Slides de aula I AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)

Prévia do material em texto

Prof. Dr. Anderson Silva
UNIDADE I
Auditoria de Sistemas 
(Conceito e Aplicação)
2
 Unidade I
 Agenda
 Conceitos sobre Segurança
 Serviços de Segurança
 Normalização
 Conceitos sobre Auditoria
 ABNT NBR ISO 19011 (2018)
Auditoria de Sistemas
 Apresentar os conceitos necessários para o entendimento do processo de auditoria de 
sistemas.
 Tratar e discutir a multidisciplinariedade da auditoria, que abrange aspectos técnicos e 
gerenciais, além de analisar pontos nos quais a busca pela conformidade é importante.
 Expor porque existe uma correlação forte entre a auditoria e a segurança e como essa 
correlação acontece por meio da validação de processos e controles.
Objetivos da Disciplina
 Ativo
 Qualquer coisa de valor para 
uma empresa
 Informação
 Bens
 Pessoas
 A segurança busca a proteção dos ativos.
Conceitos sobre Segurança
Fonte: https://cdn.pixabay.com/photo/2020/08/08/02/56/hacker-5471975_1280.png
 Ameaça
Qualquer circunstância ou evento com a possibilidade de causar prejuízos a um 
sistema na forma de:
 Destruição, divulgação e modificação de dados; e/ou indisponibilidade de serviço (DoS).
Conceitos sobre Segurança
Fonte: 
https://cdn.pixabay.com/ph
oto/2020/08/08/02/56/hack
er-5471975_1280.png
 Vulnerabilidades
 Fraquezas que podem ser exploradas para violar a segurança ou política de segurança de 
um sistema.
 Em um dado sistema ou plataforma, vulnerabilidades possibilitam um ataque específico e 
uma exposição às ameaças.
Conceitos sobre Segurança
Fonte: 
https://cdn.pixabay.com/ph
oto/2020/08/08/02/56/hack
er-5471975_1280.png
 Ataques Computacionais
 Os ataques computacionais fazem parte de uma categoria de ameaças e vulnerabilidades 
que busca sempre o acesso e/ou o uso não autorizado de recursos.
 Quanto à atividade, os ataques podem ser:
 Passivos: não geram alterações nas informações, sistemas, nem no fluxo de dados.
 Ativos: geram alterações nas informações, sistemas ou no fluxo de dados.
Conceitos sobre Segurança
 Definições
 Quanto ao fluxo de comunicação, os ataques podem ser:
 Ataque de interrupção/destruição.
 O recurso é destruído no fluxo de comunicação.
Conceitos sobre Segurança
Fluxo normal
Ataque de interrupção/destruição
Origem Mensagem Destino
Origem Mensagem Destino
Atacante
Fonte: Autoria 
própria.
 Definições
 Quanto ao fluxo de comunicação, os ataques podem ser:
 Ataque de observação.
 Alguém não autorizado observa o fluxo de dados.
Conceitos sobre Segurança
Fluxo normal
Ataque de Observação
Origem Mensagem Destino
Origem Mensagem Destino
Atacante
Mensagem
Fonte: Autoria 
própria.
 Definições
 Quanto ao fluxo de comunicação, os ataques podem ser:
 Ataque de modificação.
 Alguém não autorizado modifica o fluxo de dados.
Conceitos sobre Segurança
Fluxo normal
Ataque de modificação
Origem Mensagem Destino
Origem Mensagem Destino
Atacante
Mensagem
Fonte: Autoria 
própria.
 Definições
 Quanto ao fluxo de comunicação, os ataques podem ser:
 Ataque de modificação.
 Alguém não autorizado gera novos dados.
Conceitos sobre Segurança
Fluxo normal
Ataque de fabricação
Origem Mensagem Destino
Origem Mensagem Destino
Atacante
Mensagem
Fonte: Autoria 
própria.
 Definições
 Um ambiente deve ter seus ativos protegidos por controles de segurança contra ameaças e 
vulnerabilidades.
