Auditoria de Sistemas da informação - Livro-texto - Unidade III

Prévia do material em texto

83
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
Unidade III
5 A ABRANGÊNCIA DA INFRAESTRUTURA
Esta unidade irá se debruçar sobre a auditoria da infraestrutura computacional e tratar 
inicialmente sobre análise de risco e processos do gerenciamento de TI. Serão discutidos pontos 
importantes relacionados a data centers, hardware e quais são os controles físicos mais recomendados 
nesses ambientes.
Veremos detalhes sobre como é realizado o processo de auditoria dentro da infraestrutura 
computacional. O foco recairá sobre os procedimentos que devem ser adotados em auditorias para redes 
(com ênfase nas redes sem fio) e nos inventários de equipamentos, além de alguns padrões usados para 
a auditoria de hardware.
5.1 Introdução à análise de risco
A análise de risco é uma ferramenta usada em diversos ambientes e situações, que pode ser até 
considerada um controle de segurança. Ela se mostra extremamente válida para diagnóstico e avaliação 
dos processos de auditoria.
Para que o entendimento seja completo, este tópico irá apresentar os principais conceitos relacionados 
ao processo de análise de risco estabelecidos por duas normas de segurança, a ABNT NBR ISO/IEC 27005 
(ABNT, 2019) e a americana NIST 800-30. Também dará ênfase à forma como uma análise de risco pode 
servir para o processo de auditoria.
O risco é uma função que envolve três pesos: a probabilidade de uma determinada ameaça 
se concretizar pela exploração de uma vulnerabilidade potencial; o impacto resultante desse evento 
adverso na organização; e a proteção oferecida pelos controles de segurança em uso no momento.
Probabilidade de uma 
ameaça/vulnerabilidade
Controles Nível de risco
Impacto da ameaça
Função de 
risco
Figura 52 – Elementos que entram na função de risco para o cálculo do nível de risco
84
Unidade III
O resultado de uma função de risco, que recebe as entradas referidas na figura anterior, é justamente 
o nível de risco. O nível de risco é mais que um número indicando uma probabilidade; ele congrega 
em um só valor a chance de um problema acontecer em conjunto com a minimização provocada pelos 
controles, além de levar em conta impactos negativos da concretização da ameaça. Basicamente, é um 
indicador sobre os malefícios mais propensos aos prejuízos a que uma organização está sujeita.
Como o risco é resultado de um cálculo, outros fatores também devem ser levados em conta para a 
concretização de uma boa análise de risco. Um deles é o fator econômico. Como pode ser visto na figura 
a seguir, a gestão de riscos procura manter um equilíbrio entre o operacional e os custos econômicos 
de medidas protecionistas (despesas).
Figura 53 – Manter o equilíbrio entre os custos e as operações é muito importante em uma análise de riscos
É importante citar que o fator custo não deve ser o único indicativo, mas um elemento adicional que 
precisa ser levado em conta. A própria análise de risco serve como ferramenta para o estabelecimento 
de quanto custa para mitigar um problema latente.
Outra vantagem que a empresa ganha com a gestão de riscos é que, ao proteger os sistemas de TI e 
os dados, naturalmente a capacidade da organização de realizar sua missão se torna menos complexa.
5.1.1 A análise de risco pela ótica da ABNT NBR ISO/IEC 27005
A norma ABNT NBR ISO/IEC 27005 (ABNT, 2019) fornece algumas diretrizes para o processo de 
gestão de riscos de segurança da informação. Essa norma define que a gestão de riscos deve ser um 
processo contínuo aplicado em toda a organização e precisa contribuir para:
• Identificação dos riscos.
• Análise e avaliação dos riscos.
85
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
• Comunicação e entendimento da probabilidade das consequências dos riscos.
• Priorização das ações.
• Envolvimento dos responsáveis.
• Monitoramento, gestão e análise crítica dos riscos.
• Treinamento e processo de melhorias.
Em relação ao processo de gestão de riscos da segurança da informação, a aderência da norma ABNT 
NBR ISO/IEC 27005 (ABNT, 2019) segue as definições do PDCA, listadas no quadro a seguir.
