SEGURANÇA E AUDITORIA DE SISTEMAS

Prévia do material em texto

1 
 
 
SEGURANÇA E AUDITORIA DE SISTEMAS 
1 
 
 
SUMÁRIO 
 
TECNOLOGIA DIGITAL ............................................................................................. 3 
CONCEITO DE AUDITORIA ...................................................................................... 4 
AUDITORIA NO BRASIL ............................................................................................ 6 
AUDITORIA DA INFORMAÇÃO................................................................................. 7 
DEFINIÇÃO DE SEGURANÇA DA INFORMAÇÃO ................................................... 9 
PROCESSOS DE AUDITORIA ................................................................................ 14 
COBIT 4.1 ................................................................................................................ 19 
SOFTWARE ............................................................................................................. 20 
PROCESSOS DE SOFTWARE ............................................................................... 21 
SEGURANÇA DE SOFTWARE ............................................................................... 23 
SEGURANÇA EM APLICAÇÕES WEB ................................................................... 25 
APLICAÇÃO DOS PRINCIPIOS BÁSICOS DA SEGURANÇA DA INFORMAÇÃO 
NOS PROCESSOS DE AUDITORIA ....................................................................... 28 
REFERENCIAS ........................................................................................................ 30 
 
 
 
2 
 
 
 
NOSSA HISTÓRIA 
 
 
A nossa história inicia com a realização do sonho de um grupo de empresários, 
em atender à crescente demanda de alunos para cursos de Graduação e Pós-
Graduação. Com isso foi criado a nossa instituição, como entidade oferecendo 
serviços educacionais em nível superior. 
A instituição tem por objetivo formar diplomados nas diferentes áreas de 
conhecimento, aptos para a inserção em setores profissionais e para a participação 
no desenvolvimento da sociedade brasileira, e colaborar na sua formação contínua. 
Além de promover a divulgação de conhecimentos culturais, científicos e técnicos que 
constituem patrimônio da humanidade e comunicar o saber através do ensino, de 
publicação ou outras normas de comunicação. 
A nossa missão é oferecer qualidade em conhecimento e cultura de forma 
confiável e eficiente para que o aluno tenha oportunidade de construir uma base 
profissional e ética. Dessa forma, conquistando o espaço de uma das instituições 
modelo no país na oferta de cursos, primando sempre pela inovação tecnológica, 
excelência no atendimento e valor do serviço oferecido. 
 
 
 
 
 
 
3 
 
 
TECNOLOGIA DIGITAL 
 
O avanço da Tecnologia da Informação (TI) dentro do ambiente organizacional 
tem colocado em evidência o valor que o bem informação tem em relação aos 
objetivos da empresa. Em contraponto, busca-se proteger e garantir a segurança para 
sua efetiva utilização com a finalidade de atender as necessidades de gestores. 
Segundo Fontes (2006), define-se como segurança da informação o conjunto 
de orientações, normas, procedimentos, políticas e demais ações para que o recurso 
informação esteja protegido. A segurança da informação existe com a finalidade de 
diminuir o risco que um determinado negócio apresenta em relação à dependência 
do seu uso para o funcionamento da organização. 
De acordo com Rorrato e Dias (2014), cuidados devem ser tomados de tal 
forma que se possa verificar a integridade e garantir que os dados estejam protegidos. 
A auditoria constitui-se como uma forma eficiente de manter um ambiente seguro. 
Segundo Lento e Guimarães (2012), em termos gerais a auditoria pode ser 
compreendida como a atribuição responsável pela fiscalização dos processos, tendo 
como função verificar se eles estão sendo executados de forma constante e correta 
e se os mesmos são independentes. Aplicada seguindo métodos preestabelecidos, a 
auditoria verifica e garante que o objeto auditado está de acordo com o estipulado. 
Na área de TI, todos os processos podem e devem ser auditados, desde a 
decisão sobre tecnologias a serem adotadas, desenvolvimento de sistemas, 
integração entre sistemas, comunicação entre máquinas, mudanças de sistemas e 
tecnologias, equipe de desenvolvimento, prioridades, controles organizacionais, 
legalidade jurídica, bem como os resultados. A auditoria no setor TI é imprescindível, 
haja vista que, hoje, muitas organizações param de operar pelo fato de a tecnologia 
de TI adotadas deixar de funcionar. 
Com base no conceito de auditoria em Tecnologia da Informação e tendo em 
vista a sua importância, este artigo constitui-se de uma revisão bibliográfica voltada 
aos principais aspectos de segurança em ambientes web, através da análise de 
vulnerabilidades encontradas e impactos gerados pela inoperabilidade de seus 
4 
 
 
serviços. A partir da revisão, foi elaborada uma pesquisa experimental, através da 
qual se propôs as adequações necessárias para a correção das falhas encontradas. 
CONCEITO DE AUDITORIA 
 
Quando o assunto é auditoria, automaticamente há uma associação com a 
contabilidade, pois é um termo muito mais utilizado por profissionais da área contábil. 
Entretanto, conforme Botha e Boon (2004), é possível encontrar no mundo comercial 
diferentes tipos de auditorias, como a Auditoria da Comunicação, Auditoria 
Financeira, Auditoria Técnica, Auditoria da Informação, etc. Cada auditoria possui 
suas finalidades próprias e deve atender normas e regras especificas de cada 
organização. 
 A auditoria possui como objetivo principal diagnosticar, descobrir e verificar 
recursos da organização. Também pode ser considerada um mecanismo de controle, 
assim como apresentar a realidade da organização e confrontar com os padrões que 
a organização havia pré-estabelecido e então apontar possíveis soluções para 
eventuais divergências identificadas. 
Segundo Carneiro (2004), o conceito de auditoria pode ser citado como um 
estudo crítico que tem o objetivo de avaliar a eficácia e eficiência de um departamento 
ou uma instituição. Dito de outro modo, toda e qualquer auditoria é a atividade que 
consiste na emissão de uma opinião profissional sobre o objeto de análise, a fim de 
confirmar se cumpre adequadamente as condições que lhe são exigidas (CARNEIRO, 
2004). 
Para Neto e Solonca (2007), a auditoria é uma atividade que reúne a análise 
das operações, processos, sistemas e responsabilidades gerenciais de uma 
determinada entidade, com o intuito de validar sua conformidade com certos objetivos 
e políticas institucionais, regras, orçamentos, normas ou padrões. 
Segundo Baruque e Santos (2010), no Egito antigo, autoridades 
providenciavam averiguações independentes nos registros de arrecadações de 
impostos. Na Grécia, eram realizadas inspeções nas contas de funcionários públicos 
através da comparação de gastos com autorizações de pagamentos. Já os nobres 
5 
 
 
castelos medievais ingleses indicavam auditores que revisavam os registros 
contábeis e relatórios preparados pelos criados. 
Purpura (2008), afirma que a auditoria de empresas começou com a legislação 
britânica decretada durante a revolução industrial, em meados do século XIX. 
Progressos na tecnologia industrial e de transporte fomentaram novas economias de 
escala, empresas maiores, o aparecimento de administradores profissionais e o 
crescimento da ocorrência de situações em que os donos de empresas não estavam 
presentes nas ações diárias da corporação. No início da auditoria, este serviço tinha 
que ser feito por acionistas que não eram administradores das empresas. 
Na época em que as informações eram armazenadas apenas em papel, a 
segurança era relativamente simples. Bastava trancar os documentos em 
algum lugar e restringir o acesso físico àquele local. Com as transformações 
tecnológicase o uso de computadores de grande porte, a estrutura de 
segurança já ficou um pouco mais sofisticada, englobando controles lógicos, 
porém ainda concentrados. (TCU, 2012, p.7) 
 
