PIM IV 13-11-2020

Prévia do material em texto

1 
 
UNIP/ Campus Manaus – AM 
Curso Superior Tecnológico em Gestão de Segurança Privada 
 
 
 
 
 
PROJETO INTEGRADO MULTIDISCIPLINAR IV – PIM IV 
GLACIAL INDÚSTRIA E COMÉRCIO DE SORVETE LTDA 
 
 
 
 
 
 
 
 
 
 
 
 
MANAUS – AM 
2020 
2 
 
UNIVERSIDADE PAULISTA – UNIP 
 
Curso Superior Tecnológico em Gestão de Segurança Privada 
 
 
PROJETO INTEGRADO MULTIDISCIPLINAR IV – PIM IV 
GLACIAL INDÚSTRIA E COMÉRCIO DE SORVETE LTDA 
 
 
 
Composição do grupo: 
Nome – RA 
JOSÉ ROBERTO NUNES MEDEIROS RA F0709D3 
MAIKE JORDY SEIXAS DE OLIVEIRA RA F038394 
WILLIAM ADOLFO ROCHA RA F019209 
 
 
Projeto Integrado Multidisciplinar IV – PIM IV apresentado 
como um dos pré-requisitos para aprovação no bimestre vigente 
no Curso Superior Tecnológico em Gestão de Segurança 
Privada. Orientador: Osvaldo Ribeiro 
 
 
] 
MANAUS – AM 
2020 
3 
 
PROJETO INTEGRADO MULTIDISCIPLINAR IV - PIM IV 
GLACIAL INDÚSTRIA E COMÉRCIO DE SORVETE LTDA 
 
 
 
Aprovado: 
 
 
BANCA EXAMINADORA. 
Prof(a):_____________________Data:________________Assinatura:_________________ 
Prof(a):_____________________Data:________________Assinatura:_________________ 
Prof(a):_____________________Data:________________Assinatura:_________________ 
 
 
 
 
 
 
 
 
 
 
 
 
MANAUS – AM 
2020 
4 
 
RESUMO 
Contemplando o contexto de Gestão de Segurança Privada, foi preparado o Projeto 
Integrado Multidisciplinar IV - PIM IV, e por meio de um modelo de Relatório Gerencial, 
que visa apresentar os resultados obtidos durante as visitações realizadas na empresa 
GLACIAL INDÚSTRIA E COMÉRCIO DE SORVETES LTDA e, ao ponderarmos a 
capacidade técnica no tocante ao ramo do mercado alimentício, nos motivou a executar este 
trabalho acadêmico, tendo como objetivo apresentar a metodologia de trabalho da 
corporação referente às matérias pertinentes, e demonstrar a necessidade e importância de 
cada uma delas para o bom funcionamento da empresa e auxiliar a empresa em tomadas de 
decisões e providências necessárias diante dos desafios abordados nas disciplinas de 
Auditoria e Investigação Sobre Fraudes, Sistemas de Segurança da Informação, Tecnologias 
Aplicada à Segurança, Desenvolvimento Sustentável, Planejamento Estratégico, e ao final 
realizar uma análise intraempresarial utilizando as técnicas de Gerenciamento de Crises, 
além de abordar de forma crítica sobre o atual cenário econômico brasileiro tendo em vista 
a área da Segurança Privada, seus riscos e oportunidades e o que se espera do ramo para o 
futuro. 
Palavras-chave: Intraempresarial, Objetivos, Segurança. 
 
 
 
 
 
 
 
 
 
 
5 
 
ABSTRACT 
 Contemplating the context of Private Security Management, the Integrated 
Multidisciplinary Project IV - PIM IV was prepared, and using a Management Report model, 
which aims to present the results obtained during visits to the company GLACIAL 
INDÚSTRIA E COMÉRCIO DE SORVETES LTDA and , when considering the technical 
capacity with respect to the branch of the food market, it motivated us to perform this academic 
work, aiming to present the corporation's work methodology regarding the pertinent subjects, 
and demonstrate the need and importance of each one for the good functioning of the company 
and assist the company in making decisions and taking the necessary measures in view of the 
challenges addressed in the disciplines of Audit and Investigation on Fraud, Information 
Security Systems, Technologies Applied to Security, Sustainable Development, Strategic 
Planning, and at the end perform an analysis intra-enterprise using management techniques 
Crisis, in addition to addressing critically the current Brazilian economic scenario in view of 
the Private Security area, its risks and opportunities and what is expected of the industry for the 
future. 
Keywords: Intra-business, Objectives, Security. 
6 
 
SUMÁRIO 
 
INTRODUÇÃO ........................................................................................................................ 10 
SUMÁRIO EXECUTIVO ........................................................................................................ 11 
Razão social .......................................................................................................................... 11 
Estrutura organizacional ....................................................................................................... 11 
Localização ........................................................................................................................... 11 
AUDITORIA E INVESTIGAÇÃO SOBRE FRAUDES ......................................................... 11 
Fraude ................................................................................................................................... 11 
O que é Fraude? .................................................................................................................... 11 
O que é Fraude Empresarial? ................................................................................................ 12 
O que é Fraude Corporativa? ................................................................................................ 12 
Conceitos sobre Fraude Corporativa ..................................................................................... 12 
Fraude Ocupacional .............................................................................................................. 12 
Teoria do Triângulo da Fraude ............................................................................................. 13 
Componentes da Fraude ........................................................................................................ 13 
Motivação dos agentes fraudadores ...................................................................................... 13 
Classificação das Fraudes - Árvore da Fraude ...................................................................... 14 
Tipos de Fraudes Empresariais ............................................................................................. 15 
Furto ...................................................................................................................................... 15 
Pirataria ................................................................................................................................. 16 
Corrupção: ............................................................................................................................ 16 
Falsificação ........................................................................................................................... 16 
Espionagem ........................................................................................................................... 16 
Conspiração: ......................................................................................................................... 17 
Auditoria ............................................................................................................................... 17 
Auditoria Interna x Externa .................................................................................................. 17 
Estratégia da Glacial Sorveteria para a prevenção e detecção de fraudes ............................ 18 
Estratégia Antifraude ............................................................................................................ 18 
SISTEMAS DE SEGURANÇA DA INFORMAÇÃO ............................................................ 19 
Conceitos fundamentais ........................................................................................................ 19 
Informação ............................................................................................................................ 19 
7 
 
Segurança da informação ......................................................................................................20 
Função do departamento de segurança de Informação de uma empresa .............................. 21 
Problemas de segurança da informação ................................................................................ 22 
Ameaças ................................................................................................................................ 22 
Riscos .................................................................................................................................... 23 
Vulnerabilidades ................................................................................................................... 24 
Falhas .................................................................................................................................... 24 
Controles de pessoal ............................................................................................................. 25 
Controles físicos ................................................................................................................... 25 
Segurança de equipamentos .................................................................................................. 25 
Controles de acesso lógicos .................................................................................................. 26 
Outros mecanismos de segurança ......................................................................................... 26 
Autorização e controle de acesso .......................................................................................... 26 
Sistema de backup ................................................................................................................ 27 
Firewall ................................................................................................................................. 27 
Atualização de sistemas operacionais e aplicativos .............................................................. 27 
Honeypot ............................................................................................................................... 27 
Sistemas de autenticação ...................................................................................................... 28 
Política de segurança da informação .................................................................................... 28 
Características de uma política de segurança........................................................................ 29 
Segurança das informações na empresa Glacial ................................................................... 29 
TECNOLOGIAS APLICADA À SEGURANÇA .................................................................... 30 
O papel do Gestor de Segurança junto ao cliente. ................................................................ 30 
Regulamentações Gerais ....................................................................................................... 30 
Aplicação das Tecnologias x Eficácia .................................................................................. 31 
Classificação dos Sistemas ................................................................................................... 31 
Sensores ................................................................................................................................ 34 
Comunicação dos sensores ................................................................................................... 34 
Alarmes falsos ....................................................................................................................... 35 
Tipos de sensores .................................................................................................................. 35 
Sensores de abertura ............................................................................................................. 36 
Arquiteturas dos sistemas ..................................................................................................... 37 
Riscos potenciais ................................................................................................................... 39 
8 
 
