Auditoria de Sistemas da informação - Livro-texto - Unidade I

Prévia do material em texto

Autor: Prof. Anderson Aparecido Alves da Silva
Colaboradores: Prof. Ricardo Sewaybriker 
 Prof. Tiago Guglielmeti Correale
 Profa. Fabíola Mariana Aguiar Ribeiro
Auditoria de Sistemas 
(Conceito e Aplicação)
Professor conteudista: Anderson Aparecido Alves da Silva
Doutor em Engenharia Elétrica – Sistemas Eletrônicos pela Universidade de São Paulo (USP-2016), mestre em 
Engenharia da Computação pelo Instituto de Pesquisas Tecnológicas (IPT-2010), pós-graduado (lato sensu) 
em Administração de Empresas, com ênfase em Análise de Sistemas, pela Fundação Escola de Comércio Álvares Penteado 
(Fecap-1993) e graduado em Processamento de Dados pela Fundação Instituto de Ensino para Osasco (Fieo-1991).
Trabalhou como gerente de TI na iniciativa privada por 23 anos. Participou, como pesquisador bolsista, do 
programa de pós-doutorado da USP como coordenador técnico do projeto “Campus Inteligente – Testbed para 
Conceitos e Tecnologias Aplicados a Cidades” em 2017 e, atualmente, está no programa de pós-doutorado, no projeto 
“Internet do Futuro”.
É professor do curso de Mestrado Profissional em Ciência da Computação do IPT. Também ministra nos cursos 
de graduação tecnológicos da Universidade Paulista (UNIP) e do Senac, de pós-graduação do Senac (presencial 
e EAD), do Unoeste – onde exerce ainda a função de coordenador técnico pedagógico –, do Wyden Metrocamp e 
da Universidade Anhembi Morumbi. Sua principal linha de pesquisa inclui a segurança da informação, as redes de 
sensores IoT, o conceito de Smart Cities, Cloud/Fog computing, os métodos de aprendizado de máquina para previsão 
de ataques e as técnicas de análise estratégica baseadas nos conceitos de teoria dos jogos e estatística.
© Todos os direitos reservados. Nenhuma parte desta obra pode ser reproduzida ou transmitida por qualquer forma e/ou 
quaisquer meios (eletrônico, incluindo fotocópia e gravação) ou arquivada em qualquer sistema ou banco de dados sem 
permissão escrita da Universidade Paulista.
Dados Internacionais de Catalogação na Publicação (CIP)
S586a Silva, Anderson Aparecido Alves da.
Auditoria de Sistemas (Conceito e Aplicação) / Anderson 
Aparecido Alves da Silva. – São Paulo: Editora Sol, 2021.
184 p., il.
Nota: este volume está publicado nos Cadernos de Estudos e 
Pesquisas da UNIP, Série Didática, ISSN 1517-9230.
1. Auditoria. 2. Planejamento. 3. Análise de risco. I. Título.
CDU 658.011.56
U510.51 – 21
Prof. Dr. João Carlos Di Genio
Reitor
Prof. Fábio Romeu de Carvalho
Vice-Reitor de Planejamento, Administração e Finanças
Profa. Melânia Dalla Torre
Vice-Reitora de Unidades Universitárias
Profa. Dra. Marília Ancona-Lopez
Vice-Reitora de Pós-Graduação e Pesquisa
Profa. Dra. Marília Ancona-Lopez
Vice-Reitora de Graduação
Unip Interativa – EaD
Profa. Elisabete Brihy 
Prof. Marcello Vannini
Prof. Dr. Luiz Felipe Scabar
Prof. Ivan Daliberto Frugoli
 Material Didático – EaD
 Comissão editorial: 
 Dra. Angélica L. Carlini (UNIP)
 Dr. Ivan Dias da Motta (CESUMAR)
 Dra. Kátia Mosorov Alonso (UFMT)
 Apoio:
 Profa. Cláudia Regina Baptista – EaD
 Profa. Deise Alcantara Carreiro – Comissão de Qualificação e Avaliação de Cursos
 Projeto gráfico:
 Prof. Alexandre Ponzetto
 Revisão:
 Bruna Baldez
 Kleber Souza
Sumário
Auditoria de Sistemas (Conceito e Aplicação)
APRESENTAÇÃO ......................................................................................................................................................9
INTRODUÇÃO ...........................................................................................................................................................9
Unidade I
1 CONCEITOS SOBRE SEGURANÇA .............................................................................................................. 11
1.1 Ameaças e vulnerabilidades ............................................................................................................. 11
1.2 Segurança computacional ................................................................................................................ 13
1.3 Controles de segurança ..................................................................................................................... 17
1.4 Serviços de segurança ........................................................................................................................ 17
1.4.1 Confidencialidade ................................................................................................................................... 18
1.4.2 Integridade ................................................................................................................................................ 18
1.4.3 Disponibilidade ........................................................................................................................................ 19
1.4.4 Autenticação ............................................................................................................................................. 19
1.4.5 Controle de acesso ................................................................................................................................. 20
1.4.6 Privacidade ................................................................................................................................................ 21
1.4.7 Irretratabilidade (não repudiação) ................................................................................................... 22
1.4.8 Auditoria (serviço de segurança) ...................................................................................................... 23
2 CONCEITOS SOBRE NORMAS, POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (PSI) 
E AUDITORIA ......................................................................................................................................................... 24
2.1 Normalização ......................................................................................................................................... 25
2.2 Política de Segurança da Informação (PSI) ............................................................................... 28
2.3 Conceitos sobre auditoria: norma ABNT NBR ISO 19011 .................................................... 34
2.4 Gerenciamento de processos de auditoria: norma ABNT NBR ISO 19011 .................... 39
Unidade II
3 O PROCESSO DE AUDITORIA ....................................................................................................................... 53
3.1 Pequeno histórico da auditoria ...................................................................................................... 53
3.2 Auditando sistemas ............................................................................................................................. 54
3.2.1 A revisão na auditoria ........................................................................................................................... 54
3.2.2 A avaliação na auditoria ...................................................................................................................... 58
3.3 A formação do auditor ....................................................................................................................... 60
3.4 Responsabilidades do auditor ......................................................................................................... 61
3.5 A importância da independência do auditor/auditoria ........................................................ 62
3.6 Adequando sistemas à PSI ................................................................................................................ 63
3.7 Auditoria interna e externa .............................................................................................................. 64
3.8 Auditorias manuais e automáticas ............................................................................................... 65
4 FASES DA AUDITORIA: PLANEJAMENTO .................................................................................................66
4.1 Planejamento da auditoria: escopos e critérios de avaliação ............................................ 66
4.2 Plano e documentação da auditoria ............................................................................................ 69
4.3 Fases da auditoria: execução e resultados ................................................................................. 71
4.4 Análise de requisitos para a auditoria ......................................................................................... 71
4.5 Aplicando a rastreabilidade .............................................................................................................. 74
4.5.1 Logs e evidências de auditoria .......................................................................................................... 75
4.6 Relatórios de auditoria....................................................................................................................... 77
Unidade III
5 A ABRANGÊNCIA DA INFRAESTRUTURA................................................................................................ 83
5.1 Introdução à análise de risco .......................................................................................................... 83
5.1.1 A análise de risco pela ótica da ABNT NBR ISO/IEC 27005 ................................................... 84
5.1.2 A análise de risco pela ótica da NIST 800-30 .............................................................................. 88
5.1.3 A análise de risco como ferramenta da auditoria ..................................................................... 90
5.2 Auditando processos de TI ................................................................................................................ 96
5.3 Auditando data centers ..................................................................................................................... 98
5.4 Auditando hardware e infraestrutura ........................................................................................101
5.5 Auditoria e segurança em redes sem fio ..................................................................................104
5.6 Auditorias em inventários de hardware ....................................................................................105
5.7 Padrões usados na auditoria de hardware ...............................................................................107
6 AUDITANDO PROCESSOS DE AUTENTICAÇÃO ...................................................................................110
6.1 A autenticação de usuários ............................................................................................................110
6.2 Biometria ...............................................................................................................................................111
6.3 Gerenciamento de identidade e acesso ....................................................................................113
6.4 Política de senha e métodos de autenticação ........................................................................114
6.5 Gerenciamento centralizado de usuários e grupos ..............................................................114
6.6 A ligação entre a autenticação e o controle de acesso ......................................................116
6.7 Auditoria de acesso em ambientes compartilhados ............................................................117
6.8 Segregação de ambientes como ferramenta de controle de acesso .............................118
6.9 Responsabilização em ambientes de TI .....................................................................................122
6.10 Modelos de controle de acesso para recursos computacionais ....................................126
6.11 Controle e gerenciamento de usuários em redes................................................................127
Unidade IV
7 AUDITANDO SISTEMAS OPERACIONAIS E APLICATIVOS ................................................................133
7.1 Gerenciando logs de sistemas .......................................................................................................133
7.2 Analisando logs de acesso indevido ...........................................................................................134
7.3 Correlacionando logs ........................................................................................................................136
7.4 Auditando a computação forense ...............................................................................................140
7.4.1 Introdução à computação forense ............................................................................................... 140
7.4.2 Auditoria dos métodos forenses .................................................................................................... 142
7.4.3 Auditoria do conteúdo forense ...................................................................................................... 144
8 AUDITANDO A GOVERNANÇA DE TI ......................................................................................................149
8.1 A auditoria com base no COBIT ....................................................................................................149
8.2 Requisitos funcionais........................................................................................................................154
8.3 Requisitos não funcionais ..............................................................................................................157
8.4 Auditando a segurança ....................................................................................................................157
8.4.1 A auditoria na gestão da segurança ............................................................................................ 157
8.4.2 A auditoria no gerenciamento de incidentes e na continuidade dos negócios......... 160
8.4.3 A auditoria em sistemas de gerenciamento de segurança da informação (SGSI) .... 162
8.4.4 A auditoria por meio de varredura e sniffer ............................................................................. 162
8.4.5 A auditoria por meio de firewalls .................................................................................................. 165
8.4.6 A auditoria por meio de sistemas de detecção e prevenção de intrusões (SDPI) ..... 166
8.4.7 A auditoria por meio de proxies .................................................................................................... 168
8.4.8 A auditoria por meio de Virtual Private Networks (VPN) .................................................... 169
9
APRESENTAÇÃO
O objetivo desta disciplina é apresentar os conceitos necessários para o entendimento do processo 
de auditoria de sistemas.