Singleton (2011) informa que auditores de TI vem realizando contribuições 
desde o começo da era de TI, quando empresas e órgãos governamentais passaram 
a utilizar o computador para aspectos financeiros. 
Neto e Solonca (2007) afirmam que o bem mais precioso de uma empresa 
pode não ser o produzido pela sua linha de produção ou o serviço prestado, mas as 
informações relacionadas com este bem de consumo ou serviço. Ao longo da história, 
o ser humano sempre buscou o controle das informações que lhe eram relevantes de 
alguma forma. O que mudou desde então foram as formas de registros e 
armazenamento das informações. Se na pré-história e até mesmo nos primeiros 
milênios da idade antiga o principal meio de armazenamento e registro de 
informações era a memória humana, com o início dos primeiros alfabetos isto 
começou a mudar. Mas foram somente nos últimos dois séculos que as informações 
passaram a ter importância essencial para as organizações humanas. 
Ainda para Neto e Solonca (2007), atualmente, não há organização humana 
que não seja altamente dependente da tecnologia de informações, em maior ou 
menor grau. E o grau de dependência agravou-se muito em função da tecnologia de 
informática, que possibilitou acumular grandes quantidades de informações em 
espaços restritos. O meio de registro é, ao mesmo tempo, meio de armazenamento, 
6 
 
 
meio de acesso e meio de divulgação. Esta característica traz efeitos graves para as 
organizações, por facilitar os ataques de pessoas não autorizadas. 
Complementa-se com a afirmação de Baruque e Santos (2010) que, a 
dependência da TI torna-se cada vez mais crítica, em uma economia baseada no 
conhecimento, onde as organizações usam a tecnologia para gerenciar, desenvolver 
e reportar sobre ativos intangíveis, tais como informação e conhecimento. O êxito da 
empresa só pode ser alcançado quando tais ativos são seguros, precisos, confiáveis 
e proporcionados no tempo certo à pessoa certa. Tal dependência da TI implica uma 
grande vulnerabilidade que é inerente aos ambientes complexos de TI. Ameaças, tais 
como erros e omissões, abusos, crimes cibernéticos, fraudes, bem como sistemas 
indisponíveis custam muito caro para qualquer organização. 
 
AUDITORIA NO BRASIL 
 
No país, há relatos mais significativos a partir da Segunda Guerra Mundial, que 
foi quando o país começou a receber empresas multinacionais, muitas das quais já 
contavam com a área de auditoria e com o crescimento do mercado de trabalho. 
Houve uma necessidade das empresas para se ter um maior controle sobre suas 
informações e para preservar a segurança de dados, o que levou à instauração da 
área de auditoria e à exigência de que tudo fosse conferido por esses profissionais. 
Há duas formas de praticar a auditoria: interna e externamente. Ambas as 
formas dependem das necessidades da sua empresa, sendo levado em conta desde 
o tamanho da corporação até onde ela quer atingir. Empresas grandes, normalmente, 
precisam das duas para passar maior credibilidade aos seus clientes, associados e 
acionistas. 
1. Auditoria interna: é realizada por um departamento interno, responsável 
pela verificação e avaliação dos sistemas e procedimentos internos da empresa. Um 
de seus objetivos é de garantir o cumprimento de normas e políticas, reduzindo a 
probabilidade de ocorrência de fraudes, erros e práticas ineficientes ou ineficazes. 
7 
 
 
2. Auditoria externa: é realizada por uma empresa externa e independente da 
organização que será fiscalizada, sem vínculo algum com ela. O objetivo é emitir 
resultados das análises sobre a gestão de recursos da empresa, sobre sua situação 
financeira e sobre a legalidade e a regularidade de suas operações. 
A auditoria de TI tem o intuito de buscar transparência na área diante da 
organização e mostrar que os processos da empresa estão de acordo com as leis e 
que não há fraudes neles. Ela existe, sobretudo, para que você tenha controle do que 
acontece dentro da sua empresa, deixando sempre “tudo em ordem”. Certificando 
que os recursos da TI e os objetivos do negócio sejam alcançados em conformidade 
com as leis e regras que o regulamenta, a auditoria de TI é um processo 
adequadamente protegido para prover informação confiável no momento certo e às 
pessoas certas. 
 
AUDITORIA DA INFORMAÇÃO 
 
Para Henczel (2000), a auditoria da informação tem por objetivos analisar a 
situação atual da informação e ajudar a refletir sobre o melhoramento do seu fluxo 
dentro da organização. Uma auditoria de informação focaliza os recursos, os usuários 
e as suas necessidades de informação. 
O objetivo de uma auditoria da Informação deve ser o de ajudar a organização 
a contar com a informação correta, no tempo certo, para a pessoa certa e por um 
custo justo. Aumatell (2003), destaca que a importância de incorporar a prática de 
auditoria de informações como um padrão na gestão estratégica de ativos e funções 
informativas e serviços de informação de qualquer organização. 
A maioria das organizações, recebem, processam, armazenam e produzem 
também muitas informações, citado por Dante (1998), de o “ciclo da Informação” e 
isto não mudará no futuro próximo, ao contrário, tende a crescer cada vez mais com 
a utilização contínua da Internet e das redes digitais internas e externas. 
Uma auditoria de informação traz grandes benefícios, pois diagnostica e 
identifica os pontos fortes e fracos sobre como a informação flui dentro da 
8 
 
 
organização. Ao mesmo tempo, ela auxilia no foco e na atenção da equipe quanto ao 
valor e aos benefícios do uso e da partilha da informação, CEDRON SNI (2006). 
A partir da comparação das etapas a autora apresentou as diversas etapas da 
auditoria da informação por meio de um ciclo (figura 1), e considerou os demais 
processos de auditoria, desta forma não se limitando somente a auditoria da 
informação, ressaltando a necessidade de se considerar as demais auditorias como 
um processo contÍnuo, visando sempre à melhoria dos processos em questão. 
Figura 1 – ciclo de etapas de auditoria 
 
O ciclo inicia com a etapa de “planejamento”, tem como finalidade apresentar 
um plano de como a auditoria deverá ser executada, desde aspectos relacionados à 
compreensão e revisão de práticas destinadas aos fluxos de informação, aspectos de 
custos e tempo para execução, definição do método para a ação, todos visando 
minimizar os erros e problemas durante a execução da auditoria da Informação. 
A segunda etapa é a “Coleta e análise das necessidades do ambiente”, a qual 
deve fornecer todas as informações pelas quais será possível conhecer a organização 
ou o setor que deseja atuar, Vieira (2010), considera essa etapa crucial para o 
andamento das demais, pois ela aponta os possíveis problemas existentes na 
organização. 
9 
 
 
A próxima etapa apresentada é o “Mapeamento dos recursos de informação”, 
essa etapa objetiva fornecer um inventário dos recursos de informação, onde é 
possível verificar sua utilização de acordo com as necessidades identificadas, assim 
como os padrões adotados pela organização. 
A etapa “Análise crítica dos dados coletados”, tem como intenção final avaliar 
os requisitos coletados, comparando com os recursos informacionais já existentes e 
a partir daí apresentar soluções que se façam necessários para preencher as lacunas 
existentes. 
Na penúltima etapa “Relatório”, deve ser apresentado todas as não 
conformidades encontradas, assim como a soluções passiveis de execução para 
empresa em questão. Também é nesta etapa que se decide a forma de ser entregue 
e/ou apresentar a auditoria e quem terá acesso a mesma. 
Por fim a etapa “Recomendações”, apresentado no ciclo das etapas de 
auditoria por Vieira (2010), pelofato de ser estudado por Henczel e CEDROM- SNI 
(2006). Essa etapa sugere possíveis medidas para a resolução dos problemas 
apontados na etapa relatório, e pretende sugerir um roteiro de sugestões e 
modificações, para ser apresentado e aceito pelo proprietário da informação, essas 
recomendações devem ser elaboradas pensando nos “problemas” apresentados. 
 
