Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 SEGURANÇA E AUDITORIA DE SISTEMAS 1 SUMÁRIO TECNOLOGIA DIGITAL ............................................................................................. 3 CONCEITO DE AUDITORIA ...................................................................................... 4 AUDITORIA NO BRASIL ............................................................................................ 6 AUDITORIA DA INFORMAÇÃO................................................................................. 7 DEFINIÇÃO DE SEGURANÇA DA INFORMAÇÃO ................................................... 9 PROCESSOS DE AUDITORIA ................................................................................ 14 COBIT 4.1 ................................................................................................................ 19 SOFTWARE ............................................................................................................. 20 PROCESSOS DE SOFTWARE ............................................................................... 21 SEGURANÇA DE SOFTWARE ............................................................................... 23 SEGURANÇA EM APLICAÇÕES WEB ................................................................... 25 APLICAÇÃO DOS PRINCIPIOS BÁSICOS DA SEGURANÇA DA INFORMAÇÃO NOS PROCESSOS DE AUDITORIA ....................................................................... 28 REFERENCIAS ........................................................................................................ 30 2 NOSSA HISTÓRIA A nossa história inicia com a realização do sonho de um grupo de empresários, em atender à crescente demanda de alunos para cursos de Graduação e Pós- Graduação. Com isso foi criado a nossa instituição, como entidade oferecendo serviços educacionais em nível superior. A instituição tem por objetivo formar diplomados nas diferentes áreas de conhecimento, aptos para a inserção em setores profissionais e para a participação no desenvolvimento da sociedade brasileira, e colaborar na sua formação contínua. Além de promover a divulgação de conhecimentos culturais, científicos e técnicos que constituem patrimônio da humanidade e comunicar o saber através do ensino, de publicação ou outras normas de comunicação. A nossa missão é oferecer qualidade em conhecimento e cultura de forma confiável e eficiente para que o aluno tenha oportunidade de construir uma base profissional e ética. Dessa forma, conquistando o espaço de uma das instituições modelo no país na oferta de cursos, primando sempre pela inovação tecnológica, excelência no atendimento e valor do serviço oferecido. 3 TECNOLOGIA DIGITAL O avanço da Tecnologia da Informação (TI) dentro do ambiente organizacional tem colocado em evidência o valor que o bem informação tem em relação aos objetivos da empresa. Em contraponto, busca-se proteger e garantir a segurança para sua efetiva utilização com a finalidade de atender as necessidades de gestores. Segundo Fontes (2006), define-se como segurança da informação o conjunto de orientações, normas, procedimentos, políticas e demais ações para que o recurso informação esteja protegido. A segurança da informação existe com a finalidade de diminuir o risco que um determinado negócio apresenta em relação à dependência do seu uso para o funcionamento da organização. De acordo com Rorrato e Dias (2014), cuidados devem ser tomados de tal forma que se possa verificar a integridade e garantir que os dados estejam protegidos. A auditoria constitui-se como uma forma eficiente de manter um ambiente seguro. Segundo Lento e Guimarães (2012), em termos gerais a auditoria pode ser compreendida como a atribuição responsável pela fiscalização dos processos, tendo como função verificar se eles estão sendo executados de forma constante e correta e se os mesmos são independentes. Aplicada seguindo métodos preestabelecidos, a auditoria verifica e garante que o objeto auditado está de acordo com o estipulado. Na área de TI, todos os processos podem e devem ser auditados, desde a decisão sobre tecnologias a serem adotadas, desenvolvimento de sistemas, integração entre sistemas, comunicação entre máquinas, mudanças de sistemas e tecnologias, equipe de desenvolvimento, prioridades, controles organizacionais, legalidade jurídica, bem como os resultados. A auditoria no setor TI é imprescindível, haja vista que, hoje, muitas organizações param de operar pelo fato de a tecnologia de TI adotadas deixar de funcionar. Com base no conceito de auditoria em Tecnologia da Informação e tendo em vista a sua importância, este artigo constitui-se de uma revisão bibliográfica voltada aos principais aspectos de segurança em ambientes web, através da análise de vulnerabilidades encontradas e impactos gerados pela inoperabilidade de seus 4 serviços. A partir da revisão, foi elaborada uma pesquisa experimental, através da qual se propôs as adequações necessárias para a correção das falhas encontradas. CONCEITO DE AUDITORIA Quando o assunto é auditoria, automaticamente há uma associação com a contabilidade, pois é um termo muito mais utilizado por profissionais da área contábil. Entretanto, conforme Botha e Boon (2004), é possível encontrar no mundo comercial diferentes tipos de auditorias, como a Auditoria da Comunicação, Auditoria Financeira, Auditoria Técnica, Auditoria da Informação, etc. Cada auditoria possui suas finalidades próprias e deve atender normas e regras especificas de cada organização. A auditoria possui como objetivo principal diagnosticar, descobrir e verificar recursos da organização. Também pode ser considerada um mecanismo de controle, assim como apresentar a realidade da organização e confrontar com os padrões que a organização havia pré-estabelecido e então apontar possíveis soluções para eventuais divergências identificadas. Segundo Carneiro (2004), o conceito de auditoria pode ser citado como um estudo crítico que tem o objetivo de avaliar a eficácia e eficiência de um departamento ou uma instituição. Dito de outro modo, toda e qualquer auditoria é a atividade que consiste na emissão de uma opinião profissional sobre o objeto de análise, a fim de confirmar se cumpre adequadamente as condições que lhe são exigidas (CARNEIRO, 2004). Para Neto e Solonca (2007), a auditoria é uma atividade que reúne a análise das operações, processos, sistemas e responsabilidades gerenciais de uma determinada entidade, com o intuito de validar sua conformidade com certos objetivos e políticas institucionais, regras, orçamentos, normas ou padrões. Segundo Baruque e Santos (2010), no Egito antigo, autoridades providenciavam averiguações independentes nos registros de arrecadações de impostos. Na Grécia, eram realizadas inspeções nas contas de funcionários públicos através da comparação de gastos com autorizações de pagamentos. Já os nobres 5 castelos medievais ingleses indicavam auditores que revisavam os registros contábeis e relatórios preparados pelos criados. Purpura (2008), afirma que a auditoria de