Em relação à variedade de cenários aos quais pode ser aplicado, um processo de auditoria é uma 
atividade bastante abrangente. Funciona como uma validação de processos, métodos, ferramentas, 
procedimentos e atividades executadas em uma empresa. Também serve para aferir os resultados e 
determinar, afinal, se as metas estão sendo alcançadas. Pode ser usado tanto para levantamento de 
erros e inconformidades quanto para comparações e criação de novos processos; e, claro, para 
investigação, registro e rastreamento de eventos em sistemas, equipamentos ou processos.
A tarefa de um auditor não costuma ser simples. Auditar um sistema demanda uma série de 
pré-requisitos, além do entendimento do objeto auditado e das normas e padrões vigentes. Por isso, ao 
mesmo tempo que pode ser considerada uma atividade técnica, a auditoria está ligada à governança e 
gestão. Essa multidisciplinaridade surge justamente pela noção sobre organização e conformidades que 
o auditor deve ter para dar andamento ao processo investigativo que ele realiza.
Neste conteúdo, há uma aproximação bastante intensa entre os conceitos de auditoria e os conceitos 
de segurança. Nada mais natural, já que de fatoexiste uma correlação forte entre os dois assuntos. 
A auditoria serve como apoio à gestão e prática de segurança por meio da validação dos controles 
utilizados. Ao mesmo tempo, a segurança é uma das razões pelas quais atividades investigativas e de 
rastreabilidade, realizadas pela auditoria, devem existir.
Esperamos criar uma motivação extra para que se busque conhecimento sobre os conceitos e a 
aplicação da auditoria no dia a dia das empresas.
INTRODUÇÃO
Quando falamos sobre auditoria de sistemas, talvez a primeira ideia que surja seja a de algo 
relacionado à busca por inconformidades em algum processo ou sistema. Não está errada, visto que 
esta é uma das funcionalidades que a auditoria deve prestar.
Contudo, um processo de auditoria vai além da simples verificação de inconformidades. Como 
veremos neste livro-texto, a auditoria também serve para implementação de estratégias de governança e 
organização dos procedimentos de uma empresa, para teste de novas medidas, para controle dos processos 
gestados em uma companhia e para garantia e revisão das atividades executadas na organização.
Portanto, um processo de auditoria não se limita apenas a sistemas. Aqui, serão tratados conceitos 
relacionados à auditoria de equipamentos (hardware), pessoas e mesmo em relação à legislação. Dessa 
forma, será possível estabelecer paralelos com a aplicação da auditoria em diversos ambientes e situações.
Este livro-texto tem início com a apresentação dos conceitos necessários para o entendimento 
da auditoria, formando uma base teórica para a compreensão dos tópicos subsequentes. Em seguida, 
10
debruça-se justamente sobre o funcionamento dos processos de auditoria, explicando uma série de 
funcionalidades e princípios, e como esses processos podem ser aplicados para checagem, validação 
e atualização dos controles e mecanismos de segurança de uma organização. Por fim, trata sobre a 
aplicação da auditoria de uma série de ambientes produtivos, bastante comuns nas empresas.
A partir de uma análise mais aprofundada, poderemos perceber que a abordagem sobre os processos 
de auditoria aqui está intimamente voltada para a segurança e os desdobramentos da proteção dos 
bens de uma empresa.
Essa ligação com a segurança é um viés forte neste conteúdo e se explica justamente pelo 
fato de a auditoria ser uma ferramenta importante para a continuidade das operações – um dos 
objetivos da segurança.
Boa leitura!
11
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
Unidade I
1 CONCEITOS SOBRE SEGURANÇA
O entendimento de um processo de auditoria passa pelo entendimento de alguns conceitos 
essenciais de segurança. Por isso, este primeiro tópico gira em torno das ameaças e vulnerabilidades 
às quais os ambientes tecnológicos estão sujeitos.
1.1 Ameaças e vulnerabilidades
A segurança é um assunto muito abrangente. Envolve diversas áreas, ambientes, categorizações, 
e requer cuidados tanto no gerenciamento quanto no aspecto técnico. A função da segurança é 
justamente proteger o que tem valor para uma empresa, os chamados ativos – bens ou elementos que 
possuem valor para a organização.
Figura 1 – Exemplo de bens materiais tangíveis de uma empresa
Qualquer bem que possui valor para a empresa pode ser considerado um ativo. Um deles é o ativo 
de informação, que nos dias atuais pode ser bastante valioso para uma companhia. Quando aplicada 
em uma corporação, a gestão da segurança da informação tem como objetivo proteger os ambientes 
e os ativos contra quaisquer problemas que tenham potencial de causar danos e/ou causar prejuízos. 
Entre os exemplos, estão: ameaças, vulnerabilidades, falta de conscientização, baixo controle, riscos e 
falta de organização.
Uma ameaça é qualquer evento ou circunstância com potencial de causar danos a um ativo, mas 
que ainda não causou prejuízos. Na verdade, é um problema em potencial que não desencadeou (ainda) 
12
Unidade I
maiores problemas. Dentro dessa definição, muitos problemas podem ser classificados como ameaças, 
como: funcionários insatisfeitos, um buraco destampado ou um cachorro bravo.
Em geral, as ameaças só se transformam em prejuízo quando existe alguma vulnerabilidade. 
Vulnerabilidades são falhas que permitem a ocorrência das ameaças e podem surgir de diversas formas 
– em processos, em projetos e na implementação de controles. Muitas vezes, essas falhas são exploradas 
de forma consciente por atacantes a fim de prejudicar sistemas; outras vezes, são apenas erros. Entre os 
exemplos de vulnerabilidade, estão: programas com erros, sistemas não atualizados e funcionários sem 
equipamento de proteção durante a execução de trabalhos perigosos.
Um vírus enviado como anexo no e-mail é uma ameaça potencial.
Figura 2 – Tela de um computador infectado com o vírus Herbstlaub
A abertura do anexo infectado por um usuário distraído é a vulnerabilidade que transforma a 
ameaça em prejuízo.
A figura a seguir resume um ambiente de Tecnologia da Informação (TI) que deve ter seus ativos 
protegidos por controles de segurança contra ameaças e vulnerabilidades.
Ameaças
Ativos
Controles de segurança
Vulnerabilidades
Figura 3 – Proteção dos ativos contra ameaças e vulnerabilidades
13
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
1.2 Segurança computacional
Em relação à segurança de computadores, os ataques computacionais fazem parte de uma categoria 
de ameaças e vulnerabilidades que busca sempre o acesso e/ou o uso não autorizado de recursos. 
É uma definição importante, pois delimita bem o que é um ataque computacional. Basicamente, 
qualquer ataque computacional realiza um acesso ou um uso não autorizado de recursos – muitas 
vezes, ambos ocorrem ao mesmo tempo.
 Observação
Um celular invadido, por exemplo, representa um acesso não autorizado. 
Se o atacante enviar mensagens falsas, ele também estará fazendo um uso 
não autorizado do aparelho.
Figura 4 – Ilustração sobre invasão em smartphones
Ataques computacionais também podem ser classificados de duas maneiras: quanto à atividade e 
quanto ao fluxo.
Em relação à atividade, existem os ataques passivos, que ocorrem, mas não produzem alterações 
nas informações, nos sistemas nem no fluxo das informações afetadas. São mais difíceis de serem 
detectados justamente porque geram consequências, mas mantêm os dados imutáveis, como as escutas 
telefônicas e a leitura indevida de documentos.
Ainda em relação à atividade, os ataques ativos são aqueles que modificam os dados, o fluxo de 
comunicação ou o próprio sistema. Por exemplo: a criação de uma mensagem falsa ou um invasor que 
alterou arquivos em um servidor. Em geral, esses ataques deixam mais marcas que os ataques passivos.
Tendo como base o fluxo das informações em uma comunicação – ou seja, esses ataques 
ocorrem durante o compartilhamento de informações –, os ataques computacionais podem ser 
classificados, como:
14
Unidade I
• Ataque de interrupção/destruição: um recurso do sistema é destruído ou colocado em 
indisponibilidade durante seu compartilhamento ou envio. Por exemplo: uma mensagem apagada 
que não chega ao destinatário.