DEFINIÇÃO DE SEGURANÇA DA INFORMAÇÃO 
 
A ABNT NBR ISO/IEC 27002 (2005), define segurança da informação como 
sendo a proteção contra vários tipos de ameaças, garantindo a continuidade e 
minimizando o risco do negócio. 
Ainda, segundo a ABNT NBR ISO/IEC 27002 (2005), a segurança da 
informação é adquirida a partir da implantação de um conjunto de controles 
apropriados, incluindo políticas, processos, procedimentos, estruturas 
organizacionais e funções de software e hardware. Estes controles precisam ser 
estabelecidos, implantados, monitorados, analisados criticamente e melhorados, 
onde necessário, para garantir que os objetivos do negócio e de segurança da 
organização sejam atingidos. 
10 
 
 
Conforme descrito na ABNT NBR ISO/IEC 27002 (2005), muitos sistemas de 
informação não foram projetados para serem seguros. A segurança da informação 
que pode ser obtida por meios técnicos é limitada e deve ser amparada por uma 
gestão e por procedimentos adequados. A identificação de controles a serem 
implantados requer um planejamento cuidadoso e uma atenção aos detalhes. 
Segurança da informação segundo Beal (2005), é o processo de proteção da 
informação das ameaças a sua integridade, disponibilidade e confidencialidade. 
Sêmola (2003), define segurança da informação como uma área do conhecimento 
dedicada à proteção de ativos da informação contra acessos não autorizados, 
alterações indevidas ou sua indisponibilidade. 
A ABNT NBR ISO/IEC 27002:2005, em sua seção introdutória, define 
segurança da informação como “a proteção da informação de vários tipos de ameaças 
para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o 
retorno sobre os investimentos e as oportunidades de negócio”. Assim, podemos 
definir segurança da informação como a área do conhecimento que visa à proteção 
da informação das ameaças a sua integridade, disponibilidade e confidencialidade e 
autenticidade, a fim de garantir a continuidade do negócio e minimizar os riscos, 
Figura 2. 
Atualmente o conceito de segurança da informação está padronizado pela 
norma ISO/IEC 27002:2005, influenciada pelo padrão inglês (British Standard) BS 
7799. A série de normas ISO/IEC 27000, foram reservadas para tratar de padrões de 
segurança da informação, incluindo a complementação ao trabalho original do padrão 
inglês. A ISO/IEC 27002:2005 continua sendo considerada formalmente como 
17799:2005 para fins históricos. 
 
 
 
 
 
 
11 
 
 
Figura 2 – pilares da segurança da informação 
 
Confidencialidade 
Para Beal (2005), a confidencialidade é a garantia de que o acesso à 
informação é restrito aos seus usuários legítimos, ou seja, quando uma informação 
representa uma vantagem de mercado, um diferencial competitivo, diz-se que a 
informação possui um valor de restrição, a ser mantido por meio de preservação de 
sua confidencialidade. 
No âmbito da administração pública federal, o decreto nº 4.553/2002 classifica 
os documentos públicos em 4 categorias sendo um deles de confidencias, que são 
aqueles que, no interesse do Poder Executivo e das partes, devem ser de 
conhecimento restrito, e cuja revelação não autorizada possa frustrar seus objetivos 
ou acarretar dano à segurança da sociedade e do estado. 
Segundo Ferreira (2003), a informação dever ser protegida, independente da 
mídia que a mesma esteja contida, como por exemplo, documentos impressos ou 
mídia digital. Que além de cuidar da informação como uma todo também deve-se 
preocupar com a proteção de partes de informação que podem ser utilizadas para 
interferir sobre o todo. Beal (2005), apresenta um exemplo de classificação da 
informação quanto aos requisitos de confidencialidade mostrado no quadro 2. 
12 
 
 
 
Integridade 
Garantia da criação legítima e da consistência da informação ao longo do seu 
ciclo de vida: em especial, prevenção contra criação, alteração ou destruição não 
autorizada de dados e informações. A integridade consiste em proteger a informação 
contra modificação sem a permissão explícita do proprietário. “Proprietário da 
informação é o executivo de negócio ou gerente de uma determinada área 
responsável pelos ativos da informação da organização.” (Ferreira, 2003, pg. 25). 
Dados e informações perdem sua integridade em tentativas de fraudes, quanto 
maior for o impacto para a organização da perda de integridade de uma informação, 
maior o investimento a ser feito em controles para prevenir, detectar e corrigir a 
produção errada ou a alteração indevida de informações. (Beal, 2005, pg. 67). 
A integridade pode ser definida como de: alta exigência de integridade, que é 
a criação com erro ou alteração indevida e assim comprometer as operações e 
objetivos da organização, acarretando em descumprimentos de leis, prazos e normas, 
levando a mesma ter prejuízos; de média exigência de integridade, onde a criação 
com erro ou alteração indevida das informações não compromete as operações nem 
traz impactos muitos grandes, apenas pode causar algum tipo de prejuízo; e de baixa 
exigência de integridade é a criação com erro ou indevida, que é facilmente detectada 
e os riscos que oferece são praticamente desprezíveis. 
 
 
13 
 
 
Autenticidade 
Para Ferreira (2003), o serviço de autenticação em um sistema deve assegurar 
ao usuário que recebe a informação, que a mensagem é realmente procedente da 
origem informada em seu conteúdo. A verificação da autenticidade faz-se necessário 
após todo processo de identificação, seja do sistema para o usuário, do usuário para 
o sistema ou do sistema para outro sistema. 
O objetivo da autenticidade é englobado pelo de integridade, quando se 
assume que este visa garantir não só que as informações permaneçam completas e 
precisas, mais também que a informação capturada do ambiente externo tenha sua 
fidedignidade verificada e que a criada internamente seja produzida apenas por 
pessoas autorizadas e atribuída unicamente ao seu autor legítimo. 
A implementação para o processo de autenticidade geralmente é 
implementado a partir de mecanismos de senhas e assinaturas digitais. Beal (2005), 
cita que a segmentação dos ativos por característica como: tipo de usuário, tipo de 
aplicação, ambiente de uso etc., permite a criação de estratégias diferenciadas de 
armazenamentos, controle de acesso, controles e recuperação de serviços, assim 
aplica os controles adequados conforme o nível de proteção requerido por cada 
segmentação. 
Disponibilidade 
Garantia de que a informação e os ativos associados estejam disponíveis para 
os usuários legítimos de forma oportuna. Beal (2005), apresenta como objetivo da 
disponibilidade, o controle de acesso que permite identificar os usuários legítimos da 
informação para então liberar o acesso solicitado. 
Quando analisado a disponibilidade é considera-se questões como: “quanto 
custa para produzir”, “quanto custa para recuperar” e quais consequências gera para 
a organização se a informação não está mais disponível. Conclui-se que a falta de 
informações pode afetar a organização e o que deve ser considerado é quanto tempo 
levaria para superar esse impacto. 
Desta forma a classificação das informações e a ordem de prioridade de 
recuperação em caso de indisponibilidade são muito importantes e a organização 
deve atribuir a cada categoria as informações conforme o grau de importância do ativo 
14 
 
 
para a organização. Essa ordem de importância é expressa por Beal (2005), 
começando pelas mais importantes categorias 1 e menos importantes categorias 6, 
conformeFigura 3. 
 