Escopo do projeto ................................................................................................................. 39 
Levantamento de campo ....................................................................................................... 39 
Definição das tecnologias do sistema e implantação ............................................................ 40 
Operação e manutenção dos sistemas ................................................................................... 40 
Definição de perímetros ........................................................................................................ 41 
CFTV .................................................................................................................................... 42 
Gravadores de vídeo ............................................................................................................. 44 
Sistema de controle de acesso ............................................................................................... 46 
Monitoramento por imagens ................................................................................................. 49 
Administração de acessos ..................................................................................................... 50 
Custos operacionais .............................................................................................................. 51 
Ferramentas investigativas .................................................................................................... 52 
Tecnologias Aplicada à Segurança utilizadas na empresa Glacial ....................................... 52 
DESENVOLVIMENTO SUSTENTÁVEL ............................................................................. 53 
Políticas de sustentabilidade praticada pela empresa............................................................ 54 
Sustentabilidade empresarial na Glacial ............................................................................... 54 
Projeto Recicle Legal com a Glacial ..................................................................................... 55 
Planejamento ......................................................................................................................... 55 
Conhecimento das características locais: .............................................................................. 55 
Ações .................................................................................................................................... 55 
Consolidação do Projeto RECICLE LEGAL COM A GLACIAL ....................................... 56 
PLANEJAMENTO ESTRATÉGICO ...................................................................................... 56 
O que é planejamento estratégico? ....................................................................................... 57 
Quais são as vantagens de se realizar o planejamento estratégico? ...................................... 57 
Quando e com que frequência se deve fazer o planejamento estratégico? ........................... 57 
Como faço o planejamento estratégico da minha empresa ................................................... 58 
Diagnóstico ........................................................................................................................... 59 
Definição da Filosofia e das Diretrizes Estratégicas ............................................................ 59 
A importância do planejamento estratégico .......................................................................... 62 
O planejamento estratégico na Glacial ................................................................................. 62 
GERENCIAMENTO DE CRISES ...........................................................................................63 
Simulação de uma situação atípica encontrada na empresa Glacial ..................................... 63 
Construção e Fortalecimento da Reputação e da Imagem – Governança, Comunicação e 
Relacionamento .................................................................................................................... 64 
9 
 
Auditoria de Vulnerabilidade ................................................................................................ 64 
Comitê de Crise .................................................................................................................... 65 
Composição do Comitê de Crise........................................................................................... 65 
Atuação do Comitê de Crise ................................................................................................. 65 
Estratégias de Mídia .............................................................................................................. 66 
Preparação do Público Interno .............................................................................................. 66 
Pós-Crise ............................................................................................................................... 67 
CONSIDERAÇÕES FINAIS ................................................................................................... 68 
REFERÊNCIAS BIBLIOGRÁFICAS ..................................................................................... 69 
 
 
10 
 
INTRODUÇÃO 
O seguinte projeto tem como finalidade apresentar um Relatório Gerencial com dados 
obtidos pelos acadêmicos do curso de Gestão de Segurança Privada da Universidade Paulista 
– UNIP em cumprimento às disciplinas obrigatórias do referido curso. O Projeto Integrado 
Multidisciplinar IV – PIM IV, vem expor os elementos de informações adquiridas durante as 
visitações realizadas na empresa de GLACIAL INDÚSTRIA E COMÉRCIO DE SORVETES 
LTDA. 
O Projeto está divido em 04 partes, a primeira é uma introdução que exibe dados da 
GLACIAL e alguns pontos importantes no projeto, à segunda parte a empresa é avaliada de 
acordo com as disciplinas específicas, são elas Auditoria e Investigação Sobre Fraudes, 
Sistemas de Segurança da Informação, Tecnologias Aplicada à Segurança, Desenvolvimento 
Sustentável, Planejamento Estratégico na terceira parte mostra uma análise gerencial 
ferramentas peculiares dos processos de Gerenciamento de crise, com todas as prerrogativas 
relativas a um plano de contingência com suas preceitos e metodologias que são usadas nas 
situações atípicas enfrentada pela empresa no tocante à necessidade de implantação, o tempo 
de execução, custo e os resultados que se espera dessa pronta resposta. E por fim, a quarta parte 
denota a conclusão do projeto acadêmico e referências que ajudaram a confecção do próprio. 
 
11 
 
SUMÁRIO EXECUTIVO 
 O modelo de negócios da empresa Glacial Indústria e Comércio de Sorvetes LTDA. 
é baseado na venda direta e não depende de crédito, a empresa fabrica e distribui sorvetes 
naturais de fabricação artesanal. No Amazonas a empresa possui aproximadamente 10 mil 
consumidores. A razão Social Glacial Indústria e Comércio de sorvetes, sob cadastro do CNPJ 
63.700.256/0001-21. Sua missão é oferecer ao público manauara e a todos que nos visitam, 
sorvetes e picolés artesanais de elevada qualidade com foco nos sabores regionais e pontos de 
distribuição estratégicos com lojas confortáveis, climatizadas, aprazíveis ao convívio entre 
família e amigos. A empresa transforma matéria prima cm produtos acabados, com auxílio de 
máquinas ou de acordo com essas características pertencentes ao setor industrial. Ela é uma 
empresa organizada por cotas, onde cada sócio tem responsabilidade limitada pelo presente 
estatuto social pela legislação aplicável e pelo Regulamento De Listagem do Novo Mercado 
Atualmente, dois comitês auxiliares (Desenvolvimento Organizacional e de Auditoria, Gestão 
de Riscos e Finanças que têm como objetivo dar suporte ao Diretores de temas estratégicos para 
os negócios da empresa. 
Razão social 
 A razão social da empresa é Glacial Indústria e Comércio de sorvetes, através do 
cadastro do CNPJ 63.700.256/0001-214.21. 
 
Estrutura organizacional 
 A Glacial possui estrutura organizacional completa, onde se concentra 
preponderantemente na industrialização e comercialização dos produtos de sorvetes artesanais 
da marca Glacial e serviços administrativos e logísticos para as sorveterias e postos de revenda 
para capital e o interior do Amazonas e outros estados. 
 
Localização 
 A sede da empresa está localizada em Manaus (AM), na Avenida Major Gabriel 
Nº2000, no bairro Praça 14 de Janeiro. 
 
AUDITORIA E INVESTIGAÇÃO SOBRE FRAUDES 
Fraude 
O que é Fraude? 
Fraude é um ato ilícito ou de má fé que visa à obtenção de vantagens indevidas ou 
majoradas, para si ou para terceiros, geralmente através de omissões, inverdades abuso de poder 
quebra de confiança, burla de regras, dentre outros Qualquer melo usado com a finalidade de 
12 
 
se obter vantagem injusta sobre outra pessoa ou organização. Essa vantagem pode ser por ação 
ou omissão, por meio de conduta intencional ou má-fé 
Pela norma ISA 240 da Iaasb7, fraude é um “ato intencional praticado por um ou mais 
indivíduos entre gestores, responsáveis pela governança, empregados ou terceiros, envolvendo 
o uso de falsidade para obter uma vantagem injusta ou ilegal”. 
A fraude não é um privilégio da administração pública, pesquisas recentes indicam que 
empresas perdem, tanto quanto, as empresas e órgãos públicos por ano, desviados por seus 
próprios executivos e funcionários (Silva Moura, 2004) 
O que é Fraude Empresarial? 
A Fraude Empresarial é um ato intencional praticado por um ou mais indivíduos da 
organizado empresarial (empregados ou terceiros), envolvendo o uso propositado de falsidades 
para obter uma vantagem injusta ou ilegal. 
O que é Fraude Corporativa? 
A Fraude Corporativa é qualquer ato ou omissão intencional destinada a enganar uma 
Corporação Empresarial resultando em perda para instituição e ganho para o autor 
Conceitos sobre Fraude Corporativa 
A fraude, nas suas mais diversas formas é uma das principais causas para que os 
relatórios financeiros das organizações empresariais não sejam confiáveis, gerando perdas 
financeiras e de credibilidade para as mesmas 
As organizações empresariais devem reforçar a prevenção de fraude nos seus sistemas 
de controles, uma vez que essas causam prejuízos com custos financeiros e de imagem 
Atos fraudulentos podem envolver esquemas sofisticados e cuidadosamente 
organizados concebidos para ocultar desvios, como falsificação, falha deliberada do registo de 
transações ou declarações que sejam intencionalmente enganadoras 
Quanto mais elevado for o nível hierárquico do fraudador mais significativas tendem a 
ser as perdas devido a seus atos fraudulentos 
Fraude Ocupacional 
Um tema presente e altamente constrangedor no mundo dos negócios é a fraude interna 
conhecida também como fraude ocupacional. 
A fraude ocupacional é aquela praticada por colaborador da própria empresa 
(empregado ou prestador de serviço), no exercício de suas ocupações profissionais. 
É uma ocorrência preocupante por tratar-se de um desvio de conduta por alguém de 
confiança de dentro da organização empresarial fato que representa um ato de deslealdade 
13 
 