Fluxo normal
Ataque de interrupção/destruição
Origem
Origem
Mensagem
Mensagem
Atacante
Destino
Destino
Figura 5 – Comparação entre um fluxo considerado normal e um com ataque de destruição
• Ataque de observação: uma entidade não autorizada observa uma determinada informação 
armazenada ou em trânsito. Por exemplo: uma escuta telefônica ou uma cópia de arquivos 
indevida. Trata-se da única categoria passiva de ataques baseados no fluxo.
Fluxo normal
Ataque de observação
Origem
Origem
Mensagem
Mensagem
Mensagem
Atacante
Destino
Destino
Figura 6 – Comparação entre um fluxo considerado normal e um com ataque de observação
15
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
• Ataque de modificação: uma entidade não autorizada modifica um determinado recurso. Por 
exemplo: arquivos compartilhados que passam por alteração indevida de uma entidade maliciosa 
antes de serem acessados pelos receptores.Fluxo normal
Ataque de modificação
Origem
Origem
Mensagem
Mensagem
Mensagem
Atacante
Destino
Destino
Figura 7 – Comparação entre um fluxo considerado normal e um com ataque de modificação
• Ataque de fabricação: uma entidade não autorizada gera dados falsos, passa-se pelo emissor 
original e os envia a um destinatário. Por exemplo: geração de fake news.
Fluxo normal
Ataque de fabricação
Origem
Origem
Mensagem
Mensagem
Mensagem
Atacante
Destino
Destino
Figura 8 – Comparação entre um fluxo considerado normal e um com ataque de fabricação
16
Unidade I
 Observação
Não se engane: ataques passivos podem ser tão perigosos quanto 
ataques ativos, principalmente por serem furtivos e de difícil detecção.
Ameaças e vulnerabilidades, principalmente as computacionais, podem aparecer em uma série de formatos 
e condições. O quadro a seguir resume as principais ameaças aos sistemas cibernéticos e computacionais.
Quadro 1 – Descrição de algumas ameaças comuns em sistemas computacionais
Ameaça Descrição
Cookies São pequenos arquivos que contêm dados sobre o usuário. São salvos em um computador quando um site da internet é acessado pela primeira vez. Apesar de úteis, podem implicar problemas de segurança.
Session 
hijacking
O sequestro de sessão é uma técnica que permite o controle malicioso de uma sessão de comunicação 
TCP/IP. Isso pode ser feito por meio de cookies e scripts maliciosos.
Phishing É um tipo de fraude concebida para roubar informações como senha ou número de cartão de crédito. Normalmente, ocorre por meio de sites ou e-mails falsos.
Cross-site 
scripting (XSS)
Consiste em falhas de validações dos parâmetros trocados entre usuários e servidores web. Pode 
permitir a injeção de código malicioso na comunicação.
SQL-injection
Está entre os ataques mais explorados da internet. Trata-se de um ataque de injeção de código 
malicioso contra o banco de dados de uma aplicação web. Em geral, acontece devido às vulnerabilidades 
que permitem execução de comandos não autorizados.
Denial of 
Service (DoS)
Qualquer ataque planejado para fazer uma máquina ou um software ficar indisponível e incapaz de 
executar sua funcionalidade básica é conhecido como um ataque DoS (de negação de serviço). Em 
geral, um atacante envia uma quantidade gigantesca de pacotes a um servidor, que fica lento ou trava. 
A versão distribuída deste ataque recebe o nome de Distributed Denial of Service (DDoS).
Botnet Uma botnet é uma rede de computadores infectados (zumbis) por bots (robôs), normalmente utilizados para distribuição de spam e ataques DDoS.
Malware Trata-se de um software malicioso cuja existência ou execução traz consequências negativas, que podem variar de irritantes a danosas. Exemplos de malwares incluem vírus, trojans, worms e rootkits.
Vírus
É um script que se replica inserindo seu código em outros arquivos. Normalmente, realiza tarefas 
maliciosas, como apagar arquivos importantes ou roubar senhas. Em geral, depende da exploração de 
alguma falha, como um clique em anexo de e-mail ou o compartilhamento de unidade de USB.
Trojan
É um malware que aparenta realizar algo útil, mas na verdade tem consequências negativas, como 
roubar senhas. O principal risco de um trojan é que ele permite ao atacante realizar tarefas com 
privilégios (altos) de administrador. O nome é uma abreviatura do termo “cavalo de Troia”.
Worm É um programa malicioso que espalha, de forma autônoma, cópias de si mesmo sem a necessidade de se injetar em outros programas (como os vírus).
Rootkit
É um software, na maioria das vezes malicioso, criado para esconder ou camuflar a existência de certos 
processos ou programas da ação de controles de segurança. São, muitas vezes, usados para esconder 
malwares como vírus, trojans ou mesmo backdoors.
Backdoor É uma porta secreta que permite alguma ação indevida. Trata-se de um programa executado em um sistema ou uma rede que permite ações de acesso que não deveriam ser possíveis.
Adware Software que exibe anúncios na tela de um usuário sem o consentimento dele.
Spyware Software que coleta indevidamente informações sobre o usuário ou sobre o uso do computador.
Se entendermos a TI como uma área abrangente que diz respeito a qualquer tipo de tecnologia, 
podemos definir que a área computacional é apenas uma subárea importante dentro do universo da TI.
17
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
Já a segurança tem um papel mais tangencial, pois atua como uma ferramenta auxiliar que pode ser 
utilizada no projeto, no desenvolvimento, nos testes de implantação, no uso e no descarte de qualquer tipo 
de ativo, inclusive os ligados à tecnologia. Portanto, é muito importante que a tecnologia esteja atrelada 
aos princípios de segurança desde o seu nascimento para garantir que os ativos permaneçam protegidos.
No conteúdo subsequente, serão discutidos os controles usados para a proteção dos ativos e os serviços 
que eles oferecem como resultado, sempre com foco em como a segurança pode ser implementada.
1.3 Controles de segurança
Um controle de segurança (ou mecanismo de proteção) é um equipamento, serviço, método, 
processo, modelo ou técnica implementado com o objetivo de proteger um ativo, seja ele computacional 
ou não. A ideia é prevenir (evitar de forma proativa), detectar (identificar a ação em tempo real) ou 
recuperar (retornar as funcionalidades) ataques a um ativo.
Quando o controle de segurança tem um caráter de prevenção, ele tem por objetivo evitar a 
exploração de vulnerabilidades, ou seja, as ações são tomadas antes dos acontecimentos nocivos. Apesar 
de ser a melhor forma de proteção e, em geral, gerar o melhor custo-benefício, controles preventivos 
costumam ser mais difíceis de serem implementados.
Mecanismos voltados para a detecção são bem mais comuns na computação, pois detectam um 
evento malicioso no momento que ele está ocorrendo e tomam as medidas que estiverem programadas. 
Apesar de muito usados, os controles de detecção são mais arriscados que os de prevenção, uma vez que 
há um risco associado ao fato de o controle funcionar justamente quando o problema está ocorrendo.
Por fim, os controles de segurança para recuperação atuam depois que a ameaça já se concretizou. 
A recuperação de um backup após um dano a um sistema é o melhor exemplo (desde que o backup 
tenha sido realizado antes do dano). Em geral, a implementação de um backup não é algo complicado, 
mas o custo final de recuperar um sistema costuma ser maior que o de detectar ou prevenir.
1.4 Serviços de segurança
Os controles de segurança geram como resultado a proteção aos ativos. Esses resultados podem 
ser entendidos como serviços oferecidos pelos controles. Um serviço de segurança é uma forma de 
classificação para o resultado de um controle de segurança. Em outras palavras, trata-se do tipo 
de serviço ou proteção que um controle de segurança gera.
É importante classificar os serviços de segurança para que controles de segurança adequados sejam 
usados nos ambientes e nas situações específicas. Para um administrador de segurança, isso se traduz no 
conhecimento sobre o que e como proteger, o nível de segurança exigido, o custo e a viabilidade tecnológica. 
No entanto, um dos maiores benefícios está na possibilidade de auditorias mais céleres e precisas.
Entre os diversos serviços de segurança existentes, alguns se destacam pela onipresença nos 
ambientes de tecnologia.
18
Unidade I
1.4.1 Confidencialidade
O objetivo de um controle que ofereça o serviço de segurança de confidencialidade é proteger 
uma informação, armazenada ou em trânsito, contra a divulgação para uma entidade não autorizada 
(usuário, processo, programa, equipamento ou computador).
Figura 9 – Documento classificado como confidencial/secreto
 Observação
Criptografar arquivos que serão trocados entre duas entidades é uma 
das formas mais clássicas de confidencialidade. Mesmo que um atacante 
intercepte os dados trocados, não conseguirá ler o conteúdo dos arquivos 
por não possuir a chave(senha) necessária para abri-los.
1.4.2 Integridade
Um controle que ofereça o serviço de segurança de integridade deve ser capaz de determinar se 
um arquivo, mensagem, carta, programa ou aviso (armazenado ou em trânsito) foi modificado por uma 
entidade não autorizada ou mesmo de maneira acidental.
Figura 10 – Hash obtido com o algoritmo SHA-256 (hashes são usados para a garantia de integridade)
19
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
O hash gerado na figura anterior é específico para o conteúdo contido no parágrafo apresentado. 
Qualquer alteração no conteúdo gera um hash diferente. Com isso, é possível checar se um arquivo foi 
modificado após o compartilhamento.
