depois de ter iniciado a auditoria dificilmente trar bons
resultados.
A consultoria externa, antes de ser contratada, deve saber exatamente o que se espera de
seu trabalho, os objetivos a serem atingidos e o grau de profundidade dos conhecimentos
requeridos, podendo assim verificar se esto aptos.

Categorias de consultoria externa:

Firma ou organizao especializada em auditoria (mais recursos, mais servios)

Profissional ou grupo de profissionais envolvidos em pesquisas ou atividades
acadmicas na rea a ser auditada, especializados em determinadas tcnicas e
ferramentas de auditoria, ou com especializao no objeto da auditoria. (Atuam
tanto no planejamento estratgico como nas verificaes especficas em
campo.)

Tanto as firmas de consultoria como os especialistas autnomos podem ser de grande
utilidade no planejamento da auditoria, na conduo de entrevistas com o auditado, na
avaliao de controles, na captao de dados dos sistemas, na reviso dos resultados e nas
recomendaes finais do relatrio de auditoria.

Analisando os Candidatos ao Servio de Consultoria Externa

Uma das maneiras de se contratar o servios de consultoria externa promover um estudo
de propostas onde sejam detalhados os custos do servio, os recursos humanos oferecidos
pela consultoria, suas habilidades tcnicas, seu plano de trabalho. Antes de confrontar as
propostas, aconselhvel fazer uma seleo inicial dos possveis candidatos, importante
tambm decidir, antecipadamente, os critrios que sero utilizados na anlise das propostas
dos consultores.

Fonte:
- 9 -
Relacionamento com os Consultores Externos

Para a realizao de qualquer trabalho de qualidade, essencial o bom entrosamento na
equipe, ainda mais se alguns de seus componentes no fizerem parte do quadro de
funcionrios da organizao. Em auditorias com a participao de consultoria externa
imprescindvel que todos os aspectos relevantes estejam sob o controle do auditor
coordenador da equipe, que dever ser sempre funcionrio da organizao.

Avaliando o trabalho realizado

Ao final do trabalho, importante avaliar seus resultados, em uma discusso franca entre
os consultores externos, membros da equipe de auditoria, coordenador e gerncia da
organizao contratante. O objetivo dessa discusso destacar seus pontos fortes e fracos e
relatar as dificuldades encontradas ao longo do trabalho para que, no futuro, sejam
realizadas auditorias mais produtivas, eficientes e eficazes.
Comparar os objetivos esperados e os resultados alcanados, o oramento previsto e custo
real, os prazos estimado e real, e os nveis de qualidade esperado e alcanado. Verificar se
houve cooperao entre a consultoria externa e o resto da equipe, se h sugestes para o
aprimoramento das futuras auditorias.

Capacitando Auditores para atuarem como Auditores de Sistemas
Para muitos, a informtica pode ser difcil de compreender. uma rea recheada de jarges
tcnicos e que enfrenta transformaes constantes de produtos e tecnologias. O auditor
com formao bsica em contabilidade e auditoria geral se depara com uma dificuldade
adicional: muitos profissionais de informtica, ao serem auditados, no se propem a
explicar os assuntos tcnicos ao auditor que no tenha os conhecimentos bsicos
necessrios para realizar auditoria naquele departamento. Muitas vezes o auditor nem
sequer entende o que respondido pelo auditado, pois este utiliza vocabulrio tcnico e
siglas, dificilmente compreendidos por quem no da rea.

Capacitando Profissionais de Informtica em Auditorias
Pode-se obter resultados mais efetivos e com maior rapidez se, nos quadros da
organizao, existirem profissionais de informtica para serem treinados na rea de
auditoria.

Treinamento
O treinamento constante dos auditores de sistema imprescindvel para que estejam
preparados para realizar auditorias de qualidade com grau de profundidade tcnica
adequado. Todos os auditores especialistas ou no em sistemas, deveriam receber
treinamento bsico de auditoria da tecnologia da informao, j que dificilmente auditaro
entidades que no utilizam informtica em seus processos e controles. As tcnicas e
mtodos bsicos de auditoria de sistemas computadorizados devem ser disseminados a
todos os auditores da organizao.

Participao em Seminrios e Cursos de Especializao
Faz-se necessrio estimular a participao dos auditores em seminrios, cursos de
especializao, workshops e congressos.

Qualificao Profissional
Fonte:
- 10 -
Os auditores devem ser encorajados a obter qualificaes profissionais que testem se seus
conhecimentos esto atualizados e compatveis com os padres profissionais.
Alguns exemplos de organizaes certificadoras:
Information System Audit and Control Association (ISACA) Certificado de
Auditor de Sistemas de Informao
Bristish Computer Society - Exame da Sociedade Britnica de Informtica
Institute of Internal Auditors (IIA) Qualificao em Auditoria Computacional
(IIA Qualition in Computer Auditing)

A IIA e ISACA desempenham um papel ativo no desenvolvimento de padres de auditoria
e controle de sistemas de informao.
Como a tecnologia da informao est em constante evoluo, essencial que o
treinamento do auditor de sistemas acompanhe essa evoluo, incluindo em seu currculo
novas tcnicas de auditoria e aspectos de informtica de tecnologias mais avanadas. O
desenvolvimento profissional contnuo no apenas desejvel, mas essencial.

Manuais de Auditoria da Tecnologia da Informao
A equipe de especialistas em auditoria da TI, para orientar o trabalho dos auditores e
difundir o conhecimento nessa rea, deve ser responsvel pela elaborao de uma ou mais
manuais contendo instrues para a conduo de auditorias de sistemas, exemplos de
objetivos de controle e procedimentos de auditoria, explanaes tcnicas sobre alguns
tpicos considerados importantes na rea de informtica, tcnicas e metodologias de
auditoria, instrues sobre o uso de ferramentas de informtica de apoio auditoria.

Biblioteca Tcnica
Os auditores devem ter, sua disposio, uma biblioteca tcnica para consulta. Dessa
forma podero orientar seus trabalhos de acordo com os padres conhecidos na rea, se
manter atualizados com relao s novas tecnologias e utilizar publicaes tcnicas como
fonte de consulta durante a auditoria e na elaborao do relatrio.

Organizao da Equipe Especializada
Dada a complexidade e a extenso dos conhecimentos necessrios em auditoria da
tecnologia da informao, dificilmente uma nica pessoa deter todos esses
conhecimentos. comum encontrar, em equipes de auditoria da TI de vrias organizaes,
auditores com formao e especializao em diferente reas. Cabe gerncia desenvolver
as especializaes que faltam e administrar o grupo como um time coeso que se
complementa tecnicamente. Atravs de treinamento adequado, a equipe deve tentar cobrir
todas as reas de auditoria da tecnologia da informao utilizadas pela instituio.

Administrando Recursos Humanos Escassos
Na maioria das organizaes dedicadas a auditoria, controle e segurana, os auditores de
sistemas so considerados recursos escassos e seu tempo administrado criteriosamente.
Suas atividades so definidas apenas nos casos em que sua atuao realmente necessria.
Alm do grupo de especialistas em auditoria da TI, uma boa alternativa para difundir esse
conhecimento treinar alguns auditores para atuarem como suporte bsico de informtica
nas equipes de auditoria de carter genrico, sendo este denominado auditor generalista.
Ele executar anlise preliminar de ambientes de informtica ou sistemas considerados
pouco complexos para determinar a estratgia de auditoria mais adequada e avalia os
Fonte:
- 11 -
controles genricos do ambiente computacional que no exijam experincia tcnica mais
apurada.
recomendvel que a chefia estabelea claramente as responsabilidades de cada tipo de
auditor, o suporte tcnico a ser dado pelos auditores especialistas, os limites de atuao e o
relacionamento entre auditores de sistemas e especialistas e generalistas, para evitar
omisso ou duplicidade de trabalho.
A gerncia deve estabelecer um plano de auditorias de sistemas, de preferncia anual,
relacionando os recursos disponvel (generalistas e especialistas) e as prioridades dos
trabalhos.

Planejamento de Atividades
Em organizaes de auditoria, geralmente as atividades so planejadas em trs nveis,
baseados em perodos de tempo diferentes. Cada nvel de planejamento gera um
documento, denominado plano, com atividade e detalhes para o perodo de tempo.

Plano Estratgico de Longo Prazo
O plano estratgico de longo prazo estabelecido, normalmente, para um perodo de 3 a 5
anos. Seus objetivos so mais amplos, atingem toda a instituio e so aprovados pela
gerncia superior. Seus contedo define as metas da gerncia de auditoria da TI, seu modo
de atuao, os recursos necessrios (pessoal, equipamentos e recursos financeiros) e as
necessidades de treinamento. aconselhvel revisar e atualizar o plano anualmente.

Plano Estratgico de Mdio Prazo
Este traduz o plano de longo prazo em um program de atividades para o ano que se inicia.
Em geral procura atender demanda das equipes de auditoria genrica por especialistas na
rea de informtica para realizarem, no ano seguinte, em conjunto ou no, auditorias da TI
em entidades previamente escolhidas. Esse plano, normalmente aprovado pela gerncia
intermediria, define os objetivos macro das principais auditorias do prximo ano e
suficientemente flexvel para aceitar as alteraes que se faam necessrias.

Plano Operacional
Baseia-se em auditorias individualizadas e contm detalhes exatos dos objetivos a serem
atingidos, as reas a serem auditadas, os recursos necessrios e em que prazo, os objetivos
de controle e os procedimentos de auditoria a serem seguidos. O plano operacional nada
mais do que o plano especfico de uma determinada auditoria.

Envolvimento com Outros Auditores
Ao estabelecer uma equipe mista para realizao de uma auditoria genrica, isto , sem o
enfoque de auditoria da TI, conveniente dividir o trabalho em vrias fases para que os
auditores atuem, conforme sua especializao, apenas nas fases em que seus
conhecimentos sejam necessrios. Em uma auditoria genrica, normalmente os auditores
de sistemas participam das seguintes fases:
Levantamento de auditoria - o auditor de sistemas pode ser requisitados para
analisar um sistema da entidade auditada, explicando, em seu relatrio, seu
funcionamento e fornecendo informaes bsicas para auditoria principal.
Coleta de dados o auditor de sistemas pode auxiliar na coleta e transferncia de
dados do computador do rgo auditado para o computador da equipe de auditoria.
Anlise de dados aps a coleta de dados, o auditor de sistemas pode ser solicitado
a analisar os dados coletados e entrevistar o auditado em relao a seu contedo.
Fonte:
- 12 -
Opinio tcnica o auditor de sistemas pode ser requisitado a dar sua opinio
tcnica sobre o desempenho e a utilidade de determinado sistema ou conjunto de
dados.
J o envolvimento entre auditores de sistemas generalistas e especialista bem mais
prximo. No caso de auditorias da TI feitas por auditores generalista, a equipe de
especialistas em TI deve dar todo o suporte necessrio, seja elaborando manuais de
orientao, repassado os conhecimentos tcnicos bsicos, esclarecendo suas dvidas ou
atendendo s solicitaes de consultoria, quando for preciso. A troca de experincias
deve ser estimulada pela gerncia.

PLANEJAMENTO E EXECUO

PLANEJAMENTO
A fase de planejamento de uma auditoria identifica os instrumentos indispensveis sua
realizao. Alm de estabelecer os recursos necessrios execuo dos trabalhos de
auditoria, a rea de verificao, as metodologias, os objetivos de controle e os
procedimentos a serem adotados, o auditor realiza um trabalho de pesquisa de fontes de
informao sobre o objeto a ser auditado e negocia todos esses aspectos com sua gerncia.

Pesquisa de Fontes de Informaes

Na fase de planejamento da auditoria, a equipe deve reunir a maior quantidade possvel de
informaes sobre a entidade auditada e seu ambiente de informtica (plataforma de
hardware, sistemas operacionais, tipo de processamento, metodologia de desenvolvimento,
principais sistemas, etc.). Com essas informaes poder esboar seu plano de auditoria e
partir para a fase de delimitao dos trabalhos.
Esse conhecimento prvio do ambiente de informtica da entidade auditado permite ao
auditor ter uma noo do grau de complexidade de seus sistemas e, ento, estabelecer os
recursos e os conhecimentos tcnicos necessrios equipe da auditoria.
Saber com antecedncia o tipo de ambiente computacional com o qual o auditor vai se
deparar , sem dvida, bastante vantajoso, j que haver mais tempo para se preparar
tecnicamente ou para incluir um especialista na equipe.
A equipe precisar manter contato e entrevistar pessoas-chaves da entidade.]
As principais fontes de informaes sobre a entidade auditada so relatrios de auditorias
anteriores, base de dados, documentos ou pginas da entidade na Internet, notcias
veiculadas na imprensa, visitas anteriores entidade e relatrios da auditoria interna.

Definindo Campo, mbito e Sub-reas

A partir do momento em que foi decidida a realizao de uma auditoria e j existem
informaes suficientes sobre a entidade e seu ambiente computacional, a equipe delimita
sua atuao, definindo o campo, o mbito e as sub-reas a serem auditadas. O campo da
auditoria composto por objeto, perodo de fiscalizao e natureza.
No caso de auditorias de informtica, a natureza auditoria da tecnologia da informao,
quase sempre com enfoque operacional (exame dos aspectos econmicos, de eficincia e
eficcia). O objeto auditado pode englobar um sistema computacional especfico; uma,
vrias ou todas as sees do departamento de informtica; ou at mesmo toda a
organizao (em termos de polticas de informtica e segurana de informaes ou nos
Fonte:
- 13 -
casos em que o negcio da organizao resume-se prestao de servios
computacionais). O perodo de uma auditoria da TI depende diretamente do mbito (grau
de profundidade das verificaes) e das sub-reas de sistemas escolhidas pela equipe.
Alm da definio do campo, so determinadas a amplitude e a exausto dos processos de
auditoria, incluindo uma limitao racional dos trabalhos a serem executados.
Tendo sido definido o conjunto campo e mbito da auditoria, fixada, ento, a rea de
verificao. Essa rea delimita de modo muito preciso os temas da auditoria e, em funo
do objeto a ser fiscalizado e da natureza da auditoria, pode ser subdividida em sub-reas.

aconselhvel coordenar o nmero de sub-reas a serem auditadas com a magnitude ou
complexidade do objeto da auditoria, isto , para ambientes extensos ou de grande
complexidade, convm limitar a quantidade de controles a serem verificados para que a
equipe realize um trabalho de qualidade.
Aps a definio das reas e sub-reas a serem auditadas, o auditor retorna fase de
pesquisa para relacionar as fontes de consulta especializadas necessrias durante a
auditoria, tais como livros tcnicos, manuais de auditoria, artigos especializados, sites na
Internet especializados em segurana ou outras reas especficas de informtica.

NEGOCIANDO COM A GERNCIA
A definio dos aspectos citados no item anterior facilita o trabalho da equipe de auditoria
e evita as falsas expectativas, tanto nos membros da equipe como de sua gerncia.

rea de
Verificao
Controles de
Acesso Lgico
Backup

Avaliao da
eficcia dos
controles
Campo
Segurana de
informaes da
empresa
De 01/01/2007 a
01/07/2007
Auditoria da TI
Controles de
acesso fsico
Fonte:
- 14 -

Evitando Falsas Expectativas
Quando a gerncia da equipe de auditoria espera um trabalho de verificao breve, sucinto
e preliminar de um sistema de informtica e a equipe executa uma auditoria extremamente
detalhada e aprofundada, ningum fica satisfeito. A gerncia tende a cobrar
insistentemente a concluso do trabalho, por consider-lo apenas uma anlise superficial,
enquanto a equipe de auditoria se exaspera para completar todas as suas tarefas dentro do
prazo exguo.