empresas começou com a legislação britânica decretada durante a revolução industrial, em meados do século XIX. Progressos na tecnologia industrial e de transporte fomentaram novas economias de escala, empresas maiores, o aparecimento de administradores profissionais e o crescimento da ocorrência de situações em que os donos de empresas não estavam presentes nas ações diárias da corporação. No início da auditoria, este serviço tinha que ser feito por acionistas que não eram administradores das empresas. Na época em que as informações eram armazenadas apenas em papel, a segurança era relativamente simples. Bastava trancar os documentos em algum lugar e restringir o acesso físico àquele local. Com as transformações tecnológicase o uso de computadores de grande porte, a estrutura de segurança já ficou um pouco mais sofisticada, englobando controles lógicos, porém ainda concentrados. (TCU, 2012, p.7) Singleton (2011) informa que auditores de TI vem realizando contribuições desde o começo da era de TI, quando empresas e órgãos governamentais passaram a utilizar o computador para aspectos financeiros. Neto e Solonca (2007) afirmam que o bem mais precioso de uma empresa pode não ser o produzido pela sua linha de produção ou o serviço prestado, mas as informações relacionadas com este bem de consumo ou serviço. Ao longo da história, o ser humano sempre buscou o controle das informações que lhe eram relevantes de alguma forma. O que mudou desde então foram as formas de registros e armazenamento das informações. Se na pré-história e até mesmo nos primeiros milênios da idade antiga o principal meio de armazenamento e registro de informações era a memória humana, com o início dos primeiros alfabetos isto começou a mudar. Mas foram somente nos últimos dois séculos que as informações passaram a ter importância essencial para as organizações humanas. Ainda para Neto e Solonca (2007), atualmente, não há organização humana que não seja altamente dependente da tecnologia de informações, em maior ou menor grau. E o grau de dependência agravou-se muito em função da tecnologia de informática, que possibilitou acumular grandes quantidades de informações em espaços restritos. O meio de registro é, ao mesmo tempo, meio de armazenamento, 6 meio de acesso e meio de divulgação. Esta característica traz efeitos graves para as organizações, por facilitar os ataques de pessoas não autorizadas. Complementa-se com a afirmação de Baruque e Santos (2010) que, a dependência da TI torna-se cada vez mais crítica, em uma economia baseada no conhecimento, onde as organizações usam a tecnologia para gerenciar, desenvolver e reportar sobre ativos intangíveis, tais como informação e conhecimento. O êxito da empresa só pode ser alcançado quando tais ativos são seguros, precisos, confiáveis e proporcionados no tempo certo à pessoa certa. Tal dependência da TI implica uma grande vulnerabilidade que é inerente aos ambientes complexos de TI. Ameaças, tais como erros e omissões, abusos, crimes cibernéticos, fraudes, bem como sistemas indisponíveis custam muito caro para qualquer organização. AUDITORIA NO BRASIL No país, há relatos mais significativos a partir da Segunda Guerra Mundial, que foi quando o país começou a receber empresas multinacionais, muitas das quais já contavam com a área de auditoria e com o crescimento do mercado de trabalho. Houve uma necessidade das empresas para se ter um maior controle sobre suas informações e para preservar a segurança de dados, o que levou à instauração da área de auditoria e à exigência de que tudo fosse conferido por esses profissionais. Há duas formas de praticar a auditoria: interna e externamente. Ambas as formas dependem das necessidades da sua empresa, sendo levado em conta desde o tamanho da corporação até onde ela quer atingir. Empresas grandes, normalmente, precisam das duas para passar maior credibilidade aos seus clientes, associados e acionistas. 1. Auditoria interna: é realizada por um departamento interno, responsável pela verificação e avaliação dos sistemas e procedimentos internos da empresa. Um de seus objetivos é de garantir o cumprimento de normas e políticas, reduzindo a probabilidade de ocorrência de fraudes, erros e práticas ineficientes ou ineficazes. 7 2. Auditoria externa: é realizada por uma empresa externa e independente da organização que será fiscalizada, sem vínculo algum com ela. O objetivo é emitir resultados das análises sobre a gestão de recursos da empresa, sobre sua situação financeira e sobre a legalidade e a regularidade de suas operações. A auditoria de TI tem o intuito de buscar transparência na área diante da organização e mostrar que os processos da empresa estão de acordo com as leis e que não há fraudes neles. Ela existe, sobretudo, para que você tenha controle do que acontece dentro da sua empresa, deixando sempre “tudo em ordem”. Certificando que os recursos da TI e os objetivos do negócio sejam alcançados em conformidade com as leis e regras que o regulamenta, a auditoria de TI é um processo adequadamente protegido para prover informação confiável no momento certo e às pessoas certas. AUDITORIA DA INFORMAÇÃO Para Henczel (2000), a auditoria da informação tem por objetivos analisar a situação atual da informação e ajudar a refletir sobre o melhoramento do seu fluxo dentro da organização. Uma auditoria de informação focaliza os recursos, os usuários e as suas necessidades de informação. O objetivo de uma auditoria da Informação deve ser o de ajudar a organização a contar com a informação correta, no tempo certo, para a pessoa certa e por um custo justo. Aumatell (2003), destaca que a importância de incorporar a prática de auditoria de informações como um padrão na gestão estratégica de ativos e funções informativas e serviços de informação de qualquer organização. A maioria das organizações, recebem, processam, armazenam e produzem também muitas informações, citado por Dante (1998), de o “ciclo da Informação” e isto não mudará no futuro próximo, ao contrário, tende a crescer cada vez mais com a utilização contínua da Internet e das redes digitais internas e externas. Uma auditoria de informação traz grandes benefícios, pois diagnostica e identifica os pontos fortes e fracos sobre como a informação flui dentro da 8 organização. Ao mesmo tempo, ela auxilia no foco e na atenção da equipe quanto ao valor e aos benefícios do uso e da partilha da informação, CEDRON SNI (2006). A partir da comparação das etapas a autora apresentou as diversas etapas da auditoria da informação por meio de um ciclo (figura 1), e considerou os demais processos de auditoria, desta forma não se limitando somente a auditoria da informação, ressaltando a necessidade de se considerar as demais auditorias como um processo contÍnuo, visando sempre à melhoria dos processos em questão. Figura 1 – ciclo de etapas de auditoria O ciclo inicia com a etapa de “planejamento”, tem como finalidade apresentar um plano de como a auditoria deverá ser executada, desde aspectos relacionados à compreensão e revisão de práticas destinadas aos fluxos de informação, aspectos de custos e tempo para execução, definição do método para a ação, todos visando minimizar os erros e problemas durante a execução da auditoria da Informação. A segunda etapa é a “Coleta e análise das necessidades do ambiente”, a qual deve fornecer todas as informações pelas quais será possível conhecer a organização ou o setor que deseja atuar, Vieira (2010), considera essa etapa crucial para o andamento das demais, pois ela aponta os possíveis problemas existentes na organização. 