Quadro 6 – Aderência da norma ABNT NBR ISO/IEC 27005 à gestão 
de riscos da segurança da informação em relação ao PDCA
Fase Processo de gestão de riscos da segurança da informação
Planejar
Definição do contexto
Análise e avaliação de riscos
Definição do plano de tratamento do risco
Aceitação do risco
Executar Implementação do plano de tratamento de riscos
Verificar Monitoramento contínuo e análise crítica de riscos
Atualizar Manutenção e melhoria do processo de gestão de riscos da segurança da informação
 Lembrete
O PDCA (planejar, executar, verificar e atualizar) é um ciclo de 
ferramentas/orientação usado mundialmente para a resolução de problemas 
e a melhoria contínua de processos.
A arquitetura para a análise e avaliação de riscos da norma ABNT NBR ISO/IEC 27005 (ABNT, 2019) 
está ilustrada na figura a seguir.
86
Unidade III
Tratamento do risco
Aceitação do risco
Definição do contexto
Co
m
un
ic
aç
ão
 d
o 
ris
co
M
on
ito
ra
m
en
to
 e
 a
ná
lis
e 
cl
ín
ic
a 
do
 ri
sc
o
Identificação de riscos
Estimativa de riscos
Avaliação de riscos
Ponto de decisão 1
Avaliação satisfatória
Ponto de decisão 2
Tratamento satisfatório
Sim
Sim
Não
Não
Avaliação de risco
Análise/avaliação de risco
Figura 54 – Arquitetura para análise e avaliação de riscos da norma ABNT NBR ISO/IEC 27005
Como pode ser visto na figura anterior, a arquitetura proposta sugere que os riscos sejam identificados, 
quantificados ou descritos qualitativamente, priorizados em função dos critérios de avalição dos riscos. 
Para isso, a arquitetura se divide em análise e avaliação de riscos.
A análise de riscos busca determinar eventos que possam causar uma perda potencial e deixar 
claro como, onde e por que a perda pode acontecer. Envolve as etapas a seguir:
• Identificação de riscos: processo que identifica os elementos que entram na função de risco:
— Identificação de ativos.
— Identificação das ameaças.
— Identificação das vulnerabilidades.
87
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
— Identificação dos controles existentes.
— Identificação dos impactos.
• Estimativa de riscos: processo de cálculo do nível de riscos:
— Metodologias para estimativa de riscos.
— Avaliação das consequências.
— Avaliação da probabilidade dos incidentes.
— Estimativa (cálculo) do nível de risco.
Já a avaliação de riscos se trata de uma análise bem apurada sobre os riscos calculados. É o primeiro 
passo para que se possa proceder com as soluções.
O processo de tratamento dos riscos diz respeito à aplicação de medidas para solucionar ou mesmo 
gerenciar os riscos calculados na análise/avaliação. A arquitetura proposta pela norma ABNT NBR 
ISO/IEC 27005 (ABNT, 2019) para tratamento de riscos pode ser vista na figura a seguir.
Redução 
do risco
Retenção
do risco
Ação de 
evitar o risco
Transferência 
do risco
Opções de tratamento do risco
Avaliação 
satisfatória
Tratamento 
satisfatório
Riscos residuais
Resultados da 
avaliação de riscos
Ponto de decisão 1
Ponto de decisão 2
Tratamento do risco
Figura 55 – Arquitetura de tratamento de riscos proposta pela norma ABNT NBR ISO/IEC 27005
88
Unidade III
O tratamento de riscos ilustrado na arquitetura da figura anterior é uma sequência do processo de 
análise e avaliação de riscos. A ideia é que, a partir da análise e do cálculo do risco, um administrador 
de segurança possa tomar atitudes para o tratamento do risco. Entre as atitudes que podem 
ser tomadas, estão:
• Redução do risco: ações tomadas diretamente sobre os problemas identificados para reduzir a 
probabilidade e as consequências de um risco. Convém que o nível de risco seja reduzido por meio 
da seleção de controles para que o risco residual possa ser reavaliado e, então, considerado aceitável.