Considera-se que pode abranger as categorias 1 e 2 informações que exigem 
recuperação em um curto espaço de tempo, as quais mesmo indisponíveis em um 
curto período podem causar prejuízos inaceitáveis. Nas categorias 2, 3 e 4 cabe 
informações com exigência de recuperação em médio espaço de tempo, sendo que 
as indisponibilidades temporárias não afetam o desempenho dos processos críticos, 
porém que ao longo período de tempo pode causar atrasos ou decisões erradas. 
Categoria 5 o tempo de recuperação depende do tipo de informações, é aceitável a 
indisponibilidade variada. E a categoria 6 não possui exigência de tempo para 
recuperação, pois a perda ou indisponibilidade por períodos longos não traz 
consequências negativas consideráveis, seja pela pouca relevância da informação ou 
pela facilidade de recuperação da mesma. 
 
PROCESSOS DE AUDITORIA 
 
Para Neto e Solonca (2007), a crescente utilização de soluções informatizadas 
nas distintas áreas de serviços exige maior exposição dos valores e das informações, 
além de níveis de segurança adequados. O avanço da tecnologia da informação, 
migrando de um ambiente centralizado para um ambiente distribuído, interligando 
redes internas e externas, adicionada à revolução da Internet, modificou a forma de 
se fazer negócios. Isto fez com que as empresas se preocupassem mais com o 
15 
 
 
controle de acesso às suas informações bem como a proteção dos ataques, tanto 
internos quanto externos. 
Ainda para Neto e Solonca (2007), com o advento dos computadores pessoais 
e das redes de computadores que são capazes de conectar o mundo inteiro, os 
aspectos de segurança atingiram tal complexidade que há a necessidade de 
desenvolvimento de equipes cada vez mais especializadas para a sua gerência. 
Paralelamente, os sistemas de informação também adquiriram uma suma 
importância para a sobrevivência da maioria das organizações modernas, uma vez 
que, sem computadores e redes de comunicação, a prestação de serviços de 
informação pode se tornar impraticável. Um exemplo prático da afirmação acima é 
citado por Neto e Solonca (2007), dizendo que um banco não trabalha exatamente 
com dinheiro, mas com 13 informações financeiras relacionadas com valores seus e 
de seus clientes. A maior parte destes dados é de natureza sigilosa, por força de 
determinação legal ou por se tratar de informações de natureza pessoal, que 
inspecionam ou mostram a vida econômica dos clientes, os quais podem vir a sofrer 
danos, caso elas sejam levadas a público. 
Ainda concluem que, independente do setor da economia em que a empresa 
atue, as informações estão relacionadas com seu processo de produção e de 
negócio, políticas estratégicas, marketing, cadastro de clientes, etc. Não interessa o 
meio físico em que as informações estão armazenadas, elas são de valor incalculável 
não só para a empresa que as gerou, como também para seus concorrentes. Em 
último caso, mesmo que as informações não sejam sigilosas, na maioria das vezes 
elas estão relacionadas às atividades diárias da empresa que, sem elas, poderia ter 
complicações. 
Na visão da ISACA (2010), a auditoria de TI é responsável por fazer uma 
revisão e avaliação dos riscos do ambiente de trabalho dos sistemas de informação 
que suportam os processos de negócio. A atividade da auditoria de TI tem como 
intuito ajudar a organização por meio da identificação e avaliação de exposições ao 
risco que sejam significativas, bem como contribuir para o avanço dos mecanismos 
de gestão de risco e de controle dos sistemas de informação. 
No ponto de vista do IIA (2005), a auditoria de TI tem que aferir a capacidade 
dos controles dos sistemas de informação para resguardar a organização contra as 
16 
 
 
ameaças mais relevantes e deve fornecer evidência de que os riscos residuais são 
pouco prováveis de causar danos significativos à organização e às suas partes 
interessadas, os stakeholders. Segundo Neto e Solonca (2007), os tipos de auditoria 
mais comuns são classificados quanto à forma de abordagem, ao órgão fiscalizador 
e à área envolvida. 
No Figura 4, estão inseridas as classificações dos tipos de auditoria quanto a 
forma de abordagem. 
 
Fonte: Neto e Solonca (2007) 
No Figura 5, estão inseridas as classificações dos tipos de auditoria quanto a 
quanto ao órgão fiscalizador. 
 
Fonte: Neto e Solonca (2007) 
No Figura 6, estão inseridas as classificações dos tipos de auditoria quanto a 
quanto a área envolvida. 
17 
 
 
 
Fonte: Neto e Solonca (2007) 
Neto e Solonca (2007) afirmam que dependendo da área que será averiguada, 
a auditoria pode compreender todo o ambiente de informática ou a organização do 
departamento de informática. Além disso, podem considerar os controles sobre 
18 
 
 
bancos de dados, redes de comunicação e de computadores, além de controles sobre 
aplicativos. 
Desta forma, sob o entendimento dos tipos de controles identificados por Neto 
e Solonca (2007), os autores também afirmam que a auditoria pode ser separada em 
duas grandes áreas: 
 Auditoria de segurança de informações: este tipo de auditoria em 
ambientes informatizados decide a postura ou a situação da empresa em relação à 
segurança das informações. Ela avalia a política de segurança da informação e 
também os controles relacionados a aspectos de segurança e controles que 
influenciam o bom funcionamento dos sistemas da organização. Tais controles estão 
descritos a seguir: 
- Avaliação da política de segurança; 
- Controles de acesso lógico; 
- Controles de acesso físico; 
 - Controles ambientais; 
- Plano de contingência e continuidade de serviços; 
- Controles organizacionais; - Controles de mudanças; 
- Controle de operação dos sistemas; 
- Controles sobre os bancos de dados; 
- Controles sobre computadores; 
- Controles sobre ambiente cliente-servidor. 
 
 Auditoria de aplicativos: este tipo de auditoria está direcionado para a 
segurança e o controle de aplicativos específicos, incluindo aspectos que fazem parte 
da área que o aplicativo atende, como: orçamento, contabilidade, estoque, marketing, 
RH, etc. A auditoria de aplicativos compreende: 
- Controles sobre o desenvolvimento de sistemas e aplicativos; 
- Controles de entrada, processamento e saída de dados; 
- Controles sobre o conteúdo e funcionamento do aplicativo com 
relação à área por ele atendida. 
 