Teoria do Triângulo da Fraude 
Triângulo da Fraude Donald Cressey na sua obra Other people's money, a study of the 
social psychology of embezzlement publicada em 1953, desenvolveu a Teoria do Triângulo da 
Fraude que permite identificar os motivos que originam ou incentivam a ocorrência de fraude, 
por parte de um ou mais indivíduos. 
Este autor identificou três fatores que em simultâneo promovem a prática de atos 
fraudulentos a pressão geralmente associada a necessidades financeiras queo perpetrador possa 
ter ou quando este pretenda viver com um estatuto acima das suas possibilidades, a 
oportunidade geralmente associada a fragilidades do sistema de controlo das organizações e a 
racionalização, geralmente através das razões com que o fraudador procura justificar a fraude. 
Componentes da Fraude 
Refletindo-se sobre o conteúdo do tópico anterior, percebe-se que a fraude é um ato 
planejado para ganhar vantagem ou propriedade de outro e que possuem componentes que 
favorecem a sua ocorrência, entre estes poderíamos considerar como principais os seguintes: 
Motivo: 
Deve haver um motivo para a fraude. Pode ser que o fraudador esteja insatisfeito ou em 
dificuldades financeiras. 
Atração: 
O ganho ou vantagem afiançada têm que ter uma atração para o fraudador. A atração 
pode se dar pelo dinheiro, por mercadorias ou simplesmente pela possibilidade de encobrimento 
que a fraude proporciona 
Oportunidade: 
Deve haver oportunidade adequada para que alguém pode desejar fraudar uma 
organização e saber o que será exatamente ganho, contudo se não tiver uma oportunidade a 
fraude nunca pode acontecer. A oportunidade tem uma relação direta com a fragilidade ou 
inadequação de medidas preventivas e defectivas que não forem suficientes para coibir os atos 
fraudulentos. 
 Meio: 
Esse elemento se refere às habilidades técnicas e outras do perpetrador. Não adianta ter 
um motivo e uma atração se não tiver capacidade de perceber as fragilidades ou inadequações 
dos controles internos como meio para detectar a oportunidade de praticar a fraude. 
Motivação dos agentes fraudadores 
O Professor GL em seu livro, Como Evitar Fraudes, Pirataria e Conivência destaca três 
vertentes que devem ser consideradas quanto a método de agentes fraudadores 
14 
 
Satisfação pessoal: 
Natureza da satisfação pessoal que movimenta o agente fraudador, que pode ser: 
 Intelectual; 
 Psicológica; 
 Financeira; 
 Material. 
Possibilidade de sucesso da fraude: 
 Crença de agente fraudador na impossibilidade de ser descoberto em face dos seguintes 
fatores: 
 Fragilidade das medidas de proteção; 
 Dificuldade a obtenção de provas / apuração de provas e; 
 Fragilidade técnicas dos responsáveis pela investigação. 
Baixa expectativa de responsabilização: 
 Expectativa de não ser punido, em virtude da eventualidade de não ser provada sua ação 
dolosa no evento, em face da: 
 Fragilidade de normas e legislação ou de; 
 Eventuais dificuldades operacionais da organização em adotar ações que conduzam ao 
ressarcimento dos prejuízos ocorridos. 
Classificação das Fraudes - Árvore da Fraude 
 A Teoria da ` Árvore da Fraude foi apresentada num estudo desenvolvido por Joseph 
Wells, em 2009 no seu livro: Fraude na empresa prevenção e detecção. E tem como objetivo 
classificar as fraudes e os abusos ocupacionais 
 De acordo com a Arvore da Fraude, existem três categorias principais de fraude: 
Apropriação indevida de ativos: 
 Segundo Wells, apropriação indevida de ativos inclui mais envolve o uso indevido de 
qualquer bem da empresa para benefício pessoal 
 Esta categoria divide-se em duas formas de apropriação de dinheiro e os outros ativos 
da empresa 
 Furto consiste em desviar valores em caixa e depósitos: 
15 
 
 Gastos fraudulentos compreendem esquemas relacionados com falsificações de 
faturamento, remunerações, reembolsos de despesas, cheques e falsos registos em caixa: 
 Sonegação é ação de deixar de pagar contribuir ou declarar valores, fraudulenta para o 
benefício próprio. 
Corrupção: 
 A corrupção consiste na utilização do poder para favorecer o próprio ou terceiros este 
tipo de fraude divide-se em quatro subcategorias: 
 Conflito de interesses; 
 Suborno; 
 Gratificações ilegais; 
 Extorsão econômica. 
 O conflito de interesses patenteia o favorecimento pessoal ou de um terceiro através do 
desenvolvimento de esquemas de compras ou de vendas. 
 Suborno representa a prática de oferecer dinheiro ou benefícios a um indivíduo, em troca 
de um ato ilícito, promovendo a obtenção de vantagens 
 Gratificações ilegais constituem uma recompensa paga, de forma ilícita, pela realização 
de determinado serviço prestado um 
 Extorsão econômica compreende a obtenção de vantagens por parte de outrem com 
recurso a coação chantagem ou violência. 
Relatórios contábeis fraudulentos: 
 As informações financeiras divulgadas apresentam distorções que detém como 
finalidade induzir os seus utilizadores em erro. 
 Relatórios com adoção de sobrevalorizações ou subvalorizações de ativos e receitas 
falsificação de documentos organizacionais quer externos. 
Tipos de Fraudes Empresariais 
Furto 
 O furto e a apropriação indébita de algo com o objetivo de privar permanentemente a 
pessoa de sua propriedade: Um exemplo muito comum é a apropriação indébita de dinheiro do 
caixa. 
16 
 
Pirataria 
 Pirataria e copla, inclusive, com presunção do profissional que cometeu o plagio de 
haver sido autor/mentor do novo conceito ou sistemática. 
 Pirataria e a modalidade de fraude de maior Impacto nos negócios organizacionais do 
século XXI. 
Corrupção: 
 Para um melhor entendimento do que é corrupção procuramos dividir o seu conceto em 
Suborno e Propina 
 Suborno: pode ser entendido como algo, tipo dinheiro ou favor oferecido ou dado a 
alguém em posição de confiança para induzir a agir desonestamente 
 Propina: normalmente é o pagamento de uma porcentagem para uma pessoa capaz de 
controlar ou influenciar um negócio. 
 Suborno e propinas se confundem, mas há duas diferenças primárias segundo que as 
diferenciam: 
O tempo em que ocorre. 
 Um suborno normalmente e pago ao receptor antes que a ação ilegal aconteça, para 
induzir a participar em qualquer esquema que a entidade que oferece o suborno tem em mente. 
 O receptor em um esquema de propina normalmente é um sócio no crime e esta disposto 
a compartilhar dos ganhos advindos da fraude. 
O valor negociado 
 Um suborno normalmente é uma soma fixa calculada como suficiente para induzir o 
receptor a participar em um esquema. 
 A propina normalmente é uma porcentagem de qualquer ganho resultante de 
participação em um esquema e é provável variar com o grau do sucesso do esquema. 
Falsificação 
 Uma pessoa pode ser culpada de falsificação quando fizer um falso instrumento com a 
intenção de negocia-lo ou induzir alguém a aceita-lo como genuíno. 
Espionagem 
 A espionagem pode se dar de duas formas: 
• A primeira forma se dá quando um funcionário repassa informações confidencias da 
empresa para um concorrente em troca de dinheiro ou outro benefício; 
17 
 
• A segunda forma se dá quando um funcionário tendo informações privilegiadas sobre a 
empresa faz denúncias com o intuito de prejudica-la. 
Conspiração: 
 Envolve o acordo ilegal entre duas ou mais pessoas para executar propósitos ilegais ou 
de confiança, controlam em tempo real o que acontece nas dez lojas da empresa. 
Auditoria 
Segundo Santos Lins, 2017, de maneira geral e simplificada, auditoria, seja de qual tipo 
for, interna ou externa, significa conferência, verificação, análise e avaliação e, acima de tudo, 
comunicação dos resultados dentro de um determinado objetivo ao qual a auditoria se propõe. 
Ou de forma ampliada de acordo com Sá (1998, p.25), Auditoria. 
[...] é uma tecnologia contábil aplicada ao sistemático exame dos 
registros, demonstrações e de quaisquer informes ou elementos de 
consideração contábil, visando a apresentar opiniões, conclusões, 
críticas e orientações sobre situações ou fenômenos patrimoniais da 
riqueza aziendal, pública ou privada, quer ocorrido, quer por ocorrer 
ou prospectados e diagnosticados. 
Auditoria Interna x Externa 
Auditoria Interna é dirigida por um colaborador da própria empresa na qual a auditoria 
é executada e em geral envolve a avaliação de desempenho, controles internos, sistemas de 
computação/informação, qualidade de serviços e produtosentre outros processos que fazem 
parte do cotidiano empresarial, buscando a identificação de não conformidades, prevenção e/ou 
detecção de falhas de operação, discrepâncias nas atividades administrativas, possibilitando 
maior confiabilidade das informações geradas, bem como garantindo a salvaguarda dos ativos 
da empresa. (Santos Lins, 2017) 
De maneira geral, a finalidade da auditoria externa é aumentar o grau de confiança nas 
demonstrações contábeis por parte dos seus usuários. Nesse sentido, compreende expressar uma 
opinião através da emissão de um relatório sobre as demonstrações contábeis da empresa 
auditada no(s) período(s) sob exame e assegurar que estas foram elaboradas em todos os 
aspectos relevantes, em conformidade com as normas brasileiras de Contabilidade e legislação 
específica aplicável. (Santos Lins, 2017) 
Na Glacial Sorveteria a auditoria externa é feita pela empresa L.A. Consultoria Contábil 
e Empresarial, já a auditoria interna é feita no setor contábil da mesma 
Com as informações repassadas pela a gerencia da empresa Glacial Sorveteria foi 
possível analisarmos como a empresa trabalha com auditoria e investigação de fraudes, dando 
ênfase do trabalho de investigações da empresa é em horas extras dos colaboradores, 
combustível e manutenção de viaturas, contratos com fornecedores e exames periódicos nas 
movimentações dos caixas. Veja a seguir as áreas, documentos e os departamentos que 
geralmente são auditados na empresa. 
18 
 