Exemplo de aplicação
Imagine uma troca de arquivos na qual o usuário A enviou um contrato para o usuário B. Para 
garantir que o contrato tenha chegado sem modificações, o usuário A pode assinar o contrato com sua 
assinatura digital. Isso garante que o usuário B (destinatário) consiga conferir se o conteúdo do contrato 
possui integridade, ou seja, se não passou por quaisquer modificações durante o trânsito dos dados.
1.4.3 Disponibilidade
De forma básica, o objetivo do serviço de segurança de disponibilidade é garantir que um sistema, 
programa, rede ou serviço esteja funcionando ou que um arquivo, ativo ou local esteja acessível para as 
entidades autorizadas. O simples fato de um serviço ficar lento já representa problemas de disponibilidade. 
Um site que ficou fora de serviço ou lento está com problemas de disponibilidade.
Figura 11 – Indisponibilidade de site
1.4.4 Autenticação
O serviço de segurança de autenticação é usado para provar que alguém realmente é quem alega 
ser. Também é usado para provar a autoria – que algo realmente é de alguém.
20
Unidade I
A autenticação é um serviço de segurança empregado quando há a necessidade de confirmar a 
origem e o destino de uma transmissão ou um arquivo que está sendo compartilhado. Biometria e logins 
com acessos por senha são exemplos de autenticação.
Figura 12 – Processo de autenticação por biometria da digital com leitura pelo sensor do smartphone
 Saiba mais
A autenticação e a integridade de arquivos compartilhados podem 
ser garantidas por meio de assinaturas digitais, assunto que será pouco 
abordado aqui. Veja mais detalhes em:
STALLINGS, W. Computer security: principles and practice. 3. ed. London: 
Pearson Education, 2014.
1.4.5 Controle de acesso
O controle de acesso garante que somente as entidades autorizadas consigam acesso a um 
determinado ativo. Em geral, é um serviço exercido logo após a autenticação – depois da identificação 
de um indivíduo, um sistema determina quais recursos ele pode acessar. Por exemplo: catracas com 
autenticação por cartão de usuário. Depois que alguém passa um cartão ou crachá (autenticação), a 
catraca permite (ou não) o acesso ao local (controle de acesso).
Figura 13 – Portão para controle de acesso de uma única via
21
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
Mais adiante, trataremos sobre a relação dos serviços de segurança de autenticação e controle de 
acesso com a auditoria.
1.4.6 Privacidade
A privacidade é o serviço de segurança que controla a distribuição e o uso de informações privadas 
(que possuem um dono). Duas questões importantes devem ser consideradas nesse processo: na maior 
parte das vezes, essas informações foram fornecidas pelo próprio dono delas; e as informações não são 
necessariamente confidenciais, apenas não há razão para a divulgação e o uso não autorizado.
Figura 14 – Armários com conteúdo individual privado
Em tempos de redes sociais e compartilhamentos de fotos e vídeos, a privacidade se tornou 
um dos serviços de segurança mais difíceis de alcançar. A grande dificuldade de lidar com a 
privacidade dos dados é que parte da solução está no hábito das pessoas, já que, em geral, 
elas mesmas disponibilizaram essas informações. Isso é bem mais complicado que simplesmente 
adicionar um controle de segurança sobre uma rede ou um computador.
 Observação
A instalação de aplicativos em smartphones, em geral, vem recheada 
de confirmações quanto ao que um determinado aplicativo vai ter acesso. 
Apesar de muitos usuários não se atentarem para esse tipo de operação, 
isso tem bastante importância. Trata-se de um controle sobre a privacidade 
das informações do usuário, que podem ser acessadas e usadas de forma 
indevida por aplicativos.
22
Unidade I
 Saiba mais
A Lei Geral de Proteção de Dados (LGPD) é uma tentativa de garantir a 
privacidade das informações pessoais. Veja-a na íntegra:
BRASIL. Secretaria-Geral. Subchefia para Assuntos Jurídicos. Lei 
n. 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados 
Pessoais (LGPD). Brasília, 2018. Disponível em: http://www.planalto.gov.br/
ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em: 9 out. 2020.
1.4.7 Irretratabilidade (não repudiação)
O serviço de segurança de irretratabilidade, também conhecido como não repudiação, tem por 
objetivo impedir que alguém negue um fato ocorrido. Em relação ao fluxo de informações, esse fato 
pode ser a transmissão ou a recepção de um dado. A ideia é implantar um controle de segurança cujo 
resultado impeça alguém de negar que transmitiu ou que recebeu algo.
Figura 15 – Assinatura em carta registrada garante a irretratabilidade de recepção
Se alguém transmitir informações usando seu próprio certificado digital, por exemplo, a transação 
é irrevogável, ou seja, não há como o transmissor negar o fato. Da mesma forma, se um destinatário 
receber um valor de uma transação gravada em um bloco de blockchain, não há como este usuário negar 
a recepção. Em ambos os casos, está estabelecido o serviço de irretratabilidade.
 Observação
Blockchain é a estrutura de autenticação, integridade e registro de 
transações existentes por trás das moedas virtuais (GREVE et al., 2018).
23
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
Figura 16 – Esquema ilustrativo das funcionalidades do blockchain
 Saiba mais
Encontre detalhes sobre os certificados digitais em:
STALLINGS, W. Computer security: principles and practice. 3. ed. London: 
Pearson Education, 2014.
1.4.8 Auditoria (serviço de segurança)
Por fim, existe também o serviço de segurança de auditoria, que não deve ser confundido com 
o processo de auditoria tratado nesta unidade. O serviço de segurança de auditoria é aquele que 
permite o rastreamento de eventos que ocorrem em um sistema ou equipamento. Para isso, é preciso 
que o equipamento contenha um sistema que registre os eventos ocorridos com base no tempo (log). 
Praticamente todos os sistemas operacionais possuem gerenciadores de logs.
Figura 17 – Gerenciador de logs do Windows 10
24
Unidade I
Além dos mencionados, existem outros serviços de segurança. Contudo, alguns autores costumam 
classificar os serviços de confidencialidade, integridade, disponibilidade e autenticação (CIDA) como os 
mais importantes.
C DI A
Confidencialidade: 
serviço passivo/
preventivo
Disponibilidade: 
serviço ativo/
detecção/
recuperação
Integridade: 
serviço ativo/
detecção/
recuperação
Autenticação: 
serviço ativo/
detecção/
recuperação
Figura 18 – Serviços essenciais de segurança CIDA
Na figura anterior, está ilustrada a importância do CIDA. O serviço de confidencialidade é o único, 
entre os quatro principais, considerado passivo/preventivo. Isso quer dizer que a confidencialidade 
funciona de forma preventiva, impedindo alterações (ativas). Os outros são todos ativos e usados para 
detecção e recuperação da informação.
 Lembrete
Existem outros serviços de segurança. Aqui, foram apresentados os 
principais e os que mais estão relacionados com os processos de auditoria.
Atualmente, devido à importância do controle de acesso e da privacidade nos processos relacionados 
às nuvens computacionais e às redes sociais, esses serviços também podem ser acrescentados à lista.
2 CONCEITOS SOBRE NORMAS, POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (PSI) 
E AUDITORIA
As normas são elementosintrinsecamente ligados aos processos de auditoria. Formam as bases 
a partir das quais conformidades e processos são verificados, além de apontar rumos e especificar 
controles que podem garantir a segurança das operações da empresa.
Diante disso, este tópico tratará do processo de normalização e da construção de uma Política 
de Segurança da Informação (PSI), elementos extremamente importantes para a organização e 
o desenvolvimento de um processo de auditoria.
25
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
2.1 Normalização
A normalização é a atividade voltada para a elaboração, o compartilhamento e a implantação de 
normas. De forma básica, a função de uma norma é proteger os ativos, ensinar os colaboradores 
e padronizar os processos e modos de produção. A definição da Associação Brasileira de Normas 
Técnicas (ABNT, 2014) elucida bem o conceito:
 
Norma é o documento estabelecido por consenso e aprovado por um 
organismo reconhecido, que fornece regras, diretrizes ou características 
mínimas para atividades ou para seus resultados, visando à obtenção de um 
grau ótimo de ordenação em um dado contexto.
A normalização envolve todo o processo de formulação e aplicação de regras para solucionar e/ou 
prevenir ameaças e vulnerabilidades – em geral, com prescrições de atividades da forma mais simples e 
direta possível, que gerem bons resultados.
Em alguns países, existe uma obrigatoriedade de adoção de normas em determinados setores e áreas. 
Isso tende a garantir a homogeneidade de produtos e processos. Contudo, no Brasil, nenhuma empresa 
é obrigada a seguir normas. Trata-se de um uso voluntário, recomendado justamente por representar a 
junção do estado da arte com a visão prática de uma determinada atividade.
Apesar dessa não obrigatoriedade, uma empresa que não segue um código baseado em normas 
acaba criando serviços ou produtos que podem não ser bem aceitos pelo mercado. Fica bem mais difícil 
convencer os consumidores de que o bem produzido atende às necessidades de qualidade estabelecidas. 
Questões como manutenção e troca de peças também são aspectos levados em conta quando um 
consumidor se depara com um produto final que não está de acordo com as normas. Como um problema 
adicional, do ponto de vista legal, quando isso acontece, a responsabilidade é do fornecedor.
