Auditoria de Sistemas Parte III Alunos

Prévia do material em texto

TÉCNICAS E FERRAMENTAS DE AUDITORIA
 
AUDITORIA E SEGURANÇA DA
INFORMAÇÃO 
 
 
 
 
 
 
 
 
 
 
 
 
 
TÉCNICAS E FERRAMENTAS DE AUDITORIA DE
SISTEMA 
 
CAPÍTULO I – TÉCNICAS E FERRAMENTAS DE AUDITORIA 
 
 
 
OBJETIVOS ESPECÍFICOS DO CAPÍTULO 
 
No final deste capítulo, o estudante deverá ser capaz de: 
 
 Compreender as diferentes técnicas de auditoria de sistemas tais como 
a entrevista, questionário e análise de dados; 
 Descrever as diferentes ferramentas de auditoria de sistemas. 
 
 
1.1 TÉCNICAS DE AUDITORIA 
 
A técnica tem uma aplicação universal, ou seja, pode ser usada em várias áreas da 
ciência. Sendo assim, a auditoria necessita da técnica para efetivação de suas 
atividades. 
A técnica constitui um subsídio extremamente importante no projeto de auditoria 
numa determinada organização, pois o auditor serve-se da técnica durante o processo de 
auditoria. 
 
 
 
Programas de auditoria têm como função realizar o cruzamento das informações 
de arquivos, analisando o conteúdo dos mesmos. 
 
 O método que consiste na elaboração de programas de computador para 
simular as funções da rotina do sistema em operação que está sendo 
auditado. 
 Utilizam-se os mesmos dados de input, da rotina em produção, como 
input do programa de simulação. 
 
 
 
Programas de computador 
 
Programas de computador fazem parte de uma categoria de técnicas de 
auditoria. Esta técnica é baseada em programas de computador (Magalhães, 
2011), como veremos a seguir: 
 
Simulação paralela
Centro Universitário Christus - Unichristus 2
 
Passos: 
 
 Análise do fluxo do sistema 
 Identificação do arquivo a ser auditado 
 Entrevista com o analista /utilizador 
 Identificação do código / layout do arquivo 
 Elaboração do programa para auditoria 
 Cópia do arquivo a ser auditado 
 Aplicação do programa de auditoria 
 Análise dos resultados 
 Emissão de relatórios 
 Documentação 
 Seleção de registos (“a” que não está em “b”; “b” que não está em “a” ou 
que está em “a” e em “b”). 
 Contagem de registos. 
 Soma, cálculo da média, variância, desvio padrão, moda, mediana etc. 
 
Confirmação de dados 
 
 O método que consiste na confirmação dos dados armazenados em um 
arquivo, através de programas de computador, possibilitando verificar a 
veracidade dos mesmos. 
 
Análise de dados 
 
Análise de dados é um método que consiste na análise de arquivos através de 
programas de computador que poderão realizar, entre outras, as seguintes 
funções: 
 
 Seleção de registos; 
 Contagem de registos; 
 Soma, cálculo da média, variância, desvio padrão, moda, mediana, etc; 
 Construção de histogramas; 
 Análise horizontal = comparação entre campos de um mesmo registro; 
 Análise vertical = comparação de campos entre registros. 
 
 
Comparação de dados 
 
O método que consiste na comparação entre os registros de dois arquivos “a” e 
“b”, diferentes, através de programas de computador, com o objetivo de 
averiguar a existência de possíveis inconsistências que poderão realizar, entre 
outras, as seguintes funções: 
 
Centro Universitário Christus - Unichristus 3
 
 Particularmente, neste caso, deve-se utilizar as técnicas de análise de dados e 
de comparação de dados, de forma integrada e/ou complementar. 
 
 
 Segurança do centro de computação 
 Eficiência no uso dos recursos computacionais 
 
A técnica do questionário pode ser aplicada com outras técnicas: entrevistas, 
“visita in loco” entre outras. O questionário pode ser aplicado à distância, pois 
não necessita a presença física dos indivíduos envolvidos. 
Desta forma é possível que ocorra uma auditoria maior com menor número de 
auditores. 
 
A sequência básica de aplicação de questionários à distância é: 
 
 Analisar o ponto de controle e elaborar o questionário; 
Questionários 
 
Questionário é uma técnica de investigação composta por um número variado de 
questões com o objetivo de propiciar determinado conhecimento ao 
pesquisador. 
No contexto de auditoria informática corresponde à elaboração de um conjunto 
de perguntas com o objetivo de verificar um determinado ponto de controle do 
ambiente computacional. 
Esses aspectos permitem verificar a adequação do ponto de controle aos 
parâmetros de controle interno (segurança lógica, segurança física, obediência à 
legislação, eficácia, eficiência etc.). 
 
Dois aspectos são críticos na aplicação da técnica de questionário: 
 
 Características do ponto de controle; 
 Momento histórico empresarial ou objetivos da verificação do ponto de 
controle. 
 
Os objetivos de verificação do ponto de controle vão determinar a ênfase a ser 
dada ao parâmetro de controle interno. 
As características do ponto de controle têm agregada a natureza da tecnologia 
computacional e o correspondente perfil técnico do auditor que irá aplicar o 
questionário. 
Dessa forma, podemos ter questionários voltados para pontos de controle cujas 
perguntas guardarão características intrínsecas referentes a: 
 
 Segurança em redes computacionais 
 Eficácia de sistemas aplicativos 
Centro Universitário Christus - Unichristus 4
 
 Selecionar os profissionais auditados que deverão responder ao 
questionário; 
 Elaborar um conjunto de instruções de como responder às questões; 
 Distribuir/remeter o questionário para os profissionais selecionados; 
 Controlar o recebimento dos questionários respondidos; 
 Analisar as respostas às questões; 
 Formar uma opinião do ponto de controle auditado em decorrência das 
respostas obtidas; 
 Elaborar relatório de auditoria. 
 
Figura 1.1. Etapas de simulação de dados. Fonte: Magalhães (2011). 
 
 
 
Simulação de dados 
 
É a técnica aplicada para teste de processos computacionais. Corresponde à 
elaboração de um conjunto de dados de teste a ser submetido ao programa de 
computador ou a determinada rotina que o compõe, que necessita ser verificada 
em sua lógica de processamento. 
Evidentemente, uma vez comprovada a inadequação da lógica do processo 
auditado, podemos decidir pela correção de todos os resultados que forem 
gerados por aquela rotina irregular. 
 
Os dados simulados de teste necessitam prever situações corretas e situações 
incorretas de natureza: 
 
 Transações com campos inválidos; 
 Transações com valores ou quantidades nos limites de tabelas de cálculos 
 Transações incompletas; 
 Transações incompatíveis; 
 Transações em duplicidade. 
 
Centro Universitário Christus - Unichristus 5
 Analisar os papéis de trabalhos obtidos, avaliar respostas e a situação 
identificada; 
 Emitir opinião via relatório de fraquezas de controle interno. 
 
Essa técnica é aplicada em vários pontos de controle clássicos de auditoria de 
sistemas, como: 
 
 Inventário de volume de arquivos magnéticos (discos, fitas, disquetes, 
CDs, DVDs); 
 Inventário de insumos computacionais armazenados em almoxarifado 
(fitas e/ou cartuchoes de impressora, formulários); 
 Visita à sala de operação/utilização de computadores com o objetivo de 
verificar problemas de controle de acesso etc.; 
Algumas características para simulação de dados: 
 
 O auditor necessita conhecer computação em termos de análise de sistemas; 
 
 A documentação dos sistemas é deficiente, o que implica o auditor precisar 
atualizar ou complementar a documentação existente, principalmente no 
tocante a fluxos de informação e de programas. Muitas vezes a documentação 
existente compreende somente listagens de programas e fluxos ou sequência de 
execução de programas de produção; 
 
 A elaboração do ambiente de teste é complexa, particularmente em 
programas principais que manipulem grande quantidade de arquivos de entrada, 
saída e de trabalho. 
 
 
Visita in loco 
 
É a visita ao local onde as atividades efetivamente são realizadas para, juntoao pessoal responsável pela operação do sistema, determinar as práticas e rotinas 
utilizadas. 
Corresponde à atuação pessoal do auditor junto aos sistemas, procedimentos e 
instalações do ambiente computorizado. 
Normalmente, combina com outras técnicas de auditoria de computador, 
particularmente o questionário. A visita in loco implica o cumprimento dos 
seguintes procedimentos: 
 
 Marcar data e hora com o pessoal responsável que irá acompanhar as 
verificações, ou convocá-la no momento da verificação. 
 Anotar procedimentos e acontecimentos, coletar documentos, caracterizar 
graficamente a situação via elaboração de fluxo de rotinas e de layout de 
instalações. 
 Anotar nomes completos das pessoas e data/hora das visitas realizadas; 
Centro Universitário Christus - Unichristus 6
 
 Acompanhamento da rotina de backup de arquivos magnéticos (se todas as 
etapas são feitas de forma correta). 
 
 
 Mapeamento estatístico 
 
Esta técnica de computação que pode ser utilizada pelo auditor para efetuar 
verificações durante o processamento dos programas: 
 
 Rotinas não utilizadas; 
 Quantidade de vezes que cada rotina foi utilizada quando submetida a 
processamento de uma quantidade de dados. 
 A análise dos relatórios emitidos pela aplicação do mapeamento estatístico 
permite a constatação de situações: 
 Rotinas existentes em programas já desativadas ou de uso esporádico; 
 Rotinas mais utilizadas, normalmente a cada processamento do programa; 
 Rotinas fraudulentas e de uso em situações irregulares; 
 Rotinas de controle acionadas a cada processamento. 
 
Há necessidade de ser processado um software de apoio em conjunto com o 
processamento do sistema aplicativo, ou rotinas específicas deverão estar 
embutidas no sistema. 
 
