Auditoria e Controles de Segurança da Informação_APOSTILA

Prévia do material em texto

AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 1 
 
 
Auditoria e controles de seg. e 
classificação da informação 
 
 
 
 
 
 
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 2 
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA 
INFORMAÇÃO 
 
O papel da área de controles internos 
nas organizações 
 
A necessidade constante de um excelente desempenho empresarial leva à busca da 
qualidade e confiabilidade da informação para o auxílio na tomada de uma decisão. O 
mercado globalizado e o acesso fácil a todo tipo de informação têm formado clientes 
cada vez mais seletivos e criteriosos. Em função disso, as empresas encontram-se 
levadas a desenvolver cada vez mais estratégias de melhoria contínua que assegurem 
a busca pela excelência de produtos e processos. 
 
As organizações necessitam assegurar que os processos internos executados pelos 
agentes humanos e computacionais não sofrerão desvios. Esse elemento interno 
responsável pelo controle dos processos da organização é chamado de controle 
interno. O controle interno compreende todo o conjunto de controles implementado 
sob responsabilidade da gestão da organização. 
 
 
Assim como a tecnologia evoluiu, ao longo do tempo o conceito de controles internos 
também evoluiu nas organizações. O que era antes conhecido como simplesmente 
procedimentos de controle modificou-se para uma estrutura de controles internos. A 
estrutura de controles internos de uma organização pode ser definida como os 
processos executados para apoiar e orientar a organização no cumprimento dos 
objetivos da instituição quanto à eficiência e à eficácia nas operações e sua gestão. 
 
 
 
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 3 
 
 
 
 
As funções principais do controle interno estão relacionadas ao cumprimento dos 
objetivos da entidade. Dessa forma, a existência de objetivos e metas é condição 
principal para a existência dos controles internos. Eles serão efetivos quando as 
pessoas da organização souberem quais são suas responsabilidades, seus limites de 
autoridade e sua competência. 
 
 
Podemos então concluir que, para a organização atingir seu objetivo, deverá realizar 
a avaliação contínua dos controles internos com o objetivo de identificar e analisar os 
riscos associados ao não cumprimento das metas e objetivos operacionais. A 
identificação e o gerenciamento dos riscos são uma ação proativa que permite evitar 
surpresas desagradáveis nas organizações. São os administradores que devem definir 
os níveis de riscos operacionais e de informação que estão dispostos a assumir. 
 
 
Aspectos de controle e segurança 
 
Na sociedade da informação, ao mesmo tempo em que as informações são 
consideradas o principal patrimônio de uma organização, estão também sob constante 
risco como nunca estiveram antes. 
 
Orientação
Fiscalização
Auditoria
Controle interno 
 
 
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 4 
Com isso, a segurança da informação tornou-se um ponto crucial para a sobrevivência 
das instituições. Nesse sentido, um dos focos das fiscalizações de Tecnologia da 
Informação (TI), realizadas pelas organizações, é a verificação da conformidade e do 
desempenho das ações organizacionais em aspectos de segurança de tecnologia da 
informação, utilizando critérios fundamentados com o objetivo de contribuir para o 
aperfeiçoamento da gestão organizacional, assegurando que a tecnologia da 
informação agregue valor ao negócio da organização. 
 
 
A auditoria de segurança da informação só tem sentido por permitir a melhoria do 
tratamento da informação na organização. Ela cumpre basicamente as mesmas 
funções de uma auditoria de sistemas de informação, tal como foi descrito por 
Imoniana (2004) e por Schmidt, Santos e Arima (2005). 
 
A informação é produzida, identificada, armazenada, distribuída, usada e processada 
em todos os níveis da organização, visando ao alcance dos objetivos de negócio, suas 
práticas definidas pelos sistemas de informação que apoiam os processos de trabalho 
na organização, sejam eles manuais ou automáticos. 
 
A gestão da informação tem fundamentos na administração, na contabilidade, na 
arquivologia, nas tecnologias da informação e da comunicação, nas ciências da 
informação e da computação, entre outras. 
 
Como ferramenta de segurança, a gestão da informação lança mão de elementos 
organizacionais, humanos, físicos e tecnológicos, integrados por meio de arquitetura 
e engenharia de sistemas, ou, de forma mais geral, através de uma abordagem 
cibernética. 
 
Metodologia de auditoria em TI 
 
 
 
 
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 5 
A auditoria em ambiente de tecnologia da informação não muda a formação exigida 
para a profissão de auditor. A diferença está nas informações: até então disponíveis 
em forma de papel, elas são agora guardadas em forma eletrônica. 
 
O enfoque de auditoria teve de se modificar para assegurar que essas informações, 
agora em formato eletrônico, sejam confiáveis antes de o auditor emitir seu relatório, 
já que ele está calcado na confiança e no controle interno. 
 
Podemos então definir a auditoria como: 
 
 
 
Dessa forma, visam a confirmar se os controles internos foram implementados e se 
existem – e, em caso afirmativo, se são efetivos. Nesse contexto, as auditorias podem 
apresentar diferentes objetivos: 
Um exame sistemático e independente 
para determinar se as atividades e seus 
resultados estão de acordo com as 
disposições planejadas, se elas foram 
implementadas com eficácia e se são 
adequadas à consecução dos objetivos. 
 