9 A próxima etapa apresentada é o “Mapeamento dos recursos de informação”, essa etapa objetiva fornecer um inventário dos recursos de informação, onde é possível verificar sua utilização de acordo com as necessidades identificadas, assim como os padrões adotados pela organização. A etapa “Análise crítica dos dados coletados”, tem como intenção final avaliar os requisitos coletados, comparando com os recursos informacionais já existentes e a partir daí apresentar soluções que se façam necessários para preencher as lacunas existentes. Na penúltima etapa “Relatório”, deve ser apresentado todas as não conformidades encontradas, assim como a soluções passiveis de execução para empresa em questão. Também é nesta etapa que se decide a forma de ser entregue e/ou apresentar a auditoria e quem terá acesso a mesma. Por fim a etapa “Recomendações”, apresentado no ciclo das etapas de auditoria por Vieira (2010), pelofato de ser estudado por Henczel e CEDROM- SNI (2006). Essa etapa sugere possíveis medidas para a resolução dos problemas apontados na etapa relatório, e pretende sugerir um roteiro de sugestões e modificações, para ser apresentado e aceito pelo proprietário da informação, essas recomendações devem ser elaboradas pensando nos “problemas” apresentados. DEFINIÇÃO DE SEGURANÇA DA INFORMAÇÃO A ABNT NBR ISO/IEC 27002 (2005), define segurança da informação como sendo a proteção contra vários tipos de ameaças, garantindo a continuidade e minimizando o risco do negócio. Ainda, segundo a ABNT NBR ISO/IEC 27002 (2005), a segurança da informação é adquirida a partir da implantação de um conjunto de controles apropriados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implantados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atingidos. 10 Conforme descrito na ABNT NBR ISO/IEC 27002 (2005), muitos sistemas de informação não foram projetados para serem seguros. A segurança da informação que pode ser obtida por meios técnicos é limitada e deve ser amparada por uma gestão e por procedimentos adequados. A identificação de controles a serem implantados requer um planejamento cuidadoso e uma atenção aos detalhes. Segurança da informação segundo Beal (2005), é o processo de proteção da informação das ameaças a sua integridade, disponibilidade e confidencialidade. Sêmola (2003), define segurança da informação como uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade. A ABNT NBR ISO/IEC 27002:2005, em sua seção introdutória, define segurança da informação como “a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio”. Assim, podemos definir segurança da informação como a área do conhecimento que visa à proteção da informação das ameaças a sua integridade, disponibilidade e confidencialidade e autenticidade, a fim de garantir a continuidade do negócio e minimizar os riscos, Figura 2. Atualmente o conceito de segurança da informação está padronizado pela norma ISO/IEC 27002:2005, influenciada pelo padrão inglês (British Standard) BS 7799. A série de normas ISO/IEC 27000, foram reservadas para tratar de padrões de segurança da informação, incluindo a complementação ao trabalho original do padrão inglês. A ISO/IEC 27002:2005 continua sendo considerada formalmente como 17799:2005 para fins históricos. 11 Figura 2 – pilares da segurança da informação Confidencialidade Para Beal (2005), a confidencialidade é a garantia de que o acesso à informação é restrito aos seus usuários legítimos, ou seja, quando uma informação representa uma vantagem de mercado, um diferencial competitivo, diz-se que a informação possui um valor de restrição, a ser mantido por meio de preservação de sua confidencialidade. No âmbito da administração pública federal, o decreto nº 4.553/2002 classifica os documentos públicos em 4 categorias sendo um deles de confidencias, que são aqueles que, no interesse do Poder Executivo e das partes, devem ser de conhecimento restrito, e cuja revelação não autorizada possa frustrar seus objetivos ou acarretar dano à segurança da sociedade e do estado. Segundo Ferreira (2003), a informação dever ser protegida, independente da mídia que a mesma esteja contida, como por exemplo, documentos impressos ou mídia digital. Que além de cuidar da informação como uma todo também deve-se preocupar com a proteção de partes de informação que podem ser utilizadas para interferir sobre o todo. Beal (2005), apresenta um exemplo de classificação da informação quanto aos requisitos de confidencialidade mostrado no quadro 2. 12 Integridade Garantia da criação legítima e da consistência da informação ao longo do seu ciclo de vida: em especial, prevenção contra criação, alteração ou destruição não autorizada de dados e informações. A integridade consiste em proteger a informação contra modificação sem a permissão explícita do proprietário. “Proprietário da informação é o executivo de negócio ou gerente de uma determinada área responsável pelos ativos da informação da organização.” (Ferreira, 2003, pg. 25). Dados e informações perdem sua integridade em tentativas de fraudes, quanto maior for o impacto para a organização da perda de integridade de uma informação, maior o investimento a ser feito em controles para prevenir, detectar e corrigir a produção errada ou a alteração indevida de informações. (Beal, 2005, pg. 67). A integridade pode ser definida como de: alta exigência de integridade, que é a criação com erro ou alteração indevida e assim comprometer as operações e objetivos da organização, acarretando em descumprimentos de leis, prazos e normas, levando a mesma ter prejuízos; de média exigência de integridade, onde a criação com erro ou alteração indevida das informações não compromete as operações nem traz impactos muitos grandes, apenas pode causar algum tipo de prejuízo; e de baixa exigência de integridade é a criação com erro ou indevida, que é facilmente detectada e os riscos que oferece são praticamente desprezíveis. 