Esse problema de falsas expectativas pode acontecer em qualquer tipo de auditoria, no
necessariamente em auditorias da TI. Antes de iniciar a execuo propriamente dita da
auditoria, recomendvel que a equipe sempre discuta e defina claramente, com sua
gerncia, o campo da auditoria, o grau de profundidade de sua verificaes e o nvel de
capacitao tcnica e profissional necessrio para auditar as sub-reas escolhidas. Dando
assim uma noo prxima da realidade dos resultado da auditoria e permite equipe
definir as metodologias a serem utilizadas, os objetivos de controle a serem atingidos e os
procedimentos de auditoria mais adequados para garantir a realizao de um trabalho de
auditoria compatvel com as expectativas da gerncia.

Definindo os Recursos Necessrios

Recursos humanos

Recursos econmicos

Recursos tcnicos

METODOLOGIAS

Entrevistas
o Entrevistas de apresentao
- Apresentao da equipe, cronograma das atividades, objetivos, reas,
perodo, metodologias. Estrutura do relatrio (resultado da auditoria).
o Entrevistas de coleta de dados
- Coleta de dados sobre os sistemas ou ambiente de informtica. Nessa
entrevista podem ser identificados os pontos fortes e fracos de controle,
falhas e possveis irregularidades. O entrevistado deve saber de antemo
como sero usados esses dados e conhecer o relatrios a cerca da entrevista.
o Entrevistas de discusso de deficincias encontradas
- Ao trmino das investigaes so apresentadas as deficincias
encontradas. Ao discuti-las podem ser apresentadas justificativas para essas
deficincias, podendo ser desconsiderada as falhas ou relatadas as
justificativas.
o Entrevista de encerramento
apresentado o resumo dos resultados (pontos fortes, falhas mais
relevantes, comentrios, recomendaes).

Uso de Tcnica ou Ferramentas de Apoio (Catas)
Fonte:
- 15 -
Tcnicas Para Anlise de Dados
o dados coletados e auditados com auxlio de softwares de extrao de dados,
de amostragem, de anlise de logs e mdulos ou trilhas de auditoria
embutidas nos prprios sistemas aplicativos da entidade.
Tcnicas Para Verificao de Controles de Sistemas
o testar a efetividade dos controles dos sistemas do auditados. Analisar sua
confiabilidade, determinar se esto operando corretamente a ponto de
garantir a fidedignidade dos dados.
o Massa de dados de teste, simulaes, software de comparao de programas
e rastreamento de processamento.
Outras Ferramentas
o planinhas eletrnicas, editores de texto, bancos de dados e softwares para
apresentaes.

OBJETIVOS DE CONTROLE E PROCEDIMENTOS DE AUDITORIA

Os objetivos de controle so metas de controle a serem alcanadas, ou efeitos negativos a
serem evitados, para atingirmos esses objetivos, so traduzidos em procedimentos de
auditoria.
Os objetivos de controle norteiam a auditoria, para realizar uma avaliao, necessrio um
modelo normativo, um conjunto de padres, de como a atividade deveria estar sendo feita.
Este modelo normativo traduzido em objetivos de controle a serem avaliados pelo auditor
em cada rea especfica.
Os objetivos de controle podem ter vrios enfoques e podem ser motivados por diversas
razes:
Segurana dados e sistemas importantes para a organizao, onde a
confidencialidade, integridade e a disponibilidade so essenciais.
Atendimento a solicitaes externas verificao de indcios de
irregularidade motivados por denncia ou solicitao de rgo superior.
Materialidade alto valor econmico-financeiro dos sistemas
computacionais.
Altos custos de desenvolvimento sistemas de alto custos envolvem
altos riscos.
Grau de envolvimento dos usurios o no envolvimento dos usurios
no desenvolvimento de sistemas, acarreta sistemas que em geral no
atendem satisfatoriamente s suas necessidades.
Outsourcing/Terceirizao efeitos da terceirizao no ambiente de
informtica.

Fonte:
- 16 -
Os procedimentos de auditoria formam um conjunto de aes (verificaes e averiguaes)
que permitem obter e analisar as informaes necessrias formulao do parecer do
auditor.
Enquanto os objetivos de controle abrangem uma rea mais ampla, os procedimentos de
auditoria descrevem padres individualizados, mais detalhados, dentro de cada objetivo de
controle.

A partir do momento em que foram definidas a rea de verificao e as sub-reas a serem
auditadas, a equipe seleciona os objetivos de controle mais apropriados e, por fim, utiliza
procedimentos de auditoria para testar se os respectivos objetivos de controles esto sendo
seguidos pela entidade.

EXECUO

No transcurso da auditoria, a equipe deve reunir evidncias confiveis, relevantes e teis
para a consecuo dos objetivos da auditoria. Os resultados da auditoria (achados e
concluses) devem ser suportados pela correta interpretao e anlise dessas evidncias.
Evidncia fsica observaes de atividades desenvolvidas pelos
funcionrios e gerentes, sistemas em funcionamento, local
equipamentos, etc.
Evidncia documentria resultado da extrao de dados, registro de
transaes, listagens, etc.
Evidncia fornecida pelo auditado - transcries de entrevistas, cpias
de documentos cedidos, fluxogramas, polticas internas, e-mails
trocados com a gerncia, justificativas, relatrios, etc.
Evidncia analtica - comparaes, clculos e interpretaes de
documentos.

Toda essa documentao, geralmente organizada em papis de trabalho, deve estar
disponvel para auxiliar a equipe na elaborao do relatrio. Nem todas as evidncias
podem ser investigadas detalhadamente e descritas no relatrio final, o auditor deve
analisar cada caso segundo a sua importncia para a consecuo dos objetivos, tempo e
esforo necessrios para esclarecer todos seus pontos nebulosos.
Uma evidncia considerada incompatvel com a auditoria em execuo, pode servir como
indicativo para outra auditoria. A manuteno dos papis de trabalho essencial tanto para
a elaborao do relatrio da auditoria em questo, como para o planejamento de futuras
auditorias.
RELATRIO

Fonte:
- 17 -
Nos relatrios da auditoria, a equipe, apresenta seus achados e concluses, bem como os
fatos sobre a entidade auditada, comprovaes recomendaes e determinaes. A
linguagem utilizada nos relatrios deve ser compatvel com quem ir receb-los.
A quem se Dirige o Relatrio?
Dependendo do motivo que levou realizao da auditoria, o relatrio pode se
encaminhado diretoria da organizao, ao organismo que financia a entidade auditada ou
ao organismo responsvel pelo controle de auditoria geral da entidade. Faz-se necessrio
identificar os pontos mais relevantes e adaptar o relatrios de acordo com o pblico alvo.
Relatrios preliminares
Antes mesmo de iniciar os trabalhos de campo, na fase do planejamento da auditoria, so
coletadas informaes preliminares sobre a entidade, seus sistemas, os recursos
necessrios, a composio da equipe, metodologias, objetivos de controle e procedimentos
a serem adotados. Uma estrutura de relatrio deve ser definida e todas essas informaes
devem ser transcritas para o relatrio.
Durante os trabalhos de campo, importante documentar tudo que foi feito, observado e
dito pelos entrevistados. Os textos referentes a cada entrevista podem ser utilizados no
relatrio. A equipe deve confirmar os fatos relatados e apresentar ao entrevistado, antes da
reviso final do relatrio os assuntos tratados durante a entrevista, evitando mal-entendidos
ou desvios de interpretao.
Ao trmino das investigaes de cada rea, um relatrio parcial deve ser apresentado
contendo as deficincias encontradas (entrevista para discusso de deficincias
encontradas). As justificativas apresentadas podem ser anexadas ao parecer.

Relatrio final
O relatrio final deve se revisado por toda a equipe de auditores, a fim de evitar
inconsistncias, erros ou lacunas em relao aos padres e prticas da organizao
auditada. Uma crtica externa, tambm e conveniente nesse ponto.
Estrutura
Dados da entidade auditada - nome, endereo, natureza jurdica,
relao de responsveis, etc.
Sntese - um breve resumo do contedo. til para a alta direo obter
uma viso geral e rpida dos principais pontos da auditoria.
Dados da auditoria - objetivos, perodo de fiscalizao, composio da
equipe, metodologia adotada, natureza da auditoria, e objeto (controles
gerais, desenvolvimento de sistemas, aplicativo especfico, etc.).
Fonte:
- 18 -
Introduo - histrico da entidade, concluses de auditorias anteriores,
estrutura hierrquica do departamento de informtica, sua relao com
outros departamentos, descrio do ambiente computacional, evoluo
tecnolgica, principais sistemas e projetos.
Falhas detectadas - apresenta em detalhes, as falhas e irregularidades
detectadas durante a auditoria. Alm das descries, so apresentados
comentrios iniciais, justificativa do auditado e o parecer final da equipe
para cada falha (preferncias e recomendaes). aconselhvel dividi-la
por sub-reas fiscalizadas, para haver um encadeamento lgico de
idias.
Concluso - sntese dos pontos principais do relatrio e as
recomendaes ou determinaes finais da equipe para a correo das
falhas ou irregularidades encontradas.
Pareceres da gerncia superior - as gerncias superiores podem dar
seu parecer a respeito dos achados e recomendaes da equipe de
auditores, concordando integralmente ou em partes com os pontos de
vista da auditoria, ou ainda discordando inteiramente.
AUDITORIA PLANEJAMENTO E EXECUO

Organizao do trabalho da auditoria

Planejamento
1. Passo - conhecer o ambiente: levantamento de dados do ambiente, fluxos de
processamento, recursos humanos, materiais, arquivos, relatrios, telas, etc.
2. Passo - determinar pontos de controle (processos crticos)
3. Passo - definir objetivos da auditoria: tcnicas, prazos, custos, nvel de
tecnologia a ser utilizada.
4. Passo - estabelecer critrios para a anlise de risco.
5. Passo - anlise de risco.
6. Passo - hierarquizao dos pontos de controle.

Definio da equipe
1. Passo - escolher equipe: perfil e histrico profissional, experincia na
atividade, conhecimentos especficos, formao acadmica, lnguas
estrangeiras, disponibilidade para viagem, etc.
2. Passo - programar a equipe: gerar programas de trabalho, selecionar
procedimentos apropriados, incluir novos procedimentos, classificar
trabalho por visita, orar tempo e registrar o realizado.
3. Passo - executar trabalho - dividir as tarefas de acordo com a formao,
experincia e treinamento dos auditores, efetuar superviso para garantir a
qualidade do trabalho e certificar que as tarefas foram feitas corretamente.
Fonte:
- 19 -
4. Passo - revisar papis: verificar pendncias e rever o papel de cada auditor
para suprir as falhas encontradas.
5. Passo - avaliao da equipe: avaliar o desempenho, elogiando os pontos
fortes e auxiliando no reconhecimento e superao de fraquezas do auditor,
ter um sistema de avaliao de desempenho automatizado.

Documentao do trabalho

1. Relatrio de fraquezas de controle interno
Objetivo do projeto de auditoria, pontos de controle auditados, concluso
alcanada a cada ponto de controle, alternativas de soluo propostas.
2. Certificado de controle interno
Indica se o ambiente est em boa, razovel ou m condio em relao aos
parmetros de controle interno. Apresenta a opinio da auditoria em termos
globais e sintticos.
3. Relatrio de reduo de custos
Explicita as economias financeiras a serem feitas coma a aplicao das
recomendaes efetuadas. Base para a realizao das anlises de retorno de
investimento e do custo/benefcio da auditoria de sistemas.
4. Manual da auditoria do ambiente auditado
Armazena o planejamento da auditoria, os pontos de controle testados e
serve como referncia para futuras auditorias. Compe-se de toda a
documentao anterior j citada.
5. Pastas contendo a documentao da auditoria de sistemas
Contem toda a documentao do ambiente e dos trabalhos realizados como:
relao de programas, relao de arquivos do sistema, relao de relatrios e
telas, fluxos, atas de reunies, etc.

Apresentao dos resultados

Objetividade na transmisso dos resultados
Esclarecimento das discusses realizadas entre a auditoria e os auditados
Clareza nas recomendaes das alternativas de soluo
Coerncia da atuao da auditoria
Apresentao da documentao gerada
Explicao do contedo de cada documento

Tcnicas de auditoria em programas de computador

Correlao de arquivos e anlise dos dados

1. Anlise do fluxo do sistema
2. Identificao do arquivo a ser auditado
3. Entrevista com o analista / usurio
4. Identificao do cdigo / layout do arquivo
5. Elaborao do programa para auditoria
6. Cpia do arquivo a ser auditado
Fonte:
- 20 -
7. Aplicao do programa de auditoria
8. Anlise dos resultados
9. Emisso de relatrios
10. Documentao

Simulao de dados

Elaborao de massa de teste a ser submetida ao programa ou rotina, deve prever as
seguintes situaes:
1. Transaes com campos invlidos,
2. Transaes com valores no limite,
3. Transaes incompletas,
4. Transaes incompatveis,
5. Transaes em duplicidade.

Passos:
1. Compreenso da lgica do programa
2. Simulao dos dados (pertinentes ao teste a ser realizado)
3. Elaborao dos formulrios de controle
4. Transcrio dos dados para o computador
5. Preparao do ambiente de teste
6. Processamento do teste
7. Avaliao dos resultados
8. Emisso de opinio sobre o teste

AUDITORIA DA TECNOLOGIA DA INFORMAO

CONTROLES ORGANIZACIONAIS

Os controles organizacionais so polticas, procedimentos e estrutura organizacional
estabelecidos para definir as responsabilidades de todos os envolvidos nas atividades
relacionadas rea da informtica. Abrangem todos os controles adotados pela gerncia
em termos administrativos e institucionais.
Os controles organizacionais so os pontos de partida da maioria das auditorias de
sistemas, a partir deles que se pode ter uma idia das polticas adotadas pela instituio e
como os aspectos de segurana so considerados pela alta administrao.
necessrio que durante o planejamento da auditoria, o auditor, analise a estrutura adotada
pela entidade auditada, seus diversos componentes e o relacionamento do departamento
com outros setores da organizao. De acordo com a estrutura, o auditor deve adaptar os
objetivos de controle e os procedimentos a serem adotados e, posteriormente, verificar se
os controles organizacionais so adequados.
importante que o auditor determine se as medidas administrativas estabelecidas pelo
auditado so suficientes para garantir o controle adequado das atividades do departamento
de informtica e se essas atividades satisfazem os objetivos de negcio da organizao.

Responsabilidades Organizacionais
Fonte:
- 21 -

O departamento de informtica deve ter uma estrutura organizacional bem definida, com as
responsabilidades de suas unidades claramente estabelecidas, documentadas e divulgadas.
aconselhvel que o departamento de informtica seja suficientemente importante na
estrutura hierrquica para que possa estabelecer seus objetivos estratgicos e ter certa
independncia dos demais departamentos.
Dependendo do tamanho da organizao, pode existir uma gerncia para controle de
qualidade e uma gerncia, ou departamento, responsvel por segurana da informaes,
geralmente com estreitas ligaes com o setor de informtica.
As unidades internas do departamento devem ser bem definidas, com nveis de autoridade
e responsabilidades. As descries dos cargos no departamento e as habilidades tcnicas
necessrias para exerce-las devem ser estabelecidas e documentadas, podendo ser
utilizadas, posteriormente, na avaliao de desempenho dos funcionrios.
necessrio que o auditor verifique, primeiramente, se existe uma gerncia superior de
informtica, com influncia junto ao comit executivo da organizao. A inexistncia
dessa gerncia, por si s, j pode sinalizar uma falta de prestgio ou de reconhecimento dos
servios prestados pelo departamento de informtica. Nesse caso, h maior probabilidade
de o departamento no receber os recursos e ateno necessrios para atingir seus
objetivos. A falta de recursos pode causar maiores riscos de segurana e baixa qualidade de
sistemas.
A equipe de auditoria deve tambm verificar se os funcionrios do departamento tm
conhecimento de suas responsabilidades e seu papel na organizao. aconselhvel que
essas definies sejam documentadas formalmente.

