3 Segurança da informação - Relatório de auditoria

Prévia do material em texto

Segurança da 
informação: Relatório 
de auditoria
Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com
 
SST
MARUBIN, M. L.
Segurança da informação: Relatório de auditoria / Maria 
Lúcia Marubin 
Ano: 2020
nº de p.: 10 páginas
Copyright © 2020. Delinea Tecnologia Educacional. Todos os direitos reservados.
Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com
3
Segurança da informação: 
Relatório de auditoria
Apresentação
Este material é dedicado ao aprofundamento dos conhecimentos relacionados ao 
processo de auditoria.
Por meio deste estudo, entenderemos melhor sobre o relatório de auditoria, os 
envolvidos nesse documento e conceitos relacionados.
Relatório de auditoria de segurança 
da informação
Atualmente, as empresas estão expostas a uma grande variedade de ameaças, 
que inclui atividades criminosas, eventos associados ao uso indevido da marca do 
produto, sinistros, catástrofes naturais e ataques em nível nacional, bem como o 
terrorismo.
Porém, os temores mais sérios são relacionados com a segurança em TI. Entre as 
principais preocupações das corporações, podemos listar os ataques efetuados 
à internet seguidos por incidentes de TI causados por colaboradores internos e 
ameaças geradas internamente. 
No relatório de auditoria de segurança da informação deve constar a criação, 
implementação e atualização dos procedimentos, ferramentas e meios de revogação 
de acessos às listas de e-mail, e e-mail institucional, dos servidores que integram e 
mesmo que não trabalhem mais na empresa.
Deve-se receber procedimento formalizado para o gerenciamento de riscos de TI, e 
precisa ser executado conforme as necessidades técnicas da área e institucionais, 
observando a redução dos riscos residuais e pertencentes à área de TI.
Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com
4
Segurança e tecnologia.
Fonte: Plataforma Deduca (2020).
Um auditor normalmente utiliza vários modelos de instrumentos para a coleta 
de dados, dependendo do tipo de auditoria e dos objetos a serem verificados. 
Existem muitos formulários ou questionários impressos, com suporte de software 
especializado ou mesmo criados dentro da empresa a partir de planilhas eletrônicas 
de pacotes office. 
São esses instrumentos que darão origem aos documentos de trabalho do auditor. 
Pode-se fazer um modelo de lista (check-list) simplificado e que pode ser usado 
como instrumento para a coleta de dados. Nesse check-list, além de constar o nome 
do auditor e a data de início e finalização, pode conter questões para verificação 
como SIM, NÃO e NÃO SE APLICA, como os exemplos descritos no quadro a seguir: 
Modelo para coleta de dados na auditoria 
Objeto 
averiguado Ponto a ser controlado
Verificação
(S, N, N/A)
Computadores 
Os equipamentos de rede estão catalogados e 
protegidos fisicamente. 
Os acessos aos computadores estão protegidos 
com protocolo de segurança. 
Os programas de antivírus estão atualizados.
Os acessos aos computadores e aos sistemas de 
informação utilizando celulares estão protegidos e 
atualizados com encriptação.
Rede sem fio A instalação do protocolo de criptografia está atualizada. 
Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com
5
Criptografia
O acesso aos serviços críticos é feito por meio de 
certificados digitais. 
Existem medidas de proteção dos dados 
armazenados, por criptografia. 
Rede LAN
A configuração do firewall é controlada, revisada e 
atualizada periodicamente. 
O acesso ao ambiente de rede é controlado.
O acesso remoto é controlado somente para 
sistemas específicos. 
Redes virtuais privadas (VPN) usam IPSEC. 
Existe proteção de cabeamento da rede. 
Protocolos
Existem rotinas adequadas de proteção e controle 
do fluxo de dados. 
Possui protocolos adequados de acordo com a 
exigência dos sistemas de informação. 
Scanners de portas de redes que detectam 
possíveis vulnerabilidades e falhas em sistemas 
são atualizados e verificados.
Fonte: Adaptado de Rodrigues e Fernandes (2011).
Os critérios de avaliação incluem políticas e procedimentos aplicáveis à corporação, 
às normas, aos requisitos legais vigentes, aos regulamentos, às cláusulas 
contratuais e aos métodos de gestão e de práticas, entre outros requisitos.