13 Autenticidade Para Ferreira (2003), o serviço de autenticação em um sistema deve assegurar ao usuário que recebe a informação, que a mensagem é realmente procedente da origem informada em seu conteúdo. A verificação da autenticidade faz-se necessário após todo processo de identificação, seja do sistema para o usuário, do usuário para o sistema ou do sistema para outro sistema. O objetivo da autenticidade é englobado pelo de integridade, quando se assume que este visa garantir não só que as informações permaneçam completas e precisas, mais também que a informação capturada do ambiente externo tenha sua fidedignidade verificada e que a criada internamente seja produzida apenas por pessoas autorizadas e atribuída unicamente ao seu autor legítimo. A implementação para o processo de autenticidade geralmente é implementado a partir de mecanismos de senhas e assinaturas digitais. Beal (2005), cita que a segmentação dos ativos por característica como: tipo de usuário, tipo de aplicação, ambiente de uso etc., permite a criação de estratégias diferenciadas de armazenamentos, controle de acesso, controles e recuperação de serviços, assim aplica os controles adequados conforme o nível de proteção requerido por cada segmentação. Disponibilidade Garantia de que a informação e os ativos associados estejam disponíveis para os usuários legítimos de forma oportuna. Beal (2005), apresenta como objetivo da disponibilidade, o controle de acesso que permite identificar os usuários legítimos da informação para então liberar o acesso solicitado. Quando analisado a disponibilidade é considera-se questões como: “quanto custa para produzir”, “quanto custa para recuperar” e quais consequências gera para a organização se a informação não está mais disponível. Conclui-se que a falta de informações pode afetar a organização e o que deve ser considerado é quanto tempo levaria para superar esse impacto. Desta forma a classificação das informações e a ordem de prioridade de recuperação em caso de indisponibilidade são muito importantes e a organização deve atribuir a cada categoria as informações conforme o grau de importância do ativo 14 para a organização. Essa ordem de importância é expressa por Beal (2005), começando pelas mais importantes categorias 1 e menos importantes categorias 6, conformeFigura 3. Considera-se que pode abranger as categorias 1 e 2 informações que exigem recuperação em um curto espaço de tempo, as quais mesmo indisponíveis em um curto período podem causar prejuízos inaceitáveis. Nas categorias 2, 3 e 4 cabe informações com exigência de recuperação em médio espaço de tempo, sendo que as indisponibilidades temporárias não afetam o desempenho dos processos críticos, porém que ao longo período de tempo pode causar atrasos ou decisões erradas. Categoria 5 o tempo de recuperação depende do tipo de informações, é aceitável a indisponibilidade variada. E a categoria 6 não possui exigência de tempo para recuperação, pois a perda ou indisponibilidade por períodos longos não traz consequências negativas consideráveis, seja pela pouca relevância da informação ou pela facilidade de recuperação da mesma. PROCESSOS DE AUDITORIA Para Neto e Solonca (2007), a crescente utilização de soluções informatizadas nas distintas áreas de serviços exige maior exposição dos valores e das informações, além de níveis de segurança adequados. O avanço da tecnologia da informação, migrando de um ambiente centralizado para um ambiente distribuído, interligando redes internas e externas, adicionada à revolução da Internet, modificou a forma de se fazer negócios. Isto fez com que as empresas se preocupassem mais com o 15 controle de acesso às suas informações bem como a proteção dos ataques, tanto internos quanto externos. Ainda para Neto e Solonca (2007), com o advento dos computadores pessoais e das redes de computadores que são capazes de conectar o mundo inteiro, os aspectos de segurança atingiram tal complexidade que há a necessidade de desenvolvimento de equipes cada vez mais especializadas para a sua gerência. Paralelamente, os sistemas de informação também adquiriram uma suma importância para a sobrevivência da maioria das organizações modernas, uma vez que, sem computadores e redes de comunicação, a prestação de serviços de informação pode se tornar impraticável. Um exemplo prático da afirmação acima é citado por Neto e Solonca (2007), dizendo que um banco não trabalha exatamente com dinheiro, mas com 13 informações financeiras relacionadas com valores seus e de seus clientes. A maior parte destes dados é de natureza sigilosa, por força de determinação legal ou por se tratar de informações de natureza pessoal, que inspecionam ou mostram a vida econômica dos clientes, os quais podem vir a sofrer danos, caso elas sejam levadas a público. Ainda concluem que, independente do setor da economia em que a empresa atue, as informações estão relacionadas com seu processo de produção e de negócio, políticas estratégicas, marketing, cadastro de clientes, etc. Não interessa o meio físico em que as informações estão armazenadas, elas são de valor incalculável não só para a empresa que as gerou, como também para seus concorrentes. Em último caso, mesmo que as informações não sejam sigilosas, na maioria das vezes elas estão relacionadas às atividades diárias da empresa que, sem elas, poderia ter complicações. Na visão da ISACA (2010), a auditoria de TI é responsável por fazer uma revisão e avaliação dos riscos do ambiente de trabalho dos sistemas de informação que suportam os processos de negócio. A atividade da auditoria de TI tem como intuito ajudar a organização por meio da identificação e avaliação de exposições ao risco que sejam significativas, bem como contribuir para o avanço dos mecanismos de gestão de risco e de controle dos sistemas de informação. No ponto de vista do IIA (2005), a auditoria de TI tem que aferir a capacidade dos controles dos sistemas de informação para resguardar a organização contra as 16 ameaças mais relevantes e deve fornecer evidência de que os riscos residuais são pouco prováveis de causar danos significativos à organização e às suas partes interessadas, os stakeholders. Segundo Neto e Solonca (2007), os tipos de auditoria mais comuns são classificados quanto à forma de abordagem, ao órgão fiscalizador e à área envolvida. No Figura 4, estão inseridas as classificações dos tipos de auditoria quanto a forma de abordagem. Fonte: Neto e Solonca (2007) No Figura 5, estão inseridas as classificações dos tipos de auditoria quanto a quanto ao órgão fiscalizador. Fonte: Neto e Solonca (2007) No Figura 6, estão inseridas as classificações dos tipos de auditoria quanto a quanto a área envolvida. 17 Fonte: Neto e Solonca (2007) Neto e Solonca (2007) afirmam que dependendo da área que será averiguada, a auditoria pode compreender todo o ambiente de informática ou a organização do departamento de informática. Além disso, podem considerar os controles sobre 18 bancos de dados, redes de comunicação e de computadores, além de controles sobre aplicativos. Desta forma, sob o entendimento dos tipos de controles identificados por Neto e Solonca (2007), os autores também afirmam que a auditoria pode ser separada em duas grandes áreas: Auditoria de segurança de informações: este tipo de auditoria em ambientes informatizados decide a postura ou a situação da empresa em relação à segurança das informações. Ela avalia a política de segurança da informação e também os controles relacionados a aspectos de segurança e controles que influenciam o bom funcionamento dos sistemas da organização. Tais controles estão descritos a seguir: - Avaliação da política de segurança; - Controles de acesso lógico; - Controles de acesso físico; - Controles ambientais; - Plano de contingência e continuidade de serviços; - Controles organizacionais; - Controles de mudanças; - Controle de operação dos sistemas; - Controles sobre os bancos de dados; - Controles sobre computadores; - Controles sobre ambiente cliente-servidor. Auditoria de aplicativos: este tipo de auditoria está direcionado para a segurança e o controle de aplicativos específicos, incluindo aspectos que fazem parte da área que o aplicativo atende, como: orçamento, contabilidade, estoque, marketing, RH, etc. A auditoria de aplicativos compreende: - Controles sobre o desenvolvimento de sistemas e aplicativos; - Controles de entrada, processamento e saída de dados; - Controles sobre o conteúdo e funcionamento do aplicativo com relação à área por ele atendida. 