 
Rastreamento de programas 
 
Permite seguir a execução do programa determinando todo o caminho que foi 
seguido por uma transação durante todo o processamento do programa a ser 
auditado. 
Seu principal objectivo é identificar as inadequações e ineficiência na lógica de 
um programa. 
Técnica que possibilita seguir o caminho de uma transação durante o 
processamento do programa. Durante a aplicação da técnica, a sequência de 
instruções executadas é listada. Dessa forma, obtemos os números das 
instruções segundo sua ordem de execução. Por exemplo 
 
 00001-00002-00003-001150-001151-001152- 90190-90191-90192- etc. 
 
Quando o teste de alimentação de determinada transação a um programa é 
realizado, podemos identificar as inadequações e ineficiência na lógica de um 
programa. 
Esta abordagem viabiliza a identificação de rotinas fraudulentas pela 
alimentação de transações particulares. 
 
 
Centro Universitário Christus - Unichristus 7
Análise de relatórios/telas 
 
Implica a análise de documentos, relatórios e telas do sistema sob auditoria no 
tocante a: 
 
 Nível de utilização pelo utilizador; 
 Esquema de distribuição e número de vias emitido; 
 Grau de confiabilidade do seu conteúdo; 
 Forma de utilização e integração entre relatórios/telas/documentos; 
 Distribuição das informações segundo o layout vigente. 
 
Implica no cumprimento das seguintes etapas: 
 
 Entrevista 
 
O método de trabalho que corresponde à realização de reunião entre o auditor e 
os auditados – profissionais e utilizadores envolvidos com o ambiente ou o 
sistema de informação sob auditoria. 
 
A sequência de procedimentos corresponde a: 
 
 Analisar o ponto de controle e planejar a reunião com os profissionais 
envolvidos. 
 Marcar antecipadamente a data, hora e local com os auditados bem como 
comunicar a natureza do trabalho a ser desenvolvido. 
 Elaborar um questionário para a realização da entrevista. 
 As questões devem ser divididas por parâmetro do controle interno, por área 
ou por assunto de processamento eletrônico de dados (PED). 
 Realização da reunião com aplicação do questionário e anotação das 
respostas e comentários dos entrevistados a cada questão efetuada. 
 Dependendo do nível de sensibilidade das questões, as reuniões devem ser 
individuais; 
 Os níveis hierárquicos das áreas auditadas devem ser respeitados, 
comunicando aos superiores a natureza das entrevistas com os subordinados. 
 Elaboração de uma ata de reunião com o registro dos principais pontos 
discutidos a cada questão apresentada. 
 Distribuir cópia da ata da reunião para cada participante da entrevista. 
 Análise das respostas e formação de opinião acerca do nível de controle 
interno do ponto de controle. 
 Emissão do relatório de fraquezas de controle interno. 
 A técnica de entrevistas é frequentemente usada com outras técnicas de 
auditoria, visita in loco, questionário, entre outros. 
 
 
Centro Universitário Christus - Unichristus 8
 
 Relacionar por utilizador todos os relatórios/telas/documentos que pertençam 
ao ponto de controle a ser analisado. 
 Poderá ser feita uma classificação desses relatórios para efeito de 
estabelecimento de prioridades na análise; 
 Obtenção de modelo ou cópia de cada relatório/documento/tela para compor 
a pasta de papéis de trabalho; 
 Identificação de ineficiência no uso do computador; 
 
 Apurar o problema de balanceamento da configuração do computador, pela 
caracterização de dispositivos (unidade de disco, fita magnética, impressora, 
terminais) que estão com folga ou sobrecarregados; 
 
 Elaborar um questionário para a realização dos levantamentos acerca dos 
relatórios/telas/documentos; 
 Marcar antecipadamente a data e hora com as pessoas que fornecerão opinião 
acerca dos relatórios; 
 Realizar as entrevistas e anotar as observações e comentários dos 
utilizadores; 
 Analisar as respostas, formar e emitir opinião acerca do nível de controle 
interno. 
 
Principais fraquezas a identificar: 
 
a) Relatórios/telas/documentos não mais utilizados; 
b) Layout inadequado; 
c) Distribuição indevida de vias; 
d) Confidencialidade não estabelecida ou não respeitada. 
 
Esta técnica é primordial para avaliação do parâmetro eficácia do sistema. As 
conclusões do trabalho, frequentemente, possibilitam redução de custo com a 
desativação total ou parcial de relatórios/telas/documentos. 
 
Análise de log/accounting 
O Log/Accounting é um arquivo, gerado por uma rotina componente do sistema 
operacional, que contém registros de utilização do hardware e do software que 
compõem um ambiente computacional. 
A tabulação destes arquivos Log/Accounting permite a verificação da 
intensidade de uso dos dispositivos componentes de uma configuração ou rede 
de computadores, bem como o uso do software aplicativo e de apoio. 
 
Tanto a rotina quanto o correspondente arquivo de Log/Accounting foram 
desenvolvidos para serem usados pelo pessoal de computação. 
 
Excelente ferramenta para a auditoria de sistema para: 
 
Centro Universitário Christus - Unichristus 9
 
 Determinação de erros de programas ou de operação do computador; 
 
 Descobrir o uso de programas fraudulentos ou utilização indevida do 
computador; 
 
 Captar tentativas de acesso indevido a arquivos, ou seja, por senhas não 
autorizadas. 
 O sistema de monitorização de uso de software e de hardware existente; 
 O layout dos registos gerados no arquivo log/accounting; 
 As opções possíveis de rotina de job/accounting; 
 O tempo de retenção do arquivo log/accounting. 
 
b) Decidir que tipos de verificações serão efetuados nos dados do arquivo de 
log com período de tempo que será contemplado, quando será efetuado o teste 
etc. 
 
 
O trabalho da área de computação sobre Log/Accounting deve gerar Indicadores 
de Qualidade (IQ) do monitoramento do computador, bem como estudos de 
planejamento de capacidade da configuração/rede de equipamentos, com a 
finalidade de obter maior rendimento do parque computacional dentro de um 
nívelde segurança adequado. 
 
O auditor poderá construir um software para auditoria de Log/Accounting, o 
qual trabalhará registos de: 
 
a) Contabilização 
 
 Quais utilizadores utilizam quais programas e por quanto tempo; 
 Identificação do utilizador, características do hardware necessário para 
trabalhar o “Job” (sequência de programas) e como o “Job” foi completado. 
 
b) Atividade dos arquivos 
 
 Quais arquivos de dados foram usados durante o processamento e que 
utilizador solicitou o uso do arquivo; 
 Registo: nome do arquivo, tamanho do registo, número de série do volume e 
utilizador do arquivo. 
 
 
Para esta técnica o auditor deverá: 
 
a) Entrevistar o pessoal de software básico e do planejamento e controle da 
produção para entender: 
 
Centro Universitário Christus - Unichristus 10
 
 
É importante ressaltar que esta técnica exige profundos conhecimentos técnicos 
por parte do auditor de sistemas. Entretanto, a análise visual do código fonte do 
programa auditado permite ao auditor: 
 
 Verificar se o programador cumpriu normas de padronização do código de 
rotinas, arquivos, programas; 
 
 Analisar a qualidade da estruturação dos programas; 
 
c) Elaborar e aplicar o programa de computador de auditoria de Log, ou utilizar 
a mecânica de análise do Log praticada pelos profissionais de computação; 
 
d) Analisar os resultados da tabulação do Log; 
 
e) Emitir opinião acerca da qualidade do uso do hardware e do software em 
determinado período de tempo. 
 
Existem dois tipos de Log: 
 
1. Aqueles que registam o uso da CPU, dos arquivos, da carga e do nível de 
utilização dos dispositivos computacionais. 
 
2. Log de transações, ou seja, um arquivo que regista todos os dados que foram 
processados/transmitidos. Este tipo de arquivos de Log é comum em ambiente 
“online” no qual todas as transações processadas ficam registradas em um 
arquivo - log de transações - para posterior uso ou análise. 
 
Análise do programa fonte 
Implica a análise visual do código fonte do programa de computador do sistema 
sob auditoria. 
O auditor de sistemas necessita assegurar-se de que está testando a versão 
correta do programa. O auditor pode verificar as instruções que efetivamente 
compõem o programa em linguagem de máquina executando os seguintes 
procedimentos: 
 
 Preencher uma ordem de serviço determinando à produção que compile o 
módulo fonte que está na biblioteca fonte; 
 
 Executar um programa (software específico) que compare o código objeto 
gerado com código objeto do programa que está em produção; 
 
 Fazer as devidas verificações no caso de divergência dos códigos 
comparados. 
Centro Universitário Christus - Unichristus 11
 
 
 Detectar vícios de programação e o nível de atendimento às características da 
linguagem de programação utilizada. 
 
Exibição parcial da memória “snapshot” 
Snapshot é o estado do sistema em um determinado ponto no tempo. 
Esta técnica fornece uma listagem ou gravação do conteúdo das variáveis do 
programa (acumuladores, chaves, áreas de armazenamento) quando determinado 
registo está sendo processado. A quantidade de situações a serem extraídas é 
pré determinada. 
 
Corresponde na realidade a um “dump” parcial de memória das áreas de dados. 
É uma técnica usada como auxílio à depuração de programas, quando há 
problemas e exige fortes conhecimentos de processamento eletrônico de dados 
por parte do auditor de sistemas. 
 
 
Ciclo PDCA (Plan DO Check and Action) 
É um ciclo de gestão a ser seguido para que seja feita a auditoria de forma mais 
organizada. 
Como podemos ver na figura 1.2, o ciclo PDCA abrange as seguintes etapas: 
Planear - Plan (P), Executar - Do (D), Verificar – Check (C) e 
Actuar – Action (A). 
 
 
Figura 1.2. Ciclo PDCA. Fonte: Cannon (2008). 
 