 
 
 
 
 
 
 
 
19 
 
 
COBIT 4.1 
 
COBIT, sigla que vem da língua inglesa, Control Objectives For Information 
end Relatet Technology, traduzida para o português, Objetivo de Controle para 
Tecnologia da Informação e Áreas Relacionadas, trata-se de um agrupamento de 
boas práticas com objetivo de dar suporte a governança de TI. 
Na visão da ISACA (2010), o COBIT 4.1 é o modelo globalmente aceito que 
assegura que a TI esteja alinhada com os objetivos do negócio e que seus recursos 
sejam utilizados de maneira responsável e os riscos gerenciados de forma adequada. 
O novo modelo representa um aprimoramento do COBIT 4.0 e pode ser usado para 
aperfeiçoar o trabalho já realizado com versões anteriores. As atualizações do COBIT 
4.1 incluem um aperfeiçoamento na mensuração de desempenho, melhorias nos 
objetivos de controle e melhor alinhamento dos objetivos de TI e negócios. 
Segundo a ISACA (2010), o COBIT auxilia as organizações a diminuírem os 
riscos de TI, a aumentarem o valor obtido com a TI e a atenderem às regulamentações 
de controle. Por exemplo, o Banco Central do Brasil faz uso do COBIT como um guia 
para avaliação de bancos e instituições financeiras, o TCU (Tribunal de Contas da 
União) baseia-se no COBIT para seus programas de auditoria para avaliação de 
várias entidades nacionais. Esses e outros exemplos de utilização por órgãos de 
controle e supervisão tornam esta nova versão do COBIT uma ferramenta útil à todas 
organizações que precisam manter um nível adequado de governança em TI. 
Baruquee Santos (2010) afirmam que devido ao fato de ser mais focado em 
objetivos de negócio, o conteúdo do COBIT é muito abrangente, mas pouco detalhado 
no que diz respeito a como os processos devem ser implantados. O COBIT contém 
muito sobre o quê deve ser feito e para quê deve ser feito e, por outro lado, contém 
pouco sobre o como deve ser feito. Dessa forma a utilização do COBIT ajudará a 
empresa a alinhar os objetivos do negócio aos objetivos da TI, sendo o elo entre o 
planejamento estratégico da empresa e o plano diretor de TI. 
Objetivando um melhor entendimento de como o COBIT pode ajudar uma 
organização, Baruque e Santos (2010) oferecem um exemplo de uma empresa que 
possua em seu plano estratégico o seguinte objetivo: melhorar o alinhamento 
estratégico da TI com o negócio. Mesmo parecendo algo abstrato, segundo os 
20 
 
 
autores, os objetivos estratégicos são assim, genéricos o suficiente para darem uma 
direção, mas não detalhados o suficiente para limitar as opções de quem precisa 
concretizá-los. 
Conclui-se então com a linha de raciocínio de Neto e Solonca (2007), que 
auditar é preciso porque o uso desapropriado dos sistemas informatizados pode 
impactar uma sociedade. Informação com pouca exatidão pode causar a alocação 
precipitada de recursos dentro das corporações e as fraudes podem ocorrer devido à 
falta de sistemas de controle. Assim, para assegurar que os investimentos feitos em 
tecnologia da informação voltem para a empresa na forma de lucros e identificação 
de menores gastos com a TI, é onde o auditor de sistemas informatizados irá atuar. 
De posse dos objetivos, normas ou padrões da corporação o auditor irá verificar se 
tudo está funcionando como deveria. 
 
SOFTWARE 
 
Atividades em que prevalecem tecnologias de informação e comunicação 
(TICs) são compostas por diferentes sistemas informatizados. O software é um não-
objeto, uma não-coisa, que pelos seus atributos atende necessidades humanas de 
qualquer espécie, que podem ser de natureza individual ou coletiva (ROSELINO, 
2006). 
Associar software a programas de computador cria uma visão muito restritiva. 
Pois, o software não é apenas um programa, trata-se também de dados de 
documentação e configuração, que juntos, são necessários ao funcionamento correto 
de um programa (SOMMERVILLE, 2007). Abrangem programas que executam em 
computadores de qualquer espécie, dados combinados de textos e números, além de 
diferentes representações da informação (PRESSMAN, 2002). 
O software é importante porque, nos dias de hoje, afeta praticamente todos os 
aspectos de nossas vidas, pois, está difundido nos comércios, cultura e atividades do 
nosso dia a dia (PRESSMAN, 2002). 
Distinto de outros produtos intensivos em informações e conhecimento, como 
os produzidos pela indústria gráfica, o software é um bem funcionante, que interage 
21 
 
 
e, em certos casos, comanda a operação de bens materiais, como ferramentas 
pessoais de trabalho (computadores) e bens intermediários (máquinas industriais) 
(ROSELINO, 2006). 
 
PROCESSOS DE SOFTWARE 
 
Todo projeto de software passa por fases identificáveis antes de se obter um 
software usável. Existem diversas maneiras de progredir entre essas fases, cada uma 
dessas maneiras é chamada de processo de software (BRAUDE, 2005). 
Segundo Pressman (2002), quando elaboramos um produto de software 
devemos percorrer uma série de passos que ajudem a criar em tempo hábil resultados 
de alta qualidade. O processo é um diálogo em que o conhecimento deve se 
transformar em software, prevendo a interação entre usuários e projetistas, entre 
usuários e ferramentas em desenvolvimento e entre projetistas e ferramentas em 
desenvolvimento. Cada processo define a abordagem que é adotada quando o 
software é desenvolvido, e a ferramenta funciona como o meio de comunicação entre 
cada novo processo. 
Segundo Sommerville (2007) todo processo envolve um conjunto de 
ferramentas e técnicas que o viabilizem, além de possuir as seguintes características: 
a) Prescreve todas as suas principais atividades. 
b) Utiliza recursos, está sujeito a um conjunto de restrições e gera produtos 
intermediários e finais. 
c) Pode ser composto de sub-processos relacionados. Pode ser definido 
como uma hierarquia de processos, organizados de maneira que cada 
sub-processo tenha seu próprio modelo de processo. 
d) Cada atividade do processo possui critérios de entrada e saída, 
possibilitando saber quando um processo começa e termina. 
e) As atividades são organizadas em sequência, para que a ordem de 
execução das atividades seja clara. 
f) Possui um conjunto de diretrizes que explicam os objetivos de cada 
atividade. 
22 
 
 
g) Restrições e controles podem ser aplicados a atividades, recursos ou 
produtos. 
A estrutura do processo orienta nossas ações, permitindo: examinar, entender, 
controlar e aprimorar as atividades que o compõem. Um processo é um conjunto de 
procedimentos organizados que permitam a construção de produtos que satisfaçam 
a uma série de objetivos e padrões. É importante porque imprime consistência e 
estrutura a um conjunto de atividades a serem realizadas, além de permitir capturar 
experiências e passá-las adiante, através de processos e procedimentos 
documentados (PFLEEGER, 2004). 
Processos de software são complexos e dependem de julgamento humano 
(SOMMERVILLE, 2007). Podem ser caracterizados em uma estrutura comum, que 
define um pequeno número de atividades aplicáveis a todos os projetos de software, 
independentemente de tamanho ou complexidade, onde um conjunto de tarefas 
constituídas de marcos de projeto, produtos do trabalho e pontos de garantia de 
qualidade permitem que as atividades da estrutura sejam adaptáveis as necessidades 
do projeto e da equipe de desenvolvimento do mesmo (PRESSMAN, 2002). 
 