Polticas, Padres e Procedimentos
Polticas, padres e procedimentos so a base para o planejamento gerencial, o controle e a
avaliao das atividades do departamento de informtica. A experincia tem demonstrado
que pelo menos as polticas e os padres devem ser estabelecidos pela alta gerncia para
que sejam considerados na prtica pelas gerncias intermediarias. importante ter em
mente que as polticas definem as diretrizes institucionais e o relacionamento entre os
diversos departamentos.
Portanto, essencial que as polticas, para merecerem a ateno das gerncias
intermedirias e de todos os funcionrios, sejam estabelecidas pelo nvel hierrquico
superior da organizao e divulgada a todos. A partir das polticas, so estabelecidos os
padres que, no caso do departamento de informtica, podem ser padres para aquisio de
recursos; projetos, desenvolvimentos, alterao e documentao de sistemas; operao do
centro de informtica e prestao de servios de informtica.
O passo seguinte a definio de procedimentos mais detalhados que atendam s polticas
e aos padres preestabelecidos. Os procedimentos descrevem a forma como as atividades
devero ser executadas e, muitas vezes, so definidos pelo departamento de informtica e
aprovadas pela alta gerncia.
Fonte:
- 22 -
Para o auditor, as polticas delineiam os controles gerenciais da organizao. A partir delas,
surgem padres, procedimentos e controles mais especficos, relacionados a uma
determinado assunto. Quando mais efetivo o cumprimento s polticas da organizao,
maior a probabilidade de os controles organizacionais serem tambm eficazes.
Entretanto, importante que o auditor leve em considerao que cada entidade tem
objetivos gerenciais e organizacionais diferentes e, consequentemente, as polticas, os
padres e procedimentos tambm sero diferentes. O auditor deve ser flexvel e considerar
as particularidades de cada entidade para que suas recomendaes sejam realmente
aplicveis em cada caso. Recomendaes absurdas depem contra a qualidade da auditoria
e o bom nome do auditor.

Estratgia de Informtica
O comit de informtica ou a alta gerncia, aps inmeras discusses, formaliza a
estratgia de informtica organizao em um documento conhecido como plano diretor
de informtica ou estratgia de informtica. Esse documento serve como base para
qualquer investimento na rea de informtica, j que traa os objetivos e projetos futuros
da organizao.
O maior risco associado falta ou ineficincia de uma estratgia de informtica o
desenvolvimento de sistemas que no satisfaam os objetivos de negcio da organizao,
acarretando perdas econmicas e investimentos sem resultado.
interessante que a equipe de auditoria tenha conhecimento do plano estratgico da
entidade para reunir informaes importantes ao planejamento de futuras auditorias. A
equipe poder saber o direcionamento que ser dado ao ambiente computacional da
entidade nos prximos anos.
Em sua anlise, necessrio que o auditor considere o tamanho da organizao e a
importncia da informtica para a continuidade de seus negcios e sua sobrevivncia no
mercado. Com relao ao plano estratgico, o auditor deve analisar o relacionamento entre
a estratgia de informtica e a estratgia de negcios da organizao e as previses de
mudanas a curto e mdio prazos. importante tambm verificar a forma de divulgao do
plano e seu nvel de aprovao. Por se tratar de um plano estratgico, normalmente deve
ser aprovado pela alta gerncia.

Poltica Sobre Documentao
recomendvel que a organizao defina uma poltica sobre documentao, estabelecendo
padres de qualidade e classificao quanto confidencialidade (documentos secretos,
confidenciais, de uso interno, de uso restrito). A documentao de todos os sistemas
computacionais deve ser completa, atualizada e pelo menos uma cpia deve ser mantida
em local seguro. A classificao dos documentos pretende restringir o acesso no
autorizado a informaes cruciais para a organizao.
Fonte:
- 23 -
A poltica de documentao estabelece padres para edio, formatao, apresentao
visual e estrutura bsica de documentao e ainda regras para classificao, aprovao e
alteraes na documentao j existentes.
Sem uma documentao adequada e atualizada, identificar as causa de erros nos
aplicativos pode se tornar uma tarefa complexa e demorada. Com uma poltica de
documentao correta, pode-se ainda evitar a repetio de erros e prticas no autorizadas
pela equipe de desenvolvimento de sistemas.
Para a equipe de segurana e auditoria, a documentao tambm muito importante, pois
por meio dela que consegue muitas informaes sobre os sistemas auditados ou ambiente
computacional, relevantes para as investigaes de segurana. A falta de documentao
adequada pode dificultar os trabalhos da equipe.

Gerncia de Recursos Humanos
As causas mais frequentes de acesso no autorizado, perda de dados ou pane nos sistemas
informatizados so erros, omisses, sabotagem, extorso ou invases criminosas
provocados por pessoas contratadas pela prpria organizao. Os acidentes ambientais, as
falhas de hardware e software e os invasores externos aparecem em segundo plano.
Os funcionrios mal intencionados tm tempo disponvel e liberdade de vasculhar as mesas
de outros funcionrios, ler e copiar documentos e informaes internas ou confidenciais.
Sabem como a organizao funciona e que tipo de informaes seriam valiosa para a
concorrncia. A espionagem industrial, por exemplo, costuma utilizar funcionrios
insatisfeitos como mo-de-obra.
Os ex-funcionrios so igualmente interessantes para a concorrncia. Muitas vezes essas
pessoas prejudicam sua antiga instituio de maneira no intencional, simplesmente pelo
fato de saberem o que sabem. Apesar de no terem mais acesso direto s informaes
internas, eles conhecem os procedimentos de segurana, a forma de atuao da empresa,
seus hbitos e vulnerabilidades.
Para reduzir os riscos de erros humanos ou atos criminosos por parte dos usurios internos,
aconselhvel que a organizao estabelea polticas, controles e procedimentos
enfocando a rea de pessoal. As atividades dos funcionrios devem ser controladas por
meio de procedimentos de operao e superviso documentados, e polticas adequadas de
seleo, treinamento, avaliao de desempenho, segregao de funes e interrupo de
contratos de trabalho.

Plano de Contratao e Desenvolvimento de Pessoal
A gerncia de informtica deve traar um plano de contratao e desenvolvimento de
pessoal, visando manter uma equipe tecnicamente preparada para atender aos objetivos do
departamento, com capacidade para operar o ambiente computacional atual e acompanhar
Fonte:
- 24 -
os avanos tecnolgicos na rea de informtica. essencial que a gerncia anteveja as
futuras necessidades do departamento em termos tcnicos e quantitativos.

Seleo de Pessoal
As polticas de seleo de pessoal devem ser definidas de tal maneira que a equipe seja
composta de pessoas confiveis, com nvel tcnico compatvel com sua atividades, de
preferncia, satisfeitas profissionalmente. Essa atitude gerencial tem como objetivo
garantir a qualidade do trabalho desenvolvido, reduzindo os riscos de erros. As polticas
podem se aplicadas tanto na contratao temporria de prestadores de servios ou
consultores. Em alguns casos, a contratao de pessoal deve ainda atender a requerimentos
legai, tais com exigncia de concursos pblicos para quadros do governo e apresentao de
certificados tcnicos emitidos por associaes profissionais.
Nas contrataes de novos funcionrios, normalmente so analisadas suas referncias,
incluindo empregos anteriores, formao profissional, experincia tcnica e ficha criminal.
recomendvel instituir um acordo de confidencialidade e cdigos de conduta. Os novos
contratados devem ter conhecimento de suas responsabilidade e de seu papel na
organizao. O mesmo cuidado deve ser tomado na contratao de consultores ou
prestadores de servios.