 
Apresenta as seguintes características: 
 
 Definir as metas (Planejar – P); 
 Definir os métodos que permitirão atingir as metas propostas (Planejar – P); 
 Educar e treinar (Executar – D); 
 Executar a tarefa – coletar dados (Executar – D); 
 Verificar os resultados da tarefa executada (Verificar – C); 
 Atuar corretivamente (Atuar – A). 
Centro Universitário Christus - Unichristus 12
 
1.2 FERRAMENTAS DE AUDITORIA DE SISTEMAS 
 
No processo de auditoria de sistemas é importante termos ferramentas que 
auxiliam o auditor de sistemas a alcançar os seus objetivos. Estas auxiliam na 
extração, sorteio, seleção de dados e transações, para a análise de 
discrepâncias e desvios. 
 
As ferramentas de auditoria podem ser classificadas em generalistas, 
especializadas e de uso geral (Teruel, 2010). 
 
 Como o processamento das aplicações envolve gravação de dados (arquivos) 
em separado para serem analisados, poucas aplicações podem ser feitas em 
ambiente on-line; 
 
 O software não consegue processar cálculos complexos, pois como se trata 
de um sistema generalista, não aprofunda na lógica e na matemática muito 
complexas. 
 
A seguir apresentamos as principais ferramentas generalistas: 
 
 
 
Softwares generalista de auditoria de tecnologia da informação 
 
Envolve o uso de software aplicativo em ambiente “batch”, que pode processar, 
além de simulação paralela, uma variedade de funções de auditoria e nos 
formatos que o auditor desejar. 
 
As vantagens de uso deste tipo de ferramentas são: 
 
 Pode processar vários arquivos ao mesmo tempo; 
 
 Pode processar vários tipos de arquivos com formatos diferentes, por 
exemplo EBCDIC (Extended Binary Coded Decimal Interchange Code) ou 
ASCII (American Standard Code for Information Interchange); 
 
 Poderá também fazer uma integração sistémica com vários tipos de 
softwares e hardwares; 
 
 Reduz a dependência do auditor do especialista de informática para 
desenvolver aplicativos específicos para todas as auditorias de sistemas de 
informação. 
 
As desvantagens são: 
 
Centro Universitário Christus - Unichristus 13
 
 Data Extraction & Analysis) 
software para extração e análise de dados também desenvolvido no 
. 
a amostra ou extrato de 
praticamente qualquer fonte – desde um 
 (Personal Computer), incluindo relatórios impressos em 
 
o sítio Web de IDEA, podem ser citadas: 
 Não há limite para o número de registos que a IDEA pode processar; 
 
 Compara, junta, acrescenta, e conecta diferentes arquivos de diversas fontes. 
 
 
Audimation 
É a versão norte-americana do IDEA, da Caseware-IDEA, que desenvolve 
consultoria e dá suporte para o produto. 
O Audimation ajuda profissionais de contabilidade e da área financeira a 
aumentar suas capacidades analíticas de auditoria, detectar fraudes e atender aos 
padrões de documentação. Permite importar rapidamente, juntar, analisar, a 
amostra e extrair dados de quase qualquer fonte, incluindo relatórios impressos 
ACL (Audit Command Language) 
 
É um software de extração e análise de dados desenvolvido no Canadá; 
O sistema foi criado e é fornecido pela empresa canadense ACL Business 
Assurance. É uma das ferramentas mais modernas para extração de 
informações de banco de dados, tratamento e análise, visando detectar erros e 
riscos gerais do negócio associados a dados transacionais incompletos, 
imprecisos e inconsistentes. O diferencial em relação a softwares como Excel e 
Access é que a ACL pode trabalhar com grandes volumes de transações 
distribuídas em diversas operações e em sistemas diferentes. 
 
 
IDEA (Interactive
 
É um 
Canadá
O IDEA pode ler, exibir, analisar e manipular 
arquivos de dados a partir de 
mainframe até um PC
um arquivo.
 
Dentre as vantagens, segundo 
 
 Cria um registo de todas as alterações feitas em um arquivo (banco de dados) 
e mantém uma trilha de auditoria ou registo de todas as operações, incluindo a 
importação e todos os testes de auditoria, realizadas na basede dados; 
 
 Cada entrada é identificada com o ID de utilizador a partir do login do 
Windows; 
 Permite importar e exportar dados em uma variedade de formatos, incluindo 
formatos para computadores de grande porte e software de contabilidade; 
 
 Pode ler e processar milhões de discos em poucos segundos; 
 
Centro Universitário Christus - Unichristus 14
 
 Apresenta resultados em gráficos coloridos com alta resolução; 
 
 Produz relatórios sensíveis ao contexto e popula automaticamente 
documentos MS Office com base em relatórios de auditoria e formulários; 
em um arquivo. Este possui recursos para detectar fraudes, avaliar riscos, testar 
controles internos em conformidade com as políticas internas e 
regulamentações. 
 
Segundo o sítio Web da AUDIMATION, essa ferramenta disponibiliza uma 
interface com o utilizador projetada com assistentes para funções-chave. É 
baseada em características do padrão Windows, o que significa que não precisa 
ser um técnico especializado para obter resultados. 
 
 
Galileo 
É um software integrado de gestão de auditoria. Inclui gestão de riscos de 
auditoria, documentação e emissão de relatórios para auditoria interna; 
 
É um gestor de auditoria integrada, desenvolvido pela Risk & Assurance, uma 
empresa prestadora de serviços de auditoria interna. 
O Galileo disponibiliza um sistema de documentação e informação que pode ser 
adaptado às necessidades específicas de uma auditoria interna, investigações, 
conformidade com as leis etc. 
 
O Teruel (2010) citando o sítio Web da GALILEO, afirma que essa ferramenta 
oferece uma metodologia baseada em auditoria completa dos riscos e cobre: 
 O planejamento estratégico anual, que garante orientação das áreas de alto 
risco, mantendo a cobertura; 
 
 Atividade de monitoramento e garantia de que problemas sejam 
identificados e atendidos com a maior brevidade; 
 
 Levantamentos de auditoria para obter um feedback sobre o processo de 
auditoria, indicadores de desempenho e gestão de informações para todas as 
atividades realizadas pelo departamento. 
 
 
Pentana 
É um software de planejamento estratégico da auditoria, sistema de planejamento 
e monitoramento de recursos, controle de horas, registro de checklists e 
programas de auditoria, inclusive de desenho e gestão de plano de ação. 
 
O sítio Web da PENTANA, afirma que as principais características dessa 
ferramenta são: 
 
Centro Universitário Christus - Unichristus 15
 
Programas utilitários 
 
Segundo Magalhães (2011) existem softwares, embora não específicos para 
atividade de auditoria, que também são utilizados com esse propósito, sendo 
possível citar como exemplos as planilhas electrónicas, como excel, softwares 
de gestão de base dados, como Acess e MySQL, ferramentas de Business 
Intelligence, como Business Objects, softwares estatísticos entre outros. 
 
Nesta caso, o auditor utiliza softwares utilitários para executar funções muito 
comuns de processamento, como ordenar arquivo, sumarizar, concatenar, gerar 
relatórios. 
 Gera relatórios em tempo real em todas as linhas de negócios; 
 
 Proporciona acesso simultâneo a todos os trabalhos de auditoria para revisão 
do auditor líder para que ele possa gerir e aprovar sem a necessidade de 
transferência do documento; 
 
 Possui conformidade com padrões internacionais de análise de riscos e 
auditoria; incluindo Sarbanes-Oxley, AS/NZS 4360, Basiléia II e COSO; 
 
 Substitui planilhas pesadas por um robusto e flexível sistema de banco de 
dados, escalável e facilmente acessível. 
 
 
Softwares especialistas de auditoria 
 
Consistem em programas desenvolvidos especificamente para certas tarefas em 
certas circunstâncias. As vantagens de uso destas ferramentas são: 
 
 Pode atender sistemas ou transações não contempladas por softwares 
generalistas; 
 
 O auditor, quando consegue desenvolver softwares específicos numa área 
muito complexa, pode utilizar isso como vantagem competitiva. 
 
As desvantagens são: 
 
 Pode ser muito caro, pois terá uso limitado e normalmente restrito a 
determinado cliente; 
 
 Atualização pode ser complicada devido a falta de recursos que 
acompanhem as novas tecnologias. 
 
 
Centro Universitário Christus - Unichristus 16
 
 
 Acesso a relatórios que mostram o nível de acesso aos computadores, tais 
como horários de logins e logouts. 
 
A seguir são apresentados alguns desses softwares: 
 
 
Suíte Trauma Zer0 
O Suíte Trauma Zer0, desenvolvido pela empresa gaucha iVirtua Solutions, é 
uma solução para gestão de redes. 
Possui recursos para realizar descoberta de software e tipos de arquivos, 
A principal vantagem dessa ferramenta é: pode ser utilizado como alternativa na 
ausência de outros recursos. A desvantagem é: sempre necessitará do auxílio do 
funcionário da empresa auditada para operar a ferramenta (no caso de 
ferramentas complexas, como bancos de dados). 
 
 
Softwares de controle de atividades de funcionários 
 
Enquanto os softwares apresentados anteriormente são utilizados principalmente 
na auditoria financeira, contábil e fiscal, há softwares específicos para auxiliar 
na auditoria, principalmente no que diz respeito à segurança da informação. 
 
Esses softwares são utilizados para controlar as atividades dos funcionários e 
permitem a gestão da rede e comunicações. Eles ajudam a evitar que a empresa 
seja lesada através de espionagem industrial, da engenharia social, de 
colaboradores enviando currículos e mantendo contato com a concorrência, ou 
mesmo com envio displicente de informações estratégicas da empresa, que nas 
mãos da concorrência podem causar prejuízos irreparáveis. 
 