Conceitos sobre Segurança
Ameaças
Controle de Segurança
Vulnerabilidade
Ativos
Fonte: Autoria 
própria.
 Controle de Segurança
 Elemento ou mecanismo implementado para garantir a segurança de um ativo.
 Gera como resultado um “serviço” de segurança.
 Consiste em uma classificação que indica onde o controle pode ser aplicado.
 Prevenção
 Detecção
 Recuperação
Conceitos sobre Segurança
Fonte: 
https://cdn.pixabay.com/photo/2017/10/31/
09/55/fingerprint-2904774_1280.jpg
 Serviço de segurança: controle (função) que impede uma determinada classe de ataques 
preservando a integridade, disponibilidade e confidencialidade dos recursos/ativos.
 Tem a função de controlar ou eliminar as ameaças e vulnerabilidades existentes.
Conceitos sobre Segurança
Fonte: 
https://cdn.pixabay.com/photo/2017/10/31/
09/55/fingerprint-2904774_1280.jpg
Jorge é administrador de um servidor. Por distração, ele concedeu acesso a um determinado 
diretório a um departamento que não precisava deste privilégio. Um dos funcionários, que já 
estava insatisfeito com a empresa, apagou intencionalmente arquivos importantes. Marque a 
alternativa correta a respeito desses eventos.
a) O erro de Jorge foi a ameaça que provocou a vulnerabilidade da eliminação dos arquivos.
b) A vulnerabilidade de Jorge causou um ataque ativo de destruição.
c) O fato do funcionário estar insatisfeito na empresa se configura como um ataque passivo.
d) O prejuízo aconteceu a partir de uma falha causada pelo funcionário.
e) Jorge e o funcionário provocaram uma ameaça a partir de um prejuízo ativo.
Interatividade
Jorge é administrador de um servidor. Por distração, ele concedeu acesso a um determinado 
diretório a um departamento que não precisava deste privilégio. Um dos funcionários, que já 
estava insatisfeito com a empresa, apagou intencionalmente arquivos importantes. Marque a 
alternativa correta a respeito desses eventos.
a) O erro de Jorge foi a ameaça que provocou a vulnerabilidade da eliminação dos arquivos.
b) A vulnerabilidade de Jorge causou um ataque ativo de destruição.
c) O fato do funcionário estar insatisfeito na empresa se configura como um ataque passivo.
d) O prejuízo aconteceu a partir de uma falha causada pelo funcionário.
e) Jorge e o funcionário provocaram uma ameaça a partir de um prejuízo ativo.
Resposta
 Definições
 O conhecimento dos principais serviços de segurança possibilita:
 Identificar quais serviços de segurança são relevantes na escolha de um produto.
 Durante a auditoria de um sistema, verificar se um determinado serviço é suportado.
 Qual o nível de segurança que se deseja atingir.
 Custo envolvido.
 Viabilidade tecnológica.
Serviços de Segurança
Fonte: 
https://cdn.pixabay.com/photo/2017/10/31/
09/55/fingerprint-2904774_1280.jpg
 Principais serviços de segurança
 Serviço de Confidencialidade
 Serviço de Autenticação
 Serviço de Integridade
 Serviço de Disponibilidade
 Serviço de Controle de Acesso
 Serviço de Privacidade
Serviços de Segurança
Fonte: 
https://cdn.pixabay.com/photo/2017/10/31/
09/55/fingerprint-2904774_1280.jpg
 Confidencialidade
 Proteger uma informação, armazenada ou em trânsito, contra divulgação para uma 
entidade não autorizada.
 Entidade pode ser:
 Um usuário.
 Um processo, software, sistema.
 Um computador, equipamento.
Serviços de Segurança
Fonte: 
https://cdn.pixabay.com/photo/2017/10/10/14/22/
communication-2837362_1280.jpg
 Confidencialidade
 Exemplo: sistema de troca de arquivos entre dois equipamentos de uma corporação 
com sigilo.
 Métodos de implementação:
 Criptografia.
 Segurança física do canal de comunicação.