Treinamento
A gerncia deve manter seu quadro de profissionais tecnicamente atualizado e apto a
desempenhar suas funes atuais e futuras, de acordo com o plano estratgico de
informtica. importante estimular a toca de experincias e o repasse de conhecimentos
adquiridos a outros membros da equipe, dessa forma, a capacitao profissional se
multiplica internamente na organizao e o conhecimento no fica restrito a uma nica
pessoa ou grupo.
Avaliao de Desempenho
Deve ser regularmente avaliado de acordo com as responsabilidade do cargo ocupado e
padres preestabelecidos. Toda avaliao intrinsecamente subjetiva, pois, envolve
aspectos emotivos e de relacionamento entre avaliador e avaliado. Para vencer essa
subjetividade, aconselhvel que o processo avaliativo se baseie em critrios mais
objetivos, levando em considerao formao profissional, nvel de responsabilidade,
experincia, treinamento, conduta e consecuo de metas.
Rodzio de Cargos e Frias
O rodzio de cargos e a instituio de frias regulares podem atuar como controles
preventivos contra fraudes ou atividades no autorizadas. O funcionrio, sabendo que outra
pessoa pode, de uma hora para outra, exercer suas funes e detectar irregularidades por
ele cometidas, ficar menos inclinado a praticar atos no autorizados ou fraudulentos.
Fonte:
- 25 -
Essas medidas no so infalveis, claro, mas podem reduzir os riscos de atos no
autorizados por um longo perodo de tempo.
Segregao de Funes
A segregao de funes tem como objetivo evitar que um indivduo detenha o controle de
todas as fases de um processo qualquer e caia na tentao de praticar algum ato ilcito,
fraudulento ou no autorizado. Segregao significa basicamente que os estgio de uma
transao ou processo so distribudos a pessoas diferentes, de forma que uma nica pessoa
no seja capaz de ter controle do incio ao fim. A diviso de responsabilidades, entre
grupos ou funcionrios distintos dentro do departamento, de certa forma promove o
controle mtuo das atividades desempenhadas por cada grupo ou funcionrio. Com isso,
aumenta a probabilidade de serem detectados erros, omisses e fraudes.
Dependendo do risco associado, do tamanho da organizao e de sua estrutura hierrquica,
a segregao de funes pode ser mais, ou menos, rgida, especfica ou detalhada. Quanto
menor a organizao, mais difcil separar suas funes. Normalmente as atividades que
envolvem recursos financeiros so as mais crticas para a organizao e,
conseqentemente, as mais controladas. Em geral, essas atividades so distribudas a vrios
indivduos e sujeitas a um controle mais rgido. A superviso gerencial imprescindvel
para que a poltica de segregao de funes tenha resultados satisfatrios.
Na poca em que comearam a ser feitas auditorias de sistemas, os auditores costumavam
verificar apenas se os operadores dos computadores no tinham acesso aos programas e se
os programadores no operavam os equipamentos. Isso fazia sentido e era suficiente
naquele tempo. Hoje, com a complexidade dos sistemas operacionais modernos e as
diferentes plataformas de hardware e software, o auditor deve avaliar a segregao de
funes sob outro prisma, j que novas funes foram introduzidas no modelo
organizacional do departamento de informtica.
O acesso aos recursos computacionais e s informaes sobre bases de dados, programas,
controles internos das aplicaes, etc. s deve ser dado a quem realmente necessita desses
recursos e informaes para desempenhar suas funes. Se todos tiverem o conhecimento e
os meios para alterao de dados, por exemplo, basta haver um motivo para que ocorram
fraudes contra a organizao.
A segregao de funes pretende assegurar que as transaes e os processos so
autorizados e registrados adequadamente e os recursos (equipamentos, software e
informao) esto protegidos.
Pode tambm ser uma forma de controle de qualidade e deteco de erros por inabilidade
ou incompetncia tcnica.
Na prtica, no entanto, com os constantes cortes de investimentos nas organizaes, o
quadro de pessoal do departamento de informtica tem sido cada vez mais reduzido. Em
algumas organizaes, devido diminuio do quadro, pode ser difcil implementar a
segregao de funes. Se o auditor se deparar com um caso semelhante, aconselhvel
adaptar sua anlise e suas recomendaes de acordo com a problemtica da organizao e
buscar outros controles que possam compensar os riscos da falta de segregao de funes.
Fonte:
- 26 -
Interrupo do Contrato de Trabalho
Assim como as polticas de contratao de pessoal, so igualmente importantes as polticas
e os procedimentos para lidar com o afastamento, voluntrios ou no, de funcionrios.
Essas polticas devem definir as medidas a serem adotadas no caso do trmino de um
contrato de trabalho, principalmente no que diz respeito ao acesso aos sistemas, dados e
recursos patrimoniais da organizao. Seu objetivo a proteo dos recursos
computacionais e das informaes da organizao contra ex-funcionrios insatisfeitos.
Normalmente, ao interromper o contrato de trabalho, os ex-funcionrios so solicitados a
devolver crachs de identificao, chaves e quaisquer equipamentos ou material da
organizao (bips, laptops, calculadoras, microcomputadores, impressoras, livros). Alm
disso so desativadas as rotinas de pagamento de pessoal, senhas e privilgios de acesso
lgico aos recursos computacionais e informaes.
Gerncia de Recursos
Os recursos computacionais devem ser gerenciados de tal forma que atendam s
necessidades e objetivos da organizao com relao informtica, levando em
considerao os aspectos de economicidade, eficincia e eficcia.
Aquisio de Equipamentos e Softwares
recomendvel que o departamento estabelea um plano de equipamentos e softwares,
baseado na anlise de desempenho do ambiente atual, na demanda reprimida de servios de
informtica, no planejamento de capacidade e no plano estratgico de informtica. Deve
seguir os padres de contratao adotados na organizao, as regras estabelecidas em leis,
se for o caso (obrigatoriedade de processo licitatrio, por exemplo), e comparar preos e
requisitos tcnicos de produtos de fornecedores diferentes. importante ter em mente que
nem sempre o mais barato o melhor ou o mais adequado para atender s suas
necessidades. Os critrios de seleo devem aliar aspectos econmicos, de eficincia, de
eficcia, efetividade e qualidade.
Manuteno e Hardware e Software
Para reduzir a possibilidade de ocorrncia de falhas e interrupes inesperadas que possam
causar impacto no funcionamento normal dos sistemas computacionais, aconselhvel que
a manuteno preventiva de hardware ocorra de acordo com os padres de cada
equipamento (normalmente sugeridos pelo prprio fabricante).
Tambm os pacotes de software devem sofrer manutenes, tais como aplicao de
correes (distribudas pelo fornecedor) e atualizaes de releases ou verses mais seguras
e confiveis).
Outsourcing, Terceirizao e
Contratao de Consultoria Externa
A terceirizao ou prestao de servios de informtica ocorre quando uma empresa
independente presta qualquer tipo de servio relacionado informtica para outra
organizao. Essa prestao de servios pode envolver alguns ou todos os estgios de
Fonte:
- 27 -
processamento e desenvolvimento dos sistemas, e utilizao de mo-de-obra especializada,
em ambiente computacional de propriedade da empresa contratada ou da organizao
contratante. Normalmente, os motivos que levam uma organizao a optar pela contratao
de servios externos de informtica so custos, problemas de espao fsico para instalao
dos equipamentos e quadro reduzido de especialistas em informtica.
O termo outsourcing usado quando o cliente contrata uma empresa especializada para
prover por completo todos os servios de informtica necessrios para a organizao.
Local, equipamentos, software e pessoal so da empresa contratada. Com o outsourcing, a
organizao pode concentrar esforos em sua rea de negcios e apenas gerenciar os
servios de informtica providos pela empresa contratada.
A organizao pode restringir a prestao de servios de informtica em algumas reas
especficas, contratando a melhor opo no mercado para desempenhar as atividades
especializadas. As reas do departamento de informtica geralmente terceirizadas so
manuteno de hardware e software, desenvolvimento de sistemas, operao do centro de
processamento de dados (CPD) e suporte tcnico a microcomputadores.
Mesmo quando a organizao decide manter um ambiente computacional prprio, pode
necessitar de servios externos providos por consultores especializados para desempenhar
atividades bem definidas. Isso ocorre quando o quadro de funcionrios do departamento de
informtica no est suficientemente capacitado ou treinado para desempenhar tais
atividades e a gerncia considerou a contratao de consultoria externa uma opo melhor
do que o investimento em treinamento de pessoal.
Os trabalhos de auditoria em uma organizao que optou pela terceirazao de alguns
servios, outsourcing ou contratao de consultoria externa devem enfocar as clusulas
contratuais, as polticas e os procedimentos de segurana de informaes de organizao.
Eventualmente, dependendo do tipo de terceirizao, pode ser necessrio auditar a prpria
instalao do prestador de servios, para verificar os controles aplicados.
Principais Motivos
Os principais motivos que levam uma organizao a decidir pela terceirizao, outsourcing
ou contratao de consultoria tcnica externa so:
Custos (pode ser mais barato contratar outsourcing do que comprar equipamentos,
software e manter um quadro tcnico de profissionais de informtica).
Restries de fluxo de caixa (a compra de equipamentos pode envolver quantias
muito altas, acima das possibilidades da organizao, por outro lado o pagamento
pela prestao de servios terceirizados pode ser bem inferior).
Mo-de-obra especializada (a organizao pode necessitar de servios de um
especialista apenas por um determinado perodo de tempo. Manter esse especialista
em sua folha de pagamento pode ser mais oneroso, considerando que seus servios
sejam utilizados ocasionalmente).
Resoluo de problemas (quando um prestador de servios contatado, assume
todas as responsabilidades de entregar o servio dentro do prazo e de acordo com
Fonte:
- 28 -
os padres e preos predefinidos. Caso ocorram problemas, a responsabilidade de
solucion-los inteiramente do prestador de servios. A organizao apenas cobra
o cumprimento do contrato sem se envolver na resoluo dos problemas).
Rapidez no desenvolvimento de sistemas (geralmente os sistemas desenvolvidos
por prestadores de servios so entregues em prazos menores, devido s exigncias
contatuais e sua maior experincia prtica na rea).
Riscos Envolvidos
A contratao de servios externos sempre envolve alguns riscos. importante que a
equipe de auditoria revise o contrato e certifique-se de que a gerncia detm controle
adequado sobre o servio propriamente dito e sobre informao institucional manipulada
por pessoas externas organizao. Independentemente de o processamento ser efetuado
nas instalaes da organizao ou da firma prestadora de servios, o auditor deve ter
acesso a todas as informaes de controle. Em alguns casos, para que o auditor possa atuar
na firma prestadora de servios, necessria a incluso de clusula especfica no contrato
de prestao de servios.
Entre outros aspectos, a organizao deve se assegurar de que os controles de segurana
praticados pelo prestador de servios so compatveis com os padres e os procedimentos
adotados internamente. Para reduzir esse risco, so recomendadas clusulas contratuais que
responsabilizem o contratado a garantir a segurana dos dados de seu cliente.
Outro risco que vale a pena ser lembrado a possibilidade de a organizao, com o passar
dos anos, tornar-se dependente do prestador de servios, a tal ponto de comprometer seus
negcios caso o prestador de servios interrompa suas atividades ou faa exigncias
descabidas pra dar continuidade a seu trabalho. Alm disso, a experincia adquirida pelo
prestador de servios nos sistemas da organizao dificulta a troca de prestador de servios
ao trmino do contrato. Podem se passar meses at que um novo contratado assuma as
mesmas atividades com qualidade equivalente. Para reduzir esse risco, devem ser includas
clusulas contratuais que definam o repasse de informaes e documentao do prestador
de servios para o cliente ou para um novo contratado.
essencial que a organizao ainda tome o cuidado de incluir clusulas contratuais que
permitam alteraes nos sistemas ou outros servios, de acordo com as novas diretrizes
traadas pela organizao. Essas clusulas so especialmente importantes no caso de
entidades do setor pblico, onde as mudanas das chefias de Governo implicam em
mudanas de metas e estratgias das instituies governamentais.
Com a contratao de servios tcnicos externos corre-se o risco de perder ou diminuir a
experincia e a habilidade tcnicas de seus prprios profissionais. Isso acaba reduzindo
tambm a capacidade de o cliente lidar com problemas tcnicos futuros ou negociar os
aspectos especializados com o prestador de servios, por desconhecimento dos termos
tcnicos e de novas tecnologias.
Alm disso, a contratao de tcnicos fora do quadro do departamento de informtica pode
originar ressentimentos na equipe interna, por ter sido considerada incapaz para executar as
mesmas atividades. Pode surgir um clima de descontentamento, queda de produtividade ou
Fonte:
- 29 -
boicote dos profissionais do quadro com relao aos prestadores de servios, dando origem
a um ambiente propcio para atos no autorizados, fraudes, erros, omisses e sabotagem.
Por experincia prtica, pode-se dizer que uma vez terceirizados os servios de
informtica, dificilmente a organizao retornar essa atividade. A probabilidade de
continuarem sendo terceirizados muito maior. Portanto, uma deciso relativamente
definitiva a ser tomada com todo o cuidado, face quantidade de riscos envolvidos.
Contratos
Toda prestao de servios deve ser formalizada por um contrato. imprescindvel que
esse contrato seja revisado pelo departamento jurdico da organizao e apresentado ao
auditor, quando solicitado. A organizao, na definio do contrato, deve atentar para os
seguintes detalhes:
Custos bsicos e taxas adicionais o contrato deve apresentar claramente todos os
custos envolvidos.
Direitos de ambas as partes ao trmino do contrato especialmente importante
quando a organizao no detm conhecimento suficiente para executar os mesmos
servios sem contar com o prestador de servios.
Possveis indenizaes, no caso de perdas provocadas por uma das partes quebra
de segurana de acesso a informaes confidenciais, violao de direitos de
copyright ou de propriedade intelectual, etc.
Direitos de propriedade sobre os dados essencial que fique bem claro no
contrato que os dados pertencem organizao e no ao prestador de servios.
Direitos de propriedade intelectual deve ser estabelecido quem ter direitos sobre
o software desenvolvido ou mantido pelo prestador de servios.
Repasse de informaes tcnicas e documentao clusula particularmente
importante quando h troca de prestador de servios ou extino do contrato.
Possibilidade de alteraes quanto mais longo o contrato, maior a probabilidade
de os sistemas precisarem de alteraes. necessrio que o contrato estabelea
quando, como e que tipo de alteraes sero aceitas.
Padres de segurana deve ser especificado que o prestador de servios
obrigado a se adequar aos padres de segurana definidos pela organizao.
Padres de qualidade o contrato deve descrever os padres de qualidade
esperados pela organizao (tempo de resposta, disponibilidade dos servios,
documentao padronizada, tempo de processamento, prazo de entrega de sistemas
desenvolvidos, suporte tcnico, etc.).
Riscos Inerentes ao Controle
Organizacional Inadequado
Fonte:
- 30 -
A alta gerncia tem a responsabilidade de salvaguardar os recursos que compem o
patrimnio da organizao. Para tanto, necessrio estabelecer polticas que assegurem o
controle organizacional adequado, compatvel com os riscos envolvidos.
Os riscos mais comuns so a violao da segurana de aceso a recursos computacionais e
dados, implicando em fraudes, erros, perda de dados e roubo de equipamentos; e o
planejamento inadequado do crescimento computacional, podendo acarretar desperdcio de
investimento ao subutilizar os recursos de informtica ou, por outro lado, sobrecarregar o
sistema atual, degradando ou tornando indisponveis os servios computacionais oferecidos
aos usurios. Uma equipe insatisfeita ou ressentida com a gerncia, capaz de sabotar o
sistema computacional, ou uma equipe ineficiente que no cumpre com suas
responsabilidades (falha causada por polticas de seleo de pessoal e treinamento
inadequado), podem aumentar o risco de ocorrncia de erros e fraudes. A perda de dados e
informaes sobre os dados e aplicativos manipulados por prestadores de servios, so
outros riscos freqentes.
Lista de Verificaes
Os aspectos apresentados a seguir podem ser utilizados como uma lista de verificaes,
tanto pela gerncia de sistemas, quanto pela equipe de auditoria. Para essa gerncia, a lista
pode servir como um conjunto de tarefas a serem realizadas para implementar os controles
organizacionais. Para a equipe de auditoria, essas mesmas verificaes podem ser
traduzidas em procedimentos de auditoria a serem adotados.
A lista proposta a seguir no tem a pretenso de cobrir todos os pontos a serem verificados.
Seu objetivo dar uma noo ao leitor dos conceitos bsicos e tipos de itens que podem
fazer parte dessa lista. Cabe ao gerente de sistemas e ao auditor utiliz-la como um ponto
de partida na elaborao de suas prprias listas de verificaes.
Lista de Verificaes
Controles organizacionais:
Estabelecer e divulgar um plano estratgico de informtica compatvel com as
estratgias de negcios da instituio, o qual deve ser periodicamente traduzido em
planos operacionais que estabeleam metas claras de curto prazo.
Estabelecer, documentar e divulgar, a todos os funcionrios, as polticas de
informtica e os padres a serem adotados na instituio.
Atender s obrigaes legais e contratuais, em relao a aspectos administrativos e
de segurana.
Definir as responsabilidades de cada unidade organizacional e seus cargos
hierrquicos para que os servios de informtica possam ser prestados
adequadamente.
Instituir poltica de contratao e treinamento de pessoal.
Monitorar e avaliar o desempenho dos funcionrios.
Fonte:
- 31 -
Evitar a centralizao excessiva de poderes e atividades.
Instituir segregao de funes.
Estabelecer procedimentos de controle de trabalho de funcionrios.
Na constatao de servios terceirizados, estabelecer critrios rgidos para seleo,
treinamento, controle de acesso a informaes corporativas, controle de atividades
e aceitao de produtos.
Estabelecer claramente em contrato os direitos e os deveres do prestador de
servios, os padres de qualidade e de segurana a serem seguidos.
Definir uma poltica sobre documentao, estabelecendo padres de qualidade e
classificao quanto confidencialidade.
Manter documentao atualizada dos sistemas, aplicativos e equipamentos
utilizados.
Elaborar manuais de instruo para o desempenho das atividades no departamento
de informtica.
Elaborar plano de aquisio de equipamentos baseado na anlise de desempenho
dos sistemas atuais, na demanda reprimida dos usurios e nos avanos tecnolgicos
imprescindveis para a continuidade dos negcios da instituio.
Obedecer aos prazos recomendados de manuteno preventiva dos equipamentos e
aplicar as correes necessrias nos pacotes de software.
Estabelecer acordos de nvel de servio quanto disponibilidade dos recursos
computacionais e seu desempenho em condies normais e emergenciais.
Revisar e incorporar as listas de verificaes propostas nos outros tpicos de carter
genrico, tais como segurana de informaes, controles de acesso, planejamento
de contingncias e continuidade de servios.
Controles de Mudanas
Uma vez instalado um ambiente computacional e desenvolvido um aplicativo, quase
certo que ser necessrio, de tempos em tempos, atualizar a plataforma de hardware, a
verso do sistema operacional ou incorporar melhorias no cdigo das aplicaes
desenvolvidas internamente. Para minimizar os riscos de erros nessas mudanas ou
detectar fraudes durante a fase de transio, importante controlar o processo de
mudanas. Todas as alteraes devem ser autorizadas, documentadas, testadas e
implementadas de forma controlada. Para tanto, as organizaes devem definir um
procedimento padro de mudanas, o qual nortear todo o processo. imprescindvel
garantir que a mudana no comprometa a funcionalidade do sistema alm dos limites
previamente definidos.
O que Pode Provocar uma Mudana?
Fonte:
- 32 -
Raramente um ambiente computacional se mantm inalterado por um longo perodo de
tempo. As mudanas tecnolgicas, muitas vezes, so as responsveis por mudanas mais
radicais, como troca de equipamentos, metodologia de trabalho ou sistema operacional. A
seguir sero apresentados alguns fatores que levam a uma mudana no ambiente de
informtica.
Atualizao tecnolgica do parque computacional.
Maior demanda por capacidade de processamento ou de armazenamento (troca ou
atualizao de hardware computador, discos, memria) identificada pela gerncia
de planejamento de capacidade e desempenho.
Manuteno peridicas (troca de componentes de hardware, troca de verso de
software, aplicao de correes).
Identificao de problemas com o sistema a partir dos constantes registros feitos
pelo help-desk.
Insatisfao dos usurios com aspectos do sistema, tais como: telas de interface
pouco amigveis, navegao confusa entre as diversas telas, baixo tempo de
resposta, constante indisponibilidade, dados incorretos nos relatrios gerados, etc.
Identificao de vulnerabilidades do sistema em termos de segurana.
Operao ineficiente ou complicada uma mudana poder facilitar o trabalho dos
operadores, administradores de bancos de dados, gerente de rede, atendentes do
help-desk, etc.
Mudana dos objetivos do sistema, incluindo alteraes na legislao ou norma a
que o sistema atende.
Procedimentos de Controle de Mudanas
Os procedimentos de controle de mudanas podem variar de uma organizao a outra e
dependem do tipo de mudana envolvida. Abaixo ser apresentado um exemplo de
possveis procedimentos relacionados com mudanas em aplicativos.
1. Uma solicitao de mudana feita por um ou mais usurios.
2. feito um registro da solicitao, anlise de sua factibilidade e dos possveis
impactos que a mudana pode acarretar no sistema e em outros sistemas
relacionados.
3. Uma especificao da alterao de programa feita e submetida aprovao
gerencial.
4. Em um ambiente de teste, o programador efetua alteraes ou desenvolve um novo
sistema.
5. So definidos procedimentos de retorno.
Fonte:
- 33 -
6. As modificaes so testadas em um ambiente controlado de desenvolvimento.
7. Durante o teste, verificado se as modificaes seguem os padres de programao
e documentao da organizao.
8. feita uma simulao no ambiente de produo, fora do horrio normal de
funcionamento.
9. So feitos acertos em funo dos resultados dos testes.
10. Depois de todos esses passos e de sua documentao, o programa est pronto para
ser colocado em produo.
Os controles sobre a modificao de programas aplicativos ajudam a garantir que somente
modificaes autorizadas sejam implementadas.
Sem um controle apropriado, existe o risco de que caractersticas de segurana sejam
omitidas ou contornadas, intencionalmente ou no, e que processamentos errneos ou
ameaas programadas sejam introduzidos. Por exemplo, um programador pode modificar o
cdigo de um programa para burlar os controles e obter acesso a dados confidenciais; a
verso errada de um programa pode ser implantada, ocasionando processamentos errados
ou desatualizados; ou ainda um vrus pode ser introduzido, prejudicando o processamento.
Mudanas de Emergncia
De tempos em tempos ocorrem problemas com os sistemas em produo, ou com os
equipamentos de informtica, que precisam ser sonados o mais rpido possvel. Nesses
casos, necessrio executar mudanas de emergncia. Essas mudanas no podem
aguardar o procedimento normal de controle de mudanas e devem ser implementadas o
quanto antes.
Mesmo sendo uma emergncia, recomendvel que a organizao se planeje para esse tipo
de situao e seja capaz de control-la. Provavelmente muitos passos do procedimento
normal no sero seguidos de imediato, como documentao, por exemplo. Porm, assim
que a situao emergencial estiver resolvida, deve ser retomado o processo normal de
controle, complementando o que j foi feito durante a emergncia.
Controle de Verso
Os procedimentos de controle de verso so importantes porque garantem que todos os
usurios utilizam a verso correta do pacote de software ou aplicativo. A utilizao
indiscriminada de verses diferentes de software pode acarretar problemas srios, j que as
transaes so processadas de forma diferente, a partir de dados diferentes e gerando
resultados diversos. Os dados resultantes perdem, assim, sua compatibilidade e
confiabilidade.
A verso atual de software ou aplicativo pode ser colocada em uma biblioteca de
programas, distribuda ou acessada por todos da organizao. Essa biblioteca deter
informaes sobre as alteraes feitas e um histrico de verses.
Riscos Associados a Controles de Mudanas Inadequados
Fonte:
- 34 -
Os principais riscos associados a controles de mudanas inadequados so:
Uso de software ou hardware no autorizado, gerando incompatibilidade no
sistemas e dados.
Processamento e relatrios incorretos, levando, por exemplo, a decises gerenciais
de negcios totalmente equivocadas, pagamentos errneos ou registro incorreto de
transaes.
Insatisfao do usurio, acarretando perda de produtividade, entrada de dados
incorretos, etc.
Dificuldades de manuteno por falta de documentao adequada.
Mudanas acidentais ou deliberadas, sem devida autorizao, causando, por
exemplo, erros de processamento e liberao de informaes confidenciais a
usurios no autorizados.
Mudanas de emergncia no controladas, acarretando perda de dados e corrupo
de arquivos.
Lista de Verificaes
Os aspectos de segurana apresentados a seguir podem ser utilizados como uma lista de
verificaes, tanto pela gerncia de sistemas, quanto pela equipe de auditoria. Para essa
gerncia, a lista pode servir como um conjunto de tarefas a serem realizadas para
implementar os controles de mudanas. Para a equipe de auditoria, essas mesmas
verificaes podem servir como procedimento de auditoria a serem adotados.
A lista proposta abaixo no tem a pretenso de cobrir todos os pontos a serem verificados.
compor essa lista. Cabe ao gerente de sistemas e ao auditor utiliz-las como um ponto de
partida na elaborao de sus prprias listas de verificaes.
Lista de Verificaes
Controle de mudanas:
Documentar todas as modificaes e implement-las apenas se aprovadas pela
gerncia.
Avaliar o impacto das mudanas antes de implement-las e o efeito da sua no
implementao.
Definir os recursos necessrios para implementar a alterao e os recursos
futuros necessrios para sua manuteno.
Testar exaustivamente os programas antes de coloc-los em produo.
Preparar um plano de restaurao da situao anterior, caso algo d errado na
implantao da mudana.
Estabelecer procedimentos para alteraes de emergncia.
Aps os testes e a aprovao, impedir qualquer nova alterao. Se esta for
necessria, deve ser submetida a novos testes e aprovao.
Planejar a mudana de forma a minimizar o impacto no processamento normal
dos sistemas e servios prestados aos usurios.
Fonte:
- 35 -
Comunicar com antecedncia aos usurios sobre a programao de mudanas
que possam alterar o processamento normal dos sistemas por eles utilizados.
Manter e analisar periodicamente log das atividades de mudanas.
Manter controle das verses dos softwares utilizados.
Revisar e incorporar as listas de verificaes propostas nos outros tpicos de
carter genrico, tais como controles organizacionais, segurana de
informaes, controles de acesso, planejamento de contingncias e
continuidade de servios, etc.