Os principais serviços oferecidos por esses softwares são: 
 
 Rastreamento e registo automático tanto de mudanças de localização como de 
configuração para dispositivos como alertas de mudanças, criando um rastro 
preciso; 
 
 Auditoria das máquinas de utilizadores remotos através de qualquer conexão 
IP; 
 
 Base de dados aberto compatível com ODBC (Open Database Connectivity) 
que permite fácil exportação dos dados de auditoria para outras soluções 
complementares; 
 
 Criação de regras de notificação para quando o sistema de um computador 
com agente for alterado, tanto na parte de Hardware quanto de software; 
Centro Universitário Christus - Unichristus 17
 
rastreamento de localização física de recursos, categorização de utilização de 
software, auditoria remota, comunicação e acesso seguros, bloqueio de 
aplicações e URL etc. 
 
Dentre os recursos dessa ferramenta destaca-se o que permite auditar a máquina 
de utilizadores remotos através de qualquer conexão IP (conexão remota à rede, 
VPN (Virtual Private Network), Internet discada etc.). 
 
De forma imperceptível ao utilizador, o Tz0 E-mail Sondas, um módulo do 
Suite Trauma Zer0, monitora todas as mensagens que circulam pela rede da 
empresa. Através de condições ligadas às ações, é possível filtrar, por exemplo: 
assuntos, textos, pessoas, e documentos referenciados no título, no corpo da 
mensagem, e até mesmo dentro de anexos, dentre diversos outros cenários. O 
Tz0 E-mail Sondas age integrado com o sistema operacional, permitindo que e-
mails assinados e encriptados (com qualquer tecnologia) sejam monitorados 
como os demais, em um processo impossível de ser burlado. 
 
 
MailDetective 
Segundo o sito Web da HENIQ, o MailDetective é um software desenvolvido 
pela empresa russa AdvSoft e comercializado no Brasil pela empresa HENIQ 
NET. 
É uma ferramenta utilizada para o monitoramento do uso do correio eletrônico 
na organização. Ele analisa os registos de utilização (arquivos log) do servidor 
de correio eletrônico, fornecendo relatórios de utilização, mensagens enviadas 
e recebidas e volume de tráfego (inclusive por utilizadores e endereços de 
destinatários). 
 
OMailDetective permite controlar o percentual de e-mails pessoais e 
profissionais, identificar quem são os interlocutores dos funcionários, estimar o 
tráfego de e-mails gerado por cada utilizador e criar relatórios para intervalos de 
tempo específicos. 
 
A HENIQ.NET também comercializa o WebSpy, uma solução que oferece 
análises detalhadas, monitoramento e relatórios a respeito da utilização da 
Internet e e-mail, individualmente, por departamentos ou toda organização. 
WebSpy oferece também soluções para captura de dados completos e alerta em 
tempo real. 
 
 
Velop Escudo 
A Inova desenvolve e fornece sistemas de e-mail e colaboração, auditoria no 
tráfego de e-mails e produtos que agregam valor a conectividade para empresas, 
provedores, e operadoras de celular. Possui uma ferramenta para realizar 
auditoria no tráfego de e-mails que permite auditar, controlar, proteger e 
monitorar em tempo real os utilizadores de e-mail. 
Centro Universitário Christus - Unichristus 18
 
EXERCÍCIOS 
 
1) Diga para que servem os programas de auditoria e em que consiste a 
simulação paralela 
2) Em que consiste o questionário de uma auditoria informática? 
3) O que entende por simulação de dados? 
4) Liste quatro técnicas de auditoria informática. 
5) O que é e para que serve o ciclo PDCA? 
Permite um monitoramento on-line, dando uma melhor visibilidade na utilização 
dos e-mails. 
 
Segundo o sítio Web da INOVA, essa ferramenta é importante para evitar perda 
de produtividade, bloquear as malas diretas (spam), prevenir ataques de vírus, 
prevenir interrupções nos negócios e congestões na rede, racionalizar recursos 
de computação, minimizar o risco potencial de infrações legais e de 
ações judiciais no trabalho, acompanhar e quantificar os resultados em tempo 
real, controlar e fazer cumprir a política de e-mail da empresa e limitar o abuso 
do e- mail (por exemplo, arquivos de áudio, vídeo, executáveis etc.). 
 
 
MailMarshal Exchange e IQ.Suite for Domino 
O MailMarshal Exchange é uma solução comercializada pela Gaia Informática, 
que monitora e controla a troca de mensagens interna de corporações que 
utilizam o Microsoft Exchange 2003/2000, auxiliando na garantia de um 
ambiente de trabalho seguro e produtivo, na implementação de Políticas de Uso 
Aceitável (AUP), e na proteção contra spams e vírus. 
A Gaia comercializa também o Q.Suite for Domino, uma solução que 
disponibiliza a funcionalidade de segurança e gestão para uma implementação 
de estratégias de ciclo de vida de e-mails. Desde criptografia, proteção contra 
vírus, e filtro de conteúdo, até classificação e armazenamento, os e-mails são 
submetidos a todos estes processos em uma única plataforma, sem alterar o seu 
ciclo de vida. 
Outra solução comercializada pela Gaia Informática é o WebMarshal, um 
software para controlar o acesso dos funcionários à Internet: combinando filtro 
de URL, antivírus, antispyware, controle de conteúdo e gestão de produtividade 
em uma única solução, de fácil gestão. Segundo o sítio Web da GAIA, 
WebMarshal permite a implementação de políticas de segurança, e uso aceitável 
da Internet a partir do gateway corporativo, provendo um ambiente de trabalho 
seguro e eficiente. 
WebMarshal permite controlar o acesso dos funcionários ao conteúdo 
inapropriado, gerir o uso pessoal da Internet por parte dos funcionários e 
proteger a organização contra vírus, spyware e outras formas de código 
malicioso. 
 
 
6) Classifique as ferramentas de auditoria e liste as vantagens de uma delas 
Centro Universitário Christus - Unichristus 19
 
 
 
 
 
CAPÍTULO II – TÉCNICAS DE AUDITORIA DE SISTEMAS 
 
 
OBJETIVOS ESPECÍFICOS DO CAPÍTULO 
 
No final deste capítulo o estudante deverá ser capaz de: 
 
 Compreender os mecanismos de controle ao nível da entidade auditada; 
 Compreender a anatomia de um desastre e formas de sua recuperação; 
 Compreender as técnicas de auditoria de várias categorias de sistemas; 
CONTROLE AO NÍVEL DA ENTIDADE 
 Analisar a estrutura organizacional para compreender se esta fornece uma 
clara distribuição de poderes e responsabilidades nas operações efetuadas. A 
 
 
 
2.1. 
 
Para garantir a uniformidade de controle interno, é necessário estabelecer e 
promover uma visão generalizada dos elementos envolvidos na organização. 
Avalia-se detalhadamente as atividades ao nível de processos, neste caso é 
necessário também levar em consideração as aplicações menos tangíveis, mas 
indispensáveis no processo em geral. 
 
Segundo Santos e tal. (2008), os controles de entidade podem/devem estender-
se a todas as áreas da organização de forma a obter um melhor resultado. Um 
dos constrangimentos que o auditor se depara neste item é a definição do que 
deve ou não ser considerado uma entidade, isso depende de organização para 
organização. 
Uma estrutura organizacional mal definida pode levar a uma indefinição das 
responsabilidades e/ou das funções causando falhas em algumas atividades que 
poderão ser executadas de forma redundante ou suprimida. 
 
Para melhor definir quais os controles de entidade a aplicar às entidades da 
organização, são indicados a seguir alguns controles que o auditor deverá ter em 
conta (Champlain, 2003): 
 
Centro Universitário Christus - Unichristus 20
 
 
 Analisar os processos de avaliação de riscos inerentes às TIs. Sem esta 
avaliação a organização desconhece os riscos que corre para atingir os seus 
objetivos. A tomada de consciência destes riscos deverá influenciar a 
tomada de decisões para atenuar esses mesmos riscos. 
 
 Avaliar processos para se assegurar que os colaboradores da organização 
têm as competências e o conhecimento necessários à execução das suas 
funções. Colaboradores indevidamente preparados e qualificados vão ter uma 
influência negativa sobre o desempenho das TIs na organização. 
indefinição destas funções pode levar ao aparecimento de atividades 
fraudulentas. 
 
 Analisar o planejamento de processos para ter a certeza de que estes vão ao 
encontro dos objetivos da organização. Ao reavaliar estes processos o 
auditor está a monitorar se estes convergem de acordo com o plano 
estratégico da organização. 
 
 Avaliar se as tecnologias e as aplicações existentes assim como o 
manuseamento das mesmas estão a evoluir de acordo com um plano 
estratégico de longo prazo. A área das tecnologias de informação é uma área 
em rápida e constante evolução, pelo que é necessário que as organizações 
tenham planos de mudança para compreender antecipadamente as suas 
necessidades. 
 
 Avaliar indicadores de desempenho e comparar com os Service Level 
Agreements (SLAs) (em português pode traduzir-se para níveis de aceitação 
do serviço) existentes para cada processo na área das TI (Tecnologia de 
Informação). As TIs são a base de muitos processos existentes nas 
organizações e se não existirem medidores de desempenho e SLAs 
adequados é difícil determinar se a infraestrutura de TI está a dar uma boa 
resposta às necessidades impostas. 
 
 Verificar os processos existentes de forma a estabelecer necessidades e 
prioridades para novos projetos. Esta verificação e atribuição de prioridades 
devem ser feitas de uma forma estruturada para que os recursos sejam 
disponibilizados de forma eficiente satisfazendo as necessidades e objetivos 
estabelecidos. 
 
 Avaliar normas de decisão da execução de projetos na área das TIs 
garantido a boa qualidade dos produtos adquiridos pela organização. 
 
 Garantir que as políticas de segurança existentes são eficazes e aplicadas 
corretamente, para isso é importante definir mecanismos que garantam o 
conhecimento e o cumprimento das mesmas dentro da organização. 
Centro Universitário Christus - Unichristus 21
 
 
 
 Analisar e avaliar os processos de controle sobre os acessos remotos 
efetuados à organização.Ao disponibilizar este tipo de acessos, a rede da 
organização alarga-se para além do perímetro normal de funcionamento. Este 
tipo de acessos deve ser alvo de uma especial atenção, porque o uso indevido 
dos mesmos pode levar ao comprometimento da segurança na rede. 
 