• Retenção do risco: aceitação do prejuízo causado pelos riscos, em geral, porque o custo para 
resolver um problema é mais alto que os benefícios da resolução.Se o nível de risco atender aos 
critérios para a aceitação do risco, não há necessidade da implementação de controles adicionais, 
e pode haver a retenção do risco.
• Ação de evitar o risco: neste caso, um processo é alterado para que o resultado não esteja mais 
exposto ao risco. Perceba que o risco continua existindo. A diferença é que a ação que gerava o 
risco foi modificada ou deixou de ser executada.
• Transferência do risco: transferência do risco para outra entidade que tenha condições de 
gerenciá-lo. O melhor exemplo é a contratação de um seguro.
• Comunicação dos riscos: convém que as informações sobre os riscos sejam trocadas e/ou 
compartilhadas entre os tomadores de decisão e as partes interessadas.
• Monitoramento e análise crítica dos fatores de risco: os riscos e seus fatores (ativos, impactos, 
ameaças, vulnerabilidades, consequências, probabilidades de ocorrência) devem ser monitorados 
e analisados criticamente, para que sejam identificadas rapidamente eventuais mudanças 
na organização. Esse tipo de ação também serve para garantir a evolução dos controles de 
segurança implementados.
• Riscos residuais: são resquícios do risco principal, já tratado, ou novos riscos de menor proporção 
que sempre sobram após um processo de análise de risco. O monitoramento crítico da análise de 
risco tende a garantir o gerenciamento desses riscos que sobram.
5.1.2 A análise de risco pela ótica da NIST 800-30
Fundada em 1901, a NIST contém uma subdivisão para tratamento da segurança computacional – 
Computer Security Division (CSD) – que apresenta uma série de recomendações a respeito da gestão da 
segurança da informação.
A NIST Special Publication 800-30 - Risk Management Guide for Information Technology Systems 
é a norma que trata sobre o gerenciamento e a análise de risco. A norma possui dois processos 
principais: a avaliação e a minimização de riscos.
89
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
Gestão de riscos NIST 800-30
Avaliação 
de riscos
Minimização 
de riscos
Figura 56 – Principais processos do gerenciamento de riscos proposto pela norma NIST 800-30
A avaliação de riscos é o equivalente à etapa de análise/avaliação de risco na norma ABNT NBR 
ISO/IEC 27005. Serve para a identificação dos parâmetros que vão compor a função de risco e para o 
cálculo do nível de risco. Esse processo envolve:
• Caracterização do sistema.
• Identificação de ameaças.
• Identificação de vulnerabilidades.
• Levantamento dos controles existentes.
• Análise de impacto.
• Determinação de probabilidades.
• Determinação do risco.
• Recomendações de controles de segurança.
• Documentação dos resultados.
Já a minimização de riscos considera que eliminar totalmente os riscos é uma tarefa muito 
complexa. Por isso, sugere formas de minimizar os efeitos das ameaças – em muitos casos, são 100% 
eliminadas –, priorizando as ameaças mais efetivas. Envolve os seguintes passos:
• Priorização de ações.
• Avaliação dos controles de segurança recomendados.
• Condução da análise custo-benefício.
90
Unidade III
• Seleção dos controles de segurança.
• Atribuição de responsabilidades.
• Desenvolvimento de um plano de ação.
• Implementação dos controles de segurança selecionados.
Podemos perceber que as diferenças entre as recomendações da NIST 800-30 e da ABNT NBR 
ISO/IEC 27005 (ABNT, 2019) são muito sutis e pontuais. Ambas contemplam o levantamento e a análise 
dos riscos com base nas ameaças, nas vulnerabilidades, nos impactos e na probabilidade de ocorrência e 
determinam formas de minimizar os riscos por meio de controles de segurança. Esse tipo de alinhamento 
não é coincidência. É natural que um processo universal, que pode ser aplicado a diversas áreas, como 
a análise e o gerenciamento de risco, possua tantos pontos em comum, mesmo em normas diferentes.