Controles de Operao dos Sistemas
A operao dos sistemas est relacionada com aspectos de infra-estrutura de hardware e
software. Seu objetivo liberar os usurios de atividades repetitivas e das
responsabilidades de garantir a disponibilidade dos sistemas e seu funcionamento
adequado.
A equipe de operao requer certos procedimentos ou instrues especficas para processar
cada aplicativo, alm de procedimentos gerais relacionados com o ambiente operacional
em que esses aplicativos so executados. aconselhvel que o auditor reveja tanto os
procedimentos gerais quanto os especficos de cada aplicao.
Mudanas na Operao de Sistemas em Funo das Novas Tecnologias
A maioria das organizaes est sofrendo transformaes tecnolgicas que acarretam
mudanas significativas na operao dos sistemas, inclusive reduo de pessoal. Alm
disso, muitas delas, com vrios centros de processamento, esto optando pelo
processamento e controle remoto das operaes a partir de uma nica localidade, j que a
tecnologia de rede de comunicao j possibilita essa facilidade.
Os softwares de automao j substituem algumas atividades dos operadores, como a
colocao de cartuchos de fita nas unidades ou ativao de rotinas a partir de certas
condies de processamento ou de tempo. Esses softwares eliminaram, em grande parte, os
riscos de erros e fraudes na operao. No entanto, os operadores ainda so necessrios para
checar a correta ativao dessas rotinas automticas.
A impresso de relatrios, antes feita somente na sala do computador, hoje, com o
processamento distribudo, efetuada nos departamentos dos usurios. No h a
necessidade de distribuio de relatrios aos usurios solicitantes. Mesmo em organizaes
que optaram pela impresso centralizada, a interveno dos operadores menor, graas a
inovaes tecnolgicas no hardware e no software de controle de impresso.
Na antiga organizao de processamento de dados, a rea de operaes era a principal
preocupao da auditoria. O operador tinha controle quase que total do processamento de
dados e aplicaes, podendo burlar controles de acesso, adulterar seqncias de
processamento de programas ou inserir dados incorretos. Apesar de algumas dessas
atividades no autorizadas ainda serem possveis, o controle sobre a atuao dos
operadores maior, j que vrias de suas atividades hoje so automatizadas e,
conseqentemente, mais fceis de serem controladas pela gerncia.
Fonte:
- 36 -
Em funo dessas mudanas, alguns procedimentos de auditoria tradicionais parecem
arcaicos nos dias de hoje. importante que o auditor adapte seus objetivos de auditoria e
procedimentos de acordo com o ambiente computacional a ser auditado.
Funes Tradicionais de Operao de Sistemas
Operao na Sala do Computador
Os operadores so responsveis pela operao dos equipamentos, computadores e
perifricos, monitorando seu funcionamento e respondendo a mensagens por eles geradas.
Em centros de processamento de pequeno porte, so responsveis ainda pela operao da
rede de telecomunicaes. Os operadores, por princpio, no podem introduzir dados no
sistema ou alterar programas e arquivos. Sua funo limita-se ao processamento dos
sistemas em produo, devidamente desenvolvidos pelos programadores e aprovados pela
gerncia.
recomendvel que todas as atividades dos operadores sejam registradas em logs para que
posteriormente possam ser auditadas. Com esses logs so muito extensos e pouco
amigveis, j existem pacotes de software que analisam os logs e geram relatrios mais
sintticos para auxiliar na identificao de atividades de processamento inadequadas ou
no autorizadas, tais como: alterao de parmetros de segurana durante a carga inicial do
programa (IPL initial program load ou boot dos sistemas); violaes de segurana
registradas pelo software de controle de acesso; uso no autorizado de programas
utilitrios; abends (abnormal ends) de programa; instalao no autorizada de novos
softwares ou processamento fora do horrio normal de expediente.
Escalonamento do Servio
Os servios em produo so introduzidos no computador pelo escalonamento de servios.
Esses servios podem ser um processo ou seqncia de processos batch e arquivos
preparados para serem rodados durante a noite ou em segundo plano (background). Em
ambientes de grande porte, a linguagem JCL (job control language) contm os parmetros
necessrios para o processamento de jobs (servios), os quais so introduzidos pelos
operadores. Hoje em dia j existem pacotes de software mais sofisticados que, a partir de
parmetros preestabelecidos, despacham automaticamente os servios, sem a interveno
do operador. O escalonamento de servios, automtico ou no, o mtodo padro de
entrada de servios na fila de processamento do computador. Esse mtodo deve ser
previamente aprovado pela gerncia.
importante que o auditor confirme se existe um mtodo de escalonamento previamente
estabelecido e aprovado, se esse mtodo controlado por senha para prevenir acesso ou
alteraes no autorizadas e se h um mtodo emergencial para submisso de jobs,
devidamente autorizado e aprovado pela gerncia.
Gerncia de Desempenho e Planejamento de Capacidade
comum, em departamento de informtica maiores, haver uma seo de controle sobre os
arquivos e jobs processados, responsvel pela superviso do desempenho e tempo de
resposta, por exemplo. Seu objetivo monitorar o desempenho atual e realizar tuning
Fonte:
- 37 -
(sintonia) do sistema, isto , realizar pequenas modificaes capazes de melhorar o
desempenho atual.
Em geral, essa mesma gerncia executa o planejamento de capacidade. Esse planejamento
leva em conta o desempenho atual e a demanda reprimida para elaborar estimativas de uso
futuro de capacidade de CPU Central Processing Unit -, armazenamento em disco e
carga da rede. Seu objetivo garantir que os sistemas computacionais continuem a
apresentar um nvel satisfatrio de desempenho e atendam s novas demandas dos
usurios.
Atendimento ao Usurio e Gerncia de Problemas
O servio de atendimento ao usurio a interface entre usurios e departamento de
informtica. Todos os departamentos de informtica normalmente tm uma seo como
essa, pois , o ponto de contato com seus clientes. Todos os problemas e dvidas dos
usurios so encaminhados a esse servio, o qual responsvel por registrar todos os
problemas, resolver os mais simples e encaminhar os mais complicados para o especialista
mais capacitado dentro do departamento de informtica. Esse servio chamado pelos
usurios quando existe um problema com uma impressora, erros nos relatrios, terminais
ou microcomputadores fora do ar ou quando algum esquece a senha.
Do ponto de vista de controle, a gerncia de atendimento ao usurio uma seo
importante, pois o ponto de partida para a verificao de problemas ocorridos com os
sistemas informatizados e com o ambiente de informtica como um todo. Devem existir
procedimentos padronizados de registro de problemas, desde a reclamao do usurio at a
sua soluo. Os registros de problemas geralmente contm data da ocorrncia, nome ou
identificao do usurio reclamante, descrio da falha e da resoluo, as possveis causas
e o responsvel por sua resoluo. O registro das solues visa facilitar a resoluo de
problemas futuros, similares aos j ocorridos.
recomendvel que o auditor verifique se o servio de atendimento ao usurio funciona
adequadamente e analise os relatrios de problemas em busca de indcios de
irregularidades ou erros freqentes de processamento.
Gerncia de Meios Magnticos ou Fitoteca
Embora a maior parte dos dados esteja armazenada, nos dias de hoje, em discos de alta
capacidade diretamente conectados ao computador ou em disquetes e CD-ROMs
gerenciados pelos usurios, ainda existem fitas, em rolo ou cartucho, a serem armazenadas
em local centralizado e seguro. A fitoteca pode armazenar fitas de uso frequente ou fitas
backup da instalao, sendo aconselhvel haver um registro de todas as fitas armazenadas e
procedimentos para sua gerncia. Os departamentos de informtica de grandes
corporaes, por manipularem grandes quantidades de fitas, utilizam normalmente um
pacote de software gerenciador de meios magnticos, o qual mantm um registro de todos
os meios removveis, os arquivos neles contidos e o local fsico em que esto armazenados.
Em algumas organizaes so utilizados robs para manipulao de meios magnticos,
eliminando, assim, qualquer interveno de operador.
Independentemente do mtodo utilizado, o auditor deve verificar se os registros so
confiveis e se os arquivos esto fisicamente seguros, sendo acessados apenas por pessoal
Fonte:
- 38 -
autorizado. Devem ainda existir procedimentos adequados para transporte dos meios
magnticos , backup e inutilizao de seu contedo ao serem descartados.
Gerncia de Controle de Acesso
Mesmo com as mudanas tecnolgicas, ainda existem operadores com acessos
privilegiados para executar tarefas de manuteno de sistemas, por exemplo. O controle de
acesso como um todo um ponto importantssimo a ser verificado pelo auditor. Muitas
vezes merece at uma auditoria especial. necessrio que o auditor identifique, no caso
dos operadores, quem tem acesso privilegiado e considere se esse acesso justificado e
limitado apenas queles que realmente necessitam dele. As atividades executadas pelos
operadores devem ser registradas em logs para que posteriormente possam ser auditadas.
Gerncia de Backup e Recuperao
Em geral existe, no departamento de informtica, uma gerncia de backup peridico de
dados, arquivos e sistemas. Em conjunto com a gerncia de fitoteca, responsvel pelos
procedimentos de backup e restaurao dos sistemas aps uma eventualidade.
Manuteno de Hardware
A maioria dos equipamentos de informtica e de controle ambiental, como ar condicionado
e sistemas de combate a incndios, necessitam de manuteno preventiva peridica para
reduzir o risco de falhas inesperadas em seu funcionamento. Normalmente esse servio
provido pelo prprio fornecedor do equipamento ou por firmas especializadas contratadas
para esse fim. No caso de microcomputadores e estaes de trabalho, no comum
realizar-se manuteno preventiva.
O auditor, se achar conveniente, pode examinar os contratos de manuteno, seus
cronogramas e os relatrios de problemas registrados pelo help-desk com relao a falhas
de hardware. Dessa forma, pode estimar se o servio de manuteno est sendo adequado.
Manuteno Remota de Software
Algumas organizaes permitem que sua equipe tcnica acesse os softwares de suas
inmeras instalaes via linha discada para efetuar manutenes necessrias, geralmente
fora do horrio normal de expediente. Essa manuteno, algumas vezes, estende-se at os
fornecedores de hardware e software , os quais mantm uma central de atendimento aos
seus clientes e realizam, remotamente, atualizaes em seus produtos.
O acesso remoto, apesar de ter como objetivo a manuteno de hardware e software, no
deixa de ser uma porta aberta para acesso indesejados, uma fragilidade da segurana dos
sistemas. essencial que todas as atividades realizadas remotamente sejam registradas e
revisadas pela equipe de segurana da organizao. Por outro lado, se devidamente
controlado, por meio de senhas, perfis de acesso e outros artifcios de segurana, o acesso
via linha discada para manutenes pode melhorar significativamente a continuidade dos
servios , j que os problemas de produo podem ser resolvidos mais rapidamente.
Gerncia de Rede
Fonte:
- 39 -
Essa gerncia tem a responsabilidade de garantir que a rede de comunicao opere
normalmente e de fornecer aos usurios acesso rede de acordo com o nvel de servio
previamente estabelecido. Em geral, h uma equipe de operadores especialmente treinada
para realizar as operaes de rede, dada a complexidade dessa atividade.
Acordos de Nvel de Servio
As organizaes com uma boa administrao dos servios de informtica geralmente
fazem acordos de nvel de servio entre o departamento de informtica e os departamentos
de usurios. Usurios e departamento de informtica estabelecem nveis de servio em
termos de quantidade, qualidade e disponibilidade de sistemas. Cabe ao auditor verificar se
o acordo de nvel de servio cumprido e se os usurios esto satisfeitos com os servios
prestados pelo departamento de informtica.
Os acordos nada mais so do que contratos de prestao de servios internos que
descrevem os servios a serem prestados, o horrio de funcionamento e a disponibilidade
do servio (percentual de disponibilidade, tempo de recuperao aps a ocorrncia de uma
falha e tempo entre falhas), as medidas de desempenho e de segurana, incluindo plano de
contingncias. Os acordos podem ainda conter detalhes sobre o servio de atendimento ao
usurio.
Documentao dos Procedimentos de Operao
Para garantir a operao correta e segura de todos os sistemas computacionais, a
organizao deve possuir procedimentos de operao documentados de forma clara e
simples. importante que essa documentao contenha informaes, como procedimentos
de inicializao, manipulao dos arquivos de dados, escalonamento de servios,
tratamento de erros, backup e recuperao dos sistemas. Normalmente contm
procedimentos de segurana, de limpeza e conservao do ambiente onde se encontram os
equipamentos e nmeros de telefone dos tcnicos de suporte aos sistemas (equipe interna
ou dos fornecedores de hardware e software).
Tradicionalmente a documentao no feita de forma adequada ou no atualizada como
deveria ser. Em geral as pessoas no gostam de documentar, por considerarem essa
atividade repetitiva, desgastante e sem importncia. O auditor deve recomendar que se faa
uma documentao adequada, tanto dos procedimentos de operao quanto de todos os
aspectos envolvendo os sistemas da organizao. Por meio da documentao pode-se
auditar com maior facilidade. Alm disso, a documentao pode ser uma tima fonte de
informaes para recm-contratados e para a manuteno dos sistemas.
Poltica de Contratao e Treinamento de Operadores
A contratao de operadores deve seguir os critrios apresentados anteriormente, no que
diz respeito poltica de pessoal. A equipe de operaes deve ter habilidades, experincia e
treinamento suficientes para executar seu trabalho adequadamente.
Riscos Inerentes a Controles de Operao Inadequados
A falta ou ineficincia dos controles de operao pode acarretar problemas, como perda ou
corrupo de aplicativos e dados, resultante de uso incorreto ou no autorizado de
Fonte:
- 40 -
utilitrios de sistema; funcionamento incorreto de aplicativos, gerando informaes
errneas; sobrecarga do sistema ou falta de espao de armazenamento, impossibilitando a
execuo de novas transaes ou servios; insatisfao dos usurios com o departamento
de informtica por no serem auxiliados adequadamente pelo servio de atendimento ao
usurio; falta de backup e planejamento de contingncia, aumentando os riscos de
indisponibilidade dos sistemas por um longo perodo de tempo.
Lista de Verificaes
verificaes, tanto pela gerncia de sistemas, quanto pela equipe de auditoria. Para essa
gerncia, a lista pode servir como um conjunto de tarefas a serem realizadas para
implementar os controles de operao de sistemas, e para a equipe de auditoria, essas
mesmas verificaes podem ser traduzidas em procedimentos de auditoria a serem
adotados.
A lista proposta a seguir no tem a pretenso de cobrir todos os pontos a serem verificados.
compor essa lista. Cabe ao gerente de sistemas e ao auditor utiliz-la como um ponto de
partida na elaborao de suas prprias listas de verificaes.
Lista de Verificaes
Controles de operao de sistemas:
Distribuir adequadamente a carga de trabalho entre os operadores, levando
em considerao os perodos de pico e a natureza de cada atividade de
operao.
Supervisionar as atividades de operao dos sistemas.
Analisar o desempenho dos sistemas, visando o planejamento de capacidade
mais adequado s necessidades dos usurios.
Implementar uma gerncia de problemas, de forma que os problemas
reportados pelos usurios e identificados pela equipe de informtica possam
ser registrados, analisados e corrigidos adequadamente.
Instituir uma equipe de help-desk para auxiliar os usurios na utilizao dos
recursos computacionais e registrar os problemas por eles identificados.
Manter um histrico dos problemas ocorridos e suas respectivas solues,
com objetivo de facilitar a resoluo de problemas futuros.
Estabelecer procedimentos de controle de acesso a arquivos e programas em
dispositivos de armazenamento de dados (discos, fitas e cartuchos),
terminais e estaes de trabalho.
Estabelecer uma rotina de backup e recuperao dos sistemas, aplicativos e
dados.
Produzir e manter atualizados manuais de operao de sistemas, aplicativos
e equipamentos.
Estabelecer mecanismos para minimizar os impactos provocados por falhas
de hardware ou software.
Revisar e incorporar as listas de verificaes propostas nos outros tpicos de
carter genrico, tais como controles organizacionais, segurana de
Fonte:
- 41 -
Controles sobre microcomputadores
Geralmente em um ambiente com microcomputadores h um menor controle fsico e
ambiental sobre os equipamentos. Normalmente o ambiente de microcomputadores no
controlado., j que os equipamentos so instalados em salas comuns, na maioria das vezes
com livre acesso a qualquer pessoa. Dependendo do grau de confidencialidade e
criticidade dos dados e aplicativos processados nesse ambiente, a falta de controle fsico e
ambiental pode ser um problema significativo ou no. Com isso, essencial que a equipe
de segurana e auditoria tenha em mente outros tipos de riscos, vulnerabilidades e
controles a serem avaliados.
Riscos e Controles Especficos
A maioria dos problemas e riscos associados computao em microcomputadores surge
da falta de controle desse ambiente. Geralmente os usurios agem da forma como acham
melhor.
H certa dificuldade de conscientizar os usurios quanto importncia da segurana das
informaes e das polticas, padres e prticas de trabalho a serem adotadas.
Controles Organizacionais
Quando no houver um departamento de informtica formalmente estabelecido,
importante que o auditor determine quem tem acesso aos sistemas em microcomputador e
como essas pessoas os utilizam. A documentao um item importante, devendo incluir os
procedimentos operacionais para processamento dos sistemas, backup e recuperao. A
documentao deve ser suficiente para permitir que algum, com poucos conhecimentos a
respeito das aplicaes especificas, possa process-las sem problemas e efetuar operaes
bsicas de backup e recuperao.
Conformidade com a Legislao
A organizao deve estabelecer polticas para garantir que seus usurios estejam
conscientes da legislao, obedeam as normas e no pratiquem a pirataria de software.
Pirataria
A pirataria deve ser uma prtica condenada na instituio, no s por ser ilegal e anti-tica,
mas tambm porque pode ser arriscado utilizar um software sem ter certeza de sua fonte.
recomendvel que o auditor verifique se todos os softwares utilizados foram realmente
contratados pela organizao. A equipe de segurana e auditoria pode utilizar ferramentas
de software para auxiliar na tarefa de verificao das licenas de software contidas nos
discos rgidos.
Controles de Acesso Fsico e Lgico
O acesso fsico a computadores de mesa normalmente menos controlado do que nos
ambientes de computadores de grande porte, onde tradicionalmente o acesso restrito por
portas trancadas, fechaduras com segredo, vigilncia constante ou circuitos internos de TV.