 
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 6 
 
 
Segundo Lyra, é possível pensarmos em uma metodologia de trabalho que seja flexível 
e aderente a todas as modalidades de auditoria em sistemas de informação. Essa 
metodologia é composta basicamente pelas seguintes fases: 
 
Planejamento e controle do projeto de auditoria 
 
Estabelece-se o planejamento inicial das ações e dos recursos necessários para a 
execução da auditoria. Nessa fase, leva-se em consideração a abrangência das ações, 
o enfoque que se deseja, a definição dos procedimentos a serem utilizados durante o 
trabalho de auditoria, a escolha de alternativas para a realização dos trabalhos, 
acompanhamento e controle dos resultados obtidos. 
 
Devem ser utilizados ferramentas e métodos de planejamento, como, por exemplo, o 
PMBOK, e também deve ser formado o grupo de trabalho. Nessa fase, deverá ser 
elaborado o plano da auditoria em que deve ficar claro: 
 
• As expectativas de quem pediu a auditoria; 
• Os critérios da auditoria: padrões e confidencialidade; 
• As necessidades e interesses do auditado; 
Conformidade com
padrões
Melhoria do 
sistema de gestão
ComplianceCertificação
Melhoria de 
processo
 
 
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 7 
• A documentação que deve estar disponível; 
• A agenda proposta para auditoria. 
 
Levantamento das informações 
 
Uma vez delimitado o escopo do trabalho, inicia-se o processo de levantamento das 
informações relevantes para a auditoria. Esse levantamento deverá ocorrer de forma 
abrangente, mas que se tenha o entendimento do objeto da auditoria. Podemos, nessa 
fase, utilizar técnicas de entrevista e análise da documentação existente, colocando as 
informações de forma gráfica ou descritiva. O importante aqui é identificar claramente 
o escopo. Essa fase é essencial para evitar a possibilidade de execução de trabalho 
em áreas não pertencentes ao escopo. 
 
Identificação e inventário dos pontos de controles 
 
Nessa etapa, busca-se identificar os diversos pontos de controles que merecem ser 
validados no contexto do escopo da auditoria. Cada ponto de controle deve ser 
relacionado, seus objetivos descritos,assim como as suas funções, parâmetros, 
fraquezas e técnicas de auditoria mais adequadas à sua validação. O resultado desse 
levantamento deve ser encaminhado ao grupo de coordenação da auditoria para uma 
validação quanto à sua pertinência para garantir que o objetivo da auditoria será 
atingido. 
 
Priorização e seleção dos pontos de controle 
 
Essa etapa consiste na seleção e priorização dos pontos de controle que foram 
inventariados na etapa anterior e que devem fazer parte da auditoria a ser realizada. 
Podem ser considerados os seguintes critérios: 
 
• Grau de risco existente no ponto de controle; 
• Existência de ameaças; 
 
 
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 8 
• Disponibilidade de recursos. 
 
Avaliação dos pontos de controles 
 
Essa etapa consiste na realização de testes de validação dos pontos de controle 
segundo as especificações e os parâmetros determinados nas etapas anteriores. É a 
auditoria propriamente dita. Devem ser utilizadas técnicas de auditoria que evidenciem 
falhas ou fraquezas dos pontos de controles auditados. Normalmente existe uma 
técnica de auditoria e ferramenta mais eficiente para cada objetivo e característica do 
ponto de controle. 
 
Conclusão da auditoria 
 
Nessa etapa, é realizada a elaboração do relatório de auditoria contendo o resultado 
encontrado, qualquer que seja ele. Esse relatório deve conter o diagnóstico da situação 
atual, dos pontos de controle, caso existam, e as fraquezas dos controles, segundo as 
especificações das etapas anteriores. 
 
O fato de um ponto de controle apresentar uma fraqueza transforma-o em ponto de 
auditoria, e isso, portanto, deve constar no relatório de auditoria recomendações para 
solução ou mitigação dessa fraqueza. Cada ponto de auditoria deverá sofrer revisão e 
avaliação após um prazo dado para tomada de medidas corretivas. 
 
Nessa fase, ocorre também o encerramento da auditoria com a apresentação do 
relatório. O auditor líder deverá apresentar um breve resumo do processo e objetivo 
da auditoria. Deverá ser apresentado parecer por área auditada, assim como as 
recomendações. 
 
Nesse momento, deverão ser acordadas as datas para as ações corretivas e 
distribuídas cópias do relatório entre todos os participantes. 
 
 
 
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 9 
Acompanhamento da auditoria 
 
O acompanhamento da auditoria (follow-up) deve ser efetuado até que todas as 
recomendações tenham sido executadas e as fraquezas tenham sido eliminadas ou 
atinjam um nível tolerável pela organização. 
 
Uma auditoria bem planejada aperfeiçoa a utilização do tempo da auditoria, tornando 
as auditorias mais significativas, além de mostrar ao auditado que o auditor está 
preparado e também demonstrar uma atitude profissional. 
 