Figura 7 - O processo de software 
 
 
23 
 
 
Não existe um processo de software ideal, por isso várias organizações 
desenvolveram diferentes abordagens para o desenvolvimento de software. Porém, 
espaços para aprimoramentos destes processos de software nas empresas de 
desenvolvimento existem. Esses aprimoramentos acontecem por meio da 
padronização do processo, que permite que a diversidade de processos de software 
da organização seja reduzida. A padronização é um passo importante na introdução 
de novos métodos, técnicas e boas práticas de engenharia de software. 
Existem diferentes processos de software, mas, algumas atividades são 
fundamentais a todos eles, segundo Sommerville (2007): 
a) Especificação de software: aqui a funcionalidade do software e suas 
restrições de operações devem ser definidas. 
b) Projeto e implementação de software: é produzido o software que 
atende às especificações. 
c) Validação de software: para garantir que o software faz o que o cliente 
necessita, o software deve ser validado. 
d) Evolução do software: as necessidades dos clientes mudam, para 
atendê-las o software deve evoluir. 
Existem diversas atividades que afetam diretamente a qualidade final de 
produtos de software, as quais se não forem realizadas de forma adequada podem 
afetar a qualidade, de maneira que, a qualidade do processo de desenvolvimento e 
manutenção se torna mais importante que a qualidade do produto (PFLEEGER, 
2004). 
 
SEGURANÇA DE SOFTWARE 
 
As melhores práticas de desenvolvimento de software são abordagens 
utilizadas para o desenvolvimento de software, que utilizadas em conjunto, atacam as 
origens dos principais problemas de desenvolvimento de software. Segundo Kruchten 
(2003) são elas: 
 
24 
 
 
a) Desenvolver o software interativamente: O desenvolvimento 
acontece linearmente, desde a análise de requisitos, passando pela 
construção, teste de código e unidade, teste de subsistema e teste do 
sistema. 
b) Gerenciar requisitos: É um processo dinâmico e contínuo que abrange 
três atividades: dedução, organizaçãoe documentação das 
funcionalidades e embaraces do sistema; avaliação de mudanças dos 
requisitos e a avaliação de seu impacto; localização e documentação de 
comercializações e decisões. 
c) Usar arquiteturas baseadas em componentes: Envolve a evolução 
contínua da arquitetura de um sistema, onde, cada iteração produz uma 
arquitetura executável que pode ser medida, testada e avaliada contra 
os requisitos do sistema. Permite que a equipe de desenvolvimento 
ataque, de forma contínua, os riscos mais importantes para o projeto de 
software. 
d) Modelar visualmente o software: Ajuda a equipe de desenvolvimento 
a visualizar, especificar, construir e documentar a estrutura e 
comportamento da arquitetura de um sistema. Esta prática, utilizada em 
conjunto com o desenvolvimento interativo, ajuda a expor e avaliar as 
mudanças de arquitetura e a comunicar essas mudanças para a equipe. 
e) Verificar continuamente a qualidade do software: envolve criar 
testes para avaliar a funcionalidade de um sistema e sua conformidade 
para com os requisitos exigidos. 
f) Controlar mudanças de software: Permite melhor alocação de 
recursos, com base nas prioridades e riscos do projeto, além de 
gerenciar o trabalho ativamente nessas mudanças. Permite monitorar 
continuamente as mudanças, de maneira que se possa descobrir 
ativamente e depois reagir aos problemas. É importante para avaliar e 
gerenciar o impacto das mudanças. 
 
 
25 
 
 
SEGURANÇA EM APLICAÇÕES WEB 
 
Aplicações web são constantes alvos de ataques, onde invasores buscam 
aproveitar vulnerabilidades encontradas para o roubo de informações confidenciais. 
Seja no ambiente corporativo ou mesmo no âmbito pessoal, os ataques podem vir a 
gerar prejuízos não somente pelo vazamento de informações, mas também pelos 
danos potenciais de uma aplicação inoperante em um determinado período de tempo. 
Estar vulnerável não somente significa a existência de uma falha de 
implementação ou erros na aplicação. O invasor pode se utilizar de algo concreto, 
como a relação estabelecida entre servidor e cliente para, a partir desse ponto, burlar 
a segurança. A seguir, serão elencadas as vulnerabilidades mais comuns em 
aplicações web. 
Cross Site Scripting ou XSS 
Utiliza a relação de confiança entre o servidor da aplicação e o navegador para 
transporte de código malicioso, que geralmente é escrito em javascript, a fim de 
conseguir dados sensíveis, como o identificador da sessão do usuário. 
Segundo OWSAP(2016), muitas aplicações permitem a postagem de conteúdo 
por parte de seus usuários. O XSS está ligado a esse conteúdo, que pode ser utilizado 
para solicitar informações ao usuário dentro da aplicação e o direcionar para fora dela. 
Como o navegador da vítima não consegue identificar o que corresponde ao trecho 
de código malicioso, este será executado assim que for detectado pelo navegador. 
O ataque pode ser feito utilizando também os mecanismos de busca. Se a 
aplicação não possuir tratamento para tal, executará o código malicioso. Outra forma 
de fazer o ataque é inserindo no meio da página original aplicação, escrita em HTML, 
trechos de códigos a fim de se obter as informações desejadas. Para tornar o código 
ilegível e burlar mecanismos que se baseiam em tags para proteção, como por 
exemplo (script) ou (alert) os códigos são escritos em hexadecimal. 
Essa vulnerabilidade está ligada a falta de tratamento dos dados e conteúdo 
postado pelo usuário. A execução do código é imperceptível ao usuário infectado, já 
que é executada pelo navegador de forma transparente. 
26 
 
 
Injeção de SQL 
Uma outra vulnerabilidade diz respeito a injeção de códigos com comando em 
Structured Query Language (SQL) para obter dados diretamente do banco. SQL 
corresponde a linguagem para gerenciamento dos dados utilizada pelos principais 
bancos de dados estruturados na modelagem relacional. Um estudo feito pela Owasp 
(2013) sobre vulnerabilidades em aplicações web apontou o Structured Query 
Language Injection, ou SQL Injection como a técnica mais utilizada no meio virtual 
para obtenção de dados de forma mal intencionada. 
O ataque visa utilizar os dados de entrada do cliente no aplicativo para 
conseguir dados confidenciais, modificar, excluir ou atualizar registros. Conforme 
Owasp (2016), a técnica afeta um número grande de aplicações disponíveis 
atualmente, pois a arquitetura de grande parte se baseia em banco de dados SQL. 
Em geral, a forma como as aplicações web constroem os comando SQL 
envolvem a sintaxe escrita pelos programadores com parâmetros informados pelos 
usuários. Dessa forma, há a possibilidade de o usuário explorar os parâmetros 
informados para obter dados do banco. Conforme cita OWASP(2016), esses ataques 
ainda podem ser classificados em 3 diferentes classes: 
● Inband: os dados são extraídos usando o mesmo canal que é usado 
para injetar o código; 
● Out-of-band: os dados são recuperados em um outro canal, como por 
exemplo enviados para um e mail informado; 
● Inferencial: não a transferência real dos dados, porém é possível 
reconstruir as informações através de solicitações particulares. 
Como a exemplo do XSS, o SQL Injection consegue ser neutralizado se os 
formulários, campos de pesquisa, URLs, tiverem tratamento para os dados 
informados pelo usuário na aplicação. 
Cross Site RequestForgery 
Utiliza a relação de confiança entre o aplicativo e seu usuário legítimo. 
Geralmente fazendo uso de engenharia social, para explorar essa vulnerabilidade, o 
atacante necessita que a vítima esteja com uma sessão ativa na aplicação alvo. 
Nesse momento, o ataque pode ser concluído com sucesso caso o usuário receba 
um link ou acesse, no mesmo navegador, o aplicativo malicioso. Dessa forma, a 
27 
 