Fonte:
- 42 -
recomendvel que os usurio de micro sejam encorajados a utilizar senhas, criptografia,
proteo automtica de tela, pacotes de segurana e, se possvel, armazenem os dados
confidenciais em um servidor de arquivos.
Continuidade de Servios
A gerncia de segurana e auditoria pode recomendar o uso de um servidor de arquivos
para armazenamento de dados ao invs do disco rgido local. Normalmente o servidor de
arquivos administrado pelo departamento de informtica e possui procedimentos de
backup peridico de seu contedo. Recomendar o uso de estabilizadores e fontes de
energia ininterrupta. Verificar os logs para monitorar mensagens de erro e falhas do
sistema.
Proteo Contra Vrus de Computador
Existem diversos controles que a organizao pode usar para reduzir o risco de infeco
por vrus. Alguns so de natureza tcnica; outros, administrativos.
Uso de Disquetes e Arquivos via Internet
Todos os disquetes externos e arquivos da Internet de vem ser submetidos ao anti-vrus
possa antes de serem carregados. Disquetes contendo arquivos compactados devem ser
descompactados para que o anti-vrus possa cumprir sua finalidade.
Uso de Software Aprovado pela Gerncia
A organizao deve estabelecer uma poltica que controle o contedo de seus
microcomputadores, permitindo apenas softwares aprovados pela gerncia. Com isso,
pode-se reduzir o risco de difuso de vrus anexados a aplicativos de fontes desconhecidas.
Para garantir o cumprimento da poltica, a gerncia deve realizar auditorias regulares nos
computadores dos usurios, utilizando, se for o caso, sistemas de gerncia de rede que
permitam acesso e superviso remota dos microcomputadores conectados rede.
aconselhvel manter uma certa padronizao de produtos, com o objetivo de facilitar o
treinamento dos usurios e as manutenes de software que se fizerem necessrias.
Procedimentos de Emergncia
No caso de todas as medidas preventivas falharem, a organizao deve ter um plano de
emergncia preparado para lidar com situaes de ataque de vrus.Lista de Verificaes
verificaes, tanto pela gerncia de sistemas, quanto pela equipe de auditoria. A lista
proposta a seguir no tem a pretenso de cobrir todos os pontos a serem verificados. Seu
objetivo dar uma noo ao leitor dos conceitos bsicos e tipos de itens que podem
compor essa lista. Cabe ao gerente de sistemas e ao auditor utiliz-la como um ponto de
partida na elaborao de suas prprias listas de verificaes.
Lista de Verificaes
Controles sobre microcomputadores:
Fonte:
- 43 -
Manter um inventrio dos equipamentos de microinformtica.
Instituir controles de entrada e sada de peas e equipamentos, com o
objetivo de evitar ou minimizar a perda ou roubo de equipamentos.
Instruir os usurios de laptops para no armazenarem nesses equipamentos
senhas que possibilitem acesso a sistemas internos ou informaes
confidenciais no criptografadas.
Manter, se possvel, padronizao de produtos de hardware e software.
Utilizar apenas softwares contratados.
Utilizar estabilizadores de energia ou equipamentos similares de proteo
aos microcomputadores.
Manter registro das licenas de software, identificando em que mquinas
esto sendo processadas.
Cadastrar os pacotes de software em demonstrao em registros separados
no inventrio, para que possam ser tomadas as providencias necessrias
para sua contratao ou sua eliminao da mquina ao trmino do perodo
de demonstrao.
Cadastrar os pacotes de software adquiridos sem nus (freeware) em
registros separados no inventrio.
Permitir a carga de novos softwares apenas ao administrador do sistemas ou
pessoas por ele autorizadas.
Verificar periodicamente o contedo dos discos rgidos dos
microcomputadores e eliminar os softwares que no corresponderem aos
registros do inventrio.
Estabelecer uma poltica contra pirataria de software, prevendo inclusive
punies aos infratores.
Utilizar sempre senhas ou outros mecanismos de identificao e
autenticao dos usurios.
Manter atualizados os anti-vrus em todos os micros da instituio.
Carregar no computador apenas software e dados a partir de fontes
confiveis, submetendo todos os arquivos externos ao anti-vrus, antes de
serem carregados.
Promover programa de treinamento e conscientizao dos usurios quanto
segurana de informaes.
Utilizar proteo automtica de tela, com senha.
Utilizar criptografia.
Realizar backup regularmente.
Revisar e incorporar as listas de verificaes propostas nos outros tpicos
de carter genrico, tais como controles organizacionais, segurana de
Controles Sobre Ambiente Cliente-Servidor
O controle e segurana em ambiente cliente-servidor um desafio equipe de auditoria e
segurana, j que sua arquitetura se baseia em tecnologias de microinformtica e de redes,
as quais no foram originalmente projetas para serem seguras. Quase todos os dispositivos
de segurana nesse ambiente forma projetados posteriormente, em funo da necessidade.
um ambiente bastante heterogneo, tanto em relao a hardware e software, quanto ao
perfil de usurios. A forma como o sistema operacional e os aplicativos cliente-servidor
Fonte:
- 44 -
so distribudos logicamente constitui-se um desafio a mais equipe de segurana. Em
uma auditoria, a equipe pode considerar os componentes separadamente ou como sistemas
integrados. Dependendo do tipo de auditoria e da forma como os componentes foram
distribudos, a auditoria pode se concentrar no computador central ou em mltiplos
servidores, clientes e rede de comunicaes.
Quando comparado ao ambiente de microcomputadores stand-alone (desconectados),
entretanto, o ambiente cliente-servidor apresentar certas vantagens de segurana, j que
permite que a organizao mantenha um controle central de seus dados, no que diz respeito
a direitos de acesso, manuteno e backup, e tome medidas preventivas e corretivas de
segurana mais eficazes.
Configurao do Sistema Operacional
A configurao inicial dos sistemas operacionais, distribuda pelos fornecedores,
normalmente no tem como objetivo a segurana. Muito pelo contrrio, a configurao
default do sistema feita na sua forma mais permissiva, facilitando sua instalao e uso, e
habilitando seus componentes e servios mais populares. As brechas de segurana nas
configuraes default dos sistemas operacionais so tantas que tornam sua customizao
uma tarefa mais trabalhosa do que deveria ser.
Contas de Usurio
Todo usurio, para acessar algum recurso do ambiente cliente-servidor, precisa ter uma
conta. A conta tem as informaes necessrias para que cada usurio seja reconhecido na
rede, tais como nome e senha. Em alguns sistemas operacionais, a conta tambm tem
outras informaes importantes, tais como direitos, permisses de acesso e grupos aos
quais o usurio est associado. bom esclarecer a diferena entre direito e permisso. Um
direito uma autorizao para o usurio executar certas operaes no sistema como um
todo. A permisso, por sua vez, uma regra, associada a um determinado objeto, que
define quais usurios podem acessar aquele objeto e de que maneira. Os direitos, por serem
vlidos para todo o sistema, tm prioridade sobre as permisses. Por exemplo, o usurio
Paulo tem o direito de fazer backup de arquivos e diretrios. Mesmo que o proprietrio de
um determinado arquivo no tenha dado a permisso de backup ao Paulo, ele poder faze-
lo, j que o seu direito prevalece sobre a permisso especfica associada quele arquivo.
Existem alguns tipos de contas de usurio especialmente importantes no que se refere a
segurana:
As contas sem senha ou guest normalmente so usadas em casos excepcionais de usurios
ocacionais ou, como o prprio nome diz, convidados. As contas com senha padronizada
ou default, por sua vez, geralmente so associadas a produtos de software em
demonstrao ou teste. Esses dois tipos de contas so enormes brechas de segurana, j que
um invasor, sem muito esforo, pode utiliz-las para acesso inicial ao sistema e, uma vez
conectado, pode tentar acessar, mais facilmente, contas privilegiadas. Seu uso, portanto
no recomendado.
A conta de administrador, tambm chamada de root ou super-usurio em ambientes Unix,
uma conta em se tratando de segurana, pois tem controle completo da operao e
segurana do SO e sobre qualquer arquivo ou diretrio. recomendvel que essa conta
Fonte:
- 45 -
seja utilizada apenas pelo responsvel pela configurao e segurana da rede, quando as
atividades a serem executadas assim o exigirem. Em outras palavras, sempre utilize uma
conta cujos privilgios so os menores possveis, isto , suficientes apenas para executar a
tarefa desejada.
Utilizar contas privilegiadas para realizar tarefas corriqueiras torna o sistemas mais
suscetvel atuao de cavalos de tria, por exemplo. Se, acidentalmente, um usurio
processar um cavalo de tria, melhor que ele tenha pouqussimos privilgios para que os
danos provados por esse programa sejam limitados aos dados e arquivos particulares do
usurio, sem atingir arquivos confidenciais da instituio ou de configurao do SO.
Grupos
Um grupo um conjunto de permisses e direitos de acesso que pode ser associado a
vrios usurios, sendo um artifcio utilizado pelo administrador do sistema para facilitar a
gerncia de acesso aos recursos da rede. As contas de usurio que normalmente executam
tarefas semelhantes so reunidas em um grupo e seus direitos de acesso so definidos para
o grupo, evitando definies repetidas para cada usurio individualmente. Os grupos
podem ser usados tanto para ceder como para limitar o acesso a recursos crticos. Por
exemplo, apenas os usurios do grupo Presidncia podero ter acesso base de dados
confidenciais da empresa. Com grupos, o administrador trata um grande nmero de
usurios como se fosse uma nica conta. Se for necessrio alterar qualquer direito de
acesso, isso pode ser feito no grupo, afetando, assim, os direitos de todos os usurios a ele
associados. Dependendo de suas funes na empresa, um usurio pode ser definido em
mais de um grupo.
Permisses de Arquivo e de Diretrio
As permisses de arquivo e de diretrio determinam se um usurio ou grupo pode acessar
um arquivo ou diretrio e como se dar esse aceso. Normalmente o usurio proprietrio
aquele que cria o arquivo ou diretrio e cabe a ele definir e alterar as permisses de acesso.
O ambiente Windows NT
O ambiente Windows NT apresenta, como uma de suas caractersticas de projeto, uma
arquitetura de segurana, baseada no conceito de domnios, grupos de usurios, permisses
e direitos de acesso, a qual facilita a implementao de uma estrutura computacional mais
controlada. Seus componentes bsicos so LSA (Local Security Authority), SAM (Security
Account Manager) e SRM (Security Reference Monitor).
Colocar figura
Subsistema de Segurana Local Security Authority (LSA)
O subsistema de Segurana (LSA) o principal componente de arquitetura de segurana
do NT e, por isso, muitas vezes considerado como o prprio subsistema de segurana.
Dentre suas funes, destacam-se:
Criao de tokens de acesso durante o processo de logon do usurio;
Fonte:
- 46 -
Validao do usurio de acordo como seu tipo de permisso de acesso;
Controle e gerncia da poltica de segurana e auditoria no ambiente NT;
Manuteno de log de mensagens de auditoria geradas pelo monitor de segurana
(SRM).
O LSA, para realizar seus objetivos de segurana, utiliza os servios providos pelos outros
componentes do subsistema.
Gerenciador de Informaes de Segurana Security Account Manager (SAM)
Esse componente mantm uma base de dados de segurana com informaes de todas as
contas de grupo e usurios. Apesar de ser transparente ao usurio, o SAM presta, ao LSA,
os servios de validao de usurios, comprando as informaes digitadas no processo de
logon com as informaes anteriormente armazenadas na base de dados. Dependendo da
arquiterura da rede, pode haver mais de uma base de dados SAM, como por exemplo, uma
base SAM para cada estao de trabalho ou domnio. A validao, nesse caso, pode ocorrer
de forma centralizada (na base SAM da mquina controladora do domnio) ou
descentralizada (na base SAM da estao de trabalho).
Monitor de Segurana Security Reference Monitor (SRM)
O monitor de segurana tem como funo garantir o cumprimento das polticas de
validao de acesso e de gerao de logs de auditoria estabelecidas pelo subsistema LSA,
protegendo recursos e objetos contra acesso ou alteraes no autorizadas. Para tanto, o
monitor valida o acesso a arquivos e diretrios, testa os privilgios de aceso dos usurios e
gera mensagens de auditoria. Dessa forma, o Windows NT previne o acesso direto a
objetos. Para poder acessar qualquer objeto, o usurio submetido, de forma transparente,
validao do SRM. O SRM compara as informaes do descritor de segurana do objeto
pretendido com as informaes de segurana da token de acesso do usurio e toma a
deciso se o acesso deve ser permitido ou no.
Processo de Logon
A inteno do NT com o usurio inicia-se com uma medida de segurana preventiva.
Antes de fornecer seus dados, o usurio orientado a pressionar simultaneamente as teclas
CTRL+ALT+DEL, a fim de detectar aplicativos rodando em segundo plano (background).
O processamento em background um artifcio bastante utilizado por cavalos de Tria, na
tentativa de capturar as informaes de logon do usurio. Em seguida, apresentada a tela
de autorizao, na qual o usurio preenche sua identificao, senha e domnio ou servidor
que pretende acessar. Essa fase do logon s ser realizada com sucesso se a identificao e
a senha do usurio estiverem corretas. Se apenas uma delas estiver certa, o NT envia
mensagem de falha de autorizao do usurio, sem indicar o campo incorreto. Esse
procedimento tambm uma medida preventiva, no caso de pessoas no autorizadas
estarem tentado adivinhar os dados de um usurio.
A fase seguinte a da autenticao do usurio. As informaes digitadas pelo usurio so
repassadas pelo subsistema de segurana (LSA) ao gerenciador de informaes de
segurana (SAM), o qual as compara com as informaes da base de contas de usurios do
Fonte:
- 47 -
domnio pretendido. Se a identificao e a senha do usurio corresponderem aos dados de
alguma conta da base de dados, o servidor avisa estao de trabalho que a autenticao
daquele usurio foi satisfatria.
O subsistema de segurana (LSA) constri, ento, uma token de acesso para aquele
usurio, contendo seu nome, identificao de segurana, grupos de usurios a que pertence
e privilgios de acesso. Essa token ser associada a todo e qualquer processo executado por
aquele usurio. O subsistema Win32 cria um processo para o usurio, associando-o token
e, ao final do procedimento de logon, apresentada a tela do gerenciador de programas.
Controle de Acesso Discricionrio
Os controles de acesso discricionrio permitem, aos proprietrios de recursos, aos usurios
com acesso conta de administrador e aos usurios com autorizao para controlar os
recursos do sistema, especificar quem pode acessar seus recursos e que tipo de aes
podem realizar com eles. Esses controles podem ser associados a usurio especficos, a
grupos de usurios, a ningum ou a todos os usurios conectados rede. No NT as
definies de acesso podem ser feitas pelas seguintes ferramentes:
Gerenciador de usurios em domnios (definies das polticas de segurana e
administrao de contas de usurios e grupos);
Gerenciador de arquivos (compartilhamento de arquivos e diretrios);
Gerenciador de impresso (compartilhamento de impressora na rede);
Painel de controle (definio de limites de compartilhamento de recursos na rede,
ativao e desativao de servios de rede).
Tokens de Acesso
Com foi descrito anteriormente no processo de logon, o subsistema de segurana (LSA)
constri uma token de acesso para cada usurio, contendo seu nome, identificao de
segurana, grupos de usurios a que pertence e privilgios de acesso. Essa token
associada a todo e qualquer processo executado por aquele usurio. Sempre que o usurio
ou um processo a ele associado tentar acessar um objeto, os dados de sua token
(identificao, grupos a que pertence e privilgios) so comparados aos dados da lista de
controle de acesso do objeto, mais especificamente, s entradas de controle de acesso. O
acesso s ser permitido se as informaes compradas forem compatveis.
Listas de Controle de Acesso
As listas de controle de acesso so uma forma adicional de controle de acesso a recursos.
Todo e qualquer recurso, seja um arquivo, diretrio ou impressora, tem um proprietrio, o
qual decide quem pode ter acesso ao recurso e o que pode fazer com ele. O usurio pode
especificar e controlar o impedimento de acesso ou o compartilhamento de objetos por ele
criados ou controlados. As permisses de acesso a um determinado objeto so definidas
nas chamadas entradas de controle de acesso (ACE Acces Control Entry), as quais so
associadas a uma lista de controle de acesso no momento em que o usurio define os
controles de acesso discricionrio para o objeto em questo. Se o usurio no definir esses
Fonte:
- 48 -
controles de acesso, criada uma lista de controle de acesso padro (default) para o objeto.
Os dados dessa entradas so checados com a token de acesso do usurio, quando
solicitado acesso ao objeto.
Ferramentas de Segurana e Auditoria
Gerenciador de Usurios em Domnios User Manager for Domains
Essa ferramenta usada para administrar a segurana nos domnios e computadores
associados ao Windows NT. Com ela, pode-se criar novos usurios e grupos, estabelecer as
polticas de definio de contas de usurios, direitos de acesso e relacionamentos de
confiana, e especificar atributos de segurana para cada usurio. Apenas o administrador
do sistema tem o privilgio de gerencia e alterar a configurao estabelecida pelas
ferramentas de segurana.
Contas de Usurios
O acesso aos recursos computacionais s permitido aps a entrada de um nome de conta
e uma senha vlidos. Para controlar as contas de usurio, o gerenciador de usurios do NT
utiliza as seguintes facilidades:
Poltica de contas controla as definies e alteraes de senhas, como por
exemplo, tamanho da senha, prazos mximo e mnimo para alterao, bloqueio da
conta ou da estao de trabalho aps um certo limite de tentativas de logon
frustradas, etc.
Poltica de direitos do usurio controla os direitos explcitos que podem ser
designados a contas de usurios e grupos, tais como os direitos a acessar um
computador localmente ou pela rede, restaurar e fazer backup de arquivos e
diretrios, acessar e manipular o log de segurana, etc.
Perfil de usurio - contm informaes sobre a forma de interao do usurio com
qualquer estao de trabalho da rede. Os perfis podem ser criados pelo
administrador para estabelecer ambientes seguros, onde o usurio s consegue
interagir com o sistema por meio de formas preestabelecidas. Independentemente
da estao de trabalho acessada, ser apresentado ao usurio o mesmo ambiente
interativo, j que este est associado ao seu perfil e no estao de trabalho. Com
essa ferramenta, o administrador pode criar, por exemplo, um perfil para cada tipo
de funo na empresa, o qual poder ser associado a vrios usurios que exeram
aquela funo. Dessa forma, vrias contas de usurio podem utilizar um ambiente
comum de interao com a rede, facilitando a gerncia de controle.
Grupos
No NT, o administrador, na definio e manuteno de direitos e permisses de acesso,
pode estabelecer trs nveis de contas:
Contas de usurio cada usurio tem uma conta protegida por senha, associada a