 Analisar as políticas e processos de atribuição de responsabilidades sobre 
os dados da empresa com os quais cada colaborador vai lidar. A classificação 
correta dos dados, a sua proteção de acordo com a importância e ainda a 
definição do seu ciclo de vida, leva a uma racionalização dos custos 
necessários à manutenção e à prevenção de extravio. 
 
 Assegurar que existem processos eficazes que obrigam ao cumprimento 
das regras existentes para a área das TIs. 
 
 Analisar, avaliar e criar processos que garantam que os utilizadores 
tenham a capacidade de reportar os problemas encontrados na execução das 
suas tarefas de interação com as TIs. Estes utilizadores devem estar em 
consonância com as decisões tomadas nesta área e satisfeitos com o serviço 
prestado pela mesma. 
 Avaliar processos de gestão de serviços prestados por outras organizações 
na área das TIs, garantido que as suas funções e responsabilidades estão 
claramente definidas. 
 Analisar e avaliar acessos efetuados por organizações externas ao SI 
(Sistema de Informação). Estes acessos estão normalmente associados ao 
suporte de alguns serviços na área das TIs. Tratando-se de entidades externas 
à organização estas podem não conhecer ou não compactuar com as políticas 
da organização colocando em risco o seu bom funcionamento. 
 Avaliar os processos que garantam que a organização tenha as licenças de 
software regularizadas. A facilidade com que um colaborador pode copiar um 
software a partir da Internet ou de qualquer tipo de suporte de 
armazenamento de dados é imensa. Para prevenir é necessário que exista uma 
listagem das licenças válidas na organização e efetuar uma procura de 
software não listado numa amostra de computadores permitindo assim avaliar 
todo o universo da empresa. Em caso de falha os processos devem ser 
novamente revistos. 
Centro Universitário Christus - Unichristus 22
 
ERAÇÃO DE 
Tipos de Desastre 
 
Os desastres podem ter as mais diversas origens, embora estas se enquadrem 
 Assegurar que os processos de contratação e cessação de serviços são 
claros e estão de acordo com o objecivo dos mesmos. A falha num destes 
processos pode levar a que a organização seja alvo de acessos indevidos e 
abuso de privilégios que podem comprometer a segurança da informação. 
 
 Avaliar as políticas de gestão que controlam as mudanças e aquisições de 
hardware. Esta gestão deve monitorar os movimentos do hardware e também 
prevenir a acumulação de recursos desnecessários e alocação ou aquisição de 
novos onde estes são mais necessários. 
 
 Assegurar o controle e a gestão de configurações de todos os SIs de acordo 
com as mudanças efetuadas na estrutura de forma a evitar 
indisponibilidades. 
 
 Garantir que os meios de transporte, armazenamento e reutilização e 
eliminação de dados sejam efetuados de acordo com as políticas da 
organização. Os dados de uma Organização são vitais para a sua 
sobrevivência, a sua perda ou extravio pode ter graves consequências. 
 
 Verificar se os processos de monitorização e planeamento de mudanças 
dos processos na área das TIs vão ao encontro das políticas e necessidades da 
organização. 
 
 
2.2. CENTROS DE DADOS E RECUP
DESASTRES
 
Anatomia de um Desastre 
 
Todo cuidado é pouco no que diz respeito às tecnologias de informação 
envolvidas numa organização. Nas organizações podemos encontrar servidores 
de base dados, de aplicações, de ficheiros entre outros. Para um pleno 
funcionamento desses servidores é imprescindível a segurança dos mesmos, ou 
seja, deve-se garantir a segurança lógica e física. Neste caso, o não cumprimento 
da segurança pode originar desastres. 
Tavares et al. (2003), afirma que um desastre consiste num acontecimento 
imprevisto que origina perdas e dificuldades à organização, afetando 
significativamente, de forma negativa, a sua capacidade para executar serviços 
essenciais. 
A quantidade de possibilidades de concretização destes acontecimentos 
encontra-se em paralelo na variedade das formas como os danos são produzidos. 
 
Centro Universitário Christus - Unichristus 23
 
tipicamente no seguinte conjunto (Tavares et al., 2003): 
 
 Fenômenos ou outras causas naturais (ventos ciclónicos, terremotos, 
inundações, etc.); 
 Incêndios; 
 Explosões; 
 Falhas de energia; 
 Falhas mecânicas; 
 Falhas infraestruturais; 
 Distúrbios sociais (tumultos, manifestações, guerras, etc.); 
 Erros humanos; 
 Crimes; 
 Acidentes biológicos ou químicos; 
 Impactos de veículos terrestres/aéreos/navais. 
O objetivo da criação de um plano de recuperação ou continuidade do negócio 
é, então, o de garantir que a recuperação das funções críticas da organização 
ocorra de forma suficientemente rápida, de modo a garantir que a sua 
 
 
Cronologia 
 
Um incidente não resulta automaticamente ao desastre, é preciso avaliar as 
consequências do tal incidente. Muitos dos casos provocam apenas um pequeno 
período de indisponibilidade, ou seja uma emergência. Por exemplo, a 
indisponibilidade de sistema por motivo de manutenção do mesmo, trata-se de 
emergência. 
Um desastre resulta de um incidente que afete a capacidade da organização em 
realizar as atividades de suporte aos seus processos críticos, durante um 
período superior ao limite máximo tolerado pelas funções do negócio (Tavares 
et al., 2003): 
 
O ideal é termos um sistema que funciona 24 horas por dia, mas por inércia 
pode ocorrer um desastre. Neste processo, vários sistemas da organização ficam 
inoperacionais. Por exemplo, quando há falhas de sistema de um servidor de 
endereços IP, ou simplesmente servidor DHCP, nesta situação não há 
comunicação na organização. 
 
Uma vez ocorrido o desastre, o principal objetivo do negócio será, então, o de 
retomar todas as suas atividades críticas o mais rapidamente possível, o que 
acontecerá no período de recuperação. 
 
A figura 2.1. apresenta o esquema do desenrolar cronológico de um acidente, 
representando as várias fases: perda de funções críticas, declaração de desastre, 
recuperação das funções críticas e regresso à normalidade. 
 
Centro Universitário Christus - Unichristus 24
 
 
viabilidade não seja comprometida. 
 
 Naturais: acontecimentos meteorológicos, inundações, sismos ou incêndio; 
 
 Causadas pelo homem: tais como atos terroristas, roubo, sabotagem; 
 
 Causadas devido ao ambiente que rodeia o centro de dados, tais como 
temperaturas extremas ou umidade; 
 
 Falha de utilitários como a eletricidade ou telecomunicações. 
 
O auditor deve analisar o ambiente do centro de dados ou seja a vizinhança do 
 
Figura 2.1. Fases de um desastre. Fonte: Tavares et al. (2003). 
 
 
É extremamente importante manter a disponibilidade dos sistemas de 
informação, podendo funcionar 24 horas por dia e 7 dias por semana. Além de 
manter os serviços sempre a funcionar, a segurança da informação também é 
uma preocupação. 
 
Segundo Santos et al. (2008), centros de dados representam uma boa resposta, 
uma vez que estes garantem um ambiente seguro o que minimiza as 
possibilidades de surgir uma quebra de segurança. Um centro de dados deve, 
portanto, seguir e manter altos padrões de segurança de forma a garantir a 
integridade e a funcionalidade dos seus servidores e dos serviços mantidos por 
estes. 
 
O objetivo de um centro de dados é hospedar os sistemas de informação que 
são críticos para a organização. Estes sistemas são constituídos pelo hardware e 
software (sistema operacionais e aplicações) e estes podem ser afetados por todo o 
ambiente que os rodeiam (rede, edifícioetc). As maiores ameaças que podem 
surgir são (Champlain, 2003): 
 
Centro Universitário Christus - Unichristus 25
 
centro de dados. A meta a atingir será identificar as ameaças mais críticas que 
poderão surgir; para conseguir o auditor deverá seguir as seguintes 
recomendações (Santos et al., 2008): 
 
 A orientação do edifício, sinalização, vizinhança, iluminação externa, 
perigos ambientais e a proximidade com serviços de emergência. 
 
 Verificar se existem limites e controle na proximidade de veículos e 
entrada de pessoas no edifício, o recinto externo deverá ter barreiras para os 
veículos. As barreiras deverão também limitar os acidentes ou ataques com 
carros bomba. 
 
 A sinalização não deverá existir, pois os centros de dados devem ser 
anônimos, longe das vias de comunicação principais e sem serem (ou 
evitarem ser) visíveis, i.e., passarem despercebidos. 
 
 Vizinhança, aqui a questão é, que entidades estão localizadas na zona do 
edifício. Estão perto do edifício? A que tipo de serviços/produtos estão 
associados? O fato de estar perto de uma fábrica ou armazém, por exemplo, 
pode aumentar o risco do centro de dados ser afetado por fugas de materiais 
venenosos ou incêndios. O ideal seria um edifício só para esse efeito e 
isolado. 
 
 Outra situação a analisar é a iluminação exterior. Uma iluminação 
adequada pode evitar crimes e mesmo que as pessoas vagueiem por perto. 
Edifícios críticos devem ter muros/vedações e o seu perímetro ser bem 
iluminado e com uma boa intensidade de modo a permitir boa visibilidade a 
uma distância razoável. 
 
 O edifício deve estar preparado para lidar com inundações, mais uma vez 
evitar áreas de risco além de evitar que o piso de entrada no edifício esteja ao 
nível do solo. Deve igualmente evitar colocar um centro de dados em áreas 
com elevado risco de sismos ou de tempo inconstante, que permita 
tempestades e furacões. Aconselhável, como já se referiu, é localizar o centro 
de dados numa área que seja possível um rápido socorro pelos serviços de 
emergência. 
 