Tecnologia e auditoria
Fonte: Plataforma Deduca (2020).
Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com
6
Em relação à terminologia adotada em uma auditoria, Macêdo (2012) apresenta 
alguns conceitos, considerados como gerais, mas utilizados, frequentemente, 
no decorrer de um processo de auditoria, livre de sua classificação. Alguns 
conceitos como o campo, o âmbito e a natureza dos fatos são básicos para 
qualquer tipo de auditoria.
Conceito de campo: 
esse conceito está relacionado ao objeto, que nesse caso pode ser uma 
instituição pública ou privada ou mesmo um setor da empresa. Esse objeto 
deve ser fiscalizado, constar o período e o tipo da auditoria, se administrativa, 
contábil, financeira, operacional, da tecnologia da informação, entre outras.
Conceito de âmbito: 
esse conceito define o grau de cobertura e a complexidade das atividades a 
serem realizadas.
Conceito da área de verificação: 
esse conceito determina, de modo preciso, os objetos da auditoria, em função 
da entidade que será fiscalizada e sobre a natureza da auditoria.
Conceito de controle:
esse conceito baseia-se na fiscalização elaborada sobre as atividades das 
pessoas, dos setores, produtos, e outros, de maneira que as atividades 
exercidas ou que os produtos se mantenham dentro dos regulamentos que 
serão determinados com antecedência.
 
São três os tipos de controle exercidos:
Preventivo: 
faz-se a prevenção de erros e invasões, como identificação e autenticação de 
usuários no sistema com a utilização de senhas.
Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com
7
Detector: 
detectam-se erros ou tentativas de invasões de arquivos. Aqui é realizado o 
controle de acesso de usuários.
Corretivo: 
minimiza o impacto causado por falhas ou erros, possibilitando que sejam 
corrigidos usando política de segurança ou algum plano de contingência.
Procedimentos de auditoria
Caracteriza-se por um conjunto de investigações que permite atingir e analisar as 
informações necessárias ao relatório do auditor. Esses procedimentos devem ser de 
conhecimento dos auditores antes do início da auditoria.
• Achados de auditoria: são os fatos que devem ser considerados como im-
portantes para o auditor. Para que esses dados constem no relatório, essas 
informações devem ser baseadas em ocorrências e provas.
• Papéis de trabalho: São documentos de registros que evidenciam os atos e 
fatos observados pelo auditor como documentos, planilhas, mídias de arma-
zenamento.
• Recomendações de auditoria: recomenda-se que na fase de relatório sejam 
realizadas medidas corretivas exequíveis, sugeridas para corrigir as falhas de-
tectadas (DIAS, 2000).
Lyra (2008) afirma que um controle de segurança é uma medida de segurança ou 
contramedida de natureza gerencial, operacional ou técnica, prescrita para um 
sistema de informações, de modo a proteger a confidencialidade, integridade e 
disponibilidade do sistema de sua informação.
Controle interno é o objeto responsável pelo controle dos processos da organização. 
O controle interno abrange todo o conjunto de controles, realizado sob a 
responsabilidade da gestão da organização (LAUREANO, 2005).
Conforme Almeida (1996), os passos do processo de auditoria são assim definidos:
Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com
8
1. o gestor deve declarar os fatos sobre o desempenho das atividades na orga-
nização para os envolvidos;
2. faz-se necessário recorrer a um profissional especializado para o processo de 
auditoria e para averiguação dos controles internos;
3. é também necessário que a organização empregue um profissional especia-
lizado, no caso o auditor, para que opine sobre a veracidade das declarações 
contidas no parecer;4. o auditor também deve verificar se as declarações do gestor estão satisfato-
riamente adequadas com as condições observadas no controle interno, emi-
tindo uma opinião baseada nessas declarações. 
Nessa fase o fluxo do processo deve ser elaborado. De com os procedimentos, 
objetivos e os riscos envolvidos são executados, precisam ser documentados, 
juntamente com os controles responsáveis pelo suporte de sua eficiência. A 
documentação do processo será fundamental quanto à execução das fases 
seguintes de execução da avaliação dos controles internos (IMONIANA, 2010).