direitos e permisses de acesso individualizados. As contas podem ser definidas
localmente ou em nvel de domnio;
Fonte:
- 49 -
Grupos locais conjunto de contas de usurios, definido em cada estao de
trabalho, com direitos e permisses de acesso comuns quele domnio local;
Grupos globais conjunto de contas de usurios, definido em nvel de domnio,
com direitos e permisses de acesso comuns a mltiplos domnios.
Assim como no caso das contas de usurios, tambm h grupos que merecem uma ateno
especial do auditor e da equipe de segurana, tais como os grupos de administrador e de
operadores do servidor, por terem acesso privilegiado ao sistema, na execuo de vrias
tarefas administrativas e de segurana, e usurios guest, pro serem capazes de acessar a
rede sem necessidade de senha.
Domnios e Relacionamento de Confiana
Um domnio um conjunto de computadores, agrupados por motivos administrativos, que
compartilham uma base de dados de usurios e uma poltica de segurana, facilitando a
gerncia e o controle de segurana da rede. Em um domnio, cada usurio tem uma nica
conta para acessar a rede a partir de qualquer computador do domnio. O administrador,
por sua vez, precisa manter apenas uma conta para cada usurio e estabelecer uma nica
poltica de segurana para todo o conjunto.
A mquina controladora do domnio mantm uma base de dados contendo os nomes de
contas e senhas de todos os usurios registrados no domnio. Uma vez que o usurios tenha
sua conta nessa bases de dados, o controlador permitir seu logon em qualquer mquina
associada quele domnio.
Em redes mais complexas, com inmeros domnios, a segurana normalmente
estabelecida a partir de relacionamentos de confiana. Esses relacionamentos nada mais
so que ligaes entre domnios que possibilitam a um usurio com conta em um domnio
acessar recursos de outros domnios da rede. Esses relacionamentos simplificam a gerncia
da rede ao combinar dois ou mais domnios em uma unidade administrativa. Resumindo,
existem duas vantagens na abordagem de relacionamentos de confiana. Do ponto de vista
do usurio, necessria uma nica conta e senha para cada usurio acessar recursos de
vrios domnios e, do ponto de vista gerencial, o administrador pode gerenciar vrios
domnios de forma centralizada. Em termos de segurana, o estabelecimento de relaes de
confiana requer, entretanto, planejamento adequado e conhecimento detalhado da rede.
Gerenciador de Arquivos e Diretrios
O Windows NT suporta mais de um tipo de sistema de arquivos, vale a pena mostrar as
diferenas entre eles, quanto aos aspectos de segurana e auditoria.
NT File System (NTFS)
Esse sistema de arquivos exclusivo do NT. No prov criptografia e no pode ser usado
em disquetes. No caso de falha do sistema ou do disco, o NTFS prov recuperao de
dados. Por ser o nico a utilizar o sistema de segurana de arquivos e diretrios do NT
(menu de segurana do gerenciador de arquivos). Atravs do menu de segurana do
gerenciador de arquivos, pode-se definir as permisses de arquivos e diretrios, em
volumes NTFS, para usurios e grupos de usurios. O proprietrio pode definir uma
Fonte:
- 50 -
combinao dos seguintes tipos de acesso: nenhum acesso, ler (R), gravar (W), executar
(X), apagar (D), alterar permisso (P), tomar propriedade (O) e acesso total.
File Allocation Table (FAT)
Esse sistema de arquivos o mais usuado em computadores pessoais j que os arquivos
por ele gerados podem ser lidos pelos sistemas operacionais MS-DOS, Windows NT e
OS/2.
High Performance File System (HPFS)
O HPFS foi criado para o sistema operacional OS/2. Os arquivos por ele gerados podem
ser lidos pelos sistemas operacionais OS/2 e NT (verses anteriores a 4.0).
Em volumes FAT e HPFS, no possvel definir permisses individualmente a arquivos e
diretrios, a no ser nos casos de compartilhamento, quando as permisses so definidas
para o compartilhamento e no para os arquivos e diretrios individuais. Apenas o NTFS
possibilita a definio de listas de controle de acesso.
Segurana de Dados
O servidor Windows NT suporta as seguintes facilidades de segurana de dados:
RAID 0 a 5 - a tecnologia RAID (Redundant Array of Inexpensive Disk) uma
estratgia de tolerncia a falhas padronizada pela indstria e categorizada nos
nveis de 0 a 5. O NT possibilita que, com o hardware adequado, seja
implementado RAID at o nvel 5. Esse nvel permite o particionamento dos discos
fsicos, com cdigo de correo de erro armazenado como paridade, de forma que
tanto o arquivo gravado como a paridade so seccionados e distribudos por vrios
drives de disco, melhorando tambm o desempenho das operaes de I/O nos
discos;
Hot fixing recuperao de setores de disco durante a operao de I/O. Ao
identificar um setor defeituoso, o NT move os dados para um setor sem defeito e
isola o setor defeituoso;
Backup operao de cpia de arquivos e diretrios para salvaguardar seu
contedo. O programa de backup uma das ferramentas administrativas do
gerenciador de programas do NT.
Last Known Good Configuration permite ao usurio restaurar a ltima
configurao de sistema que estava operando corretamente;
Disco de reparo emergencial - permite ao usurio restaurar o sistema a seu estado
inicial de configurao (configurao original da mquina), quando no for mais
possvel restaurar a ltima configurao do sistema em operao correta.
Fonte de fora ininterrupta (UPS Uninterruptible Power Supply) permite a
conexo de uma bateria ao computador para que o sistema continue processando
normalmente, mesmo na ocorrncia de uma falha de fornecimento de energia.
Fonte:
- 51 -
Logs
O servidor NT registra em logs (arquivos histricos) uma srie de eventos importantes para
a gerncia, segurana e auditoria da rede. Existem trs tipos de log:
Log de sistema grava erros, mensagens de alerta ou informaes geradas pelo
sistema;
Log de aplicativo grava erros, mensagens de alertar ou informaes geradas pelo
software aplicativo.
Log de segurana grava tentativas de logon vlidas e invlidas, e eventos
relacionados com o uso de recursos.
Na configurao padro, apenas o administrador do sistema tem acesso ao log de
segurana, enquanto que os logs de sistema e de aplicativos podem ser acessados por
qualquer usurio. No caso de domnios, o log de segurana mantido no servidor
controlador do domnio e contm informaes sobre eventos ocorridos no controlador e em
todos os outros servidores do domnio. No caso de estaes de trabalho stand-alone, os
eventos so gravados no log de segurana da prpria estao.
Os eventos gravados no log de segurana podem ser divididos nas seguintes categorias:
Eventos de sistema tentativas de logon e logoff, alteraes de poltica de
segurana, criao, alterao e eliminao de contas de usurios e grupos;
Eventos relacionados com arquivos, diretrios, configurao dos arquivos de log,
nvel de acesso a impressoras e acesso remoto a servidores.
Pela natureza dos eventos gravados no log de segurana, esse log uma tima fonte de
informaes para a gerncia de segurana e auditoria na rede NT.
O ambiente Unix
A segurana do sistema Unix basicamente implementada por direitos de acesso de
usurios e grupos. Todo programa Unix processado com a permisso de algum usurio
ou grupo. Um servidor Unix, por exemplo, pode rodar vrios servios, como controle de
impresso, login remoto ou e-mail, e cada um desses servios est associado a uma conta
de usurio. Portanto, as contas de usurios e as permisses de acesso so a chave da
segurana no ambiente Unix.
Contas de Usurios
Todo usurios de um computador Unix precisa ter uma conta. A conta dividida em duas
partes: o nome da conta, tambm chamada username, e a senha. O nome da conta um
identificador que define para o computador quem o usurio e a senha um autenticador,
isto , ela prova ao computador que o usurio realmente quem diz ser.
Nos sistemas Unix uma pessoa ter mais de uma conta. Porm cada conta ter um username
diferente, composto de 1 a 8 caracteres.
Fonte:
- 52 -
Para controlar seus usurios, o Unix utiliza um arquivo de senhas, chamado /etc/passwd.
Cada linha desse arquivo contm um registro de banco de dados cujos campos informam,
por exemplo, o nome da conta, a senha criptografada, nmeros de identificao de usurio
e de grupo, e outros dados relacionados com a conta daquele usurio especfico. Para
dificultar o acesso de invasores s senhas dos usurios, o Unix utiliza um sistema de senhas
criptografadas para que no seja necessrio armazenamento de senhas reais.
Para entrar no sistema, o usurio se identifica, ao digitar o nome da sua conta, e se
autentica, ao digitar sua senha. O Unix checa se a conta existe e se a senha digitada
corresponde quela conta. SE uma das informaes no estiver correta, o processo de
logon interrompido.
Usurios Especiais
Alm das contas de usurios pessoais, existem ainda contas Unix especiais, sem associao
com uma pessoa, que executam funes de sistema. A mais importante delas o chamado
superusurio ou root. A conta root utilizada pelo prprio sistema para realizao de
funes bsicas, como o processo de logon de usurios, gravao de informaes de
contabilizao de uso de recursos, gerncia de recursos de entrada/sada, etc. O acesso do
root aos recursos e arqivos do sistema praticamente irrestrito. O uso dessa conta,
portanto, s deve ser feito em casos especiais, pelo administrador do sistema, quando for
imprescindvel ter os direitos de acesso do root para realizar as tarefas.
Por ter todos esses poderes, o superusurio a principal brecha de segurana do Unix.
Uma vez obtidos os privilgios do superusurio (descobrindo sua senha e logando como
root), o invasor pode fazer praticamente qualquer coisa no sistema. Por isso, o principal
objetivo dos invasores do Unix descobrir sua senha e tornar-se o superusurio.
Grupos
Todo usurio, alm de ter uma conta, tambm pertence a um ou mais grupos. No processo
de criao de conta, o administrador do sistema designa pelo menos um grupo para aquele
usurio. Para identificar todos os grupos existentes no sistema, pode-se listar o arquivos
/etc/group. Cada linha desse arquivo corresponde a um grupo e contm informaes como
nome, identificador e lista de usurios participantes do grupo.
Do ponto de vista de segurana, os arquivos etc/passwd e /etc/group so altamente
importantes. Um invasor, ao ter acesso ao arquivo de grupos, por exemplo, pode altera-lo,
incluindo a si prprio em um grupo com acesso privilegiado ao arquivo de senhas. No
arquivo de senhas pode tornar-se o superusurio, alterando a identificao de usurio para
0 e, a partir da, usufruir de todos os seus privilgios.
Tcnicas de Administrao da Segurana de Contas de Usurios
Programas para quebrar a segurana de suas prprias senhas.
Geradores de senhas
Arquivos de senhas shadow
Fonte:
- 53 -
Controle de data de expirao de senhas
Bloqueio de contas que no sero usadas por um perodo de tempo
Nomes de contas no bvios ou uso de alias
Ferramentas de Segurana e Auditoria
Alm de instalar todos os patches (correes) distribudos pelo fornecedor do sistema
Unix, existem outras precaues de segurana a serem tomas, como backup do sistema,
desabilitao dos servios de rede desnecessrios e definio criteriosa das contas, grupos
e permisses de acessos a arquivos e diretrios. Essas precaues esto associadas a
atividades administrativas que podem, e devem, ser planejadas com antecedncia. O
objetivo dessas medidas limitar a quantidade de pontos possivelmente vulnerveis a
acessos no autorizados e indisponibilidade do sistema. Para auxiliar nas tarefas de
identificao de falhas de segurana do Unix, existem programas, chamados security
scanner, que testam o sistema em busca de brechas de segurana e fragilidade de
configurao j conhecidas. Como exemplo desses softwares destacam-se COPS
Computer Oracle and Password System, que roda localmente e detecta senhas fceis de
serem descobertas e problemas de segurana na configurao do sistema operacional;
SATAN Security Analysis Tool for Auditing Network; e ISS Intenet Security Scanner.
Estes dois ltimos testam a mquina na rede em busca de falhas no software do servidor,
identificando brechas de segurana e servios de rede que tornam as mquinas vulnerveis.
Essas ferramentas podem ser baixadas da Internet gratuitamente.
Logs
O Unix mantm diversos tipos de log que podem auxiliar na tarefa de auditoria do sistema,
j que, por meio de sua anlise, pode-se identificar se o sistema est operando
normalmente ou no, e se foi utilizado por pessoas no autorizadas, por exemplo. O
sistema Unix pode ser customizado de maneira a registrar apenas as atividades que o
administrador do sistema julgar necessrias. A recomendao que registre tudo e se
utilize filtros, a partir de situaes previamente definidas como autorizadas e corretas, para
limitar o nmero de registros a serem verificados manualmente pelo administrador. Se
ainda assim a massa de dados for muito grande, recomenda-se refinar os filtros.
A codificao desses filtros pode ser uma tarefa bastante complexa e enfadonha. Para
minimizar os esforos de codificao, existem programas de anlise de logs, disponveis na
Internet, que monitoram o sistema Unix e tomam algumas aes de acordo com padres
predeterminados. Convm lembrar que de nada valero os registros do log se estes no
forem revisados periodicamente pela gerncia de segurana.
Modems e Dispositivos de Comunicao
Por serem um elo entre a organizao e o ambiente externo, os modems so uma
preocupao a mais equipe de segurana e auditoria. Os modems podem ser usados por
usurio interno, devidamente autorizado, para divulgao, ao ambiente externo, de
informaes confidenciais ou para acesso no autorizado de pessoas externar organizao
aos recursos computacionais internos.
Fonte:
- 54 -
Como existem vrios tipos de modems no mercado, a primeira recomendao seguir as
orientaes de conexo e configurao contidas no manual do fornecedor. Uma medida de
segurana aconselhvel manter o nmero de telefone do modem sob certo sigilo,
divulgando-o apenas s pessoas que precisam utiliza-lo. A divulgao ampla e sem
critrios do nmero do modem aumenta as chances de algum tentar usa-lo para invadir
seus sistemas.
Com relao s linhas telefnicas, recomendvel que sejam ainda analisadas outras
medidas de proteo, tais como: proteo de acesso fsico s linha, evitando a possibilidade
de um invasor conseguir conectar fisicamente um outro modem sua linha, interceptar as
ligaes, descobrir identificaes e senhas de usurios e redirecionar o fluxo de
informaes; e proteo ao acesso fsico a outros dispositivos de comunicao, como
conectores e repetidores. aconselhvel avaliar a possibilidade de uso de fibras ticas, por
serem mais difceis de serem grampeadas, e de criptografia, para dificultar a compreenso
das mensagens transmitidas na comunicao. Outra boa opo utilizar linhas privadas,
mais seguras e mais rpidas, caso as ligaes via modem sejam feitas para poucas
localidade especficas e a confidencialidade de dados ou a necessidade de melhor
desempenho justifique os custos mais latos de uma linha privada.
Firewall
Seguindo a mesma filosofia das paredes contra incndio, os firewalls so dispositivos
utilizados na proteo de redes de computadores contra ataques externos, dificultando o
trnsito de invasores entre as redes.
Os sistemas tradicionais de rede, sem firewall, normalmente permitem acesso direto ao
mundo externo a partir de qualquer mquina conectada na rede interna e vice-versa. Sua
segurana, portanto, extramente frgil, pois a existncia de um nico computador sem
proteo pode comprometer todo o aparato de segurana de rede, permitindo acesso a
invasores a partir daquele computador inseguro. Com acesso a um dos computadores da
rede, o invasor pode capturar senhas de usurios e alterar a configurao de software at
mesmo de outros computadores conectados. Portanto, esse tipo de implementao no s
difcil de administrar em termos de segurana como tambm quase impossvel detectar
uma invaso.
A gerncia de segurana, portanto, lanando mo dessa barreira entre a rede interna e o
mundo externo, pode concentrar seus esforos de proteo da rede institucional na
configurao do firewall, ao invs de proteger, contra invases externas, cada uma das
mquinas ligadas rede interna. Os firewalls so normalmente configurados para permitir
certas operaes e limitar ou impedir outras. Acredita-se que a instalao de um firewall,
corretamente configurado, capaz de reduzir os riscos de invaso em pelo menos 20%.
Porm, importante ressaltar que, antes de se conectar ao mundo externo e implantar essa
barreia, a organizao deve considerar outras medidas de segurana.
O firewall constitudo de duas partes. A primeira delas normalmente implementada na
prtica por roteadores com filtros. O roteador atua como uma ligao entre as redes interna
e externa, sendo responsvel pelo bloqueio de todos os pacotes de dados entre as duas
redes, a no se que tenham sido gerados ou destinados para o gateway ou outras mquinas
posicionadas entre o gateway e o roteador (mquinas sacrificadas). Pode ser configurado
para limitar o trfego de pacotes segundo seus protocolos.
Fonte:
- 55 -
A outra parte do firewall denominada gateway. Todo o trfego de pacotes entre a rede
interna e externa passa primeiro pelo gateway, cujo software decide se o trfego ser
permitido ou rejeitado. Sua configurao refora os cuidados do roteador por meio de
medidas de segurana, como por exemplo, a autenticao de usurios. Por ser o
responsvel pelo trfego de dados entre as duas redes, sua configurao deve ser feita com
cautela, levando em considerao alguns aspectos de segurana, por exemplo:
Na manter no gateway contas de usurios, programas utilitrios, arquivos de senhas
e servios de nomes, pois podem facilitar o trabalho de possveis invasores rede
interna;
Configurar o gateway de tal forma que todas as suas atividades sejam gravadas no
log para posterior anlise pela equipe de segurana e auditoria;
Monitorar as atividades do gateway;
Desabilitar todos os servios de rede considerados desnecessrios.
Numa implementao de firewall com um roteador e um computador como gateway, o
roteador restringe a comunicao entre as redes interna e externa, repassando o trfego
entre elas obrigatoriamente pelo computador definido como gateway, o qual permite ou
no o trfego, aps submeter os pacotes s regras de filtragem previamente estabelecidas.
O software do gateway atua como intermedirio, recebendo os pacotes, analisando-os,
armazenando informaes em logs e repassando-os se satisfizerem as condies dos filtros.
Toda ateno da poltica de segurana de firewalls deve se voltar para configurao dos
filtros que permitem ou rejeitam o trfego de rede.
importante que a equipe de segurana tenha em mente que todo programa, protocolo ou
servio de rede liberado pelo gateway pode representar uma ameaa segurana de toda a
rede. Seu objetivo , portanto, dificultar o acesso rede e no o contrrio.
Independentemente do tipo de firewall utilizado, a segurana da rede interna depende da
segurana do servido de firewall, pois qualquer um que tiver acesso a esse servidor ou for
capaz de reconfigurar seus filtros, provavelmente ser capaz de acessar, com facilidade,
outros computadores da rede interna. Entretanto, vale ressaltar que o fato de ter um firewall
no quer dizer que os outros controles e verificaes de segurana possam ser
abandonados. Um firewall bem configurado consegue minimizar alguns riscos, mas no
todos.