Serviços de Segurança
Fonte: 
https://cdn.pixabay.com/photo/2017/10/10/14/22/
communication-2837362_1280.jpg
 Autenticação
 Comprovar a identidade de um usuário.
 Autenticação de parceiro de comunicação.
 Autenticação de mensagem – também chamada de serviço de autoria.
Serviços de Segurança
Fonte: 
https://cdn.pixabay.com/photo/2019/10/20/08/
32/smartphone-4562985_1280.jpg
 Autenticação
 Autenticação de parceiro de comunicação.
 Comprovar a identidade de uma entidade parceira, ou seja, determinar que a entidade 
parceira não seja uma entidade impostora (falsa).
Serviços de Segurança
Fonte: 
https://cdn.pixabay.com/photo/2019/10/20/08/
32/smartphone-4562985_1280.jpg
 Autenticação
 Autenticação de mensagem (serviço de autoria)
 Comprovar o autor de uma mensagem – ter certeza de que a mensagem foi gerada pela 
entidade esperada e não por uma entidade impostora.Serviços de Segurança
Fonte: 
https://cdn.pixabay.com/photo/2019/10/20/08/
32/smartphone-4562985_1280.jpg
 Integridade
 Determinar se um recurso (armazenado ou em trânsito) foi modificado por uma entidade 
não autorizada.
 Recurso:
 arquivo, mensagem de e-mail;
 pacote (de protocolo), programa.
 Entidade não autorizada:
 usuário, processo, software;
 sistema, computador.
Serviços de Segurança
Fonte: https://image.freepik.com/fotos-gratis/armario-
de-arquivo-azul-com-uma-chave_1156-636.jpg
 Disponibilidade
 Garantir que um determinado recurso esteja sempre “disponível” para as entidades 
autorizadas.
 Recurso
 Serviço de rede/Processo.
 Linha de comunicação.
 Computador.
 Disco, arquivo, mensagem de e-mail.
 Disponível
 Recurso possa ser acessado.
 Serviço/comunicação não 
degradada.
Serviços de Segurança
Fonte: https://image.freepik.com/vetores-
gratis/temporizador-24-7-conceito_108855-794.jpg
 Serviço de controle de acesso
 Garantir que somente as entidades autorizadas consigam acesso a um determinado 
recurso.
 Recursos
 Sistemas de computação, Aplicações, Serviços, Processos, Sistema de comunicação, 
Arquivos.
 Entidade
 Usuário, Processo, Computador.
 A entidade já deve ter sido previamente autenticada.
Serviços de Segurança
Fonte: https://image.freepik.com/fotos-
gratis/barreiras-de-ingresso-na-entrada-do-
metro_1359-533.jpg
 Serviço de controle de acesso
 Também deve:
 Garantir que autorizações de acesso a um determinado recurso sejam dadas apenas 
pelos responsáveis e não sejam alteradas indevidamente.
Serviços de Segurança
Fonte: https://image.freepik.com/fotos-
gratis/o-homem-do-escritorio-esta-
usando-o-cartao-de-identificacao-para-
fazer-a-varredura-no-controle-de-
acesso-para-abrir-a-porta-de-
seguranca_101448-1613.jpg
 Serviço de privacidade
 Controlar a distribuição e o uso das informações.
 As informações não são necessariamente confidenciais, mas não há razão para serem 
divulgadas.
 Possibilita:
 Que indivíduos, grupos ou instituições determinem, por livre-arbítrio, 
quando, como e em que extensão informações a seu respeito 
são transferidas para outros.
Serviços de Segurança
Fonte: https://image.freepik.com/vetores-
gratis/colecao-de-logotipo-de-midia-
social_23-2148058469.jpg
Marque a alternativa correta a respeito de exemplos de controles e serviços de segurança.
a) Uma câmera de segurança do metro é um controle que gera disponibilidade.
b) Um sistema bancário que exige o login e senha do usuário gera integridade.
c) Um crachá que permite a entrada em uma sala gera confidencialidade.
d) Um backup de dados gera disponibilidade.
e) Uma informação cujo conteúdo é validado como verdadeiro gera confidencialidade.