 Horas extras; 
 Controle de tráfego das viaturas; 
 Controle de documentos de viaturas; 
 Controle de fardamentos equipamentos; 
 Controle de matérias primas (frutas, saborizantes, entre outros); 
 Controle de contratos; 
 Controle de controle de estoques de material carga e expediente; 
 Controle de comodatos. 
Estratégia da Glacial Sorveteria para a prevenção e detecção de fraudes 
 Para prevenir, apagar e corrigir as ocorrências de fraudes, foi necessário que a 
organização empresarial estabelecesse uma estratégia antifraude que visasse a adoção de 
medidas eficazes e proporcionais aos riscos identificados. 
 Essa estratégia antifraude teve como objetivo promover uma cultura de prevenção, 
detecção e correção e teve como alicerce o princípio da tolerância zero para a prática de atos 
ilícitos e situações de fraude e na aplicação dos princípios de cultura ética por parte de todos os 
dirigentes e colaboradores da organização. 
Estratégia Antifraude 
 Vigilância dos riscos de fraude passando pela avaliação de riscos da sua ocorrência e 
adoção de medidas preventivas de controle; 
 Detecção no tocante a capacidade proativa de identificar indícios da pratica de fraude 
com a maior brevidade, ou no ato, se possível; 
 A correção está relacionada a adoção de medidas eficazes e proporcionais a ameaça 
identificada para a correção de casos detectados de fraude ou suspeita de fraude; 
 A dissuasão que teve como objetivo de desestimular atos fraudulentos em função das 
medidas de controles implementadas e das prováveis consequências negativas ao fraudar em 
caso de descoberta da fraude. 
A estratégia antifraude visa a implementação um sistema de gestão e controles capazes de 
mitigar A efetivamente a possibilidade de ocorrência de situações de fraudes 
 O sistema antifraude adotado teve como ênfase a qualidade dos controles sobre as 
atividades exercidas pelos colaboradores e sobre as tarefas delegadas outras organizações 
terceirizadas. 
19 
 
 Tendo em vista as dificuldades em provar comportamentos fraudulentos e em reparar 
os danos a reputação foi implementado uma política de forte compromisso na prevenção, 
detecção e comunicação, porquanto a sua divulgação poderá até alterar comportamentos de 
potenciais fraudadores, isso se deu através de um sistema de gestão e controle robusto, 
associado a uma avaliação de risco de fraude proativa estruturada e orientada, bem como a 
existência de uma política de formação e sensibilização abrangente que promoveu o 
desenvolvimento de uma cultura de ética para combater a racionalização de comportamentos. 
SISTEMAS DE SEGURANÇA DA INFORMAÇÃO 
Conceitos fundamentais 
 De fato, muitas variações aconteceram com a entrada da Internet em nosso dia-a-dia, a 
informação, por exemplo, não era um ativo muito importante nas organizações em certos 
períodos, o importante eram os equipamentos, considerados então como maior patrimônio de 
uma empresa, porém a modernização das estruturas de trabalho, novos modelos de gestão foram 
surgindo e alguns ativos, anteriormente sem importância, agora, assumindo a primeira posição. 
Informação 
 Ultimamente, a informação é um ativo de veras importante, que requer tratamentos 
especiais e restrições de acessos, por ser um ativo intangível e abstrato, podendo com facilidade 
sair da empresa em uma lata de lixo, na memória de alguém, em meio magnético, impressa em 
papel, enfim, é um ativo muito vulnerável, logo, demanda extremo cuidado. 
 O conceito de informação, entende-se por “ativos que, como qualquer outro ativo 
importante para os negócios, possuem valor para uma organização e consequentemente 
precisam ser protegidos adequadamente”, conforme ISO (International Organization for 
Standardization) e a IEC (International Electrotechnical Commission) nº17799. 
 Fontes (2006, p.2) afirma que, “Informação é um recurso que move o mundo, além de 
nos dar conhecimento de como o universo está caminhando[...] É um recurso crítico para 
realização do negócio e execução da missão organizacional”. 
 Fontes também acrescenta que: 
 A informação é um recurso que tem valor para a organização e deve 
 ser bem gerenciado e utilizado [...] é necessário garantir que ela esteja 
 sendo disponibilizada apenas para as pessoas que precisam dela para 
 o desempenho de suas atividades profissionais. (2006, p. 2) 
 
 Em suma, informação é um conjunto de dados que, por sua vez, poderá gerar novas 
informações, consistindo em um ativo valioso para a organização. 
20 
 
Segurança da informação 
 A Segurança da Informação é um tema bastante discutido redes sociais e em outros 
meios de comunicação, por tratar-se de assegurar informações tanto pessoais como 
corporativos, que uma vez lidos ou até mesmo distribuídos, poderão ocasionar transtornos 
diretos e/ou indiretos à vítima. 
 Existem várias definições de Segurança da Informação, uma vez que há vários autores 
que discorrem a respeito do assunto, vamos então citar algumas: 
 Para Alves (2006, p. 15), a Segurança da Informação “visa proteger a informação de 
forma a garantir a continuidade dos negócios, minimizando os danos e maximizando o retorno 
dos investimentos e as oportunidades de negócios”. 
 Há também um sistema especializado para padronização mundial, formado pela ISO 
(International Organization for Standardization) e a IEC (International Electrotechnical 
Commission) e definem Segurança da Informação “como uma proteção das informações contra 
uma ampla gama de ameaças para assegurar a continuidade dos negócios, minimizar prejuízos 
e maximizar o retorno de investimentos e oportunidade comerciais”. 
 Sêmola (2003, p. 9) define Segurança da Informação como “uma Área do conhecimento 
dedicada à proteção de ativos da informação contra acessos não autorizados, alterações 
indevidas ou sua indisponibilidade”. 
 Para Ferreira, a Segurança da Informação: 
 Protege a informação de diversos tipos de ataques que 
 surgem no ambiente organizacional, garante a continuidade 
 dos negócios, reduz as perdas e maximiza o retorno dos 
 investimentos e das oportunidades. (2003, p.162). 
 No que se diz a respeito, a informação é um Ativo muito almejado e precioso tanto para 
uma pessoa como para uma organização, devendo por obrigação estar protegido de acessos não 
autorizados. 
 Se regressarmos na narrativa, na época da Revolução Industrial, pouco se refletia em 
segurança da informação e, se pensavam,o problema era simplesmente solucionado, porque as 
informações que circundavam em uma empresa eram feitas em formulários, apresentadas em 
papel, e eram arquivadas em armários com chaves. 
 Mais adiante com o passar do tempo, já no século XX, foram inseridas em pequenos 
bancos de dados e armazenadas no próprio computador com acesso bastante restrito, porque 
pouquíssimas pessoas manuseavam a máquina. Mais tarde, com o chegada da Internet, é que 
esse quadro foi se modificando, no final do século XX o processo intitulado Globalização 
trouxe drásticas transformações na administração dos negócios, as informações já não podiam 
circular facilmente pelos computadores em discos flexíveis sem maiores preocupações, pois os 
sistemas caminhavam pelas redes de computadores, sendo possíveis acessos não autorizados. 
21 
 
 Presentemente, a dependência pelos sistemas informatizados é colossal, a sobrevivência 
de muitas organizações depende tão-somente desses ambientes, tornando esses ativos ainda 
mais valiosos e cobiçados, pois passaram a integrar todos os processos da empresa, ou seja, 
nesses sistemas armazenam-se, processam-se e transmitem-se dados corporativos, tornando os 
processos mais rápidos e eficientes, contudo, se usado inadequadamente, tem o poder de 
inviabilizar resultados satisfatórios. 
Função do departamento de segurança de Informação de uma empresa 
 As atividades pertinentes a esse setor envolvem a concepção, implementação, controle 
e monitoramento de políticas que miram assegurar os ativos de informação de uma empresa ou 
pessoa. As áreas de negócios são seu foco, principalmente os setores que utilizam as tecnologias 
para o desenvolvimento dos trabalhos, sendo um recurso indispensável aos processos de 
produção atualmente. 
 Cresce a importância de haver uma sincronização entre o Departamento de Segurança 
de Informação e as demais divisões de uma empresa, devendo funcionar de forma coordenada. 
Caso ocorra fragmento dentro da organização, o gerenciamento do negócio pode tornar-se 
inviável e qualquer prática de segurança da informação estará fadada ao insucesso, danificando 
toda a organização. 
 Princípios da segurança da informação. 
 A descrição feita pela norma ISO/IEC 17799, a proteção da informação é vital, sendo 
caracterizada pela trilogia CID, ou seja, Confidencialidade, Integridade e Disponibilidade. 
Confidencialidade: 
 Garante que somente pessoas autorizadas poderão acessar as informações. Trata-se da 
não permissão da divulgação de uma informação sem prévia autorização. 
Disponibilidade: 
 Garante acesso a uma informação no momento desejado. Isso implica no perfeito 
funcionamento da rede e do sistema. 
Integridade: 
 Garante que a exatidão e completeza das informações não sejam alteradas ou violadas. 
 Além da trilogia CID, citados anteriormente, Sêmola (2003) acrescenta outros aspectos 
da segurança da informação, são eles: 
Legalidade: 
 Garantia de que a informação foi produzida em conformidade com a lei; 
22 
 