 
Documentação: papéis de trabalho, relatórios de auditoria e pareceres 
 
Os papéis de trabalho de auditoria constituem um registro permanente do trabalho 
efetuado pelo auditor, dos fatos e informações obtidos, bem como das conclusões 
sobre os exames. É com base nos papéis de trabalho que o auditor irá relatar suas 
opiniões, criticas e sugestões. Eles servem de suporte para a elaboração dos relatórios 
de auditoria. 
 
Os papéis de trabalho auxiliam o auditor na execução de exames, evidenciando o 
trabalho feito e as conclusões emitidas. É através desse artefato que poderá ser 
verificado se o serviço de auditoria foi feito de forma adequada e eficaz, assim como 
a solidez das conclusões emitidas. 
 
É importante que apresentem os detalhes do trabalho realizado, tais como: os fatos e 
informações importantes, escopo do trabalho efetuado, fonte das informações obtidas, 
opiniões e conclusões. 
 
Devemos ter em mente que esse será um material que poderá ser posteriormente 
consultado por outros auditores; portanto, quanto mais completo, melhor será seu 
entendimento por outro auditor. 
 
 
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 10 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
O relatório de fraquezas de controle interno apresenta o objetivo do projeto de 
auditoria, a lista dos pontos de controle auditados, a conclusão alcançada a cada ponto 
de controle, além das alternativas de solução propostas. 
 
O certificado de controle interno indica se o ambiente está em boa, razoável ou 
má condição em relação aos parâmetros de controle interno e apresenta o parecer da 
auditoria em termos globais e sintéticos. 
 
O manual de auditoria do ambiente auditado armazena o planejamento da 
auditoria, os pontos de controle testados e serve como referência para futuras 
auditorias. É composto por toda a documentação anterior já citada. 
 
As pastas contendo a documentação da auditoria de sistemas irão conter toda a 
documentação do ambiente e dos trabalhos realizados, como: relação de programas, 
relação de arquivos do sistema, relação de relatórios e telas, fluxos, atas de reunião 
etc. 
Produtos gerados pela 
auditoria 
Relatório de fraquezas 
de controle interno
Manual de auditoria do 
ambiente a ser auditado
Certificado de controle 
interno
Pastas contendo a 
documentação obtida
 
 
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 11 
 
Papéis e responsabilidades 
 
Existem diferentes papéis em um processo de auditoria: 
 
 
 
O auditor é quem realiza as auditorias propriamente ditas. Ele deve planejar e realizar 
suas atribuições de forma eficaz e com competência, comunicar aos clientes e 
esclarecer os requisitos da auditoria quando necessário. 
 
É primordial que ele documente as observações durante a realização da auditoria, 
relate os resultados da auditoria e verifique a eficácia das ações corretivas quando 
solicitado. 
 
É o cliente quem solicita a auditoria e determina o seu propósito. Ele deve informar 
aos colaboradores envolvidos no processo de auditoria os objetivos e o escopo da 
auditoria, assim como indicar as pessoas guias responsáveis. É de sua 
responsabilidade também receber o relatório de auditoria, realizar análise crítica, 
determinar as ações de acompanhamento e informar ao auditado. 
 
O papel do auditado é informar aos funcionários sobre a auditoria, indicar 
acompanhantes e prover recursos à equipe de auditoria, assim como o acesso aos 
meios e ao material comprobatório. Deve cooperar com os auditores e, após a 
realização da auditoria, deverá definir e iniciar ações corretivas. 
 
Auditor
Cliente
Auditado
Auditor Líder
 
 
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 12 
O auditor líder é responsável, em última instância, por todas as fases da auditoria. 
Participa da seleção da equipe e prepara o plano de auditoria. É ele quem representa 
a equipe frente à administração do auditado e entrega o relatório de auditoria. 
 
 
A auditoria na Tecnologia da Informação 
 
Com a dependência das organizações nos processos de Tecnologia da Informação e 
nas informações geradas, nos investimentos realizados na área de TI e na 
inevitabilidade da garantia da segurança das informações críticas existe a necessidade 
da aplicação correta e gerenciada dos recursos de forma que a TI atenda às 
necessidades de negócio de cada entidade, ou seja, que agregue valor às suas funções 
finalísticas. 
 
Assim, à medida que a tecnologia se confunde com os produtos da organização, a TI 
e as informações geradas por meio dela deixam de ser uma questão meramente 
operacional e administrativa para se tornarem uma questão estratégica. 
 
Nesse contexto, a governança de TI é aplicada de forma a alinhar o uso da 
Tecnologia da informação aos objetivos de negócio de cada organização, possibilitando 
que se garanta: 
 
• continuidade dos serviços; 
• atendimento a marcos regulatórios; 
• definição clara do papel da TI dentro da organização; 
• alinhamento dos processos operacionais e de gestão a padrõesque atendam à 
necessidade do negócio; 
• definição de regras claras acerca de responsabilidades sobre decisões e ações dentro 
da organização. 
 