Normas também facilitam o comércio, nacional e internacional. Métodos e processos normalizados 
podem ser seguidos e adaptados em qualquer parte do mundo. Sendo assim, o comércio é mais aberto 
para empresas e produtos que seguem normas rígidas. Aspectos como sustentabilidade também ficam 
evidentes para aqueles que seguem padrões normalizados. Por fim, o compartilhamento de padrões 
tende a deixar o trabalho mais seguro, limpo, rápido, saudável, preciso e eficiente, provendo soluções 
comuns para problemas recorrentes.
26
Unidade I
Objetivos da normalização
Segurança
Comunicação
Compatibilidade
Eliminação de 
barreiras técnicas 
e comerciais
Proteção do meio 
ambiente
Intercambialidade
Proteção de 
produtos
Controle de 
variedade
Figura 19 – Objetivos da normalização
Os processos e as metodologias sugeridas nas normas foram exaustivamente testados. Por isso, 
são considerados referências confiáveis para as funções a que se destinam, podendo ser utilizados em 
processos de regulamentação, medição, certificação e, claro, auditoria.
A normalização segue uma classificação geográfica que se divide em: normalização internacional, 
um consenso de padronização que envolve vários países do mundo; normalização regional, quando o 
consenso se restringe a uma região geográfica ou política; e normalização nacional, quando o consenso 
está circunscrito a um determinado país.
Há uma série de organizações que controlam e gerenciam a criação, a implantação e a aprovação de 
normas. Essas entidades estão representadas na pirâmide ilustrada na figura a seguir.
Internacional
ISO/IEC/ITU
Regional/sub-regional
COPANT/AMN/CEN
Nacional
ABNT/AFNOR/AENOR
Associação
ASTM/API
Empresarial
Figura 20 – Classificação da normalização
27
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
Entidade sem fins lucrativos, fundada em 1940 e reconhecida pelo Governo Federal como o foro 
nacional de normalização brasileiro, a ABNT é o órgão responsável pela criação das normas brasileiras 
(NBR). Faz parte da International Electrotechnical Commission (IEC), além de ser membro fundador da 
International Organization for Standardization (ISO), da Comisión Panamericana de Normas Técnicas 
(Copant) e da Asociación Mercosur de Normalización (AMN).
Para a elaboração de uma norma da ABNT – que, em suma, é um documento técnico –, a demanda 
pode vir de qualquer pessoa, empresa ou entidade envolvida com o assunto a ser normalizado. A 
requisição passa por uma análise da ABNT e, caso seja pertinente, é enviada ao Comitê Técnico relativo 
ao assunto, para que seja incluída no Programa de Normalização Setorial (PNS). Esse tipo de comitê 
pode até ser criado caso o assunto não esteja coberto pelos atuais órgãos.
O processo para a elaboração de uma norma pode ser visto na figura a seguir.
Demanda
Programa de 
normalização 
setorial (PNS)
Elaboração do 
projeto de norma
Consulta nacional
OK?
Análise do 
resultado da 
consulta nacional
N
ão
Sim
Figura 21 – Fluxo para a elaboração de normas
Como pode ser observado na figura anterior, após uma consulta nacional, as sugestões aceitas são 
consolidadas em um projeto de norma, que é numerado e disponibilizado pela ABNT.
 Saiba mais
Uma consulta nacional pode ser feita em:
ABNT. Consulta nacional. [s.d.]. Disponível em: http://www.abntonline.
com.br/consultanacional/. Acesso em: 9 out. 2020.
Um projeto de norma pode ser encontrado no site a seguir:
http://www.abntcatalogo.com.br/
28
Unidade I
 Lembrete
Os processos e as metodologias sugeridas nas normas são considerados 
referências confiáveis para as funções a que se destinam, podendo ser 
utilizados em processos de regulamentação, medição, certificação e auditoria.
2.2 Política de Segurança da Informação (PSI)
Como vimos, uma norma é um conjunto de regras que possuem três objetivos principais: proteger os 
negócios da organização; orientar os colaboradores; e padronizar a segurança da informação.
A família ABNT NBR ISO/IEC 27000 é um conjunto de normas que tratam de diversos aspectos 
relacionados à segurança e ao gerenciamento da informação nas corporações. São normas abrangentes 
baseadas em padrões internacionais que cobrem praticamente todos os aspectos e as estratégias usadas 
pelas empresas, inclusive os tecnológicos.
27001:2015
27002:2015
27006:2015
27010:2015
27013:2015
27017:2015
27023:2015
27033-1:2015
27034-2:2015
27039:2015
27040:2015
27041:2015
27042:2015
27043:2015
27003:2010
27004:2009
27005:2011
27007:2011
TR 27008:2011
27011:2008
27031:2011
27033-3:2010
27035:2011
27003:2017
27007:2017
27019:2017
27021:2017
27034-5:2017
27050-1:2017
27014:2013
27019:2013
27033-5:2013
27036-3:2013
27004:2016
27009:2016
27033-6:2016
27034-6:2016
27035-1:2016
27035-2:2016
27036-4:2016
27050-1:2016
27799:2016
27011:2016
TR 27015:2012
27032:2012
27033-2:2012
27037:2012
27000:2018
27005:2018
27011 cor 1:2018
27013:2018
27034-3:2018
27034-5:2018
27034-7:2018
27050-2:2018
TR 27016:2014
27018:2014
27033-4:2014
27034-1:2014
27036-1:2014
27036-2:2014
27038:2014
TS 27008:2019
27018:2019
Até 2015
Até 2011
Até 2016
2012
Até 2017
2013
Até 2018
2014
Até 2019
Figura 22 – Evolução da família de normas ABNT NBR ISO/IEC 27000 ao longo dos anos
29
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
A norma ABNT NBR ISO/IEC 27002 (ABNT, 2013b) trata sobre recomendações e controles de segurança 
que podem ser aplicados em uma corporação. A norma recomenda que todas as empresas tenham uma 
PSI – um conjunto de regras baseadas nas principais normas, mas adaptadas para os cenários da empresa.
A PSI é um documento que deve servir como guia para processos e procedimentos dentroda 
empresa. A norma ABNT NBR ISO/IEC 27002 (ABNT, 2013b) enumera dez características principais que 
uma PSI deve ter:
• Atual: a PSI deve especificar um conjunto de regras, efetivas e atuais (permeáveis às novas 
tecnologias), destinadas a uma comunidade ou empresa. Ou seja, a PSI deve ser constantemente 
auditada e atualizada.
Figura 23 – Trecho sobre o uso de e-mail em uma PSI
Na figura anterior, há um trecho de uma PSI que trata sobre o uso do e-mail corporativo pelos 
colaboradores, que serve como prova da necessidade de atualização das regras. Há cerca de vinte anos, as 
PSI corporativas não exibiam um capítulo exclusivo sobre esse tipo de serviço. Atualmente, é impensável 
que uma PSI não aborde o assunto.
• Controles e processos: é comum que a PSI defina alguns controles e processos da empresa, 
para que fique claro que alguns procedimentos e métodos são padronizados. Porém, não é 
preciso que todos os processos e controles existentes na empresa sejam detalhados, pois a PSI 
ficaria gigantesca.
30
Unidade I
Tarefa 1: montar para-choque no carro
Tarefa 1: pintar para-choque 
separado do carro
Tarefa 2: pintar para-choque
Tarefa 2: montar para-choque 
pintado do carro
Resultado do processo 
2: carro perfeitoProcesso 2
Resultado do processo 
1: respingos de tinta do 
para-choque no carro
Processo 1
Figura 24 – Processos são ações em uma determinada ordem; controles de segurança servem para proteger os ativos
Perceba na figura anterior como uma simples mudança (inversão, no caso) de processos gera 
resultados diferentes.
• Custo: deve-se levar em conta a viabilidade financeira. O custo de implantação de todas as 
exigências da PSI deve ser justificado pelo valor do ativo e do negócio protegido. A análise de 
risco é uma importante ferramenta para sustentar esse tópico.
Figura 25 – Exemplo de planilha com custos de controles de segurança e ameaças tratadas na PSI
31
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
• Aplicável: as regras da PSI devem ser efetivamente aplicáveis e implementáveis, devendo fazer 
sentido para aqueles que a elas estarão sujeitos. Uma regra precisa ser aplicável e funcional; do 
contrário, não representa uma ideia válida.
Figura 26 – Regras que são impossíveis de serem cumpridas provocam descrédito em toda a política
• Clareza: a redação da PSI deve ser objetiva, clara, concisa, de fácil leitura e compreensão. Textos longos 
podem suscitar dúvidas de entendimento, além de ser um desestímulo à leitura e memorização.
Figura 27 – Frases claras e diretas são mais adequadas
• Obrigatória: o cumprimento da PSI deve ser obrigatório a todos os colaboradores, independentemente 
de cargo ou importância na organização. As consequências efetivas em casos de descumprimento 
devem ser divulgadas, assim como a indicação, quando sua aplicação for restrita a um determinado 
grupo, ou qual procedimento deve ser adotado na impossibilidade de cumprimento.
Figura 28 – A obrigatoriedade da PSI deve ser garantida
32
Unidade I
• Compatível: a política deve estar alinhada com os negócios organizacionais, o ambiente 
da corporação, suas práticas, ferramentas e cultura. Não é recomendável a adoção de regras 
contrárias às estratégias da empresa.