Autenticidade: 
 Garantia de que num processo de comunicação os remetentes sejam exatamente o que 
dizem ser e que a mensagem ou informação não foi alterada após o seu envio ou validação. 
Problemas de segurança da informação 
 Incidente pode ser definido como uma ação que pode interromper os processos normais 
de negócio, em virtude de alguns aspectos da segurança terem sido violados, seja 
intencionalmente ou não. Em segurança de informação, a palavra Ativo refere-se a tudo que 
representa valor para a organização. Caso esse ativo seja violado, poderá trazer impactos 
negativos para o prosseguimento das atividades da organização. 
 Podemos citar como ativos as pessoas, os programas, os equipamentos, enfim, tudo que 
na sua ausência gera transtornos, implicando no bom funcionamento dos negócios. 
 Quando falamos em problemas de segurança, há inúmeros fatores que acarretam a perda 
e/ou violação dos dados de uma empresa, como por exemplo, a má operação do sistema ou 
mesmo quando a segurança está sofrendo ameaça, risco, vulnerabilidade, falhas e desastres. A 
seguir abordaremos cada um desses fatores. 
Ameaças 
 Quando um ativo da informação sofre um ataque potencial, isso imediatamente é 
entendido como ameaça. Este ataque poderá ser efetuado por agentes externos (empresas, 
pessoas que não são funcionários da organização) ou internos (pessoas pertencentes à 
organização), se prevalecendo das vulnerabilidades apresentadas no sistema empresa. 
 As vulnerabilidades são mais nítidas em sistemas de informação online e nos sistemas 
que utilizam os recursos das telecomunicações, por interligarem seus sistemas em vários locais, 
as chamadas intranets ou mesmo as extranets. 
 Nesses casos, a exposição é muito grande, pois as ameaças aumentam substancialmente, 
uma vez que o sistema da empresa está na rede Internet. 
 Muitas pessoas tentarão acessar informações mesmo sem autorização, se houver falhas 
de segurança. 
 Esses sistemas que utilizam esses novos padrões de rede ampliam consideravelmente as 
vulnerabilidades, uma vez que a comunicação pode ser feita também pelas redes de dados sem 
fio, que por sua vez são difíceis de serem protegidas em virtude dos vários pontos de acesso, 
possibilitando ainda mais a quebra da confidencialidade das informações. 
 As redes empresariais precisam de muitos recursos tanto físicos como lógicos para 
proteger seus ativos das ameaças e fraquezas. 
 Existem diversos tipos de ameaças, Sêmola (2003) classifica-as em categorias, a saber: 
23 
 
Naturais: 
 Decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, 
tempestades, poluição. 
Involuntárias: 
 São inconscientes, podendo ser causadas por acidentes, erros, falta de energia etc. 
Voluntárias: 
 São propositais, causadas por agentes humanos como hackers, invasores, espiões, 
ladrões, criadores e disseminadores de malwares, incendiários etc. 
Riscos 
 Praticamente, quase toda empresa e/ou usuário doméstico usa a Internet no seu dia a dia, 
uma ferramenta que possibilita facilidades e oportunidades tanto profissionais como de 
entretenimento e lazer. Seria muito difícil para estas pessoas viverem sem ela. 
 Infelizmente, para aproveitar todos esses recursos, são necessários certos cuidados, pois 
os riscos são inúmeros, como por exemplo: 
 Ao acessar a Internet, sua máquina já está exposta na rede, você poderá ter seus dados 
pessoais expostos, e caso sejam acessados por alguém mal-intencionado, isso poderá lhe 
proporcionar grandes transtornos. 
 Uma pessoa, uma vez com seus dados, poderá querer se passar por você na rede e usar 
sua identidade até mesmo para lhe expor, colocando em risco a sua reputação, ou cometer 
crimes como, estelionato, sequestro, pedofilia. 
 Não é muito prudente você achar que não corre riscos; acreditar que ninguém tem 
interesse em se apropriar do seu computador, tablet ou celular é mero engano, pois muitos 
intrusos mal-intencionados têm interesse em acessar grandes quantidades de máquinas, não 
importando quais. Um exemplo que tivemos aqui no Brasil foi o ataque ao site do governo 
federal, os sites presidencia.gov.br e o brasil.gov.br, deixando-os indisponíveis em função da 
grande quantidade de acessos, esses acessos poderiam estar sendo feitos pelo seu computador 
também, os chamados ataques de spam. 
 As informações na Internet correm numa velocidade muito grande, o que em alguns 
momentos pode ser benéfico e, em outros, dependendo da situação, pode ser extremamente 
destrutivo. 
 Para as empresas, isso não seria diferente, pois todo ativo apresenta algum risco para a 
organização, podendo gerar um impacto grande ou pequeno aos negócios. Para isso, é 
necessário fazer um levantamento dos ativos e classificá-los quanto aos riscos, de forma que a 
facilitar a implementação de uma política de segurança mais eficiente. 
24 
 
 Mas para aproveitarmos esses recursos de formasegura, é importante prevenir-se 
instalando um bom antivírus e claro atualizando-o diariamente, não acessando qualquer site, 
sem saber exatamente a procedência dos dados, utilizar softwares originais, evitando a pirataria. 
Vulnerabilidades 
 Podemos entender por vulnerabilidades as falhas que um sistema possui, podendo 
provocar a indisponibilidade das informações, ou até mesmo a quebra do sigilo e alteração sem 
autorização, podendo ser decorrente de uma série de fatores, como falta de treinamento, falta 
de manutenção, falha nos controles de acesso, ausência de proteção de uma determinada área 
ameaçada. Por exemplo, a criação de contas no sistema sem especificar as restrições e 
permissões. 
 A ocorrência de um incêndio poderá também estar associada à vulnerabilidade da 
empresa quanto a esse tipo de incidente, devido ao fato de a empresa não ter tomado as 
precauções adequadas contra incêndios. 
Podemos classificar as vulnerabilidades em três categorias: 
Tecnológicas: 
 Compreendem as redes de computadores, os computadores, ameaças por vírus, hacker, 
enfim, todas as atividades que envolvem tecnologia. 
Físicas: 
 Representadas pelo ambiente em que se encontram os computadores e periféricos. 
Exemplo: ausência de gerador de energia, normas para senhas, entre outros. 
Humanas: 
 Esta categoria envolve o fator humano, considerada a mais difícil de avaliar, por 
envolver características psicológicas, emocionais, socioculturais, que variam de pessoa para 
pessoa. Exemplos: falta de treinamento, qualificação, ambiente organizacional inapropriado 
para desenvolvimento das atividades etc. 
 Atualmente, quase todas as empresas são informatizadas e possuem um sistema que faz 
o seu gerenciamento, embora esses softwares auxiliem muito nas tarefas diárias e na tomada de 
decisão, porém, apresentam muitas vulnerabilidades em relação aos sistemas manuais. 
Falhas 
 É quando um sistema permite a quebra de alguns dos princípios da segurança da 
informação. Essas falhas podem ser humanas ou não, intencionais ou não. Mas a maioria dos 
problemas de segurança da informação está basicamente relacionada às falhas oriundas das 
fases de implantação e desenvolvimento de uma política de segurança. 
25 
 
 As falhas mais comuns que ocorrem são: inexistência de uma política de segurança 
formalizada, gerenciamento dos acessos efetuados no sistema, backups atualizados, 
treinamentos e informativos aos usuários sobre como explorar com segurança os recursos 
tecnológicos e, não menos importante, a definição de uma gerência de Tecnologia da 
Informação – TI para implementaras regras e fazê-las vivas na empresa. 
 É sempre importante a empresa manter uma política de segurança bem implementada e 
usual para que, em um momento de necessidade, não sofra nenhum dano, evitando 
consequências desastrosas aos negócios. 
Controles de pessoal 
 A questão da segurança das informações em computadores praticamente é inexistente, 
pois é uma preocupação diária, minuto a minuto, daí a importância da prevenção de riscos, de 
forma que venha mitigar ao máximo as vulnerabilidades. Segurança 100% só existe se 
deixarmos os computadores desligados e desconectados, mas infelizmente, ele perderia sua 
utilidade isso, é importante o funcionário conhecer seus deveres na empresa; um cuidado que o 
departamento de Recursos Humanos deve ter é em relação à contratação de um novo servidor, 
constatando os documentos e referências apresentados, propor treinamento adequado aos 
funcionários, deixando claras as diretrizes de segurança da empresa. 
Controles físicos 
 Os procedimentos de segurança devem ser tratados em todos os níveis, sejam físicos, 
lógicos ou pessoais e para assegurar os ativos da informação físicos, são necessários cuidados 
para prevenir, detectar e solucionar problemas, caso ocorra algum incidente de segurança. 
 Dessa forma, a proteção física são barreiras que servem para restringir o acesso direto à 
informação ou infraestrutura, de forma que a garantir a existência da informação. 
 A Norma ISO/IEC 17799 define perímetro de segurança como sendo: “Alguma coisa 
que constitui uma barreira, tal como uma parede, um portão de entrada controlado por cartão 
ou um balcão de recepção com atendentes”. 
 Há alguns controles que merecem cuidados especiais, tais como: identificar quem entra 
nas dependências da empresa, os trabalhadores da segurança também devem suas regras de 
trabalho, os locais de carga e descarga também merecem vigilância, para saber quem entrou e 
como entrou na empresa e esses aspectos devem ser tratados individualmente e com muita 
cautela porque muitos crimes ocorrem em virtude da falta de segurança nas dependências da 
empresa. 
Segurança de equipamentos 
 Os equipamentos devem ser mais uma preocupação para quem define as diretrizes de 
segurança de uma empresa, considerando não somente a localização e disposição física, mas 
também protegendo contra acessos não autorizados, a salvaguarda e descartes de arquivos, 
26 
 