 
 
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 13 
 
Existem diversos modelos que podem ser implementados em diferentes níveis 
organizacionais de forma complementares: 
 
 
 
 
 
Desenvolvido pela Isaca, o Cobit é um modelo abrangente aplicável para a auditoria 
e o controle de processos de TI, desde o planejamento da tecnologia até a monitoração 
e auditoria de todos os processos. Fornece um modelo abrangente que auxilia as 
organizações a atingirem seus objetivos de governança e gestão de TI; na versão 
atual, ele apresenta 5 princípios: 
Cobit
ITIL
ISO
27002
CMMI /MPS-
BR
PMBOK
• Planos
• Políticas
Dirigir
• Propostas
Avaliar
• Desempenho
• Conformidade
Monitorar
 
 
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 14 
 
 
Entre seus objetivos, está a garantia de que, na organização, a informação é protegida 
contra exposição indevida (confidencialidade), alterações impróprias 
(integridade) e impedimento de acesso (disponibilidade). 
 
No atual modelo de referência, os processos de governança e gestão de TI da 
organização são divididos em dois domínios de processo principais conforme indica a 
figura abaixo: 
 
 
 
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 15 
 
 
O processo de governança é constituído por um domínio com cinco processos de 
governança: 
 
O processo de gestão contém quatro domínios que estão em consonância com as 
áreas responsáveis por planejar, construir, executar e monitorar, oferecendo cobertura 
Governança • Avaliar, dirigir e monitorar
Gestão
• Alinhar, planejar e organizar
• Construir, adquirir e 
implementar
• Entregar, serviços e suporte
• Monitorar, analisar e avaliar
Governança
Avaliar, dirigir e 
monitorar 
Definição e 
atualização da 
estrutura de 
governança
Entrega de valor
Otimização dos riscos
Otimização dos 
recursos
Transparência das 
partes interessadas
 
 
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 16 
de TI de ponta a ponta. As figuras abaixo identificam as principais habilidades de TI 
tratadas em cada domínio: 
 
 
Alinhar, planejar e 
organizar (APO)
Formulação da 
política de TI
Estratégia de TI
Arquitetura 
coporativa
Inovação
Gestão financeira
Gestão de portfólio
Entregar, serviços e suporte (DSS)
Gestão de disponibilidade
Gestão de problemas
Central de atendimento e gestão 
incidentes
Administração da segurança
Operações de TI
Administração de banco de dados
Construir, adquirir e implementar 
(BAI)
Análise de negócio
Gerenciamento de projetos
Avaliação de usabilidade
Definição e gestão de requisitos
Programação
Ergonomia do sistema
Desativação de software
Gestão de capacidade
 
 
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 17 
 
O ITIL foi desenvolvido pelo atual OGC (Office of Government Commerce), órgão 
público que busca otimizar e melhorar os processos internos do governo britânico. O 
ITIL é uma biblioteca de melhores práticas voltada para a área de TI, mais 
especificamente para a área de infraestrutra. 
 
O ITIL surgiu em 1986 com o desenvolvimento do conjunto de mais de 40 livros que 
abordavam uma variedade das melhores práticas de TI. A partir de 1999, foram 
acrescentados sete livros principais em que tratamos processos amplamente aceitos 
como um framework de melhores práticas para gerenciamento de serviços de TI (IT 
Service Management - ITSM). Em 2007, transcorridos 21 anos, em sua Versão 3, ele 
foi reorganizado para cinco livros principais e um livro oficial de introdução. 
Monitorar, avaliar e analisar (MEA)
Análise de conformidade
Monitoramento de desempenho
Auditoria de controles
 
 
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 18 
 
 
 
 
 
 
 
 
 
 
 
 
 
O PMBOK (Project Management Body of Knowledge) é um conjunto de conhecimentos 
gerenciado pela organização Project Management Institute (PMI). Tornou-se um 
padrão, de fato, em diversas indústrias. Não se trata de uma metodologia de 
gerenciamento de projetos, e sim de uma padronização que identifica e nomeia 
processos, áreas de conhecimento, técnicas, regras e métodos. Áreas de 
conhecimento do PMBOK: 
 
• Integração; 
• Escopo; 
• Tempo; 
• Custo; 
• Qualidade; 
• Recursos humanos; 
• Comunicações; 
• Riscos; 
• Aquisição; 
• Partes interessadas. 
 
 
 
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 19 
O CMMI é um modelo internacional desenvolvido pelo Software Engineering Institute 
(SEI) em 1992. O modelo utiliza o conceito de constelação em que são apresentadas 
três constelações: 
 
 
 
 
 
 
 
 
 
 
Uma constelação é um conjunto de componentes do CMMI utilizados para construir 
modelos, materiais de treinamento e documentos de avaliação relacionados a uma 
área de interesse. 
 
Possui representação: estágios (5 níveis) ou contínua (6 níveis). Na representação 
contínua, a organização escolhe uma determinada área de processo e trabalha na 
melhoria desses processos. Já na representação por estágio, são utilizados conjuntos 
predefinidos de área de processo para estabelecer um caminho de melhoria para a 
organização. 
 
O processo de auditoria de Tecnologia da Informação deverá tomar como referência 
os padrões e modelos já adotados pelas organizações. Existem diversos modelos e 
padrões, como vimos acima, que podem ser utilizados em diferentes momentos e em 
diferentes áreas tecnológicas. No caso da inexistência de tal modelo na organização, 
deverão ser adotados modelos de referência já utilizados no mercado de TI. 
 