Figura 29 – Estratégias e regras da PSI devem estar alinhadas e ser compatíveis
• Estratificada: as regras devem evoluir sempre que necessário, mas é importante que sejam organizadas 
de forma hierárquica. Definidas pela diretoria, as diretrizes exprimem a estratégia da empresa 
com relação à segurança da informação e se aplicam a toda a empresa. Alinhadas com as diretrizes, as 
normas são regras definidas no nível gerencial e representam os processos e métodos de trabalho 
da empresa. E, por fim, os procedimentos descrevem as ações operacionais tomadas no dia a dia 
para o cumprimento das normas (nem todos os procedimentos precisam estar listados na PSI).
Diretrizes e estratégias - Diretoria
Normas e processos - Gerência
Procedimentos - Operacional
Figura 30 – O conteúdo de uma PSI deve estar organizado a partir da diretriz, passando 
pela elaboração das normas e chegando até os procedimentos do dia a dia da empresa
33
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
• Respaldo: a PSI deve ter suporte e comprometimento total da alta direção. Isso é importante para 
que a política não fique desacreditada.
Figura 31 – Exemplo de memorando com respaldo da diretoria a respeito da PSI
• Conhecimento: quando a PSI é operacionalizada, as pessoas precisam estar informadas e 
conscientizadas sobre os controles adotados e a importância do cumprimento. Portanto, 
a divulgação da PSI é fundamental. As pessoas também devem participar do processo de 
aprimoramento da PSI, com críticas e sugestões.
34
Unidade I
Figura 32 – Treinamentos são necessários, mesmo os oferecidos pela empresa; 
o ato de adquirir conhecimento é vital para o sucesso da PSI
Além dos citados, há fatores que devem ser considerados na efetivação de uma PSI:
• Planejamento e foco nas pessoas (criação de comitês e conscientização de funcionários) são 
pontos importantes na criação da PSI.
• Desmistificação da crença negativa de que controles de segurança atrapalham a produtividade. 
Quando bem planejados, essa influência pode ser mínima.
• Pensamento na melhoria contínua, já que avaliações, medições e aprimoramentos da PSI tendem 
a aumentar a qualidade do trabalho e facilitar a criação de mecanismos de auditoria.
• Por fim, a conformidade jurídica também é essencial. Regras da PSI não podem estar em 
desacordo com as leis.
2.3 Conceitos sobre auditoria: norma ABNT NBR ISO 19011
A norma ABNT NBR ISO 19011 (ABNT, 2018) tem como objetivo orientar os usuários das organizações 
(pequenas, médias e grandes) sobre os princípios da auditoria, a gestão e o andamento dos processos 
de auditoria e quais são as competências necessárias aos auditores. Também faz parte dos objetivos da 
norma definir requisitos para avaliar os próprios auditores, sejam internos, sejam externos.
Neste tópico, iremos discutir as diversas definições e os termos utilizados nos processos de auditoria, 
além de mostrar os requisitos mais importantes listados na norma ABNT NBR ISO 19011 para o 
estabelecimento de um processo de auditoria.
35
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
A norma 19011 teve sua primeira edição publicada em 2002. Em 2006, foi um dos padrões usados 
na criação da norma ABNT NBR ISO/IEC 17021, que trata sobre os requisitos para sistemas de gestão 
e certificação de terceira parte. A norma também versa sobre as atividades realizadas nos processos 
de auditoria, considerando as responsabilidades, os objetivos, a coordenação e a disponibilização de 
recursos e tarefas.
Há uma série de definições, bastante claras e diretas, sobre o processo de auditoria listadas na norma 
ABNT NBR ISO 19011. Essas definições estão descritas na sequência e são úteis para o entendimento 
deste conteúdo (ABNT, 2018):
• Auditado: organização como um todo ou suas partes. Aquilo que está sendo auditado.
• Auditor: pessoa que realiza uma auditoria.
• Auditoria combinada: auditoria realizada em um único auditado, em dois ou mais sistemas 
de gestão.
• Auditoria conjunta: auditoria realizada em um único auditado, por duas ou mais organizações 
de auditoria.
• Auditoria de aplicativos: auditoria voltada para a análise de software e aplicações. Além 
do operacional, funciona no aspecto legal, garantindo o licenciamento correto de sistemas 
e programas.
• Auditoria de dados: este tipo de auditoria se caracteriza pelo uso de software de análise de 
dados, a partir de critérios predefinidos pelo auditor e pelo auditado.
• Auditoria de licitações e contratos: este tipo de auditoria verifica as conformidades legais de 
contratos e documentos. Também analisa viabilidades legais desses objetos.
• Auditoria de primeira parte: é uma auditoria interna realizada com o propósito de beneficiar 
a própria organização. São exemplos deste tipo de auditoria o alinhamento de processose a 
verificação de conformidades dentro da própria empresa, para melhorar o desempenho de um 
setor. O resultado pode ser fonte de informações para auditorias externas.
• Auditoria de segunda parte: é um tipo de auditoria externa realizada por um auditor que não 
pertence à empresa. A diferença crucial é que este auditor é alguém que tem interesses diretos na 
empresa, como um cliente, fornecedor ou parceiro.
• Auditoria de segurança: tem por objetivo cobrir os aspectos de segurança, como os controles e 
as especificações encontradas na PSI.
• Auditoria de tecnologia: tem por objetivo auditar a própria gestão de TI, agindo sobre os 
processos, o planejamento, as atividades e os métodos ligados à tecnologia.
36
Unidade I
• Auditoria de terceira parte: trata-se literalmente da auditoria externa clássica, em que uma 
organização externa atua e emite certificados com base nas normas vigentes.
• Auditoria externa: quando o serviço de auditoria é prestado por um terceiro, que não pertence 
ao quadro de efetivos da organização.
• Auditoria interna: é aquela realizada por alguém que pertence ao quadro de efetivos da empresa. 
Vide auditoria de primeira parte.
• Auditoria: processo sistemático, independente e documentado para obter evidência objetiva 
e avaliá-la objetivamente, a fim de determinar a extensão na qual os critérios de auditoria 
são atendidos.
• Cliente de auditoria: organização ou pessoa que solicita uma auditoria.
• Competência: capacidade de aplicar conhecimento e habilidades para alcançar resultados pretendidos.
• Conclusão de auditoria: resultado de uma auditoria, após levar em consideração os objetivos e 
todas as constatações.
• Conformidade: atendimento de um requisito.
• Constatações de auditoria: resultados da avaliação de evidência de auditoria coletada, comparada 
com os critérios de auditoria.
• Critérios de auditoria: conjunto de requisitos usados como uma referência com a qual a evidência 
objetiva é comparada.
• Desempenho: resultado mensurável.
• Eficácia: extensão na qual atividades planejadas são realizadas e resultados planejados 
são alcançados.
• Equipe de auditoria: uma ou mais pessoas que realizam uma auditoria, apoiadas, se necessário, 
por especialistas.
• Escopo da auditoria: abrangência e limites de uma auditoria. Esses limites podem ser físicos 
(locais), temporais (períodos) e de conteúdo (contexto). Além do sistema auditado, essas restrições 
envolvem pessoas, organizações e processos.
• Especialista: pessoa que provê conhecimento ou experiência específica para a equipe de auditoria. 
Vide auditoria de terceira parte.
37
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
• Evidência de auditoria: registros, apresentação de fatos ou outras informações pertinentes aos 
critérios de auditoria e verificáveis. Há evidências de que são apresentados de forma clara para o 
auditado, como documentos, registros financeiros ou objetos. Contudo, também há evidências de 
que precisam ser criados pelos auditores, como gráficos, explicações e relatórios técnicos. A ideia 
é sempre deixar claros tanto o processo quanto os resultados do processo.
• Evidência objetiva: dados que apoiam a existência ou a veracidade de alguma coisa.
• Fontes: um processo de auditoria depende do levantamento e da análise de informações e registros. 
Há diversas formas de obtenção desses dados: entrevistas e conversas com colaboradores e/ou 
terceiros; informações colhidas pelo auditor sobre o local de trabalho; levantamento de documentos 
e contratos diversos, como arquivos, planos, políticas, projetos ou propostas; registros em vídeo, 
imagens, relatórios, trilhas de auditoria (logs), medições, atas e correspondência, gravações e atas 
de reuniões; amostras de dados internos que sirvam para levantamentos estatísticos; pesquisas e 
análises de desempenho; relatos ou dados externos de clientes, fornecedores e parceiros; e bases 
de dados digitais, como sites, e-mails, mensagens e redes sociais.
• Não conformidade: não atendimento de um requisito.
• Objetivo de auditoria: lista com os objetivos que devem ser alcançados durante o programa. 
Em geral, são informações sobre a gestão do processo, dados comerciais relevantes para o auditado, 
requisitos legais, dados sobre contratos e riscos, entre outros detalhes de importância.
• Observador: pessoa que acompanha a equipe de auditoria, mas não atua como auditor.
• Plano de auditoria: descrição das atividades e dos arranjos para uma auditoria.
• Processo: conjunto de atividades inter-relacionadas ou interativas que utilizam entradas para 
entregar um resultado pretendido.
• Requisito: necessidade ou expectativa que é declarada, geralmente implícita ou obrigatória.
• Risco: efeito de incerteza.
• Sistema de gestão: conjunto de elementos inter-relacionados ou interativos de uma organização, 
para estabelecer políticas, objetivos e processos para alcançar esses fins.