 Saiba mais
As normas da americana NIST podem ser acessadas por download 
no site sem custo:
https://www.nist.gov/
5.1.3 A análise de risco como ferramenta da auditoria
Para projetar estratégias de segurança com um custo efetivo, as empresas devem pensar na 
implementação de ferramentas para o gerenciamento de riscos, que permitam a medição e a análise 
das situações do dia a dia. A onipresença da TI em todos os setores econômicos da sociedade impulsiona 
a ocorrência de ameaças e o surgimento de novas vulnerabilidades. Isso torna a segurança da informação 
um assunto estratégico em muitas organizações.
Não se trata apenas de implantar controles de segurança, mas de pensar uma forma de revisar 
(evoluir) e avaliar (medir) constantemente os controles e as ferramentas implementadas. Há algumas 
questões que ainda incomodam as pesquisas relacionadas à implantação de ferramentas para a 
análise de risco, como:
• Quais controles de segurança devem ser implementados?
• Como gerenciar os níveis de risco de forma segura sem influenciar o desempenho da organização?
• Como medir e obter um retorno sobre o investimento realizado em segurança?
91
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
Em geral, nos negócios, o custo é sempre considerado.
Custo 
dos controles
Operacional
Figura 57 – Equilíbrio entre custo e operacional é importante na análise de riscos
Com a segurança não é diferente. O primeiro ponto é considerar o valor destinado para a segurança 
como um investimento, e não um custo. Uma das dificuldades de justificar os investimentos em 
segurança é que estes não se sobressaem de forma enfática aos olhos dos gestores, especialmente se o 
negócio principal da empresa não está relacionado à TI e/ou segurança da informação.
 Lembrete
Ciclo de vida refere-se a fases pelas quais um sistema ou projeto passa 
ao longo do tempo: projeto, desenvolvimento, testes, operação e descarte.
Exemplo de aplicação
Nem todas as empresas têm a TI como foco principal dos negócios. Entretanto, a maioria delas 
tem na TI um elemento de suporte essencial aos negócios. Muitas simplesmente não funcionam sem o 
suporte tecnológico.
Sendo assim, é de se esperar que essas organizações entendam os riscos que a falta de investimentos 
em segurança da informação pode gerar. Infelizmente, isso não é um consenso, pois muitas empresas 
ignoram por completo a necessidade de investimento em segurança e, consequentemente, a própria 
importância que a segurança da informação tem para os negócios.
Pensemos, por exemplo, na criação de um aplicativo para smartphone, que possui fases de criação e 
desenvolvimento muito parecidas com as do ciclo de vida de um sistema.
92
Unidade III
1 - Concepção: um aplicatico 
começa uma ideia. Essa ideia 
geralmente é refinada para 
tornar-se uma base sólida para 
um aplicativo 2 - Design: consiste em definir a 
experiência do usuário do aplicativo: 
layout, funcionamento etc. Busca 
transformar essa experiência do 
usuário em um design interface 
adequado, geralmente com a ajuda 
de um designer gráfico
3 - Desenvolvimento: o aplicativo 
começa realmente a ser criado 
com as linguagens de 
programação adequadas
4 - Estabilização: testes do aplicativo 
e correção de erros. Liberação de 
versões beta para testes de massa com 
sugestões e comentários dos clientes
5 - Distribuição: o aplicativo é 
distribuido nas lojas virtuais 
e liberado para o público
Figura 58 – Fases para a criação de aplicativos para smartphone
Salvo exceções, durante as fases de projeto, desenvolvimento e testes, mostradas na figura anterior, 
o pensamento dos criadores da aplicação costuma estar focado em desenvolver um sistema amigável, 
de fácil instalação, compartilhável, com boa interação, que funcione em várias plataformas e que seja 
compatível com a maior quantidade possível de protocolos de comunicação – mesmo porque, sem essas 
características, o aplicativo não vai vender!
A preocupação com a segurança até existe, mas, muitas vezes, é relegada a segundo plano em favor 
de desempenho, funcionalidade e custos. O apelo que um aplicativo seguro tem costuma ter impacto 
muito menor que um aplicativo rápido, porexemplo.
Se a intenção é justificar os valores investidos na segurança da informação, uma opção bastante 
interessante é ter como base três fatores:
• O impacto negativo que a concretização de uma determinada ameaça pode gerar nos negócios.