A auditoria de tecnologia da informação, como já estudamos anteriormente, é um 
exame sistêmico dos controles internos dentro do ambiente computacional da 
organização. O objetivo de uma auditoria de TI é levantar e documentar "evidências" 
Diretrizes para monitorar, 
mensurar e gerenciar processos de 
desenvolvimento 
 
Diretrizes para suportar as 
decisões relacionadas à 
aquisição de produtos e 
serviços 
Diretrizes para entrega de 
serviços dentro das organizações 
e para clientes externos 
 
 
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 20 
das práticas e operações no âmbito da Tecnologia da Informação e realizar uma 
avaliação sobre a conformidade dessas ações. 
 
Ela verifica se essas operações e ações da organização estão sendo realizadas de forma 
eficaz e eficiente para alcançar os objetivos de negócio da organização. É utilizada 
para avaliar a capacidade da organização de proteger seus ativos de informação e 
dispensar corretamente as informações para as partes autorizadas. 
 
Dessa forma, a auditoria poderá avaliar o risco das informações mais valiosas para as 
organizações e estabelecer métodos de minimizar os riscos. Nesse caso, a auditoria de 
TI tem como objetivo avaliar: 
 
• Se os sistemas de computador da organização estão disponíveis para o negócio em 
todos os momentos quando necessário (disponibilidade); 
• Se as informações da organização estão sendo divulgadas apenas para usuários 
autorizados (confidencialidade); 
• Se as informações fornecidas estão exatas, confiáveis e em tempo oportuno 
(integridade). 
 
 
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 21 
 
 
 
Auditoria de sistemas 
 
O objetivo da auditoria de sistemas é proporcionar, através da inspeção e elaboração 
de relatório de auditoria, a adequação, revisão, avaliação e recomendação para o 
aprimoramento dos controles internos nos sistemas de informação das organizações. 
Auditoria
Controles 
organizacionais e 
operacionais
Aquisição, 
desenvolvimento, 
manutenção e 
documentação de 
sistemas
Controles de hardware
Controles de acesso
Operação e 
computador
Suporte técnicoSistemas aplicativos
Plano de contingência 
e de recuperação de 
desastres
Redes de 
computadores
 
 
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 22 
Nesse contexto, é avaliada a utilização dos recursos humanos, materiais e tecnológicos 
envolvidos nos processamento dos mesmos, e as avaliações devem ocorrer dessa 
forma em todos os sistemas da organização, seja no nível estratégico, tático ou 
operacional. 
 
Para a realização dessa verificação, é necessário um processo sistêmico que envolva 
os seguintes passos: 
 
• Metodologia; 
• Planejamento; 
• Levantamento do sistema; 
• Identificação e inventário dos pontos de controle; 
• Priorização e seleção dos pontos de controle; 
• Avaliação dos pontos de controle; 
• Conclusão da auditoria; 
• Acompanhamento. 
 
Devido à complexidade dos sistemas informatizados, existem diferentes momentos 
para a realização das auditorias de sistemas: 
 
 
 
 
 
 
 
 
 
 
 
 
Auditoria de 
sistemas de 
informação
Auditoria durante 
o desenvolvimento 
de sistemas
Auditoria de 
sistemas em 
produção
Auditoria no 
ambiente 
tecnológico
Auditoria em 
eventos 
específicos
 
 
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 23 
A auditoria durante o desenvolvimento de sistemas compreende auditar todo o 
processo de construção do sistema: fase de requisitos até a sua implantação, assim 
como o processo e a metodologia. Já a auditoria de sistemas em produção 
preocupa-se com os procedimentos e resultados dos sistemas já implantados: 
segurança, corretude e tolerância a falhas. 
 
A auditoria no ambiente tecnológico preocupa-se com a estrutura organizacional, 
contratos, normas técnicas, custos, nível de utilização dos equipamentos e planos de 
segurança e contingência. A auditoria em eventos específicos tem como foco a 
análise das causas, consequências e ações corretivas cabíveis em eventos não cobertos 
pelas auditorias anteriores. 
 
 
Técnicas de auditoria de sistemas 
 
As técnicas de auditoria têm como objetivo auxiliar os auditores em seus processos de 
trabalho de forma a diminuir os custos envolvidos no processo de auditoria, melhorar 
a qualidade do trabalho realizado, além de melhorar a produtividade. Existem 
diferentes técnicas que podem ser utilizadas juntas ou separadas. 
 
Test deck 
Conjunto de dados de entrada especialmente preparado com o objetivo de testar os 
controles programados e os controles dos sistemas aplicativos. 
 
Simulação paralela 
Elaboração de um programa de computador para simular as funções de rotina do 
sistema sob auditoria. Enquanto no test deck simulamos dados e os submetemos ao 
programa de computador, na simulação paralela simulamos o programa e submetemos 
os mesmos dados que foram utilizados pelo programa auditado em sua rotina de 
processamento. 
 
 
 
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 24 
Questionários a distância 
Verifica a adequação do ponto de controle aos parâmetros de controle interno 
(segurança física, lógica, eficácia, eficiência etc.). 
 