 
aplicação maliciosa ou link inclui uma requisição ao aplicativo alvo, carregando os 
parâmetros necessário para a conclusão da transação. 
Os aplicativos vulneráveis são aqueles em que as requisições são feitas de 
maneira estática, ou seja, sempre enviando os mesmos parâmetros para fazer a 
requisição. Uma alternativa para tratar as requisições do CSRF é o Synchronizer 
Token Pattern. Diz respeito a enviar um token como um dos parâmetros da requisição. 
Com isso, tem-se a garantia de que a requisição está sendo feita, de forma que 
o token enviado seja comparado ao token armazenado na sessão do usuário, é 
gerado um novo token para armazenamento na sessão. Se o token for diferente, a 
requisição deve ser descartada pelo servidor. 
Referência direta a objetos 
Uma referência direta a um objeto expõe os dados de um sistema aos usuários. 
Seja um arquivo, diretório ou a chave de uma tabela, a referência direta permite que 
um usuário acesse dados aos quais não tem permissão. A fragilidade encontra-se na 
ideia de que o usuário sempre irá seguir os caminhos preestabelecidos pela 
aplicação. 
Na própria aplicação são visualizados parâmetros que referenciam objetos 
internos. O usuário se aproveita dessa fragilidade para, alterando os parâmetros para 
ter acesso a outros dados da aplicação. Como prevenção, deve-se verificar se o 
usuário tem permissão para acesso ao objeto ao qual está requisitando. 
Broken Autenticação e Gestão de Sessões 
O invasor utiliza-se de falhas da aplicação no gerenciamento de sessão ou na 
autenticação, como por exemplo, contas expostas, senhas, IDs de sessão, para 
representar um usuário legítimo. De acordo com Owasp (2017) deve-se verificar as 
seguintes diretrizes: 
● As credenciais de autenticação de usuário não são protegidas quando 
armazenadas usando hash ou criptografia. 
● As credenciais podem ser adivinhadas ou substituídas por funções de 
gerenciamento de contas fracas (por exemplo, criação de contas, alteração de 
senha, recuperação de senha, IDs de sessão fracas). 
● IDs de sessão são expostos na URL (por exemplo, reescrita de URL). 
28 
 
 
● IDs de sessão são vulneráveis a ataquesde fixação de sessão . 
● IDs de sessão não timeout, ou sessões de usuário ou tokens de 
autenticação, particularmente single sign-on (SSO) tokens, não são 
devidamente invalidados durante logout. 
● Os IDs de sessão não são rodados após o login bem-sucedido. 
● Senhas, IDs de sessão e outras credenciais são enviadas através de 
conexões não criptografadas. 
 
Por exemplo, se alguém utiliza um computador público para acesso a uma 
determinada aplicação e, ao invés de fazer logout, apenas fecha o navegador, corre 
o risco de ter deixado a sessão ativa por um tempo, deixando aberta a possibilidade 
de que uma outra pessoa utilize-se dessa conta para obter dados. 
 
APLICAÇÃO DOS PRINCIPIOS BÁSICOS DA SEGURANÇA DA 
INFORMAÇÃO NOS PROCESSOS DE AUDITORIA 
 
A gestão de dados é o planejamento, desenvolvimento e execução de políticas 
e procedimentos de segurança para proporcionar a devida autenticação, autorização 
e acesso nos ativos de dados e informações (Seções da ISO IEC 27002). Seu objetivo 
é proteger os ativos de Informação em alinhamento com as regulamentações de 
privacidade e confidencialidade e requisitos do negócio. Em uma organização existem 
muitas fontes de informações que não ficam à disposição da gerência para tomadas 
de decisões, fazendo-se necessário a aplicação dos processos de auditorias da 
Informação, e para ORNA (1990) entre essas fontes estão: 
• Registros de clientes; 
• Informação sobre fornecedores; 
• Informações sobre orçamentos operacionais; 
• Resultados financeiros; 
 Relatórios de operações externas; 
• Informação dos concorrentes: como eles estão fazendo 
financeiramente, o que eles estão produzindo; 
• A informação que a própria empresa produz, para o mundo exterior, e 
para o público interno; 
29 
 
 
• Informações sobre seu mercado, seu público-alvo ou de seus clientes; 
• Informações sobre áreas de importância, por exemplo: a produção ou 
indústria de serviço que pertence o sistema de educação, ciência e tecnologia; 
processos, materiais, instalações ou equipamentos; 
• Informações sobre o ambiente em que opera: a economia, 
regulamentos comunitários governamentais, legislação, etc. 
 
E é justamente por existir muitas fontes de informações que a organização 
deve atentar-se para a sua segurança, pois há uma exposição maior quando é 
realizado um processo de auditoria da informação. Para o Guia DAMA-DMBOK 
(2012), gestão de qualidades de dados é sinônimo de qualidade da informação e 
considera que a falta de qualidade nos dados resulta em informação imprecisa e um 
desempenho fraco de negócio. 
Desta forma faz-se necessário ter qualidade para prover uma solução 
econômica e melhorar a qualidade e integridade dos dados. Para a efetiva realização 
da segurança da informação na organização, são utilizados vários métodos como 
controles, políticas, processos e procedimentos, geralmente definidos por uma 
política de segurança da Informação Baars et al.,(2009). 
Atualmente as organizações entendem que segurança não está mais apenas 
nos limites da tecnologia, mais atinge todo o ambiente corporativo, principalmente o 
fator humano. E as organizações muitas vezes por insegurança em expor as 
informações existentes, dificultam a realização das auditorias, conforme aponta Orna 
no livro “Practical Information Polices” (1990), muitas empresas desnecessariamente 
dificultam seu trabalho, não deixando que informações externas sejam mostradas 
internamente e vice versa. Johnson (2012), em sua pesquisa apresenta as iniciativas 
de segurança da informação presente nas organizações e o nível de maturidade dos 
mesmos, baseado no modelo de maturidade genérico proposto pelo Capability 
Maturity Model Integration (CMMI) e as atividades definidas para cada processo. 
 
 
 
 
30 
 
 
REFERÊNCIAS 
 
ABNT, Associação Brasileira De Normas E Técnicas NBR ISO/IEC 27002, 
Tecnologia da informação – Técnicas de segurança – Código de prática para a 
gestão da segurança da informação. Rio de Janeiro: ABNT, 2005. 
 
ABNT, Associação Brasileira De Normas e Técnicas NBR ISO/IEC 17799. 
Tecnologia da informação - Técnicas de segurança - Código de prática para a 
gestão da segurança da informação. Rio de Janeiro: ABNT, 2005. 
 
ABNT, Associação Brasileira De Normas E Técnicas NBR ISO/IEC 27005. 
Tecnologia da informação – Técnicas de segurança – Gestão de riscos de 
segurança da informação. Rio de Janeiro: ABNT, 2008. 
 
 ALVES, Fernando; PWC. Virando o jogo. novembro de 2015 AMARAL, L. e 
Varajão, J. Planeamento de Sistemas de Informação. 4ª edição; Lisboa: Editora 
FCA, 2007. 
 
 ANATEL, Agência Nacional de telecomunicações. outubro de 2015. B 
 
ARUQUE, Lúcia Blondet; SANTOS, Luis Claudio dos. Governança em Tecnologia 
da Informação. Rio de Janeiro: Fundação CECIERJ, 2010. 
 
CARNEIRO, Alberto. Auditoria de Sistemas de Informação. 2ª edição; Lisboa: 
Editora FCA, 2004. 
 