19 COBIT 4.1 COBIT, sigla que vem da língua inglesa, Control Objectives For Information end Relatet Technology, traduzida para o português, Objetivo de Controle para Tecnologia da Informação e Áreas Relacionadas, trata-se de um agrupamento de boas práticas com objetivo de dar suporte a governança de TI. Na visão da ISACA (2010), o COBIT 4.1 é o modelo globalmente aceito que assegura que a TI esteja alinhada com os objetivos do negócio e que seus recursos sejam utilizados de maneira responsável e os riscos gerenciados de forma adequada. O novo modelo representa um aprimoramento do COBIT 4.0 e pode ser usado para aperfeiçoar o trabalho já realizado com versões anteriores. As atualizações do COBIT 4.1 incluem um aperfeiçoamento na mensuração de desempenho, melhorias nos objetivos de controle e melhor alinhamento dos objetivos de TI e negócios. Segundo a ISACA (2010), o COBIT auxilia as organizações a diminuírem os riscos de TI, a aumentarem o valor obtido com a TI e a atenderem às regulamentações de controle. Por exemplo, o Banco Central do Brasil faz uso do COBIT como um guia para avaliação de bancos e instituições financeiras, o TCU (Tribunal de Contas da União) baseia-se no COBIT para seus programas de auditoria para avaliação de várias entidades nacionais. Esses e outros exemplos de utilização por órgãos de controle e supervisão tornam esta nova versão do COBIT uma ferramenta útil à todas organizações que precisam manter um nível adequado de governança em TI. Baruquee Santos (2010) afirmam que devido ao fato de ser mais focado em objetivos de negócio, o conteúdo do COBIT é muito abrangente, mas pouco detalhado no que diz respeito a como os processos devem ser implantados. O COBIT contém muito sobre o quê deve ser feito e para quê deve ser feito e, por outro lado, contém pouco sobre o como deve ser feito. Dessa forma a utilização do COBIT ajudará a empresa a alinhar os objetivos do negócio aos objetivos da TI, sendo o elo entre o planejamento estratégico da empresa e o plano diretor de TI. Objetivando um melhor entendimento de como o COBIT pode ajudar uma organização, Baruque e Santos (2010) oferecem um exemplo de uma empresa que possua em seu plano estratégico o seguinte objetivo: melhorar o alinhamento estratégico da TI com o negócio. Mesmo parecendo algo abstrato, segundo os 20 autores, os objetivos estratégicos são assim, genéricos o suficiente para darem uma direção, mas não detalhados o suficiente para limitar as opções de quem precisa concretizá-los. Conclui-se então com a linha de raciocínio de Neto e Solonca (2007), que auditar é preciso porque o uso desapropriado dos sistemas informatizados pode impactar uma sociedade. Informação com pouca exatidão pode causar a alocação precipitada de recursos dentro das corporações e as fraudes podem ocorrer devido à falta de sistemas de controle. Assim, para assegurar que os investimentos feitos em tecnologia da informação voltem para a empresa na forma de lucros e identificação de menores gastos com a TI, é onde o auditor de sistemas informatizados irá atuar. De posse dos objetivos, normas ou padrões da corporação o auditor irá verificar se tudo está funcionando como deveria. SOFTWARE Atividades em que prevalecem tecnologias de informação e comunicação (TICs) são compostas por diferentes sistemas informatizados. O software é um não- objeto, uma não-coisa, que pelos seus atributos atende necessidades humanas de qualquer espécie, que podem ser de natureza individual ou coletiva (ROSELINO, 2006). Associar software a programas de computador cria uma visão muito restritiva. Pois, o software não é apenas um programa, trata-se também de dados de documentação e configuração, que juntos, são necessários ao funcionamento correto de um programa (SOMMERVILLE, 2007). Abrangem programas que executam em computadores de qualquer espécie, dados combinados de textos e números, além de diferentes representações da informação (PRESSMAN, 2002). O software é importante porque, nos dias de hoje, afeta praticamente todos os aspectos de nossas vidas, pois, está difundido nos comércios, cultura e atividades do nosso dia a dia (PRESSMAN, 2002). Distinto de outros produtos intensivos em informações e conhecimento, como os produzidos pela indústria gráfica, o software é um bem funcionante, que interage 21 e, em certos casos, comanda a operação de bens materiais, como ferramentas pessoais de trabalho (computadores) e bens intermediários (máquinas industriais) (ROSELINO, 2006). PROCESSOS DE SOFTWARE Todo projeto de software passa por fases identificáveis antes de se obter um software usável. Existem diversas maneiras de progredir entre essas fases, cada uma dessas maneiras é chamada de processo de software (BRAUDE, 2005). Segundo Pressman (2002), quando elaboramos um produto de software devemos percorrer uma série de passos que ajudem a criar em tempo hábil resultados de alta qualidade. O processo é um diálogo em que o conhecimento deve se transformar em software, prevendo a interação entre usuários e projetistas, entre usuários e ferramentas em desenvolvimento e entre projetistas e ferramentas em desenvolvimento. Cada processo define a abordagem que é adotada quando o software é desenvolvido, e a ferramenta funciona como o meio de comunicação entre cada novo processo. Segundo Sommerville (2007) todo processo envolve um conjunto de ferramentas e técnicas que o viabilizem, além de possuir as seguintes características: a) Prescreve todas as suas principais atividades. b) Utiliza recursos, está sujeito a um conjunto de restrições e gera produtos intermediários e finais. c) Pode ser composto de sub-processos relacionados. Pode ser definido como uma hierarquia de processos, organizados de maneira que cada sub-processo tenha seu próprio modelo de processo. d) Cada atividade do processo possui critérios de entrada e saída, possibilitando saber quando um processo começa e termina. e) As atividades são organizadas em sequência, para que a ordem de execução das atividades seja clara. f) Possui um conjunto de diretrizes que explicam os objetivos de cada atividade. 