Visita in loco 
Consiste na atuação de equipe de auditoria junto ao pessoal de sistemas e instalações. 
 
Rastreamento e mapeamento 
Desenvolvimento e implementação de trilha de auditoria para acompanhar certos 
pontos da lógica do processamento de algumas transações. 
 
Análise da lógica de programação 
Verificação da lógica de programação para certificar que as instruções dadas ao 
computador são as mesmas já identificadas nas documentações dos sistemas 
aplicativos. 
 
Lógica de auditoria embutida no sistema 
Inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos. 
Periodicamente, os relatórios de auditoria são emitidos para a revisão e o 
acompanhamento dos procedimentos operacionais. 
 
Rastreamento de programas 
Possibilita seguir o caminho de uma transação durante o processamento do programa. 
Objetiva identificar as inadequações e ineficiência na lógica de um programa. 
 
Entrevistas no ambiente computacional 
Realização de reuniões entre o auditor e o auditado. Existem diversas técnicas que 
podemos utilizar para a realização de entrevistas, como, por exemplo, 5W+1H (what, 
who, where, when, why e how). 
 
Análise de relatórios/telas 
 
 
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 25 
Análise de relatórios e tela no que se refere ao nível de utilização pelo usuário, ao grau 
de confidencialidade, à forma de utilização de integração com outras telas/relatórios, 
à padronização dos layouts e à distribuição das informações. 
 
Análise de log/accounting 
Permite verificar a utilização de todos os ativos de TI envolvidos no objeto da auditoria. 
 
 
Análise do programa fonte 
Consiste na análise visual do programa e na comparação da versão do objeto que está 
sendo executado com o objeto resultante da última versão do programa fonte 
compilado. 
 
Exibição parcial da memória snap shot 
Técnica que fornece uma listagem ou gravação do conteúdo do programa 
(acumuladores, chaves, áreas de armazenamento) quando determinado registro 
estiver sendo processado (dump parcial de memória). 
 
 
Ferramentas de auditoria 
 
Dentro do contexto tecnológico atual, é necessário que o auditor utilize ferramentas. 
Em todo e qualquer trabalho de auditoria, seja ela interna ou externa, é importante 
que o auditor utilize instrumentos que auxiliem e agilizem o desenvolvimento dos 
trabalhos. Nesse sentido, existem ferramentas que apoiam os auditores a conseguir 
alcançar suas metas tal como elas foram definidas no planejamento prévio da 
auditoria. 
 
Existem diferentes modalidades de ferramentas assistidas por computador com 
objetivos e funcionalidades diferentes – e que podem ser utilizadas em conjunto ou 
separadamente. 
 
 
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 26 
 
 
 
 
Uma ferramenta generalista envolve o uso de software aplicativo ou um conjunto 
de programas – e pode realizar as seguintes funções: 
 
• Simulação paralela; 
• Extração de dados de amostra; 
• Testes globais; 
• Geração de dados estatísticos; 
• Sumarização; 
• Composição de arquivo; 
• Apontamento de duplicidade de registro; 
• Sequência incorreta de registro. 
São ferramentas com capacidade de processar, analisar e simular amostras, sumarizar, 
apontar possíveis duplicidades, gerar dados estatísticos, além de diversas outras 
funções. 
 
As ferramentas especialistas ou especializadas são programas desenvolvidos 
especificamente para executar certas tarefas numa circunstância definida. Podem ser 
desenvolvidas pelo próprio auditor, por algum especialista ou por alguém contratado 
para esse fim. A vantagem da sua utilização está no atendimento a demandas 
específicas de auditoria a segmentos especializados de mercado ou de alta 
Ferramentas 
de auditoria
Generalista 
Especializadas
Utilidade geral
 
 
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 27 
complexidade cujas ferramentas generalistas de auditoria não atendam. A grande 
desvantagem está no alto custo para seu desenvolvimento. 
 
Já os programas utilitários são utilizados para executar funções comuns de 
processamento, como, por exemplo, ordenar, sumarizar, concatenar e gerar relatório. 
Sua grande vantagem está na capacidade que possuem de servir como substitutos na 
ausência de ferramentas de auditoria mais completas. 
 
 
Controles de segurança da informação 
 
 
A Norma ABNT NBR ISO 27001 é uma norma de segurança que oferece um modelo 
para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e 
melhorar um Sistema de Gestão de Informação (SGSI). Oferece um anexo com 
controles de segurança baseados e definidos na Norma ISO 27002 (norma de melhores 
práticas em segurança da informação): 
 
• Política de segurança; 
• Organizando a segurança da informação;• Gestão de ativos; 
• Segurança em recursos humanos; 
• Segurança física e do ambiente; 
• Segurança nas operações e comunicações; 
• Controle de acessos; 
• Aquisição, desenvolvimento e manutenção de sistemas; 
• Gestão de incidentes de segurança da informação; 
• Gestão da continuidade do negócio; 
• Conformidade. 
 