 Existem muitos acessos a informação crítica e acidentes no centro de 
dados devido a um deficiente controle ao acesso do mesmo. Logo a forma 
como é feito o controle e identificação das pessoas que acedem ao centro de 
dados é fundamental. Podemos identificar os seguintes mecanismos de 
controle de acesso: portas e paredes exteriores; procedimento de acesso; 
mecanismos de autenticação física; seguranças e outros usados para proteção 
de zonas específicas e sensíveis. 
 
Centro Universitário Christus - Unichristus 26
 
 
 Fontes de alimentação redundantes alimentadas partir de duas ou mais 
centrais eletricas; 
 
 Ligação à terra para escoar excessos de corrente; 
 
 Transformadores para controlar picos de tensões eléctricas; 
 
 UPS (nobreak) para garantir corrente por períodos curtos; 
 
 A primeira linha de defesa são as paredes e portas usadas na construção do 
edifício, logo os auditores têm que analisar de forma aprofundada se estas 
protegem contra intrusão. As paredes devem ser feitas de cimento e 
reforçadas com aço. O auditor deve ter especial atenção às condutas de ar 
condicionado e de cabeamento e verificar se estão devidamente protegidas 
contra tentativas de acesso ao centro de dados. 
 
 Devem ser usadas armadilhas do tipo corredores, onde há uma porta de 
entrada onde se deve autenticar, quando entra a porta fecha-se. Apresenta-se 
então outra porta, onde a pessoa terá de autenticar-se novamente, se não 
conseguir fica presa no corredor. 
 
 Para autenticação da pessoa devem-se usar tecnologias como cartões 
magnéticos, biometria, leitores de impressões digitais, leitura da íris, cartões 
de proximidade (usando o raio frequência para autenticação) etc. O auditor 
deve validar os registos dessas entradas, que além da identificação das 
pessoas que entraram, deve verificar horas de entrada, sítio onde entrou e se 
houve falhas na autenticação. 
 
 
 Como é sabido, os computadores e material de informática requerem 
condições ambientais específicas para o seu funcionamento, como a 
temperatura e umidade. O auditor deve verificar o aquecimento, ventilação e 
o ar condicionado e garantir que se conseguem manter temperaturas 
constantes. Há que ter em atenção a umidade, se for alta pode corroer os 
aparelhos, por outro lado se for baixa pode causar o aparecimento de 
eletricidade estática. 
 
 Deverá analisar também se existe proteção electrônica dos equipamentos 
que impeçam a ocorrência de interferências magnéticas/eletricas. 
 
Os sistemas de informação necessitam de alimentação eletrica contínua e 
limpa (sem picos de tensão). Os centros de dados usam diferentes tipos de 
controles para garantir esse tipo de alimentação eletrica: 
 
Centro Universitário Christus - Unichristus 27
 
 
 Também no que diz respeito á umidade, deverá ser verificada através 
de sensores. Os sensores de umidade devem ser configurados de modo 
que enviem alertas para as pessoas que estarão de prevenção. Mais uma 
vez, cabe ao auditor verificar que estes alarmes estão colocados no local
correto. 
 
 Devido ao grande risco de incêndios num centro de dados, este deverá 
possuir um sofisticado sistema de prevenção contra incêndios, baseado 
na construção do edifício, na existência de extintores nos pontos-chave, e 
lidar eficazmente com materiais perigosos. 
 Geradores para produzirem energia eletrica na existência de falhas mais 
prolongadas da energia pública. 
 
 
Os centros de dados devem estar equipados com diversos tipos de alarme que 
permitam monitorar e evitar o acesso aos sistemas, incêndios, água, temperatura 
e umidade. 
 
Provavelmente o alarme mais importante será o que impede o acesso físico ao 
centro de dados, para isso podemos ter sensores em locais estratégicos e nas 
portas e entradas. Poderemos ter também detectores de movimento, sensores por 
contato, por exemplo nas portas e janelas, e áudio sensores que detectam 
quebra de vidros, por exemplo, e outras alterações ao nível do ambiente sonoro 
normal. 
 
Quanto aos sensores de incêndio o auditor poderá ter que analisar: 
 
 Sensores de calor – que são ativados quando se atinge determinada 
temperatura; 
 
 Sensores de fumaça – ativados assim que seja detetado fumaça; 
 
 Sensores de chamas – ativados quando acusam energia de infravermelhos 
ou a propagação de uma chama. 
 
 
Outras recomendações: 
 
 Os sensores de calor e fumaça são os mais comuns. Quando o auditor 
proceder à auditoria dos sensores deve verificar o tipo usado, a sua 
colocação, a manutenção dos registos e os procedimentos de testes. Estes 
devem ser colocados em locais estratégicos e lógicos, sensores de água 
para assim tentar evitar inundações. Neste caso o auditor deverá detectar 
e se necessário indicar locais onde estes sensores devem ser colocados. 
Centro Universitário Christus - Unichristus 28
 
 
 
 O auditor nesta situação deve verificar as portas e paredes (não devem 
deixar passar o fogo para outras divisões), verificar a localização e a 
validade dos extintores. Se necessário poderá efetuar testes. 
 
 A maior parte dos centros de dados possuem vigilância por vídeo, mas 
poderão ter também vigilância áudio ou uma combinação dos dois. O 
auditor tem que validar a qualidade do vídeo/som, a posição da câmera e 
o arquivo do vídeo/som. 
 
 As tarefas a executar no centro de dados devem ter procedimentos, 
políticas e planos bem definidos e cumpridos. Deve estar documentado 
quem tem acesso, ao que tem acesso e procedimentos de segurança e de 
emergência a seguir. As áreas que deverão ter processos bem definidos 
são: o acesso físico, a monitoração do edifício, funções e 
responsabilidade do pessoal, os deveres de cada pessoa, a forma de 
responder a desastres e emergências, a manutenção do edifícioe do 
equipamento, planeamento da capacidade do centro de dados e a 
coordenação/gestão do centro de dados. O auditor deverá verificar todos 
estes procedimentos e verificar na prática, por exemplo através de 
registros, que estes estão a ser cumpridos. 
 
 Qualquer centro de dados que cumpra todas as regras e procedimentos, 
está sempre sujeito a desastres naturais ou humanos. Anteriormente foi 
analisada a forma de prevenir desastres, mas se estes acontecem como 
proceder? Analisam-se em seguida as formas de recuperação de 
desastres, sistemas com redundância, cópia e restauração de dados 
(backup e restore), plano de recuperação de desastres. 
 Os centros de dados devem possuir sistemas redundantes, de forma a 
recuperar-se rapidamente de problemas. Exemplos de redundância são os 
sistemas de discos em RAID e mais do que uma fonte de alimentação. O 
auditor deverá validar que os componentes críticos do sistema possuem 
redundância. Em situações em que os sistemas são muito críticos, onde 
não é permitido nenhum tempo de espera para recuperação de avarias, 
deve-se ter redundância dos sistemas em localizações diferentes. 
 A cópia de dados dever ser realizada regularmente, e deve ser validada, 
para assegurar que não houve falhas na cópia. Devido a tarefas críticas, 
devem ter associado um procedimento que deverá ser sempre seguido. O 
auditor deve começar por validar os referidos procedimentos (de cópia e 
restauração de dados), depois deverá verificar que a periodicidade de 
execução da cópia de segurança é a ideal para determinado sistema 
(sistemas críticos devem ter uma periodicidade menor). Deverá ser 
validada o tempo de armazenamento das cópias. O auditor poderá 
solicitar que se efetue um teste de recuperação de dados, validar a 
Centro Universitário Christus - Unichristus 29
 
qualidade da cópia e validar o procedimento na prática. 
2.3. SWITCHES, ROUTERS E FIREWALLS 
 
Atualmente é frequente encontrarmos switches, routers, e firewalls nas 
organizações onde a comunicação é imprescindível para a efetivação de 
atividades da organização. Estes elementos são essenciais para permitir a 
comunicação entre vários “sites”, em situações em que uma organização tem 
mais sucursais. 
 
Para auditar equipamentos de rede o auditor não precisa de ser um especialista 
mas tem de ter alguma base teórica em relação ao seu funcionamento. O modelo 
 
 O objetivo do plano de recuperação de desastres é de uma forma 
eficiente e rápida conseguir repor os sistemas depois de desastres como 
furacões ou cheias por exemplo. Para o auditor a tarefa de auditar um 
plano de recuperação de desastres é muito complexa, mas poderá seguir 
o seguinte: 
 
 
 Deve ser assegurado que os planos são sempre atualizados e mantêm-se 
válidos, efetuando testes regularmente. 
 
 
 
a) Assegurar que o plano existe; 
 
b) Verificar que o plano cobre todos os sistemas e áreas; 
 
c) Verificar se na última ameaça o plano correspondeu ao 
pretendido e assim validar se continua relevante; 
 
d) Assegurar que as responsabilidades e funções descritas no 
plano estão bem definidas; 
 
e) Verificar se os procedimentos de reconstituição e 
recuperação são abordados; 
 
f) Assegurar que as operações de emergência têm o material 
necessário (computadores, rede etc.) para serem executadas; 
 
g) Verificar que as comunicações de emergência estão 
garantidas; 
 
h) Verificar os resultados do último exercício de recuperação 
de desastres. 
Centro Universitário Christus - Unichristus 30
 
 
 Verificar se todos os serviços desnecessários estão desabilitados; 
 
 Assegurar que uma boa gestão via SNMP (Simple Network Management 
Protocol) está sendo realizada; 
 
 Avaliar os processos de criação e eliminação de utilizadores, e assegurar 
que essa criação/eliminação só é feita quando é necessário; 
 
 Garantir o processo de validação e controle de passwords; 
 
 
de camadas OSI (Open System Interconnection) da ISO (International Standard 
Organization) pode ajudar a compreender melhor como funciona uma rede de 
computadores e como é que estes comunicam entre si. 
 