Interatividade
Marque a alternativa correta a respeito de exemplos de controles e serviços de segurança.
a) Uma câmera de segurança do metro é um controle que gera disponibilidade.
b) Um sistema bancário que exige o login e senha do usuário gera integridade.
c) Um crachá que permite a entrada em uma sala gera confidencialidade.
d) Um backup de dados gera disponibilidade.
e) Uma informação cujo conteúdo é validado como verdadeiro gera confidencialidade.
Resposta
 Normalização
 Atividade voltada para elaboração, compartilhamento e implantação de normas.
 Principais funções das normas
 Proteger os ativos
 Ensinar os colaboradores
 Padronizar os processos e modos de produção
 Normas são produzidas por institutos de normalização.
 ABNT (Brasil)
 ISO (Suíça)
 IEC (Inglaterra)
 SANS (EUA)
 DIM (Alemanha)
 NIST (EUA)
Normalização
Fonte: Autoria 
própria.
Segurança
Comunicação
Compatibilidade
Eliminação de
barreiras
técnicas e
comerciais
Intercambialidade
Proteção do
meio ambiente
Controle da
variedade
Proteção 
do produto
Objetivos da 
Normalização
 Família ABNT NBR ISO IEC 27000
 Conjunto de normas, baseado em padrões internacionais, que trata sobre diversos aspectos 
relacionados à segurança e ao gerenciamento da informação nas corporações.
 A norma ABNT 27002 recomenda a criação de uma
Política de Segurança da Informação (PSI).
 Um conjunto de regras, baseadas nas principais
normas, mas adaptadas para os cenários da empresa.
Normalização
Fonte: Autoria própria.
27003:2010
27004:2009
27005:2011
27007:2011
TR 27008:2011
27011:2008
27031:2011
27033-3:2010
27035:2011
TR 27015:2012
27032:2012
27033-2:2012
27037:2012
27014:2013
27019:2013
27033-5:2013
27036-3:2013
TR 27016:2014
27018:2014
27033-4:2014
27034-1:2014
27036-1:2014
27036-2:2014
27038:2014
2011 2012 2013 até 2014
até 2015
27001:2015
27002:2015
27006:2015
27010:2015
27013:2015
27017:2015
27023:2015
27033-1:2015
27034-2:2015
27039:2015
27040:2015
27041:2015
27042:2015
27043:2015
27004:2016
27009:2016
27033-6:2016
27034-6:2016
27035-1:2016
27035-2:2016
27036-4:2016
27050-1:2016
27799:2016
27011:2016
27003:2017
27007:2017
27019:2017
27021:2017
27034-5:2017
27050-1:2017
até 2016 até 2017 até 2018 até 2019
27000:2018
27005:2018
27011 cor 1:2018
27013:2018
27034-3:2018
27034-5:2018
27034-7:2018
27050-2:2018
TS 27008:2019
27018:2019
 Características sugeridas pela ABNT 27002 para uma PSI
1. Atual
2. Especificar controles e processos
3. Viável no custo
4. Regras aplicáveis
5. Clareza na redação
Normalização
 Características sugeridas pela ABNT 27002 para uma PSI
6. Obrigatória
7. Compatível com as estratégias
8. Estratificada (com hierarquia)
9. Respaldada pela direção
10. De conhecimento geral
Normalização
 Auditoria de primeira parte: auditoria interna realizada para melhorar a própria organização.
 Auditoria de segunda parte: auditoria externa na qual o auditor externo não tem interesse
direto na empresa.
 Escopo da auditoria: abrangência e limites de uma auditoria.
 Evidência de auditoria: registros, apresentação de fatos ou outras informações pertinentes
aos critérios de auditoria e verificáveis.
Conceitos sobre Auditoria
 Conclusão de auditoria: resultado de uma auditoria, após levar em consideração os objetivos 
de auditoria e todas as constatações de auditoria.
 Constatações de auditoria: resultados da avaliação de evidência de auditoria coletada, 
comparada com os critérios de auditoria.