 
 
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 28 
O Cobit apresenta orientações sobre como manter os riscos das organizações em 
níveis aceitáveis, a disponibilidade de sistemas e serviços e ainda estar em 
conformidade com a regulamentação vigente. Com a sua implementação, garante que, 
na organização, a informação será protegida contra exposição indevida 
(confidencialidade), alterações impróprias (integridade) e impedimento de acesso 
(disponibilidade). Possui 12 princípios: 
 
• Foco no negócio; 
• Entregar qualidade e valor às partes interessadas; 
• Estar em conformidade com os requisitos legais e regulatórios relevantes; 
• Prover informação tempestiva e precisa sobre o desempenho da segurança da 
informação; 
• Avaliar ameaças atuais e futuras à informação; 
• Promover melhorias contínuas na informação; 
• Promover melhorias contínuas na informação; 
• Adotar uma abordagem baseada em risco; 
• Proteger informação classificada; 
• Concentrar-se em aplicações críticas de negócio; 
• Desenvolver sistemas de forma segura; 
• Atuar de uma maneira profissional e ética; 
• Promover uma cultura de segurança da informação positiva. 
 
 
 
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 29 
 
 
 
 
 
 
 
 
 
O Processo APO 13 – Gerenciar a segurança pertence ao domínio Alinhar, planejar 
e organizar. Tem como objetivo definir, operar e monitorar um sistema de gestão de 
segurança da informação (SI). Manter o impacto e ocorrências de incidentes de SI 
dentro dos níveis aceitáveis de risco na organização. Define as seguintes ações: 
 
• Estabelecer e manter um ISMS; 
• Definir e gerenciar um plano de tratamento para o risco de SI; 
• Monitorar e revisar o ISMS. 
 
O processo DSS 05 Gerenciar serviços de segurança pertence ao domínio 
Monitorar, avaliar e analisar. Tem como objetivo proteger as informações da 
organização para manter o nível de risco aceitável para a segurança da informação da 
organização de acordo com a política de segurança. Ele estabelece e mantém as 
APO 13 
Gerenciar a segurança 
DSS 05 
Gerenciar serviços de 
segurança 
 
 
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 30 
funções de segurança da informação, os privilégios de acesso, e realiza o 
monitoramento. São ações definidas pelo processo DSS 05: 
 
• Proteger contra malware; 
• Gerenciar segurança de rede e conectividade; 
• Gerenciar segurança de endpoints; 
• Gerenciar identidade e acesso lógico e de usuários; 
• Gerenciar acesso físico a ativos de TI; 
• Gerenciar documentos e dispositivos de saída sensíveis; 
• Monitorar a infraestrutura quanto a eventos relacionados à segurança. 
 
O SANS Institute mantém uma lista com os 20 controles de segurança mais críticos 
para as organizações. O objetivo é apresentar os principais controles que todas as 
empresas e entidades devem priorizar no momento de criar e investir em sua 
infraestrutura de segurança: 
 
• Controles de segurança críticos; 
• Inventário de dispositivos autorizados e não autorizados; 
• Inventário de softwares autorizados e não autorizados; 
• Configurações de segurança para hardware e software; 
• Avaliação e correção contínuas de vulnerabilidades; 
• Defesas contra malware; 
• Segurança de software de aplicação; 
• Controle de acesso wireless; 
• Recurso de recuperação de dados; 
• Avaliação de habilidades de segurança e treinamento adequado para corrigir falhas; 
• Configurações seguras para dispositivos de rede; 
• Limitação e controle de portas de rede, protocolos e serviços; 
• Uso controlado de privilégios administrativos; 
• Defesa de limites; 
• Manutenção, monitoramento e análise de registros de auditoria; 
http://www.sans.org/
 
 
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 31 
• Acesso controlado com base na necessidade de saber; 
• Monitoramento e controle de conta; 
• Proteção de dados; 
• Resposta a incidentes e gerenciamento; 
• Engenharia de rede segura; 
• Testes de penetração e exercícios da equipe vermelha. 
 
 
Matriz RACI 
 
 
No contexto da segurança da informação e do controle, é essencial que as atribuições 
e responsabilidades estejam formalizadas e documentadas a fim de evitar dúvidas e 
posteriores conflitos entre os membros das equipes envolvidas. 
 
 
 
 
 
 
 
Nesse sentido, a matriz de responsabilidades ou matriz de designação de 
responsabilidades, também conhecida como Matriz RACI, é um eficiente instrumento 
cujo principal objetivo é a atribuição de funções e responsabilidades dentro de um 
determinado processo, projeto, serviço ou departamento/função. 
Pessoas
Quem faz o
quê
Quem decide
o quê
 
 
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 32 
 
A sigla RACI significa: 
 
 R Responsible - responsável por executar uma atividade (o executor); 
A 
Accountable - quem deve responder pela atividade, o dono (apenas 
uma autoridade pode ser atribuída por atividade); 
C 
Consult - quem deve ser consultado e participar da decisão ou 
atividade no momento em que for executada; 
I 
Inform - quem deve receber a informação de que uma atividade ou 
ação foi executada. 
 