Os switches atuam normalmente na camada 2 do modelo OSI (ligação) e a sua 
função básica é a de comutação das tramas que lhe chegam através da rede e a 
segmentação das mesmas. Nos switches mais modernos já podemos fazer uma 
segmentação virtual da rede ou criar VLANs (Virtual Local Area Networks) em 
que um único switch pode comportar vários domínios de difusão de tramas de 
broadcast. Se a comunicação entre as mesmas for possível ainda com o mesmo 
switch então este switch passa a atuar também na camada 3 (rede) que é onde 
atuam os routers. 
 
Os routers por sua vez atuam sobretudo na camada 3 e têm como função o 
encaminhamento de pacotes entre redes distintas ou domínios diferentes. Para 
melhor desempenhar estas funções os routers utilizam tabelas de 
encaminhamento (dinâmicas em alguns casos) de pacotes, e usam protocolos como 
o OSP (Open Shortest Path First) ou o BGP (Border Gateway Protocol) para as 
manter atualizadas. 
 
Os firewalls servem essencialmente para estabelecer políticas de segurança 
distintas para cada segmento de rede, delimitando zonas em que o nível de 
segurança é semelhante. Para garantir segurança uma firewall necessita de filtrar 
o tráfego que lhe chega e através de ACLs (Access Control Lists) 
 
Vamos enumerar algumas tarefas gerais que o auditor deverá ter em conta neste 
processo (Champlain, 2003): 
 
 Avaliar os controles sobre o desenvolvimento e manutenção das 
configurações dos equipamentos; 
 
 Assegurar o controle de vulnerabilidades associadas com as versões de 
software. Estes controles podem incluir atualizações de software, 
mudanças de configuração, ou outros processos que se julguem 
pertinentes de serem monitorados; 
Centro Universitário Christus - Unichristus 31
 
2.4. SISTEMAS OPERACIONAIS 
 Obter as configurações do sistema e quais as atualizações que estão 
instaladas e verificar se estas se encontram de acordo com as normas e 
políticas estabelecidas para que o SO seja mais seguro, fácil de gerir e de 
auditar. 
 Verificar se a gestão da segurança é a mais correta e eficaz; 
 
 Garantir que existe salvaguarda dos ficheiros de configuração; 
 
 Verificar se os logs estão sendo criados e ativos na rede. Os logs devem 
depois ser centralizados de forma a obter uma maior uniformidade; 
 
 Verificar o uso e funcionamento do protocolo NTP (Network time 
protocol); 
 
 Verificar se as ACLs estão a funcionar de acordo com o esperado; 
 
 Verificar se todos os equipamentos de rede estão localizados em áreas de 
segurança apropriadas; 
 
 Garantir normas de convenção de nomes a usar para todos os 
dispositivos na rede; 
 
 Verificar as normas e documentar os processos existentes para expandir 
a rede. 
 
 
 
Sistema operacional (SO) é um programa que intermedia a comunicação entre o 
software e hardware. Podemos usar uma analogia; a linha-férrea, podemos 
considerar de um sistema operacional, pois constitui uma plataforma que permite a 
passagem de comboio, este comboio por sua vez é manipulado por pessoas 
 
Os sistemas operacionais fazem a interacção entre todas as aplicações da 
organização e os respectivos hardwares onde estão instalados e como tal deve-se 
garantir o seu bom funcionamento. 
 
Para assegurar um bom desempenho dos SO estes têm de estar atualizados e 
correctamente configurados para o fim a que se destinam. 
 
A seguir são enumerados os controles gerais que o auditor deve ter em conta 
neste processo (Champlain, 2003): 
 
Centro Universitário Christus - Unichristus 32
 
 
 Analisar e avaliar a resistência das passwords existentes. 
 
 Avaliar e estabelecer políticas que previnam o uso de passwords frágeis 
a ataques. Características como o tempode validade, o número de 
caracteres, complexidade e passwords não baseadas num histórico 
recente de uso das mesmas. 
 
 Analisar e avaliar o uso e as necessidades de acesso remoto como o RAS 
(Remote Access Service), FTP (File Transfer Protocol), SSH (Secure 
Shell), VPN (Virtual Private Network) e outros. 
 Determinar se o SO tem instalado, configurado e atualizado um 
software de firewall e aprovado pelas políticas da organização e do 
fornecedor do SO. 
 
 Determinar se o SO tem instalado, configurado e atualizado um 
software de antivírus e aprovado pelas políticas da organização e do 
fornecedor do SO. 
 
 Garantir que todas as atualizações previamente aprovadas estão 
instaladas. 
 
 Determinar se o SO está a executar um gestor de atualizações 
acreditado pela organização. 
 
 Analisar toda a informação relativa ao processo de iniciação do SO para 
verificar se há comportamentos incorretos em alguma fase. 
 
 Determinar quais os serviços que estão ativos no sistema e validar a sua 
pertinência junto do administrador do sistema. Nos serviços necessários 
terão de ser analisados os procedimentos de avaliação de 
vulnerabilidades associados a esses serviços e fazer a sua manutenção 
caso seja necessário. 
 
 Garantir que estão instaladas todas e apenas as aplicações necessárias e 
aprovadas pela organização, evitando conflitos entre aplicações e 
problemas de dependências. 
 
 Analisar e avaliar procedimentos de criação de utilizadores assegurar que 
esses utilizadores apenas são criados quando há uma razão legítima 
para tal. Devem ser revistos também os processos que garantem que os 
utilizadores são removidos logo que não haja necessidade de existirem. 
 Analisar e avaliar o uso de grupos de utilizadores e ainda determinar as 
permissões que esse grupo necessita. 
Centro Universitário Christus - Unichristus 33
 
 
 Garantir que o SO tem configurado políticas que permitam que o mesmo 
seja auditado de acordo com o que é definido pela organização. 
 
 Analisar e avaliar os procedimentos de administração do SO para que 
este seja monitorizado adequadamente. 
 
 
 
 
 
 
 
2.5. SERVIDORES WEB
 
No que diz respeito a servidores Web, estes são, normalmente, diferentes uns dos 
outros, embora existam semelhanças que um auditor deverá cuidadosamente 
verificar, segundo algumas normas. A seguir são apresentados alguns passos que 
um auditor (após analisar a sua situação em concreto) poderá ou não seguir, 
dependendo do caso com que se depara (Santos et al., 2008): 
 
 Verificar se o servidor Web está a executar num sistema dedicado e 
não em conjunto com outras aplicações críticas; 
 
 Verificar se o servidor Web está totalmente corrigido e atualizado 
com as últimas atualizações aprovadas; 
 
 Determinar se o servidor Web deve estar a executar ferramentas 
adicionais para auxiliar na proteção; 
 
 Verificar se serviços ou módulos desnecessários estão desativados. 
Ao executar serviços e módulos, devem operar sob as contas menos 
privilegiadas; 
 
 Verificar se apenas portas e protocolos adequados, estão autorizados a 
acessar ao servidor Web. 
 Verificar se as contas que têm acesso ao servidor Web são geridas de 
forma adequada, e estão fortemente protegidas com palavras-chave. 
 Assegurar que existam controles adequados para arquivos, diretórios 
e diretórios virtuais. 
 Assegurar que o servidor Web tem o próprio “logging” ativo e 
seguro; 
 Assegurar que as extensões de script são mapeadas adequadamente. 
Centro Universitário Christus - Unichristus 34
 
 
 Verificar se os filtros ISAPI (Internet Server Application Programming 
Interface) desnecessários ou não utilizados são removidos do servidor; 
 
 Verificar a validade e o uso de todos os certificados de servidor em 
utilização. 
 Assegurar que as permissões da base de dados não são concedidas 
implicitamente de uma forma incorreta; 
 
 Analisar a execução de SQL dinâmico em “stored procedures” 
(procedimentos armazenados); 
 
 Assegurar que os níveis de acesso aos dados das tabelas estão 
implementados corretamente; 
 
 Revogar as permissões públicas onde estas não são necessárias; 
 
 Restringir o acesso ao sistema operacional; 
 
 
2.6. BASES DE DADOS
 
Um banco de dados (sua abreviatura é BD, em inglês DB, database) é uma 
entidade na qual é possível armazenar dados de maneira estruturada e com a 
menor redundância possível. Estes dados devem poder ser utilizados por 
programas e por diferentes utilizadores. 
 
A falta de conhecimento de base de dados tem sido um dos entraves no processo 
de auditoria de base de dados, tornando-se uma área muito negligenciada, pois 
carece de uma revisão profunda de várias áreas de informática, como por 
exemplo o sistema operacional. 
Partindo do pressuposto de que o auditor tem conhecimentos de base de dados, 
será necessário um plano de ação para a realização da auditoria, apesar de 
alguns passos serem idênticos aos que iriam se usar na auditoria de sistemas 
operacionais, mesmo assim, é necessário colocar esses passos no contexto de base 
de dados. 
 
Segue-se uma lista de alguns passos importantes na auditoria de uma base de 
dados (Champlain, 2003): 
 
 Verificar se as permissões da base de dados são concedidas 
adequadamente para o nível exigido de autorização; 
 
 Rever as permissões da base de dados concedidas para indivíduos, em 
vez de grupos; 
Centro Universitário Christus - Unichristus 35
 
 
 Restringir as permissões no diretório nas quais a base de dados está 
instalada; 
 
 
2.7. APLICAÇÕES 
 
A auditoria de aplicações informáticas é um procedimento em que o auditor se 
pode certificar da correta utilização dos meios informáticos, através da 
verificação do conteúdo dos arquivos que integram as aplicações, a 
conformidade dos processamentos e dos resultados, bem como a adequação dos 
procedimentos de controle e segurança, e da sua conformidade legal. 
 