Conforme Imoniana (2010), o principal objetivo em uma auditoria de controles 
organizacionais de área de informática verificar a essência do controle interno, assim 
é possível a promoção da eficácia visando uma auditoria satisfatória e responsável.
Certificações
Certificações são documentos que comprovam se um profissional está capacitado 
para atuar em determinada área do conhecimento. Geralmente, esses documentos 
são concedidos por órgãos e empresas respeitados no meio de TI. A figura a seguir 
ilustra os principais objetivos das certificações.
Características do certificado
Certificado
Comprovação 
de habilidade
Concedido por 
órgãos de TI
Elaborada pelo autor (2020).
Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com
9
Algumas entidades possuem centros educacionais onde são oferecidos cursos em 
que é testado, por meio de provas, se o aluno adquiriu o conhecimento sobre o tema. 
No final do curso, caso o profissional sair satisfatoriamente, é concedido o certificado.
As certificações são importantes para que a atividade de auditor seja 
reconhecida perante as organizações. Com certificação, o profissional demonstra 
experiência comprovada, demonstra maior potencial de ganho e progressão na 
carreira aumentando a credibilidade e reconhecimento.
As certificações para auditores de sistemas de informação são 
emitidas por alguns órgãos como Information Systems Auditand 
Control Association (ISACA), que fornece a Certified Information 
Systems Auditor (CISA).
Atenção
Essa certificação profissional é reconhecida mundialmente como um padrão de 
realização para aqueles que exercem auditoria, controle, monitoramento e avaliação 
dos sistemas de informação de negócio nas organizações. 
No Brasil, a academia CLAVIS fornece um curso preparatório e também as provas 
necessárias para a aquisição do mesmo.
Fechamento
Neste material, estudamos os principais componentes do relatório de auditoria 
de segurança da informação, procedimentos para o processo de auditoria e os 
requisitos para a obtenção de certificações,
Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com
10
Referências
ALMEIDA, M. C. Auditoria: um curso moderno e completo. 5. ed. São Paulo: Atlas, 1996.
DIAS, C. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: Axcel 
Books, 2000.
IMONIANA, J. O. Auditoria de sistemas de informação. São Paulo: Atlas, 2010.
LAUREANO, M. A. P. Gestão de segurança da informação. 2005. Disponível em: 
http://www.mlaureano.org/aulas_material/gst/apostila_versao_20.pdf. Acesso em: 
15 set. 2020.
LYRA, M. R. Segurança e auditoria em sistemas de informação. Rio de Janeiro: 
Ciência Moderna, 2008. 
MACÊDO, D. Conceito, tipos e características de auditoria de segurança da 
informação. 2012. Disponível em: http://www.diegomacedo.com.br/conceito-tipos-
e-caracteristicas-de-auditoria-de-seguranca-da-informacao/. Acesso em: 15 set. 
2020.
RODRIGUES, R. W. da S.; FERNANDES, J. H. C. Auditoria e conformidade de 
segurança da informação. 2011. Disponível em: http://www.facom.ufu.br/~miani/
site/teaching_files/seguranca/GSIC345_Auditoria_Conformidade_Seguranca_
Informacao.pdf. Acesso em: 14 set. 2020.
Licensed to Maurício Muniz Chaves - mauricio.muniz@gmail.com
http://www.mlaureano.org/aulas_material/gst/apostila_versao_20.pdf
http://www.diegomacedo.com.br/conceito-tipos-e-caracteristicas-de-auditoria-de-seguranca-da-informacao/
http://www.diegomacedo.com.br/conceito-tipos-e-caracteristicas-de-auditoria-de-seguranca-da-informacao/
http://www.facom.ufu.br/~miani/site/teaching_files/seguranca/GSIC345_Auditoria_Conformidade_Seguranca_Informacao.pdf
http://www.facom.ufu.br/~miani/site/teaching_files/seguranca/GSIC345_Auditoria_Conformidade_Seguranca_Informacao.pdf
http://www.facom.ufu.br/~miani/site/teaching_files/seguranca/GSIC345_Auditoria_Conformidade_Seguranca_Informacao.pdf