Os princípios de auditoria elencados na norma ABNT NBR ISO 19011 servem para melhorar a 
eficácia e a confiabilidade do processo de auditoria, fornecendo informações sobre as melhores práticas 
que podem ser adotadas por uma organização.
Há sete princípios listados na norma, cuja aderência é um passo essencial para que auditores 
independentes cheguem a resultados similares dentro das mesmas circunstâncias durante uma auditoria:
38
Unidade I
• Integridade: fundamenta o profissionalismo exigido dos auditores, que devem executar seu 
trabalho com ética, honestidade e responsabilidade, dentro das próprias competências e de 
maneira imparcial, sem influências ou viés.
• Apresentação justa: denota a obrigação de reportar com precisão e veracidade os resultados, 
sejam estes relatórios, conclusões ou constatações provenientes do processo de auditoria, 
aplicando o mesmo rigor às comunicações, que devem ser verdadeiras, precisas, claras completas 
e pontuais. Obriga também que obstáculos significativos não resolvidos encontrados durante a 
auditoria sejam reportados, mesmo quando forem fruto de divergência com a equipe.
• Devido cuidado profissional: indica que se deve levar em conta a aplicação de diligência e 
esmero durante o processo de auditoria, fazendo valer a confiança depositada no auditor pelo 
contratante. Da mesma forma, os julgamentos devem ser ponderados e fiéis.
• Confidencialidade: sugere que os auditores devem ter cuidado e discrição durante a manipulação 
de dados pessoais, sensíveis ou confidenciais, evitando a divulgação não autorizada destes. 
Condena também o uso inapropriado da informação para uso próprio ou para prejuízo da 
instituição contratante.
• Independência: deixa claras as bases para a imparcialidade da auditoria e a objetividade das 
conclusões obtidas. Denota que os auditores devem ser independentes da atividade que está 
sendo auditada, livres de viés (tendenciosidade) e conflitos de interesse. Dá importância também 
ao fato de os auditores manterem a objetividade ao longo do processo de auditoria para garantir 
que as conclusões obtidas sejam baseadas apenas nas evidências coletadas.
• Abordagem baseada em evidência: traça como premissa o método racional para alcançar 
conclusões confiáveis e reprodutíveis durante o processo sistemático de auditoria. Demanda que 
as evidências coletadas sejam verificáveis e disponíveis. Também exige, quando necessário, o uso 
de amostras apropriadas, disponíveis e confiáveis.
• Abordagem baseada em risco: direciona a abordagem da auditoria para a consideração de 
riscos e oportunidades. Exige que a condução e o relato das atividades e conclusões da auditoria 
tenham como foco assuntos que sejam pertinentes para o cliente auditado e para os objetivos do 
processo de auditoria.
Outra característica da norma ABNT NBR ISO 19011 é que ela apresenta certa flexibilidade para os 
processos de auditoria, adaptando-se ao tamanho e à complexidade da organização.
Também o seu enfoque se relaciona com o risco que um processo de auditoria corre de não atingir 
os objetivos especificados ou de interferirnas atividades da organização auditada.
Em relação ao gerenciamento dos processos para auditoria, a norma ABNT NBR ISO 19011 
estabelece uma série de tarefas a partir do ciclo Plan-Do-Check-Act, o chamado PDCA (Planejar-Fazer-
Checar-Atualizar), mostrado na figura a seguir.
39
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
Melhoria 
contínua
Definir metas e o método 
para alcançá-las
Executar o método 
definido e coletar dadosAvaliar resultados
Propor melhorias ACT PLAN
DOCHECK
Figura 33 – Ciclo de melhoria contínua Planejar-Fazer-Checar-Atualizar
O PDCA é um ciclo de ferramentas/orientações usado mundialmente para a resolução de problemas 
e a melhoria contínua de processos.
De modo geral, os passos do ciclo PDCA mostrados na figura anterior podem ser definidos 
da seguinte forma:
• Plan (planejar): é o projeto do sistema, método ou plano de ação que deve ser realizado após a 
identificação e o entendimento do problema. Em relação à auditoria, trata-se do planejamento 
completo realizado em torno do elemento auditado.
• Do (executar): trata-se da execução do método planejado. É a execução da auditoria planejada.
• Check (checar): trata-se da revisão e avaliação dos resultados. É uma checagem que mostra 
se os processos foram corretamente executados e se os resultados estão alinhados com os 
objetivos esperados.
• Act (atualizar): este passo significa agir para implementar mudanças, fazer o sistema evoluir 
com mudanças sugeridas nos passos anteriores.
2.4 Gerenciamento de processos de auditoria: norma ABNT NBR ISO 19011
A figura a seguir mostra o fluxo que a norma ABNT NBR ISO 19011 (ABNT, 2018) estabelece para o 
gerenciamento dos processos de auditoria.
40
Unidade I
5.2 Estabelecendo 
objetivos do 
programa de 
auditoria
5.3 Determinando 
e avaliando riscos 
e oportunidades 
do programa de 
auditoria
5.7 Analisando 
criticamente e 
melhorando o 
programa de 
auditoria
5.4 Estabelecendo 
o programa de 
auditoria
5.5 Implementando 
o programa de 
auditoria
6.2 Iniciando a 
auditoria
6.3 Preparando 
atividades da 
auditoria
6.4 Conduzindo 
as atividades da 
auditoria
6.7 Conduzindo 
acompanhamento 
da auditoria
6.5 Preparando 
e distribuindo 
o relatório da 
auditoria
6.6 Concluindo a 
auditoria
5.6 Monitorando 
o programa de 
auditoria
Planejar (PLAN)
Planejar (PLAN)
Fazer (DO)
Fazer (DO)
Checar (CHECK)
Checar (CHECK)
Atualizar (ACT)
Atualizar (ACT)
Seção 5
Seção 6
Figura 34 – Tarefas para o gerenciamento de um processo de auditoria
41
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
O fluxo apresentado na figura anterior se divide em duas seções: a seção 5, Gerenciando um 
Programa de Auditoria, diz respeito à forma como um processo de auditoria deve ser preparado e 
gerido para que funcione a contento; e a seção 6, Conduzindo uma Auditoria, está relacionada à 
forma como as operações devem ser realizadas em um processo de auditoria.
Tendo em vista que a maneira como se executa uma auditoria é discutida em detalhes ao longo 
desta unidade, na sequência veremos explicações sobre os principais pontos sugeridos pela norma 
ABNT NBR ISO 19011 em sua seção 5, Gerenciando um Programa de Auditoria.
Estabelecendo objetivos do processo de auditoria
É importante que os objetivos do processo de auditoria sejam estabelecidos entre auditores 
e auditados para que tudo funcione de forma eficaz. Esses objetivos devem estar alinhados com a 
estratégia da organização e podem ser baseados nas considerações a seguir:
• Necessidades e expectativas de auditores e auditados.
• Características e requisitos dos produtos, processos, projetos e serviços.
• Requisitos do sistema auditado.
• Pedido de avaliação de fornecedores.
• Níveis esperados de desempenho e maturidade do sistema auditado.
• Riscos e oportunidades identificadas.
• Resultados de auditorias anteriores.
Determinando e avaliando riscos e oportunidades do processo de auditoria
É importante que sejam apresentados ao auditado todos os riscos e as oportunidades aos quais ele 
está sujeito durante a aplicação do processo de auditoria. Entre os exemplos de riscos, podem ser citados:
• Eventuais falhas durante o planejamento e a execução da auditoria.
• Recursos insuficientes ou inadequados.
• Seleção de equipe com baixa eficácia ou sem competência.
• Problemas nos canais ou processos de comunicação.
• Implementação ou coordenação ineficaz do processo de auditoria.
42
Unidade I
• Falta de monitoramento adequado do processo de auditoria.
• Disponibilidade e cooperação do auditado.
Estabelecendo o processo de auditoria
Os auditores devem estabelecer:
• A extensão do processo de auditoria.
• A seleção da equipe.
• Os riscos e as oportunidades.
• A atribuição de papéis e responsabilidades.
• Os processos e recursos necessários.
• A documentação da auditoria e a correta apresentação desta aos auditados.
Competência das pessoas que gerenciam o processo de auditoria
Os auditores devem ter as competências necessárias para a execução e condução do processo de 
auditoria, o que inclui o conhecimento sobre:
• Os princípios de auditoria, métodos e processos.
• As normas de orientação pertinentes e as normas do sistema auditado.
• As informações sobre todo o contexto do auditado (necessidades, expectativas, atividades, serviços, 
cadeias de relações internas etc.).
• Os requisitos estatutários, as regulamentações e informações legais.
Estabelecendo a extensão do processo de auditoria
Além de estabelecer a extensão do processo de auditoria, os auditores devem definir fatores que 
impactam essa extensão, como:
• Objetivo, métodos de aplicação, escopo, duração e número de auditorias que devem ser conduzidas.
• Normas do sistema auditado.
• Detalhes sobre os locais auditados (quantidades, complexidade, horários etc.).
43
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
• Fatores que influem na eficácia do sistema auditado.
• Critérios definidos para a auditoria.
• Resultados de processos prévios de auditorias internas e análises críticas de processos anteriores.
• Questões culturais, sociais e de idiomas.
• Mudanças significativas recentes.