 Critérios de auditoria: conjunto de requisitos usados como uma referência com a qual a 
evidência objetiva é comparada.
Conceitos sobre Auditoria
 Fontes: origem dos dados levantados em um processo de auditoria. Logs, entrevistas, 
documentos etc.
 Não conformidade: não atendimento de um requisito.
 Objetivo de auditoria: lista com os objetivos que devem ser alcançados durante o programa.
 Auditoria de segurança: cobre os aspectos de segurança.
 Auditoria de tecnologia: audita a própria gestão de TI, agindo 
sobre os processos, planejamento, atividades e métodos 
ligados à tecnologia.
Conceitos sobre Auditoria
 Auditoria combinada: em um único auditado, em dois ou mais sistemas de gestão.
 Auditoria conjunta: executada em um único auditado, por dois ou mais auditores.
 Auditoria de aplicativos: voltada para a análise de software e aplicações.
 Auditoria de dados: uso de software de análise de dados, a partir de critérios predefinidos.
 Auditoria de licitações e contratos: verifica a viabilidade e as conformidades legais.
Conceitos sobre Auditoria
Sylvia trabalha em uma empresa de auditoria e foi contratada para auditar se um sistema de 
envio de mensagens que funciona nos servidores de um banco está em conformidade com 
alguns pontos da Política de Segurança da Informação (PSI). Esta é apenas uma parcela de 
uma auditoria maior, conduzida na empresa por outras empresas de auditoria e funcionários. 
Em relação a este processo, marque a alternativa errada: 
a) Sylvia deve verificar se a PSI está sendo cumprida por todos e se as regras estão claras.
b) Sylvia está fazendo uma auditoria de primeira parte.
c)Resultados do sistema são evidências que podem ser utilizadas por Sylvia.
d) O escopo da auditoria realizada por Sylvia é limitado.
e) Trata-se de uma auditoria conjunta.
Interatividade
Sylvia trabalha em uma empresa de auditoria e foi contratada para auditar se um sistema de 
envio de mensagens que funciona nos servidores de um banco está em conformidade com 
alguns pontos da Política de Segurança da Informação (PSI). Esta é apenas uma parcela de 
uma auditoria maior, conduzida na empresa por outras empresas de auditoria e funcionários. 
Em relação a este processo, marque a alternativa errada: 
a) Sylvia deve verificar se a PSI está sendo cumprida por todos e se as regras estão claras.
b) Sylvia está fazendo uma auditoria de primeira parte.
c) Resultados do sistema são evidências que podem ser utilizadas por Sylvia.
d) O escopo da auditoria realizada por Sylvia é limitado.
e) Trata-se de uma auditoria conjunta.
Resposta
 Orienta as organizações sobre os princípios da auditoria, a gestão e andamento dos 
processos de auditoria e quais são as competências necessárias aos auditores.
Há 7 princípios de auditoria elencados na norma ABNT NBR ISO 19011 que servem para 
melhorar a eficácia e a confiabilidade do processo de auditoria:
1. Integridade: ética, transparência e realidade
2. Apresentação justa: reportar com precisão
3. Profissionalismo: esmero que gera confiança
4. Confidencialidade: dados críticos protegidos
5. Independência: imparcialidade do auditor
6. Evidências: racionalidade na análise de evidências
7. Riscos: a abordagem considera riscos e oportunidades
ABNT NBR ISO 19011 (2018)
 Ciclo de melhoria contínua sugerido pela 19011 (PDCA)
ABNT NBR ISO 19011 (2018)
Fonte: Autoria própria.
Propor melhorias
Avaliar os resultados
Definir metas e o método
para alcançá-las
Executar o método
definido e coletar dados
ACT
DO
PLAN
CHECK
Melhoria
Contínua
 Fluxo de gerenciamento dos processos de auditoria
 Alinhado com o PDCA
 Quebra a auditoria em vários pedaços menores
 A seção 5 Gerenciando um Programa de Auditoria
 Como preparar e gerir um processo de auditoria
 A seção 6 Conduzindo uma Auditoria
 Como as operações devem ser realizadas
ABNT NBR ISO 19011 (2018)
Fonte: Adaptado de ABNT NBR 
ISO 19011 (2018, p. 9).