 
 Restringir as permissões nas chaves de registo usadas pela base de 
dados; 
 
 Verificar os nomes de usuário (ID) e palavras-chave atribuídas por defeito; 
 
 Verificar palavras-chave fáceis de adivinhar; 
 
 Verificar se a capacidade de gestão de palavras-chave está ativada; 
 
 Verificar se a auditoria está habilitada; 
 
 Verificar se a encriptação da rede está implementada; 
 
 Verificar se a encriptação dos dados está implementada no local 
apropriado; 
 
 Assegurar que a gestão de encriptação de chaves é parte do plano de 
recuperação de desastre (“disaster-recovery”); 
 
 Verificar se as últimas atualizações para a base de dados estão 
devidamente instaladas; 
 
 Verificar se a base de dados está a executar uma versão segura como 
suporte; 
 
 Verificar se as políticas e procedimentos estão no lugar, de modo a 
identificar quando um “patch” (atualização) está disponível e para 
aplicar esse patch; 
 
 Verificar a integridade da base de dados, analisando os kits de raiz, vírus, 
“backdoors” e “trojans”. 
Centro Universitário Christus - Unichristus 36
 
 Assegurar que o mecanismo de sistemas de segurança/autorização, têm 
uma função administrativa com controles e funcionalidades apropriados; 
 
 Determinar se o mecanismo de segurança permite eventuais processos de 
aprovação; 
 
 Assegurar que um mecanismo ou processo tenha sido colocado no lugar 
que suspende o acesso ao utilizador, na rescisão da empresa ou na 
mudança de posto de trabalho dentro da empresa; 
 
 Verificar se a aplicação possui controles adequados de palavras-chave; 
 
Para que um processo de auditoria de aplicações informáticas tenha o devido 
sucesso, este deverá seguir determinados passos, nomeadamente (Champlain, 
2003): 
 
 Analisar e avaliar os controles de dados de entrada;Determinar a necessidade de relatórios de erro/exceções relacionados 
com a integridade dos dados e avaliar se esta necessidade está a ser 
preenchida; 
 
 Analisar e avaliar os controles sobre a fonte de dados, de e para as 
interfaces de sistemas; 
 
 Nos casos em que os mesmos dados são mantidos em múltiplas bases de 
dados e/ou sistemas, garantir que os processos periódicos de 
sincronização são executados para detectar quaisquer incoerências nos 
dados; 
 
 Analisar e avaliar as pistas de auditoria presentes no sistema, bem como 
os controles sobre elas; 
 
 Assegurar que o sistema fornece um meio para detectar a transação ou 
dados, do início ao fim do processo ativado pelo sistema; 
 
 Assegurar que a aplicação fornece um mecanismo que efetua a 
autenticação dos utilizadores, com base, no mínimo, num único 
identificador para cada utilizador e uma chave confidencial; 
 
 Analisar e avaliar o mecanismo de autorização das aplicações para 
assegurar que os utilizadores não estão autorizados a aceder a qualquer 
transação sensível, ou a dados, sem primeiro serem autorizados pelo 
mecanismo de segurança do sistema; 
Centro Universitário Christus - Unichristus 37
 
 Analisar e avaliar processos de concessão de acesso aos utilizadores. 
Assegurar que o acesso é permitido apenas quando existe uma 
necessidade de negócio legítimo; 
 
 Garantir que os utilizadores são automaticamente desconectados da 
aplicação, após um certo período de inatividade; 
 
 Avaliar o uso de técnicas de encriptação para proteger os dados da 
aplicação; 
 
 Avaliar o acesso de desenvolvimento da aplicação para alterar a 
produção de dados; 
 
 Garantir que o software não pode ser alterado sem passar pelo processo 
standard “checkout/staging/testing/approval”, após este ser colocado em 
produção; 
 
 Avaliar controles em torno do teste do código da aplicação, antes de ele 
ser colocado num ambiente de produção; 
 
 Assegurar que há controles de backup apropriados; 
 
 Assegurar que há controles de recuperação apropriados; 
 
 Avaliar controles em torno da retenção de dados da aplicação; 
 
 Avaliar controles em torno da classificação de dados, dentro da 
aplicação. 
2.8. WLAN E DISPOSITIVOS MÓVEIS 
 
É comum hoje em dia encontrar WLAN (Wireless Local Area Network) nas 
organizações, uma vez que permite a deslocação de utilizadores entre vários 
locais da organização sem perder a conexão, por exemplo pode estar a copiar um 
arquivo numa sala, este pode deslocar-se para outra sala com um computador 
portátil sem perder a conexão de Internet. 
 
Este tipo de comunicação colocou um desafio aos administradores de segurança 
de rede, pois a segurança nesta situação é comprometida. Entretanto, os padrões 
das WLAN têm evoluído assim como a formação dos administradores para 
manterem a segurança da rede. Segue uma tabela com as especificações IEEE 
802.11 atualmente desenvolvidas. 
 
Centro Universitário Christus - Unichristus 38
 
 
Figura 2.3. Exemplo de uma WLAN. Fonte: Santos et al. (2008). 
 
Podemos dividir a auditoria de uma WLAN em duas partes: a parte técnica e a 
parte operacional. No que diz respeito á auditoria da WLAN na sua componente 
técnica, deve-se logo confirmar que os pontos de acesso têm a última versão do 
software instalado. O auditor deve avaliar isso com a ajuda do administrador e 
verificando a página do fabricante dos pontos de acesso. 
 
Figura 2.2. Tecnologias 802.11. Fonte: Santos et al. (2008). 
 
Os clientes wireless são denominados “supplicants”. Os pontos de acesso ligam 
á rede sem fios á rede com fios, e os clientes sem fio ou “supplicants” ligam-se á 
rede sem fio através de um dispositivo móvel. Dispositivos móveis podem ser 
um portátil, um smartphone, um PDA (Personal Digital Assistant), ou outro 
dispositivo configurado para se comunicar com o ponto de acesso. O conjunto 
de estações comunicando uns com os outros é o conjunto de serviços básicos 
(BSS). 
Centro Universitário Christus - Unichristus 39
 
Depois verificar se existem ferramentas para gerir de forma centralizada a 
WLAN. Validar com o administrador as políticas usadas na definição de 
palavras-chave (se usar este tipo de autenticação), verificar a sua política de 
autenticação. Do lado dos clientes móveis, verificar se têm os sistemas básicos 
de proteção (no mínimo antivírus e firewall pessoal) quando se vão ligar na 
WLAN. 
 
 
 
 
 
 Figura 2.4. Métodos de Autenticação. Fonte: Santos et al. (2008). 
 
Na Figura 2.4. estão representados os métodos de autentificação. Estes métodos 
devem ser avaliados de forma correta. Verificar com o administrador o uso de 
software de monitoramento de processos. O auditor deve também verificar com 
o administrador se existem pontos de acesso não autorizados, através de 
software de monitoria ou através dos registos de tráfego na rede: através de 
software de wardriving – procura sinais de pontos de acesso não autorizados, e 
softwares de busca através de endereços MAC. 
 
Quanto á auditoria da WLAN na sua vertente operacional, devem-se verificar e 
analisar problemas que acontecem do lado do cliente móvel. 
Têm que se assegurar que os diversos procedimentos de segurança são seguidos 
(Champlain, 2003): 
 
 Todas as transmissões sem fios devem ser encriptadas para evitar 
cópias indevidas; 
 Todos os pontos devem ter acesso a firmware atualizado; 
Centro Universitário Christus - Unichristus 40
 
 As senhas dos pontos de acesso devem seguir as políticas de segurança 
da empresa; 
 
 Os nomes dos SSID (Service Set IDentifier), por padrão, não são 
permitidos ou difundidos; 
 
 Todos os esforços serão feitos para reduzir a propagação das ondas de 
rádio fora da instalação; 
 
 
 
 
 
 
 
 
 Na auditoria, parte operacional: 
 
 
 O auditor deve ainda avaliar os processos de recuperação de desastres de 
modo a ser possível restaurar o acesso sem fios em caso de acontecer um 
desastre; 
 Deve-se avaliar o gateway com um administrador e verificar se o código 
em execução no gateway é a versão mais recente, e proceder a essa 
validação consultando o site do fabricante; 
 Deve-se verificar também se o dispositivo móvel tem algumas opções de 
proteção e se estas estão ativas caso sejam requisitos pela política de 
segurança da empresa; 
 Determinar se a segurança dos equipamentos móveis são efetivas: 
devem estar protegidos com senha e devem ficar inativas a partir de 
certo número de tentativas; os aparelhos devem poder ser bloqueados e 
desligados remotamente, uma senha deve ser pedida sempre que se ligue 
algo a conexão USB (Universal Serial Bus); 
 Deve-se usar também um software de controle e gestão da segurança 
para equipamentos móveis. 
 Devemos assegurar a aplicação das regras de segurança em vigor na 
empresa, como: devem ser usados somente os equipamentos móveis 
definidos na empresa, sincronização do aparelho e transferência de dados 
com o nosso computador pessoal deve ser feita só com equipamentos 
aprovados; 
 Os dispositivos cliente devem usar o protocolo IPSec nas VPN’s da 
empresa; 
 Só dispositivos da empresa se podem ligar á rede móvel e só para uso 
laboral; 
Centro Universitário Christus - Unichristus 41
 
 Devem ser sempre usados software de antivírus e ferramentas de 
criptografia; 
 
 Também neste caso deverá ter-se um processo de recuperação de 
desastres. 
 
 
 
 
 Documentação apropriada é desenvolvida e mantida; 
 
 A formação adequada é fornecida aos utilizadores finais. Formação 
inadequada conduz a sistemas, processos e software que são utilizados 
indevidamente. 
 
 
2.9. PROJETOS
 
Segundo Westland (2003), projeto é único e um esforço para produzir um conjunto 
de produtos dentro de um tempo especificado, custo e restrições