manutenção e aquisição de novos equipamentos, falhas de energia, além do cabeamento e toda 
infraestrutura utilizada. 
Controles de acesso lógicos 
 Esses problemas geralmente estão relacionados a erros que o próprio programa contém, 
não garantindo a integridade da base de dados e podem ocorrer também quando o computador 
está infectado com algum tipo de vírus de computador ou outra forma de ataque. 
 Os controles nada mais são que barreiras que tentam restringir ou limitar o acesso de 
pessoas não autorizadas ao sistema da empresa. Alguns recursos que devem ser protegidos pelo 
controle de acesso lógico são: os arquivos-fontes, sistemas operacionais e os aplicativos 
instalados na máquina, sendo definidos pela ISO/IEC 17799. 
Outros mecanismos de segurança 
Identificação de usuários: 
 A identificação do usuário no sistema pode ocorrer diretamente no provedor de serviços. 
Neste caso, o usuário terá uma identidade para cada serviço, conhecida como modelo 
tradicional. O modelo centralizado é o que libera o acesso ao sistema ao usuário uma única vez 
no servidor que, a partir daí poderá utilizar os seus privilégios por tempo determinado. Já o 
modelo federado permite o acesso dos usuários pela autenticação única, ou seja, uma vez 
cadastrado em um servidor, o cliente poderá ter sua identidade distribuída a outros servidores, 
não existindo nenhuma legislação que proíba tal ação e, por fim, o modelo centrado no usuário, 
no qual quem gerencia a identidade do usuário é o próprio usuário, permitindo ou restringindo 
determinada informação a um servidor. Essas são as formas de identificação do usuário em um 
servidor. 
Autorização e controle de acesso 
 Os controles de acesso e autorização geralmente inspecionam o que o usuário vai fazer, 
desde que devidamente autorizado. Os mecanismos mais utilizados são os de autenticação, os 
mais conhecidos são os logins e senhas, não tão seguros, mas atualmente, em mecanismos de 
autenticação foram criados alguns equipamentos para dar suporte a esse processo, por exemplo, 
na biometria, nos certificados digitais; vale ressaltar que esses mecanismos são utilizados dentro 
do ambiente empresarial. 
 Já os mecanismos utilizados para acessar o sistema fora da empresa contam com os 
firewall, justamente por garantir a proteção de quem acessa tanto de fora como de dentro da 
empresa. 
Programas antivírus 
 Uma maneira eficaz de se proteger os dados dentro da empresa é justamente utilizar 
programas antivírus, pois muitos identificam e deletam não somente arquivos infectados no 
27 
 
disco, mas também enviados por e-mail e outros meios lógicos que a empresa utiliza para 
guardar seus dados, dessa forma, esses aplicativos asseguram a integridade dessas informações. 
Proteção de dados em curso na internet 
 A tecnologia utilizada para proteger dados que estão trafegando na Internet é a 
criptografia, cujos dados são codificados, de forma quefiquem totalmente descaracterizados, 
evitando a sua leitura caso seja interceptado. 
Detecção de intrusos 
 A detecção de intrusos tem por função analisar os acessos efetuados na rede, observando 
as inúmeras linhas de logs e diagnosticando em tempo real possíveis ataques. Nesse sentido, os 
administradores da rede de computadores sabem sobre as invasões que estão ocorrendo ou 
mesmo as tentativas de invasão ao sistema de computadores, sendo capazes também de 
identificar possíveis ataques feitos internamente, ou seja, ocorridos na própria empresa, pois 
essas invasões o firewall não detecta. 
Sistema de backup 
 O sistema de backup refere-se à criação de cópias de segurança das informações 
importantes para os negócios que estão gravados nos servidores e computadores dos usuários. 
 Para realização do backup, é necessária instalação de ferramentas específicas para essa 
tarefa, além disso, é importantíssimo ter certeza de que as cópias agendadas tenham sido 
realizadas corretamente e que as informações estejam íntegras. 
Firewall 
 É uma junção de hardware e software aplicados em uma política de segurança que 
gerencia o tráfego de pacotes entre a rede local e a Internet em tempo real. Não vamos nos 
estender muito sobre esse assunto, porque o mesmo será abordado mais adiante. 
Atualização de sistemas operacionais e aplicativos 
 Atualizar o sistema operacional e os aplicativos da máquina minimizam os riscos e 
vulnerabilidades, pois os mesmos possuem atualizações que corrigem falhas apresentadas 
nesses aplicativos depois de comercializados. Caso seu aplicativo não seja original ou mesmo 
de uso livre, você pode estar correndo sérios riscos. 
Honeypot 
 É um software que tem por função impedir ou mesmo identificar a ação de um invasor, 
ou qualquer ação estranha ao sistema. Esse sistema faz o invasor acreditar que realmente está 
invadindo as vulnerabilidades do sistema. 
28 
 
Sistemas de autenticação 
 Esta tecnologia faz uso da combinação de logins e senhas, que de certa forma, 
atualmente, não apresenta tanta dificuldade para descobrir. 
 Sendo assim, foram integradas a esse sistema de autenticação, soluções melhor 
elaboradas, dificultando a quebra, e instrumentos físicos – hardware – dão suporte a esse 
mecanismo de segurança. Como exemplos, temos: os recursos da certificação digital, palavras-
chaves, cartões inteligentes e os recursos da biometria. A biometria é uma técnica que utiliza 
características biológicas como recurso de identificação, como a digital de um dedo ou mesmo 
da mão, ler a íris, reconhecer a voz, e as próprias empresas já estão se organizando para essa 
mudança tecnológica. 
 Quanto aos mecanismos de controle efetuados para gerenciar acessos externos, pode ser 
adquirido pelo uso de um firewall, que é uma barreira lógica na entrada da empresa, impedindo 
ou permitindo acessos. 
Protocolos seguros 
 É um método que faz uso de protocolos que realmente garantem certo grau de segurança. 
Atualmente, há inúmeras ferramentas e sistemas disponíveis que têm por objetivo o 
fornecimento de segurança às redes de computadores onde os próprios softwares antivírus, os 
firewalls, identificadores de intrusos, programas para filtrar spam. 
Assinatura digital 
 Este processo garante que a mensagem realmente veio do remetente, confirmando sua 
autenticidade, este método utiliza técnicas de criptografia, dessa maneira, garante também a 
integridade e o não repúdio, que tem como característica provar quem foi o emissor da 
mensagem. 
Política de segurança da informação 
 Hoje, a informação é considerada um ativo valiosíssimo para as empresas, não 
importando o ramo de atividade que a mesma exerça, podendo ser comercial, industrial ou 
financeira, enfim, a informação na hora certa, poderá ajudar na expansão dos negócios, 
auxiliando na obtenção de maiores lucros, novas perspectivas de negócios e garantindo a 
sobrevivência dessas organizações. 
 A política de segurança da informação pode ser entendida como um conjunto de 
diretrizes, princípios e regras que irão dar suporte para criação e manutenção da segurança, 
obedecendo aos requisitos do negócio, às leis vigentes e aos regulamentos, pois, a política de 
segurança não define procedimentos específicos de manipulação e proteção da informação, mas 
atribui direitos e responsabilidades às pessoas (usuários, administradores de redes e sistemas, 
funcionários, gerentes, etc.) que lidam com essa informação. 
29 
 