PLANEJAR (PLAN) FAZER (DO) CHACAR (CHEK) ATUALIZA (ACT)
5.2
Estabelecendo
objetivos do
programa de
auditoria
5.3 Determinando e
avaliando riscos e
oportunidades do
programa de auditoria
5.4
Estabelecendo o
programa de
auditoria 5.5
Implementando 
o programa de
auditoria
5.6
Monitorando o
programa de
auditoria
5.7 Analisando
criticamente e
melhorando o
programa de
auditoria
6.2 Iniciando a
auditoria
6.3 Preparando
atividades da
auditoria
6.4 Conduzindo
as atividades
da auditoria
6.7 Conduzindo
acompanhamento
da auditoria
6.5 Preparando
e distribuindo o
relatório de
auditoria
FAZER (DO)PLANEJAR (PLAN) CHACAR (CHEK) ATUALIZA (ACT)
6.6 Concluindo
a auditoria
Seção 5
Seção 6
 5.2 Estabelecendo objetivos do processo de auditoria
 Os objetivos do processo de auditoria devem ser 
estabelecidos de forma eficaz.
 Estes objetivos devem estar alinhados com a 
estratégia da organização.
ABNT NBR ISO 19011 (2018)
Fonte: Adaptado de ABNT NBR ISO 
19011 (2018, p. 9).
5.2
Estabelecendo
objetivos do
programa de
auditoria
 5.3 Determinando e avaliando riscos e oportunidades
do processo de auditoria.
 Os riscos e oportunidades da auditoria devem ser
apresentados pelo auditado.
 O auditor deve avaliar novos riscos e oportunidades.
ABNT NBR ISO 19011 (2018)
Fonte: Adaptado de ABNT NBR ISO 
19011 (2018, p. 9).
5.3 Determinando e
avaliando riscos e
oportunidades do
programa de auditoria
 5.4 Estabelecendo o processo de auditoria
 Para a auditoria os auditores devem estabelecer
 Tempo
 Equipe
 Responsabilidades
 Riscos
 Oportunidades
 Documentação
ABNT NBR ISO 19011 (2018)
Fonte: Adaptado de ABNT NBR ISO 
19011 (2018, p. 9).
5.4
Estabelecendo o
programa de
auditoria
 5.5 Implementando o processo de auditoria
 Após o estabelecimento do processo de auditoria e a
determinação dos recursos, é preciso planejar e
coordenar as atividades da auditoria.
ABNT NBR ISO 19011 (2018)
Fonte: Adaptado de ABNT NBR ISO 19011 
(2018, p. 9).
5.5
Implementando 
o programa de
auditoria
 5.6 Monitorando o processo de auditoria
 Aspectos vitais da auditoria devem ser monitorados
 Prazos
 Comunicação
 Responsabilidades
 Objetivos
 Desempenho
ABNT NBR ISO 19011 (2018)
Fonte: Adaptado de ABNT NBR ISO 
19011 (2018, p. 9).
5.6
Monitorando o
programa de
auditoria
 5.7 Analisando criticamente e melhorando o programa 
de auditoria
 A auditoria deve ser analisada de forma crítica pelos 
auditores.
 Lições aprendidas devem ser utilizadas na melhoria 
do processo.
ABNT NBR ISO 19011 (2018)
Fonte: Adaptado de ABNT NBR ISO 
19011 (2018, p. 9).
5.7 Analisando
criticamente e
melhorando o
programa de
auditoria
 A seção 6 Conduzindo uma Auditoria
 Trata da execução da auditoria.
 Envolve o preparo e a condução das atividades.
 A análise das evidências e processos.
 A coleta de resultados e a conclusão.
ABNT NBR ISO 19011 (2018)
Fonte: Adaptado de ABNT NBR 
ISO 19011 (2018, p. 9).