22 g) Restrições e controles podem ser aplicados a atividades, recursos ou produtos. A estrutura do processo orienta nossas ações, permitindo: examinar, entender, controlar e aprimorar as atividades que o compõem. Um processo é um conjunto de procedimentos organizados que permitam a construção de produtos que satisfaçam a uma série de objetivos e padrões. É importante porque imprime consistência e estrutura a um conjunto de atividades a serem realizadas, além de permitir capturar experiências e passá-las adiante, através de processos e procedimentos documentados (PFLEEGER, 2004). Processos de software são complexos e dependem de julgamento humano (SOMMERVILLE, 2007). Podem ser caracterizados em uma estrutura comum, que define um pequeno número de atividades aplicáveis a todos os projetos de software, independentemente de tamanho ou complexidade, onde um conjunto de tarefas constituídas de marcos de projeto, produtos do trabalho e pontos de garantia de qualidade permitem que as atividades da estrutura sejam adaptáveis as necessidades do projeto e da equipe de desenvolvimento do mesmo (PRESSMAN, 2002). Figura 7 - O processo de software 23 Não existe um processo de software ideal, por isso várias organizações desenvolveram diferentes abordagens para o desenvolvimento de software. Porém, espaços para aprimoramentos destes processos de software nas empresas de desenvolvimento existem. Esses aprimoramentos acontecem por meio da padronização do processo, que permite que a diversidade de processos de software da organização seja reduzida. A padronização é um passo importante na introdução de novos métodos, técnicas e boas práticas de engenharia de software. Existem diferentes processos de software, mas, algumas atividades são fundamentais a todos eles, segundo Sommerville (2007): a) Especificação de software: aqui a funcionalidade do software e suas restrições de operações devem ser definidas. b) Projeto e implementação de software: é produzido o software que atende às especificações. c) Validação de software: para garantir que o software faz o que o cliente necessita, o software deve ser validado. d) Evolução do software: as necessidades dos clientes mudam, para atendê-las o software deve evoluir. Existem diversas atividades que afetam diretamente a qualidade final de produtos de software, as quais se não forem realizadas de forma adequada podem afetar a qualidade, de maneira que, a qualidade do processo de desenvolvimento e manutenção se torna mais importante que a qualidade do produto (PFLEEGER, 2004). SEGURANÇA DE SOFTWARE As melhores práticas de desenvolvimento de software são abordagens utilizadas para o desenvolvimento de software, que utilizadas em conjunto, atacam as origens dos principais problemas de desenvolvimento de software. Segundo Kruchten (2003) são elas: 24 a) Desenvolver o software interativamente: O desenvolvimento acontece linearmente, desde a análise de requisitos, passando pela construção, teste de código e unidade, teste de subsistema e teste do sistema. b) Gerenciar requisitos: É um processo dinâmico e contínuo que abrange três atividades: dedução, organizaçãoe documentação das funcionalidades e embaraces do sistema; avaliação de mudanças dos requisitos e a avaliação de seu impacto; localização e documentação de comercializações e decisões. c) Usar arquiteturas baseadas em componentes: Envolve a evolução contínua da arquitetura de um sistema, onde, cada iteração produz uma arquitetura executável que pode ser medida, testada e avaliada contra os requisitos do sistema. Permite que a equipe de desenvolvimento ataque, de forma contínua, os riscos mais importantes para o projeto de software. d) Modelar visualmente o software: Ajuda a equipe de desenvolvimento a visualizar, especificar, construir e documentar a estrutura e comportamento da arquitetura de um sistema. Esta prática, utilizada em conjunto com o desenvolvimento interativo, ajuda a expor e avaliar as mudanças de arquitetura e a comunicar essas mudanças para a equipe. e) Verificar continuamente a qualidade do software: envolve criar testes para avaliar a funcionalidade de um sistema e sua conformidade para com os requisitos exigidos. f) Controlar mudanças de software: Permite melhor alocação de recursos, com base nas prioridades e riscos do projeto, além de gerenciar o trabalho ativamente nessas mudanças. Permite monitorar continuamente as mudanças, de maneira que se possa descobrir ativamente e depois reagir aos problemas. É importante para avaliar e gerenciar o impacto das mudanças. 25 SEGURANÇA EM APLICAÇÕES WEB Aplicações web são constantes alvos de ataques, onde invasores buscam aproveitar vulnerabilidades encontradas para o roubo de informações confidenciais. Seja no ambiente corporativo ou mesmo no âmbito pessoal, os ataques podem vir a gerar prejuízos não somente pelo vazamento de informações, mas também pelos danos potenciais de uma aplicação inoperante em um determinado período de tempo. Estar vulnerável não somente significa a existência de uma falha de implementação ou erros na aplicação. O invasor pode se utilizar de algo concreto, como a relação estabelecida entre servidor e cliente para, a partir desse ponto, burlar a segurança. A seguir, serão elencadas as vulnerabilidades mais comuns em aplicações web. Cross Site Scripting ou XSS Utiliza a relação de confiança entre o servidor da aplicação e o navegador para transporte de código malicioso, que geralmente é escrito em javascript, a fim de conseguir dados sensíveis, como o identificador da sessão do usuário. Segundo OWSAP(2016), muitas aplicações permitem a postagem de conteúdo por parte de seus usuários. O XSS está ligado a esse conteúdo, que pode ser utilizado para solicitar informações ao usuário dentro da aplicação e o direcionar para fora dela. Como o navegador da vítima não consegue identificar o que corresponde ao trecho de código malicioso, este será executado assim que for detectado pelo navegador. O ataque pode ser feito utilizando também os mecanismos de busca. Se a aplicação não possuir tratamento para tal, executará o código malicioso. Outra forma de fazer o ataque é inserindo no meio da página original aplicação, escrita em HTML, trechos de códigos a fim de se obter as informações desejadas. Para tornar o código ilegível e burlar mecanismos que se baseiam em tags para proteção, como por exemplo (script) ou (alert) os códigos são escritos em hexadecimal. Essa vulnerabilidade está ligada a falta de tratamento dos dados e conteúdo postado pelo usuário. A execução do código é imperceptível ao usuário infectado, já que é executada pelo navegador de forma transparente. 