 Desta forma, elas sabem quais as expectativas que podem ter e quais são as suas 
atribuições em relação à segurança dos recursos computacionais com os quais trabalham. Além 
disso, a política de segurança também estipula as penalidades às quais estão sujeitos aqueles 
que a descumprem. 
 É importante fazer um levantamento da informação a ser protegida, a partir de uma 
análise de riscos que vai diagnosticar onde aplicar a proteção a partir das ameaças e 
vulnerabilidades. 
Características de uma política de segurança 
 Para uma boa política de segurança, a mesma deve apresentar algumas características, 
consistindo na sua abrangência de atuação, nas normas e regulamentos aos quais estará 
subordinada, definir quem terá autoridade para sancionar, implementar e fiscalizar o 
cumprimento da política, estabelecer o período para sua revisão e adequação. 
 Outra preocupação deve estar relacionada à política de senhas, devendo as permissões 
restrições estarem de acordo com as atribuições de cada funcionário, além de especificar 
claramente os direitos e responsabilidades dos usuários, do provedor dos recursos e estabelecer 
ações caso a política de segurança seja violada. É importante deixar claro que nem todas as 
sugestões mencionadas acima são utilizadas, devendo considerar as características de cada 
empresa, deforma que a política de segurança se adapte às particularidades de cada organização, 
então, fazer uma análise de riscos e definir a partir daí o que é realmente necessário para 
assegurar as informações de uma empresa. 
 Segundo a NBR ISO/IEC 17799, o profissional responsável por gerir a política de 
segurança deve periodicamente verificar se a política implementada está em uso, analisar o 
impacto dos incidentes de segurança registrados, o custo é impacto dos controles na eficiência 
do negócio e os efeitos das mudanças na tecnologia, com isso, ajudará a reduzir os riscos 
proeminentes do uso de tecnologias. 
Segurança das informações na empresa Glacial 
 A Glacial indústria e comércios de sorvetes conta com uma dupla de colaboradores 
especializados em tecnologia da informação, com o auxílio de softwares específicos que 
comandam e controlam as informações sensíveis para que a saúde institucional da empresa não 
seja comprometida, os principais ativos de informação protegidos são o controle monetário e 
as receitas especiais. 
 Essas ações vão desde de leitura das as avaliações externas nas redes sociais e controle 
das mesmas, desenvolvimento de softwares específicos para o controle do estoque, vendas, e 
ativos da empresa sendo que essas informações são criptografadas e somente a gerência 
possuem a chave de criptografia. 
 Outro fator de extrema importância são as mais diversas receitas de preparações de 
produtos que são tratadas como “ouro” pela a empresa, somente alguns funcionários são 
autorizados a adentrar nessas dependências, inclusive possuem um contrato de 
30 
 
confidencialidade, nesses setores são preparadas as caldas que posteriormente são produzidos 
os sorvetes, paletas mexicanas entre outros produtos. 
 A segurança dessas informações é de suma importância para o futuro da empresa Glacial 
e por isso é dada a esse assunto uma extrema valorização, inclusive muitas das vezes sendo 
direcionado uma quantia elevada em valores monetários para esse setor. 
TECNOLOGIAS APLICADA À SEGURANÇA 
O papel do Gestor de Segurança junto ao cliente. 
 No contexto geral, existem alguns fatoresque interagem para o sucesso de um projeto 
de segurança como um todo. Geralmente encontramos a figura do consultor de segurança, que 
pode ser interno a empresa cliente ou externo, contratado especialmente para o projeto ou para 
suporte continuado a empresa. 
 Sobre o consultor de segurança é importante compreender que o consultor de segurança 
e peça chave no processo, realizando uma análise completa de riscos para o cliente, adotando a 
metodologia mais adequada para essa finalidade, gerando assim, um mapa de riscos e um 
relatório onde indica quais são as áreas mais vulneráveis e quais são as medidas ativas e passivas 
a serem adotadas para mitigar os respectivos riscos, 
Regulamentações Gerais 
 Sobre os profissionais que fazem parte da ABSEG - Associação Brasileira de 
Profissionais de Segurança e o que é discutido: é uma entidade sem fins lucrativos, reúne os 
profissionais que atuam como consultores ou gestores de segurança pública e privada num 
fórum comum no qual são discutidos os temas que envolvem o exercício das atividades de 
consultoria de segurança, bem como membros das forças públicas policiais, através de um 
estatuto e código de ética que proporcionam um referencial de conduta aos profissionais da 
área. 
 Ao consultor de segurança cabe a tarefa de traduzir as orientações e especificações do 
Plano de Segurança para uma especificação técnica e funcional de equipamentos que devem 
formar um ou mais sistemas como objetivo de atender ao Plano de Segurança. 
 O trabalho final consiste em produzir um Projeto Básico - PB, com uma definição clara 
de arquitetura da solução escopo de fornecimento e qualificação dos fornecedores, que será 
utilizado para a aquisição dos sistemas pela área de compras do cliente final. 
 Ao instalador de segurança eletrônica cabe a tarefa de traduzir as orientações e 
especificações do Plano de Segurança para uma especificação técnica e funcional de 
equipamentos que devem formar um ou mais sistemas com o objetivo de atender ao Plano de 
Segurança 
31 
 
Aplicação das Tecnologias x Eficácia 
 Segundo Khalralah (2006), uma análise de riscos proporciona um meio de melhor 
entender os riscos e ações a serem aplicadas para gerenciar esses riscos de forma mais eficiente 
numa abordagem em duas dimensões. 
 Qual a probabilidade de um evento ocorrer? 
 Quais as perdas decorrentes do evento? 
 Conhecer os diversos tipos de sistemas, entender sua arquitetura e principalmente, 
compreender as suas limitações são essenciais ao profissional que vai desenhar. 
 Implementar ou avaliar um sistema eletrônico de segurança. A chamada "aderência" de 
um sistema eletrônico de segurança a uma determinada demanda identificada no plano de 
segurança deve se basear em métricas objetivas. 
 Os sistemas eletrônicos de segurança são elementos fundamentais para a implementação 
de um plano de segurança, representando o melhor investimento neste contexto. 
 A eficácia de um sistema eletrônico baseia-se em três pontos chaves: 
 A aderência do projeto ao plano segurança; 
 Implantação adequada do projeto; 
 Treinamento das equipes de segurança. 
 O Gestor deverá acompanhar todo o processo de elaboração da Requisição de Proposta 
- RP validar juntamente como Consultor e como Projetista, se as diversas propostas 
apresentadas atendem tecnicamente ao escopo, especificações e qualificações dos proponentes, 
sendo assim, o Gestor de Segurança deve, então, ter domínio sobre as diversas tecnologias 
existentes, suas aplicações e limitações, para que possa desempenhar suas atividades de suporte 
ao setor de compras, principalmente porque será sua área que irá operar o sistema a ser 
adquirido. 
 Conhecer os diversos tipos de sistemas, entender sua arquitetura e principalmente 
compreender as suas limitações são essenciais ao profissional que vá desenhar. Implementar ou 
avaliar um sistema eletrônico de segurança sobre a chamada "aderência de um sistema de 
segurança a uma determinada demanda identificada no piano de segurança deve se basear em 
métricas objetivas. 
Classificação dos Sistemas 
 Classificação dos sistemas compreende quais são os tipos de sistemas e como são 
classificados e essencial para o domínio do assunto, pois muitas empresas multinacionais. 
Sejam na qualidade de clientes ou fornecedores no processo qualificam a segurança eletrônica 
como uma das disciplinas do que segundo Almeida (2015), são os sistemas eletrônicos de 
segurança, como parte de um conjunto de sistemas denominado BAS (Building Automation 
32 
 
Systems) ou Sistemas de Automação Predial. Alguns itens do conjunto de sistemas BAS 
(Building Automation Systems): 
Sistema de Alarme de Intrusão 
 São os equipamentos que protegem o patrimônio contra a Intrusão em ambientes 
internos BMS ou Building Management Systems - São os sistemas de gerenciamento das 
utilidades prediais, como elevadores, bombas, iluminação, ar condicionado Sistemas de 
Proteção Perimetral, que protegem os perímetros externos, em ambientes abertos. 
O Building Management System - BMS ou Sistema de Gerenciamento Predial 
 É um destes sistemas especializados, compreendendo as utilidades prediais, como 
sistemas elétricos, sistemas hidráulicos, bombas, ventiladores, exautores, controle de 
iluminação, sistemas de transporte como elevadores e escadas rolantes, medição de consumos 
de água, gás e energia elétrica. Sobre a gestão por processos: 
 O BMS fornece informações e status de todos os dispositivos em tempo real aos gerentes 
operacionais dos empreendimentos, proporcionando melos de supervisão e controle 
principalmente para melhoria na manutenção dos sistemas, através de históricos de eventos, 
relatórios gerenciais bem como a Interatividade entre os diversos sistemas que o compõem. 
 Alguns autores se referem ao BMS como SSCP ou Sistema de Supervisão e Controle 
Predial, ambas as siglas representando as mesmas funcionalidades em relação as utilidades 
predais. 
BEMS - Building Energy Management System 
 Em português significa Sistema de Gerenciamento de Energia Predial, um dos módulos 
do BMS compreende todas as funcionalidades de medição de energia global e individual das 
unidades consumidoras, controle de iluminação, controle de demanda e acionamento de fontes 
de energia alternativas como geradores e unidades UPS, bem como a modulação do ar 
condicionado para fins de otimização do consumo de energia. 
Sistema de CFTV 
 É uma ferramenta essencial no gerenciamento predial, por oferecer a facilidade da quase 
onipresença dos elementos de segurança e operadores do BMS - Bulding Management System, 
ao disponibilizar informações visuais em tempo real sobre diversos locais dentro de uma 
instalação predial sem a perda do tempo de deslocamento para verificação visual. O CFTV - 
Circuito Fechado de Televisão é muitas vezes associado a eventos de alarme de outros sistemas, 
estes sistemas são: 
 SCA - Sistema de Controle de Acesso; 
 SA Sistema do Alarme de Intrusão; 
 SDAI ou BMS Sistema de Detecção do Alarme de Incêndio; 
33 
 