6.2 Iniciando a
auditoria
6.3 Preparando
atividades da
auditoria
6.4 Conduzindo
as atividades
da auditoria
6.7 Conduzindo
acompanhamento
da auditoria
6.5 Preparando
e distribuindo o
relatório de
auditoria
6.6 Concluindo
a auditoria
Rui está participando de uma auditoria interna da empresa. A responsabilidade dele envolve a 
checagem de conformidades em um determinado processo crítico da empresa. Para isso, Rui 
precisa diariamente gerar dados em um sistema, analisá-los e emitir relatórios para que a 
gerência tome as decisões corretas a partir de outros levantamentos efetuados na empresa. 
Marque a alternativa correta a respeito do trabalho de Rui em relação ao fluxo de 
gerenciamento de processos sugerido pela norma ABNT NBR ISO 19011.
a) Parte do trabalho está relacionado à subseção 5.6 Monitorando o processo de Auditoria.
b) Rui está envolvido na conclusão do processo de auditoria.
c) O trabalho de Rui está estabelecido na seção 6, porque se trata de execução da auditoria.
d) Como é um funcionário interno, Rui é o objeto auditado.
e) A gerência é responsável por gerar os resultados 
individuais de cada setor auditado.
Interatividade
Rui está participando de uma auditoria interna da empresa. A responsabilidade dele envolve a 
checagem de conformidades em um determinado processo crítico da empresa. Para isso, Rui 
precisa diariamente gerar dados em um sistema, analisá-los e emitir relatórios para que a 
gerência tome as decisões corretas a partir de outros levantamentos efetuados na empresa. 
Marque a alternativa correta a respeito do trabalho de Rui em relação ao fluxo de 
gerenciamento de processos sugerido pela norma ABNT NBR ISO 19011.
a) Parte do trabalho está relacionado à subseção 5.6 Monitorando o processo de Auditoria.
b) Rui está envolvido na conclusão do processo de auditoria.
c) O trabalho de Rui está estabelecido na seção 6, porque se trata de execução da auditoria.
d) Como é um funcionário interno, Rui é o objeto auditado.
e) A gerência é responsável por gerar os resultados 
individuais de cada setor auditado.
Resposta
ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR 27005: Tecnologia 
da Informação – Técnicas de Segurança – Gestão de Riscos de Segurança da Informação, v. 
18. Rio de Janeiro, 2008, p. 59.
ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO 19011: 
Diretrizes para auditoria de sistemas de gestão, v. corrigida 2019. Rio de Janeiro, 2019, p. 53.
ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Normalização. Site ABNT. 
Disponível em: http://www.abnt.org.br/normalizacao/o-que-e/o-que-e. Acesso em: 19 de jul. 
2020.
AKUNE, L. Y. Um sistemade prevenção de vazamento de dados de imagens baseado em 
aprendizado de máquina. Dissertação de mestrado – Engenharia 
da Computação – Instituto de pesquisas tecnológicas do Estado 
de São Paulo (IPT), São Paulo, Brasil, 2019.
AVANCO, L. et al. An effective intrusion detection approach for 
jamming attacks on RFID systems. 2015 International EURASIP 
Workshop on RFID Technology (EURFID), Rosenheim, 2015, 
pp. 73-80, doi: 10.1109/EURFID.2015.7332388.
Referências
BARROS FILHO, A. C. Processo e uso da Biometria de Comportamento na Autenticação 
Contínua em redes BYOD. Dissertação de mestrado – Engenharia da Computação – Instituto 
de pesquisas tecnológicas do Estado de São Paulo (IPT), São Paulo, Brasil, 2019.
BENETON, E. Auditoria e controle de acesso. Editora Senac São Paulo, Edição do Kindle, 
2019, p. 177.
BOLLE, Ruud et al. 2004. Guide to biometrics. New York: Springer. p. 364.
CARVALHO, K. S. Uma proposta para automatização e continuidade de serviços em nuvens 
públicas. Dissertação de mestrado – Engenharia da Computação – Instituto de pesquisas 
tecnológicas do Estado de São Paulo (IPT), São Paulo, Brasil, 2020.