26 Injeção de SQL Uma outra vulnerabilidade diz respeito a injeção de códigos com comando em Structured Query Language (SQL) para obter dados diretamente do banco. SQL corresponde a linguagem para gerenciamento dos dados utilizada pelos principais bancos de dados estruturados na modelagem relacional. Um estudo feito pela Owasp (2013) sobre vulnerabilidades em aplicações web apontou o Structured Query Language Injection, ou SQL Injection como a técnica mais utilizada no meio virtual para obtenção de dados de forma mal intencionada. O ataque visa utilizar os dados de entrada do cliente no aplicativo para conseguir dados confidenciais, modificar, excluir ou atualizar registros. Conforme Owasp (2016), a técnica afeta um número grande de aplicações disponíveis atualmente, pois a arquitetura de grande parte se baseia em banco de dados SQL. Em geral, a forma como as aplicações web constroem os comando SQL envolvem a sintaxe escrita pelos programadores com parâmetros informados pelos usuários. Dessa forma, há a possibilidade de o usuário explorar os parâmetros informados para obter dados do banco. Conforme cita OWASP(2016), esses ataques ainda podem ser classificados em 3 diferentes classes: ● Inband: os dados são extraídos usando o mesmo canal que é usado para injetar o código; ● Out-of-band: os dados são recuperados em um outro canal, como por exemplo enviados para um e mail informado; ● Inferencial: não a transferência real dos dados, porém é possível reconstruir as informações através de solicitações particulares. Como a exemplo do XSS, o SQL Injection consegue ser neutralizado se os formulários, campos de pesquisa, URLs, tiverem tratamento para os dados informados pelo usuário na aplicação. Cross Site RequestForgery Utiliza a relação de confiança entre o aplicativo e seu usuário legítimo. Geralmente fazendo uso de engenharia social, para explorar essa vulnerabilidade, o atacante necessita que a vítima esteja com uma sessão ativa na aplicação alvo. Nesse momento, o ataque pode ser concluído com sucesso caso o usuário receba um link ou acesse, no mesmo navegador, o aplicativo malicioso. Dessa forma, a 27 aplicação maliciosa ou link inclui uma requisição ao aplicativo alvo, carregando os parâmetros necessário para a conclusão da transação. Os aplicativos vulneráveis são aqueles em que as requisições são feitas de maneira estática, ou seja, sempre enviando os mesmos parâmetros para fazer a requisição. Uma alternativa para tratar as requisições do CSRF é o Synchronizer Token Pattern. Diz respeito a enviar um token como um dos parâmetros da requisição. Com isso, tem-se a garantia de que a requisição está sendo feita, de forma que o token enviado seja comparado ao token armazenado na sessão do usuário, é gerado um novo token para armazenamento na sessão. Se o token for diferente, a requisição deve ser descartada pelo servidor. Referência direta a objetos Uma referência direta a um objeto expõe os dados de um sistema aos usuários. Seja um arquivo, diretório ou a chave de uma tabela, a referência direta permite que um usuário acesse dados aos quais não tem permissão. A fragilidade encontra-se na ideia de que o usuário sempre irá seguir os caminhos preestabelecidos pela aplicação. Na própria aplicação são visualizados parâmetros que referenciam objetos internos. O usuário se aproveita dessa fragilidade para, alterando os parâmetros para ter acesso a outros dados da aplicação. Como prevenção, deve-se verificar se o usuário tem permissão para acesso ao objeto ao qual está requisitando. Broken Autenticação e Gestão de Sessões O invasor utiliza-se de falhas da aplicação no gerenciamento de sessão ou na autenticação, como por exemplo, contas expostas, senhas, IDs de sessão, para representar um usuário legítimo. De acordo com Owasp (2017) deve-se verificar as seguintes diretrizes: ● As credenciais de autenticação de usuário não são protegidas quando armazenadas usando hash ou criptografia. ● As credenciais podem ser adivinhadas ou substituídas por funções de gerenciamento de contas fracas (por exemplo, criação de contas, alteração de senha, recuperação de senha, IDs de sessão fracas). ● IDs de sessão são expostos na URL (por exemplo, reescrita de URL). 28 ● IDs de sessão são vulneráveis a ataquesde fixação de sessão . ● IDs de sessão não timeout, ou sessões de usuário ou tokens de autenticação, particularmente single sign-on (SSO) tokens, não são devidamente invalidados durante logout. ● Os IDs de sessão não são rodados após o login bem-sucedido. ● Senhas, IDs de sessão e outras credenciais são enviadas através de conexões não criptografadas. Por exemplo, se alguém utiliza um computador público para acesso a uma determinada aplicação e, ao invés de fazer logout, apenas fecha o navegador, corre o risco de ter deixado a sessão ativa por um tempo, deixando aberta a possibilidade de que uma outra pessoa utilize-se dessa conta para obter dados. APLICAÇÃO DOS PRINCIPIOS BÁSICOS DA SEGURANÇA DA INFORMAÇÃO NOS PROCESSOS DE AUDITORIA A gestão de dados é o planejamento, desenvolvimento e execução de políticas e procedimentos de segurança para proporcionar a devida autenticação, autorização e acesso nos ativos de dados e informações (Seções da ISO IEC 27002). Seu objetivo é proteger os ativos de Informação em alinhamento com as regulamentações de privacidade e confidencialidade e requisitos do negócio. Em uma organização existem muitas fontes de informações que não ficam à disposição da gerência para tomadas de decisões, fazendo-se necessário a aplicação dos processos de auditorias da Informação, e para ORNA (1990) entre essas fontes estão: • Registros de clientes; • Informação sobre fornecedores; • Informações sobre orçamentos operacionais; • Resultados financeiros; Relatórios de operações externas; • Informação dos concorrentes: como eles estão fazendo financeiramente, o que eles estão produzindo; • A informação que a própria empresa produz, para o mundo exterior, e para o público interno; 29 • Informações sobre seu mercado, seu público-alvo ou de seus clientes; • Informações sobre áreas de importância, por exemplo: a produção ou indústria de serviço que pertence o sistema de educação, ciência e tecnologia; processos, materiais, instalações ou equipamentos; • Informações sobre o ambiente em que opera: a economia, regulamentos comunitários governamentais, legislação, etc. E é justamente por existir muitas fontes de informações que a organização deve atentar-se para a sua segurança, pois há uma exposição maior quando é realizado um processo de auditoria da informação. Para o Guia DAMA-DMBOK (2012), gestão de qualidades de dados é sinônimo de qualidade da informação e considera que a falta de qualidade nos dados resulta em informação imprecisa e um desempenho fraco de negócio. Desta forma faz-se necessário ter qualidade para prover uma solução econômica e melhorar a qualidade e integridade dos dados. Para a efetiva realização da segurança da informação na organização, são utilizados vários métodos como controles, políticas, processos e procedimentos, geralmente definidos por uma política de segurança da Informação Baars et al.,(2009). Atualmente as organizações entendem que segurança não está mais apenas nos limites da tecnologia, mais atinge todo o ambiente corporativo, principalmente o fator humano. E as organizações muitas vezes por insegurança em expor as informações existentes, dificultam a realização das auditorias, conforme aponta Orna no livro “Practical Information Polices” (1990), muitas empresas desnecessariamente dificultam seu trabalho, não deixando que informações externas sejam mostradas internamente e vice versa. Johnson (2012), em sua pesquisa apresenta as iniciativas de segurança da informação presente nas organizações e o nível de maturidade dos mesmos, baseado no modelo de maturidade genérico proposto pelo Capability Maturity Model Integration (CMMI) e as atividades definidas para cada processo. 