Sistemas de controle ambiental 
 Esses sistemas tais como o de condicionamento de ar através do controle de temperatura, 
umidade, seja para conforto ambiental ou para refrigeração de equipamentos eletrônicos são 
designados pela sigla HVAC, acrónimo do inglês de Heating Ventilation and Air-Conditioning, 
incluem-se nesta disciplina os sistemas de ventilação e exaustão, responsáveis por garantir 
qualidade do ar Sobre Controle ambiental - Ar condicionado (HVAC). 
 No domínio de conhecimento do gestor de segurança deve existir a preocupação com o 
modo como a fumaça decorrente de um sinistro como incêndio será extraída visando garantir a 
segurança das pessoas nas situações de risco, portanto compreender como o HVAC Interage 
com o SDA: Sistema de Detecção de Alarme de Incêndio é de interesse do gestor de segurança. 
 O HVAC é composto por uma parte mecânica com montagem de dutos de circulaçãodo ar uma parte hidráulica para fornecimento do liquido refrigerante adequado e por uma parte 
eletrônica composta por instrumentos de campo, controladoras e gerenciadoras, todos estes 
componentes operam de forma conjunta executando algoritmos especializados para 
disponibilizar no ambiente um ar de qualidade e a uma temperatura agradável. 
 O SDAI - Sistema de Detecção e Alarme de incêndio e um sistema de proteção a vida e 
ao patrimônio, regulamentado por meio de normativas técnicas, no Brasil a ABNT estabeleceu, 
através da NBR 17240 2012 as orientações para elaboração e instalação de sistemas 
especializados de detecção e alarme de incêndio. 
 Estes sistemas são, de acordo com critérios específicos estabelecidos por lei estaduais, 
interligados aos sistemas de HVAC e exaustão para o controle de fumaça, e ao sistema BMS 
para fins de comando de elevadores, iluminação de emergência e outros, no sentido de proteção 
as pessoas, em primeiro lugar e ao patrimônio em segundo lugar (ABNT 2015). 
 O motivo pelo qual gestor de segurança deve ter uma particular atenção a integração, 
conforme determina a legislação estadual entre o SDAI e os demais sistemas de segurança é a 
garantia dos processos de evacuação do local em situações de emergência tais como sinistros, 
incêndios ou mesmo as situações de pânico. 
Sistemas de Alarme de Intrusão – SAI 
 Possuem a finalidade precípua de proteção patrimonial, estando associado às equipes de 
vigilância patrimonial do prédio, enviando eventos para os sistemas de CFTV Sistema de 
Controle de Acesso - SCA ou mesmo BMS (Building Management Systems) com a finalidade 
de através da associação de eventos gerar informações mais consistentes sobre os eventos em 
andamento Sobre Segurança Patrimonial (SAI e SCA). 
 Um SAI pode compreender sistemas de alarme de intrusão, que protege áreas internas 
ou ambientes internos críticos ou sensíveis do cliente ou ainda sistemas de proteção perimetral 
que são a primeira barreira externa, projetados de acordo com o tipo de barreira física perimetral 
das ameaças e riscos inerentes ao local. 
34 
 
Sistema de Controle de Acesso SCA 
 É especializado no controle do bloqueio ou liberação do acesso de pessoas veículos e 
ativos com objetivos de segurança mas que pode ser usado para fornecer ao BEMS informações 
Importantes para o gerenciamento de energia uma vez que através do SCA pode-se saber a 
localização das pessoas e ocupação das áreas e desta forma antecipar ações de controle sobre 
iluminação, HVAC (Heating Ventilation and Air-Conditioning) e do BMS (Building 
Management Systems) permitindo assim uma otimização dos recursos disponíveis. 
Sensores 
 Os sensores são os elementos de captura das informações no campo, um sensor é 
qualquer dispositivo que mede ou detecta uma determinada grandeza física como calor luz 
(imagem), temperatura, pressão, vibração, etc., e gera uma informação ao sistema eletrônico ao 
qual está ligado o tipo de sensor a ser usado deve ser definido em função do tipo de proteção 
ou detecção desejado, como por exemplo: 
 Escalada ou corte de cercas tipo alambrado; 
 Quebra de muros ou paredes; 
 Escavação; 
 Invasão de áreas; 
 Proteção de ambientes internos; 
 Proteção de áreas abertas. 
Comunicação dos sensores 
 Os sensores podem comunicar se com a central de alarme por meio físico (cabos de 
cobre ou fibra óptica) ou por rádio frequência de acordo com a necessidade de cada projeto, 
como veremos mais adiante sobre as arquiteturas dos sistemas de alarme O tipo de sensor a ser 
usado deve ser definido em função do tipo de proteção ou detecção desejado conforme abaixo: 
 Escalada ou corte de cercas tipo alambrado: cabos sensores microfônicos ou de fibra 
óptica; 
 Quebra de muros ou paredes: sensores sísmicos ou de fibra óptica; 
 Escavação: sensores sísmicos ou cabos eletromagnéticos enterrados; 
 Invasão de áreas: vídeo inteligente, sensores de infravermelho ativo, sensores micro-
ondas; 
 Proteção de ambientes internos: sensores de infravermelho passivo dupla tecnologia. 
 Proteção de áreas abertas: vídeo inteligente, câmeras térmicas, etc. 
35 
 
Alarmes falsos 
 Alarmes falsos são uma realidade para qualquer tipo de tecnologia de sensor, uma vez 
que sempre ocorrerão interferências externas, ruídos, vibrações, entre outros fatores 
perturbantes. Considerando os temas relacionados aos sensores: 
 Um sensor será mais ou menos suscetível conforme a sua Taxa de Alarmes Falsos, 
definido como a quantidade de eventos de alarmes falsos em relação à quantidade total de 
eventos de alarme ocorridos; 
 Um sensor será mais ou menos confiável conforme o seu nível de probabilidade de 
detecção, definido como a quantidade de eventos de alarmes reais em relação à quantidade total 
de eventos de ocorridos; 
 A tecnologia de sensor mais adequada é definida como a que possui menor taxa de 
alarmes falsos e maior probabilidade de detecção em uma determinada aplicação ou instalação; 
 Sensores de abertura são os mais usados para detectar aberturas de portas, janelas 
portões, alçapões, ou qualquer outro meio de acesso que necessite ser controlado. 
 Um sensor pode apresentar valores diferentes de NAR Taxa de Alarmes Falsos e PD 
Probabilidade de Detecção de acordo com fatores como método de instalação, condições 
ambientais, eleitos meteorológicos extremos, entre outros Importante todo especialista ter 
ciência de que falsos alarmes sempre ocorrerão, o que se busca é mante-los dentro de valores 
gerenciáveis pela equipe de segurança operacional encarregada de verificar e tratar esses 
eventos. 
Tipos de sensores 
Sensores de Micro-ondas 
 Da associação de duas tecnologias de detecção diferentes infravermelho passivo e 
micro-ondas, surge o sensor denominado dupla tecnologia, ou mais conhecido como duplo IVP 
- MO 
Sensores por Infravermelho Passivo 
 Funcionam pela detecção do calor emitido no ambiente por objetos, refletidos ou pelo 
corpo, numa faixa especifica do infravermelho que é capturado através de uma lente 
especialmente desenhada, denominada lente de Fresnel, que possui uma construção que permite 
identificar a movimentação da fonte de calor em relação ao sensor. 
Sensores de Vibração e Sísmicos 
 Quando existe a possibilidade de tentativas de intrusão através de paredes ou muros, 
perfuração de lajes ou pisos, O uso de sensores de vibração ou sismicos são aplicáveis 
 Um sensor será mais ou menos suscetível conforme a sua Taxa de Alarmes Falsos, 
definido como a quantidade de eventos de alarmes falsos em relação a quantidade total de 
36 
 
eventos de alarme ocorridos, identificado pela sigla NAR ou Nuisance Alarm Rate Fórmula de 
cálculo: 
 
 NAR = Taxa de Alarmes Falsos (%) 
 EAF = Eventos de alarme Falsos 
 TEA = Total de Eventos de Alarme 
Sensores de abertura 
 Sensores de abertura são os mais usados para detectar aberturas de portas janelas, 
portões alçapões, ou qualquer outro melo de acesso que necessite ser controlado Estes sensores 
podem estar vinculados a sistemas de alarme de intrusão de controle de acesso de 
monitoramento de imagens de automatização de portões O tipo de sensor de abertura mais 
utilizado e o sensor de campo magnético, composto por um reed with e um ima que gera o 
campo Quando próximo ao reed, sob o efeito do campo magnético, os contatos do reed se 
fecham quando o imã se afasta, devido a redução do campo magnético os contatos se afastam 
e abrem. 
 Os sensores IVP. Infravermelho Passivo funciona pela detecção do calor emitido no 
ambiente por objetos refletidos ou pelo corpo, numa faixa especifica do infravermelho que e 
capturado através de uma lente especialmente desenhada denominada lente de Fresnel. que 
possui uma construção que permite identificar a movimentação da fonte de calor em relação ao 
sensor o funcionamento do sensor IVP e influenciado pela temperatura ambiente, uma vez que 
detecta calor Se a temperatura ambiente ficar