DANTA, L. M. S. Método preventivo baseado em esquema de 
ranking e votação para detecção de intrusão em webservice. 
Dissertação de mestrado – Engenharia da Computação –
Instituto de Pesquisas Tecnológicas do Estado de São Paulo 
(IPT), São Paulo, Brasil, 2018.
Referências
E. PONTES, A. E.; GUELFI, S. T.; KOFUJI, A. A. A.; SILVA and A. E. Guelfi, Applying multi-
correlation for improving forecasting in cyber security, 2011. Sixth International Conference on 
Digital Information Management, Melbourn, QLD, 2011, p. 179-186, doi: 
10.1109/ICDIM.2011.6093323.
FERNANDES, J. H. C. Auditoria e Certificação de Segurança da Informação. Especialização 
em Ciência da Computação. Gestão da Segurança da Informação e Comunicações. UNB. 
2008, p. 26.
FERREIRA, H. S. Identificação de anomalias geradas por sensores que usam variantes do 
protocolo LEACH. Dissertação de mestrado. Engenharia da Computação. Instituto de 
Pesquisas Tecnológicas do Estado de São Paulo (IPT), São Paulo, Brasil, 2019.
GREVE, F. et al. Blockchain e a Revolução do Consenso sob 
Demanda. Simpósio Brasileiro de Redes de Computadores e 
Sistemas Distribuídos. (SBRC) Minicursos, 2018.
HOWARD, M.; LEBLANC, D. Escrevendo Código Seguro: 
Estratégias e técnicas práticas para codificação segura de 
aplicativos em um mundo em rede. Bookman . ed. Trad. Edson 
Furmankieni, Cz. Porto Alegre, 2005. p. 704.
Referências
KREPS, J. I Love Logs: Event Data, Stream Processing, and Data Integration. First Edition. ed. 
[S.l.]: O’Reilly Media, Inc., 2014. ISBN 9789351108641, p. 60.
MONTEIRO, G. B. Auditoria de Tecnologia da Informação na Administração Pública no Âmbito 
dos Municípios do Estado do Rio de Janeiro. Dissertação de Mestrado. EBAPE-GV. 2008, p. 
132.
NIST – NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. NIST SP 800-30, 
Revision 1. Guide for Conducting Risk Assessments, EUA, 2012, p. 95.
NUNES, A. J. V. Governança da tecnologia da informação: uma análise das práticas de 
avaliação, direção e monitoramento utilizando o COBIT 5 na Universidade Federal Rural do 
Semiárido. Dissertação de Mestrado. Brasil, 2019, p. 223.
SAVINO, M. (Ed.). Risk Management in Environment, Production 
and Economy. BoD–Books on Demand, 2011, p. 226.
Referências
SILVA, A. A. A.; GUELFI, A. E. Sistema para identificação de alertas falsos positivos por meio 
de análise de correlacionamentos e alertas isolados. The 9th IEEE I2TS, 2010, p. 7.
SILVA, J. M. Uma arquitetura para processamento de fluxos contínuos de dados em sistemas 
de transações de cartões de crédito. Dissertação de mestrado. Engenharia da Computação. 
Instituto de Pesquisas Tecnológicas do Estado de São Paulo (IPT), São Paulo, Brasil, 2020.
STALLINGS, W. Computer Security: Principles and Practice. 7th Edition. Pearson Education, 
2017, p. 767.
TIA – TELECOMMUNICATIONS INDUSTRY ASSOCIATION. ANSI/EIA/TIA 942: Padrão de 
Infraestrutura de Telecomunicações, Arlington, EUA, 2005, p. 148.
VELHO, J. A. et al. Tratado de Computação Forense. Millenium, 
Campinas, Brasil, 2016, p. 610.
WETHERALL, J.; TANENBAUM, A. S. Redes de Computadores. 
5. ed. Rio de Janeiro: Editora Campus, 2011.
Referências
ATÉ A PRÓXIMA!