• Histórico de problemas – críticas e reclamações, não conformidades, requisitos estatutários, 
questões da cadeia de suprimentos, vulnerabilidades, histórico de incidentes de segurança etc.
• Questões de disponibilidade de TI e de comunicação.
• Riscos e oportunidades do negócio.
Determinando recursos do processo de auditoria
É responsabilidade dos auditores levantar previamente:
• Recursos financeiros e técnicos necessários para o processo de auditoria.
• Métodos de auditoria.
• Disponibilidade de equipe e de ferramentas.
• Extensão do processo de auditoria, riscos e oportunidades.
• Custo com viagens, acomodação, alimentação e outras necessidades humanas.
• Impacto dos fusos horários.
• Questões de disponibilidade de TI e de comunicação.
• Disponibilidade de informações documentadas.
• Requisitos relativos às instalações.
Implementando o processo de auditoria
Após o estabelecimento do processo de auditoria e a determinação dos recursos, é preciso planejar 
e coordenar as atividades da auditoria, listadas a seguir:
44
Unidade I
• Comunicação com os envolvidos no processo de auditoria.
• Especificação de objetivos, escopo e critérios para as auditorias.
• Escolha dos métodos de auditoria.
• Coordenação e agendamento de outras auditorias.
• Verificação da competência da equipe.
• Fornecimento de recursos para as equipes.
• Gerenciamento de riscos, incidentes e oportunidades.
• Documentação adequada.
• Implementação de controles organizacionais e operacionais.
• Identificação de melhorias no processo de auditoria, mediante análise crítica.
Definindo os objetivos, escopo e critérios para uma auditoria individual
Cada processo individual de auditoria deve ser baseado em objetivos, escopo e critérios definidos de 
forma prévia e alinhados com a auditoria global. Os objetivos podem incluir:
• A extensão e os critériosda conformidade do sistema a ser auditado.
• Uma avaliação sobre a capacidade do sistema auditado em atender aos requisitos da organização.
• Uma avaliação do sistema auditado em relação à eficácia e ao alinhamento com a estratégia 
da empresa.
• A identificação de melhorias para o sistema auditado.
• Políticas, métodos, técnicas, procedimentos, processos, ferramentas, modelos e afins.
Selecionando e determinando os métodos de auditoria
Os auditores devem definir quais métodos devem ser utilizados na condução do processo de 
auditoria. Objetivos, escopo e critérios também entram nessas definições. Ainda deve ser levado em 
conta o fato de a auditoria ser realizada localmente, de forma remota ou de ambas as formas – isso 
influi na metodologia adotada e nos riscos identificáveis. Quando duas auditorias estão trabalhando em 
conjunto, devem ser realizados planejamentos prévios, como a alocação de recursos.
45
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
Selecionando membros da equipe de auditoria
Membros da equipe, líderes e especialistas responsáveis por trabalhar no processo de auditoria 
devem ser indicados pelos auditores de acordo com a competência e avaliação contínua dos integrantes. 
Como esse tipo de decisão é vital para o bom andamento do processo, ao decidir sobre o tamanho e a 
composição da equipe, é importante considerar:
• A competência global da equipe.
• A complexidade do processo de auditoria.
• A complexidade do sistema auditado.
• Se a auditoria é complexa ou conjunta.
• Quais os métodos de auditoria selecionados.
• Se a equipe é capaz de trabalhar e interagir de forma eficaz entre si e com os auditados.
• As questões culturais, sociais e de idiomas.
Atribuindo responsabilidade para uma auditoria individual ao líder da equipe de auditoria
Cabe ao responsável pela auditoria definir um auditor (líder) antes do início do processo. Essa 
liderança deve conhecer:
• Os objetivos, o escopo e os critérios da auditoria.
• Os processos e métodos que serão usados na auditoria.
• A composição da equipe.
• As informações sobre o auditado (contato, locais, período etc.).
• Os recursos necessários para cumprir o processo.
• As informações sobre os riscos e as oportunidades que o sistema auditado oferece.
• As informações culturais, de idioma, confidencialidade, coordenação, hierarquia, segurança, 
saúde, acesso, locais, auditorias prévias e quaisquer outros detalhes pertinentes à atividade 
de auditoria.
46
Unidade I
Gerenciando os resultados do programa de auditoria
Quanto aos resultados do processo de auditoria, é importante que os auditores garantam a realização 
das seguintes atividades:
• Avaliação do alcance dos objetivos de cada processo de auditoria.
• Aprovação dos relatórios de auditoria mediante análise crítica do auditado.
• Análise crítica da eficácia das ações tomadas a partir do processo de auditoria e eventuais 
implicações com outros processos.
• Distribuição de relatórios e comunicação com os interessados.
• Determinação da necessidade de acompanhamento da auditoria.
Gerenciando e mantendo os registros do programa de auditoria
Cabe aos auditores assegurar que os registros de auditoria sejam gerados e armazenados dentro dos 
critérios de segurança exigidos de CIDA e privacidade. Registros de auditoria podem ser:
• Relacionados ao processo de auditoria:
— Agenda do processo.
— Objetivos e extensão do processo.
— Questões internas e externas pertinentes.
— Riscos e oportunidades.
• Relacionados às auditorias individuais:
— Planos e relatórios.
— Evidências coletadas e constatações geradas pela auditoria.
— Relatórios de não conformidades.
— Relatórios de correções e ações corretivas.
— Relatórios de acompanhamento de auditoria.
47
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
• Relacionados à equipe:
— Avaliação de competência e desempenho dos membros.
— Critérios para a escolha dos membros.
— Treinamento e melhoria das competências.
Monitorando o processo de auditoria
O monitoramento da auditoria envolve os seguintes aspectos:
• Se os objetivos, prazos e agendamentos estão sendo respeitados.
• Se o desempenho de cada membro da equipe está adequado.
• Se a equipe realmente tem a capacidade de implementar o processo de auditoria.
• Se a comunicação entre auditores, auditados, especialistas e outras partes interessadas está 
funcionando adequadamente, inclusive com a entrega de resultados.
• Se a documentação é adequada e suficiente.
Analisando criticamente e melhorando o programa de auditoria
O processo de auditoria deve ser analisado de forma crítica pelos auditores (líderes). Além de avaliar 
o cumprimento dos objetivos, as lições aprendidas devem ser utilizadas para a melhoria do programa. 
Os seguintes tópicos têm de ser assegurados:
• Os auditores devem garantir:
— A análise crítica da implementação global do processo de auditoria.
— A identificação das áreas e oportunidades para melhoria.
— A operação de mudanças no processo de auditoria, se necessário.
— A análise crítica do desenvolvimento profissional contínuo de auditores.
— Os relatos dos resultados do processo de auditoria e da análise crítica com o cliente de auditoria 
e as partes interessadas pertinentes, conforme apropriado.
48
Unidade I
• A análise crítica do processo de auditoria deve assegurar:
— Resultados e tendências do monitoramento do processo de auditoria.
— Conformidade com o processo de auditoria e informação documentada pertinente.
— Necessidades e expectativas em evolução de partes interessadas pertinentes.
— Registros do processo de auditoria.
— Métodos novos ou alternativos de auditoria.
— Métodos novos ou alternativos para avaliar auditores.
— Eficácia de ações para abordar os riscos, as oportunidades e as questões internas e externas 
associadas ao processo de auditoria.
— Questões de confidencialidade e segurança de informação relativas ao processo de auditoria.
O fluxo da figura anterior, “Tarefas para o gerenciamento de um processo de auditoria”, é 
autoexplicativo, mas vale destacar que a ordenação das caixas (tarefas) está alinhada com o ciclo PDCA. 
Perceba também que algumas tarefas ilustradas nas caixas se sobrepõem e se repetem – por isso, a ideia 
foi justamente listar os principais pontos.
Outro detalhe importante na explicação das tarefas é que a norma ABNT NBR ISO 19011 considera 
que uma auditoria pode se desdobrar em várias outras menores. Até mesmo diferentes auditorias, 
realizadas por auditores distintos, podem ser executadas de forma conjunta.
49
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
 Resumo
Nesta Unidade, começamos entendendo o funcionamento de um 
processo de auditoria. Conhecemos os principais conceitos de segurança 
da área de TI, mais especificamente dos problemas ocasionados por 
ameaças e vulnerabilidades. Também tivemos uma visão sobre a 
segurança computacional e os ataques e eventos maliciosos mais comuns 
nesses ambientes.
Em seguida, aprendemos os conceitos relacionados aos controles de 
segurança, usados para a proteção dos ativos de uma organização. Também 
foram discutidos alguns serviços de segurança. Os serviços são os resultados 
dos controles de segurança, que podem ser usados como classificadores dos 
próprios controles. É importante que tanto o administrador de segurança 
quanto o auditor saibam escolher os serviços mais adequados para cada 
situação. Isso permite que uma empresa consiga implementar a proteção 
correta, da forma mais adequada e com o melhor custo-benefício possível.
Foi também abordado um conceito vital para o funcionamento de uma 
auditoria: a normalização. Foram discutidos detalhes sobre as entidades que 
normalizam procedimentos e, mais especificamente, como a ABNT aprova 
uma norma. Além disso, foram observadas as principais características 
que uma PSI deve conter, a partir da ótica da norma ABNT NBR ISO/IEC 
27002 (ABNT, 2013b), e como a PSI é um documento importante para 
estabelecer a direção que a empresa deve seguir.
Conhecemos