Riscos Associados ao Ambiente Cliente-Servidor
Os principais riscos associados a esse ambiente so acesso no autorizado provocado por
contas com senhas frgeis ou sem senhas, erros de configurao e m definio de
domnios, relacionamentos de confiana, grupos, permisses, privilgios de acesso, filtros
de firewall, etc. Acesso no autorizado a arquivos de senhas, uso no autorizado de
privilgios, monitoramento no autorizado de trfego da rede, alterao ou eliminao de
eventos e atividades do arquivo de log, bugs de software e interceptao da comunicao
entre computadores tambm so riscos comuns nesse ambiente.
Fonte:
- 56 -

Lista de Verificaes
Controles sobre microcomputadores:
Participar dos fruns de segurana disponveis na internet.
Utilizar as verses mais atualizadas dos patches (correes) divulgados e
distribudos pelos fornecedores de software.
Utilizar softwares de auditoria de segurana, tais como COPS, SATAN, etc.
Utilizar criptografia.
Na configurao do sistema operacional, desabilitar as features
desnecessrias.
Utilizar o menor nmero possvel de contas de usurio
Verificar as definies de domnio e relacionamentos de confiana.
Verificar a definio dos grupos de usurios (usurio que fazem parte dos
grupos e seus direitos de acesso).
Verificar as permisses de acesso, principalmente a arquivos de
configurao do sistema operacional e a arquivos considerados
confidenciais, de forma a restringir acessos desnecessrios.
Utilizar mecanismos ou pacotes de verificao de senhas, como Crack, para
testar senhas frgeis escolhidas pelos usurios.
Eliminar contas inativas, dormentes ou sem senhas.
Auditar com certa freqncia os arquivos de senha (inclusive shadow) com
o objetivo de identificar inconsistncia, adies no autorizadas, criao de
novas contas, contas sem senha ou alteraes de identificao de usurio.
Evitar utilizar contas guest ou default. Se forem necessrias, utiliz-las
apenas em ambiente controlado.
A senha do administrador ou root deve ser de conhecimento altamente
restrito, sendo recomendado utilizar o acesso como root o menor tempo
possvel.
Evitar entrar no sistema a partir de contas com privilgios acima dos
estritamente necessrios.
Eliminar os servios de rede desnecessrios, especialmente aqueles
considerados como mais suscetveis ao de invasores.
Monitorar o sistema e analisar os logs regularmente.
Realizar backup regularmente e manter pelo menos uma cpia em outra
localidade (off-side).
Se possvel, implementar redundncia (espelhamento, RAID, ect.).
Implementar mecanismos de controle de acesso via modem, de tal forma
que a conexo seja desfeita sempre que a ligao ou processo de login for
interrompido ou terminado.
Utilizar modems com senha.
Bloquear a reprogramao do modem por usurios no autorizados.
Prover acesso via linha discada apenas a usurios formalmente autorizados.
Desabilitar ou manter fisicamente seguros conectores ou repetidores de rede
que no estiverem sendo utilizados.
Limitar o acesso fsico aos dispositivos de rede, tais como cabos,
roteadores, repetidores, e terminadores.
Monitorar o uso da rede de telecomunicaes, com o objetivo de avaliar seu
desempenho, detectar e eliminar falhas de comunicao.
Fonte:
- 57 -
Manter os equipamentos de monitoramento da rede de telecomunicaes em
local de acesso controlado.
Estabelecer polticas ou procedimentos para download de arquivos da
Internet.
Configurar o firewall de maneira que sejam filtrados ou inibidos todos os
servios ou protocolos de rede desnecessrios para a instituio.
Configura o servidor de firewall de tal forma que este no seja tambm
servidor de arquivos ou de nomes.
Eliminar do servidor de firewall arquivos de senhas, contas de usurios,
compiladores e utilitrios de desenvolvimento de software.
No estabelecer relacionamento de confiana com mquinas externas.
Registrar em logs e monitorar todas as operaes efetuadas no servidor de
firewall.
Revisar e incorporar as listas de verificaes propostas nos outros tpicos
de carter genrico, tais como controles organizacionais, segurana de

Apostila Auditoria Seguran A V8

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Apostila Auditoria Seguran A V8

Caricato da

Copyright:

Formati disponibili

AUDITORIA E SEGURANA DE SISTEMAS

Profesora. Mislene Dalila

Potrebbero piacerti anche