EDGAR, R. P. D’Andrea; PWC. Virando o jogo. em novembro de 2015 
 
FREITAS, F; ARAUJO, M. POLITICAS DE SEGURANÇA DA INFORMAÇÃO: Guia 
prático para elaboração e implementação. 2. ed. Rio de Janeiro: Ciência Moderna 
LTDA, 2008 
 
IIA - The Institute of Internal Auditors, Global Technology Audit Guide: Information 
Technology Controls. Florida: Inc. 2005. 
 
ISACA, Information Systems Audit and Control Association. ISACA Introduces 
Portuguese Edition of COBIT 4.1 (Portuguese). setembro de 2015. 
 
INTEL, security; MCAFEE. Relatório do McAfee Labs sobre ameaças. Intel 
Security; Mcafee, 2015. 
 
MICROSOFT. O que é malware?. novembro de 2015. 
 
MCFORLAND, Charles. Hackers Contra o Sistema Operacional Humano | 
Resumo Executivo. Intel Security; Mcafee, 2015. 
 
NETO, Abílio Bueno; SOLONCA, Davi. Auditoria de Sistemas Informatizados. 3ª 
edição; Palhoça: Unisul Virtual, 2007. 
31 
 
 
 
 
PURPURA, Philip P. Security and Loss Prevention: An Introduction. 5ª edição; 
Boston: Elsevier Butterworth-Heinemann, 2008. 
 
SINGLETON, Tommie W. Como o auditor de TI pode fazer contribuições 
substantivas para uma auditoria financeira. 2011. 
 
ROHR, Altieres. Como um hacker invade o computador?. Novembro de 2015 
 
TCU, Boas Práticas em Segurança da Informação. 4. ed. Brasília: TCU, 2012. 39 
 
VERGARA, Sylvia Constant. Projetos e relatórios de pesquisa em 
administração. 5. ed. São Paulo: Atlas, 2004. 
 
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002:2005 
Tecnologia da informação – código de prática para gestão da Segurança da 
Informação. Rio de Janeiro, 2005. 
 
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001: 
Tecnologia da informação – Técnicas de segurança — Sistemas de gestão de 
segurança da informação — Requisitos. Rio de Janeiro, 2006. 
 
 AUMATELL, S. I. Cristina. La auditoría de la información, componente clave de 
la gestión estratégica de la información. En: El profesional de la información, 
2003, jul.-agosto, v.12,n.4 pp.261-268. 
 
BAARS, H.; HINTZBERGEN, K.; HINTZBERGEN, J.; SMULDERS, A. The Basis of 
information Security – A Pratical Handbook. Newton Translations, the Netherlands, 
2009. 
 
BEAL, Adriana. Segurança da Informação: princípios e melhores práticas para 
a proteção dos ativos de informação nas organizações – São Paulo: Atlas, 
2005. 
 
BOTHA, H.; BOON, J. A. The information audit: principles and guidelines. Libri, 
Pretoria, v. 53, p. 23-38, 2003. 
 
CEDROM –SNI. The strategic information audit: a powerful tool to prevent 
chaos. 2006. 21 slides, color. Disponível em: . Acesso em: 07 dez. 2012. 
 
CROCKETT, M,; FOSTER,J. Using ISO 15489 as an audit tool. The information 
Management Journal, p. 46-53, 2004. 
 
DANTE, G. P. Gestión de Información em las organizaciones: princípios, 
conceptos y aplicaciones. Santiago. 1998. ESPIRITO SANTO, A. F. S. Segurança 
da Informação. Disponível em: < 
http://www.ice.edu.br/TNX/encontrocomputacao/artigosinternos/aluno_adrielle_ferna
nda_seguranca_da_informacao.pdf>. Acesso em 21/01/2013. 
 
32 
 
 
FERREIRA, FernandoN. F. Segurança da informação. Rio de Janeiro: Ciência 
Moderna, 2003. p.161. 
 
FERREIRA, Fernando N. F. ARAUJO, M.T. Política de segurança da informação: 
Guia prático para Elaboração e Implementação. 2.ed. Rio de Janeiro: Ciência 
Moderna, 2006. p.177. 
 
GIL, A. C. Métodos e técnicas de pesquisa social. 6. ed. São Paulo: Atlas, 2009. 
 
HENCZEL, S. The information audit as a first step towards effective knowledge 
management: an opportunity for special librarians. 
 
INSPEL, Potsdam, v. 34, n.3/4, p.210 -226, 2000. 35 HITCHINGS, J. Deficiencies 
of the traditional approach to information security and the requirements for a 
new methodology. Computers & Security, v. 14, n. 5, p. 377–383, Maio 1995. 
 
 IMONIANA, J. O. Auditoria de Sistemas de Informação. São Paulo: Atlas, 2005. 
p.197. 
 
ITGI – Information Technology Governance Institute. COBIT 4.1. Rolling Meadows, 
2008. 
 
JOHNSON, L. Proposta de uma estrutura de análise de maturidade dos 
processos de Segurança da informação com base na norma ABNT NBR 
ISO/IEC 27002:2005. 55 f. Dissertação (Mestrado em Gestão e Tecnologia da 
Informação) – Setor Ciências Sociais Aplicados, Universidade Federal do Paraná, 
Curitiba, 2012. 
 
JONES, S.; ROSS, S.; RUUSALEPP, R. Data Audit Framework Methodology: 
draft for discussion. Version 1.8. Glasgow, May 2009. Disponível em: Acesso em; 
07 jan, 2013. 
 
MARCONI, M.,A.; LAKATOS,E. M. Técnicas de pesquisa: planejamento e 
execução de pesquisas, amostragens e técnicas de pesquisa, elaboração, 
análise e interpretação de dados. São Paulo: Atlas, 2007. 
 
MOSLEY, M.(Org.); BRACKETT, M.(Org.); EARLEY, S.(Org.). Guia da DAMA para 
o corpo de conhecimento em gestão de dados DAMA-DMBOK. Primeira Edição. 
Technics Publications. U.S.A. 2012. 
 
NETTO, A. da S.; SILVEIRA, M. A. P. Gestão da segurança da informação: 
fatores que influenciam sua adoção em pequenas e médias empresas. Revista de 
Gestão da Tecnologia e Sistemas de Informação. Vol. 4, No. 3, 2007, p. 375-397. 
Controle Interno e Auditoria Governamental: Controladoria-Geral do Estado – CGE. 
Curso Básico de Controle Interno e Auditoria Governamental. Minas Gerais, 2012. 
 
ORNA, E. Practical Information Polices – How to manage information flow in 
organizations. Gower. 1990. 
 
33 
 
 
SCHNEIER, Bruce. Segurança.com: segredos e mentiras sobre a proteção na vida 
digital – Rio de Janeiro: Campus, 2001. 
 
SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva – 
Rio de Janeiro: Campus, 2003. 
 
SHARMA C. K.; SINGH, A. K. An evaluative study of information audit and 
knowledge management audit. Brazilian Journal of Information Science, Marília, v.5, 
n.1, p.53-59, Jan./Jun. 2011. Disponível em:. Acesso em: 09 de jun. 2012. 
 
VIEIRA, A. A. Auditoria de Informação: Fluxos de Informação e coleta de 
dados. 49 f. Trabalho de graduação (Bacharel em Gestão da Informação) – Setor 
Ciências Sociais Aplicadas, Universidade Federal do Paraná, Curitiba, 2010.