 
 
Na construção de uma tabela RACI, devemos atribuir as responsabilidades R, A, C e I 
em tarefas de um processo, serviço ou departamento. Dessa forma, devemos criar 
uma tabela cujas linhas correspondam às atividades e as colunas, aos responsáveis 
envolvidos. Cada célula dessa tabela deverá ser preenchida com uma ou mais letras 
(R, A, C e/ou I), associando cada atividade da linha com os responsáveis descritos 
em cada coluna, conforme a tabela abaixo: 
 
 
 
 
Dono do 
processo 
Usuário 1 Usuário 2 Área A 
Atividade 1 A/R C I C 
Atividade 2 A R I C 
Atividade 3 A R I I 
Atividade 4 A C I R 
 
Matriz RACI de um processo de segurança qualquer. 
 
 
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 33 
 
 
 
Existem duas regras básicas que devem ser seguidas na construção de qualquer tabela 
RACI: 
 
• Para toda atividade, deve existir pelo menos (1) um responsável para executá-la (R) 
e um dono (A); 
• Não pode existir mais de um dono para uma mesma atividade (A). 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 34 
Bibliografia: 
 
_______________. A importância da auditoria interna nas corporações. 
Disponível em: <http://www.portaldeauditoria.com.br/auditoria-interna/A-
importanciia-da-auditoria-interna.asp>. Acesso em: 29 ago. 2017. 
 
_______________. CISA review manual. Isaca, 2014. 
 
_______________. Cobit 5 for assurance. Disponível em: 
<http://www.isaca.org/COBIT/Pages/Assurance-product-page.aspx>. Acesso em: 29 
ago. 2017. 
 
_______________. Cobit 5 for information security. Disponível em: 
<http://www.isaca.org/COBIT/Pages/Information-Security-Product-Page.aspx>. 
Acesso em: 29 ago. 2017. 
 
_______________. The critical security controls. Solution providers. San institute. 
Disponível em: <https://www.sans.org/media/critical-security-controls/fall-2014-
poster.pdf?utm_medium=Social&utm_source=Twitter&utm_content=SANSInstitute+
POSTER+20+Critical+Controls&utm_campaign=SANS+20+Critical+Security+Control
s+>. Acesso em: 29 ago. 2017. 
 
CAMPOS, A. L. N. Sistema de segurança da informação: controlando os riscos. 
São Paulo: Visual Books, 2005. 
 
DAYCHOUM, M. 40 + 8 ferramentas e técnicas de gerenciamento. 4. ed. Rio de 
Janeiro: Brasport, 2012. 
 
DIAS,C. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: 
Axcel Books, 2000. 
 
http://www.portaldeauditoria.com.br/auditoria-interna/A-importanciia-da-auditoria-interna.asp
http://www.portaldeauditoria.com.br/auditoria-interna/A-importanciia-da-auditoria-interna.asp
http://www.isaca.org/COBIT/Pages/Assurance-product-page.aspx
http://www.isaca.org/COBIT/Pages/Assurance-product-page.aspx
http://www.isaca.org/COBIT/Pages/Information-Security-Product-Page.aspx
https://www.sans.org/media/critical-security-controls/fall-2014-poster.pdf?utm_medium=Social&utm_source=Twitter&utm_content=SANSInstitute+POSTER+20+Critical+Controls&utm_campaign=SANS+20+Critical+Security+Controls
https://www.sans.org/media/critical-security-controls/fall-2014-poster.pdf?utm_medium=Social&utm_source=Twitter&utm_content=SANSInstitute+POSTER+20+Critical+Controls&utm_campaign=SANS+20+Critical+Security+Controls
https://www.sans.org/media/critical-security-controls/fall-2014-poster.pdf?utm_medium=Social&utm_source=Twitter&utm_content=SANSInstitute+POSTER+20+Critical+Controls&utm_campaign=SANS+20+Critical+Security+Controls
https://www.sans.org/media/critical-security-controls/fall-2014-poster.pdf?utm_medium=Social&utm_source=Twitter&utm_content=SANSInstitute+POSTER+20+Critical+Controls&utm_campaign=SANS+20+Critical+Security+Controls
 
 
AUDITORIA E CONTROLES DE SEGURANÇA E CLASSIFICAÇÃO DA INFORMAÇÃO 35 
FERREIRA, F. N. F.; ARAÚJO, M. T. Política de segurança da informação. Rio de 
Janeiro: Ciência Moderna, 2006. 
 
GIL, A. de L. Auditoria de computadores. São Paulo: Atlas, 1998. 
 
IMONIANA, J. O. Auditoria e sistemas de informação. 2. ed. São Paulo: Atlas, 
2008. 
 
LYRA, M. R. Segurança e auditoria em sistemas de informação. Rio de Janeiro: 
Ciência Moderna, 2008. 
 
MARTINS, J. C. C. Gestão de projetos de segurança da informação. Rio de 
Janeiro: Brasport. 2003. 
 
PALMA, F. A matriz RACI é a solução de seus problemas. Disponível em: 
<http://www.portalgsti.com.br/2013/04/matriz-raci.html>. Acesso em: 29 ago. 2017. 
 
PEIXOTO, M. C. P. Engenharia social e segurança da informação. Rio de Janeiro: 
Brasport, 2006. 
 
SCHMIDT, P.; Santos, J. L. dos; Arima, C. H. Fundamentos de auditoria de 
sistemas. Rio de Janeiro: Atlas, 2006. 
 
 
http://www.portalgsti.com.br/2013/04/matriz-raci.html