30 REFERÊNCIAS ABNT, Associação Brasileira De Normas E Técnicas NBR ISO/IEC 27002, Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT, 2005. ABNT, Associação Brasileira De Normas e Técnicas NBR ISO/IEC 17799. Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT, 2005. ABNT, Associação Brasileira De Normas E Técnicas NBR ISO/IEC 27005. Tecnologia da informação – Técnicas de segurança – Gestão de riscos de segurança da informação. Rio de Janeiro: ABNT, 2008. ALVES, Fernando; PWC. Virando o jogo. novembro de 2015 AMARAL, L. e Varajão, J. Planeamento de Sistemas de Informação. 4ª edição; Lisboa: Editora FCA, 2007. ANATEL, Agência Nacional de telecomunicações. outubro de 2015. B ARUQUE, Lúcia Blondet; SANTOS, Luis Claudio dos. Governança em Tecnologia da Informação. Rio de Janeiro: Fundação CECIERJ, 2010. CARNEIRO, Alberto. Auditoria de Sistemas de Informação. 2ª edição; Lisboa: Editora FCA, 2004. EDGAR, R. P. D’Andrea; PWC. Virando o jogo. em novembro de 2015 FREITAS, F; ARAUJO, M. POLITICAS DE SEGURANÇA DA INFORMAÇÃO: Guia prático para elaboração e implementação. 2. ed. Rio de Janeiro: Ciência Moderna LTDA, 2008 IIA - The Institute of Internal Auditors, Global Technology Audit Guide: Information Technology Controls. Florida: Inc. 2005. ISACA, Information Systems Audit and Control Association. ISACA Introduces Portuguese Edition of COBIT 4.1 (Portuguese). setembro de 2015. INTEL, security; MCAFEE. Relatório do McAfee Labs sobre ameaças. Intel Security; Mcafee, 2015. MICROSOFT. O que é malware?. novembro de 2015. MCFORLAND, Charles. Hackers Contra o Sistema Operacional Humano | Resumo Executivo. Intel Security; Mcafee, 2015. NETO, Abílio Bueno; SOLONCA, Davi. Auditoria de Sistemas Informatizados. 3ª edição; Palhoça: Unisul Virtual, 2007. 31 PURPURA, Philip P. Security and Loss Prevention: An Introduction. 5ª edição; Boston: Elsevier Butterworth-Heinemann, 2008. SINGLETON, Tommie W. Como o auditor de TI pode fazer contribuições substantivas para uma auditoria financeira. 2011. ROHR, Altieres. Como um hacker invade o computador?. Novembro de 2015 TCU, Boas Práticas em Segurança da Informação. 4. ed. Brasília: TCU, 2012. 39 VERGARA, Sylvia Constant. Projetos e relatórios de pesquisa em administração. 5. ed. São Paulo: Atlas, 2004. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002:2005 Tecnologia da informação – código de prática para gestão da Segurança da Informação. Rio de Janeiro, 2005. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001: Tecnologia da informação – Técnicas de segurança — Sistemas de gestão de segurança da informação — Requisitos. Rio de Janeiro, 2006. AUMATELL, S. I. Cristina. La auditoría de la información, componente clave de la gestión estratégica de la información. En: El profesional de la información, 2003, jul.-agosto, v.12,n.4 pp.261-268. BAARS, H.; HINTZBERGEN, K.; HINTZBERGEN, J.; SMULDERS, A. The Basis of information Security – A Pratical Handbook. Newton Translations, the Netherlands, 2009. BEAL, Adriana. Segurança da Informação: princípios e melhores práticas para a proteção dos ativos de informação nas organizações – São Paulo: Atlas, 2005. BOTHA, H.; BOON, J. A. The information audit: principles and guidelines. Libri, Pretoria, v. 53, p. 23-38, 2003. CEDROM –SNI. The strategic information audit: a powerful tool to prevent chaos. 2006. 21 slides, color. Disponível em: . Acesso em: 07 dez. 2012. CROCKETT, M,; FOSTER,J. Using ISO 15489 as an audit tool. The information Management Journal, p. 46-53, 2004. DANTE, G. P. Gestión de Información em las organizaciones: princípios, conceptos y aplicaciones. Santiago. 1998. ESPIRITO SANTO, A. F. S. Segurança da Informação. Disponível em: < http://www.ice.edu.br/TNX/encontrocomputacao/artigosinternos/aluno_adrielle_ferna nda_seguranca_da_informacao.pdf>. Acesso em 21/01/2013. 32 FERREIRA, FernandoN. F. Segurança da informação. Rio de Janeiro: Ciência Moderna, 2003. p.161. FERREIRA, Fernando N. F. ARAUJO, M.T. Política de segurança da informação: Guia prático para Elaboração e Implementação. 2.ed. Rio de Janeiro: Ciência Moderna, 2006. p.177. GIL, A. C. Métodos e técnicas de pesquisa social. 6. ed. São Paulo: Atlas, 2009. HENCZEL, S. The information audit as a first step towards effective knowledge management: an opportunity for special librarians. INSPEL, Potsdam, v. 34, n.3/4, p.210 -226, 2000. 35 HITCHINGS, J. Deficiencies of the traditional approach to information security and the requirements for a new methodology. Computers & Security, v. 14, n. 5, p. 377–383, Maio 1995. IMONIANA, J. O. Auditoria de Sistemas de Informação. São Paulo: Atlas, 2005. p.197. ITGI – Information Technology Governance Institute. COBIT 4.1. Rolling Meadows, 2008. JOHNSON, L. Proposta de uma estrutura de análise de maturidade dos processos de Segurança da informação com base na norma ABNT NBR ISO/IEC 27002:2005. 55 f. Dissertação (Mestrado em Gestão e Tecnologia da Informação) – Setor Ciências Sociais Aplicados, Universidade Federal do Paraná, Curitiba, 2012. JONES, S.; ROSS, S.; RUUSALEPP, R. Data Audit Framework Methodology: draft for discussion. Version 1.8. Glasgow, May 2009. Disponível em: Acesso em; 07 jan, 2013. MARCONI, M.,A.; LAKATOS,E. M. Técnicas de pesquisa: planejamento e execução de pesquisas, amostragens e técnicas de pesquisa, elaboração, análise e interpretação de dados. São Paulo: Atlas, 2007. MOSLEY, M.(Org.); BRACKETT, M.(Org.); EARLEY, S.(Org.). Guia da DAMA para o corpo de conhecimento em gestão de dados DAMA-DMBOK. Primeira Edição. Technics Publications. U.S.A. 2012. NETTO, A. da S.; SILVEIRA, M. A. P. Gestão da segurança da informação: fatores que influenciam sua adoção em pequenas e médias empresas. Revista de Gestão da Tecnologia e Sistemas de Informação. Vol. 4, No. 3, 2007, p. 375-397. Controle Interno e Auditoria Governamental: Controladoria-Geral do Estado – CGE. Curso Básico de Controle Interno e Auditoria Governamental. Minas Gerais, 2012. ORNA, E. Practical Information Polices – How to manage information flow in organizations. Gower. 1990. 33 SCHNEIER, Bruce. Segurança.com: segredos e mentiras sobre a proteção na vida digital – Rio de Janeiro: Campus, 2001. SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva – Rio de Janeiro: Campus, 2003. SHARMA C. K.; SINGH, A. K. An evaluative study of information audit and knowledge management audit. Brazilian Journal of Information Science, Marília, v.5, n.1, p.53-59, Jan./Jun. 2011. Disponível em:. Acesso em: 09 de jun. 2012. VIEIRA, A. A. Auditoria de Informação: Fluxos de Informação e coleta de dados. 49 f. Trabalho de graduação (Bacharel em Gestão da Informação) – Setor Ciências Sociais Aplicadas, Universidade Federal do Paraná, Curitiba, 2010.
Compartilhar