• A probabilidade de essa ameaça se concretizar, tendo em vista os controles de segurança 
existentes atualmente.
• O valor que deve ser investido para a criação de contramedidas eficientes.
O terceiro item pode ser obtido facilmente com uma simples análise de custo-benefício, do inglês 
Cost-Benefit Analysis (CBA), gerada a partir do relatório final do gerenciamento de riscos. Um relatório 
desse tipo evidencia dados como equipe profissional necessária, controles de segurança que precisam 
ser implementados, regras para a PSI, entre outras medidas de segurança que precisam ser adotadas.
É importante perceber que a CBA faz parte do gerenciamento de riscos. Trata-se de um elemento 
final que identifica os valores dos controles e dos profissionais sugeridos, correlaciona dados do ambiente 
com mecanismos de proteção que podem gerar valores adicionais na implementação de segurança e 
93
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
identifica eventuais custos não previstos de implementação. Tudo isso é usado para que os gestores 
saibam exatamente quanto custa e quais são os benefícios que esse investimento traz.
Assim, os três fatores citados se encaixam perfeitamente nos requisitos levantados para realizar uma 
análise de risco bem feita. Portanto, pode-se dizer que a análise de risco é uma ferramenta que pode 
ser utilizada para justificar investimentos em segurança da informação.
Exemplo de aplicação
Vejamos um exemplo de uma situação, muito usado nas aulas de segurança da informação, que 
denota como é difícil justificar os investimentos em segurança.
Um funcionário responsável pela implementação da segurança da informação solicita ao presidente 
da organização um determinado valor para implementar controles de segurança lógicos que vão garantir 
a proteção da rede e dos servidores da empresa.
O presidente nega, justificando que não pode gastar recursos financeiros em algo que não faz parte 
do foco de negócios da empresa e que não traz resultados.
O funcionário insiste bastante e, mesmo com a desconfiança da diretoria, acaba conseguindo a 
verba e implementando todos os controles e as medidas de segurança.
Rede local
5
4 3 1
2
Rede desmilitarizada 
(DMZ)
Internet
Servidor 
e-mail
Servidor 
web RoteadorFiltro ou 
firewall
Access 
point
Switch
Sistema de 
detecção/prevenção 
de intrusões
Figura 59 – Esquema ilustrativo de uma rede protegida
A figura anterior exibe uma rede local cujo perímetro está protegido desde o acesso à internet, 
com diversos controles de segurança sequenciais. Isso garante que um eventual ataque que passar por uma 
proteção irá encontrar outro controle depois. Para a proteção do perímetro da rede da figura, há um 
roteador, diversos sistemas de detecção e prevenção de intrusões (SDPI), uma DeMilitarized Zone (DMZ) 
e um firewall.
Após um ano, sem ataques computacionais e sem maiores problemas com vulnerabilidades e ameaças 
aos servidores e à rede da empresa, o presidente constata: “Faz um ano que investimos uma verba em 
94
Unidade III
segurança da informação. Com certeza foi um investimento inútil, já que nesse período não tivemos 
qualquer problema na nossa área de TI. Vou demitir o funcionário que pediu a verba”.
Perceba que a falta de problemas no último ano é justamente o resultado do investimento realizado; 
mas é extremamente difícil mostrar o prejuízo gerado caso o investimento não tivesse sido realizado.
A análise de riscos é uma das ferramentas mais recomendadas para justificar um investimento em 
segurança, pois pode explicitar as probabilidades, os impactos e os valores usados para conter os riscos 
de TI aos quais a empresa está exposta.
Além do gerenciamento de riscos, há ferramentas que podem ser utilizadas de forma complementar 
para justificar os investimentos em segurança.
O Return Over Security Investment (ROSI) é outra abordagem complementar ao gerenciamento 
de riscos que analisa pontos diferentes da CBA. Trata-se da análise sobre qual retorno o investimento 
em segurança gera.
Há inúmeras metodologias para o cálculo do ROSI. A figura a seguir apresenta, como exemplo, uma 
metodologia sugerida no trabalho de Savino (2011).
Resultados da
análise ROSI
Avaliação de ameaças
Passos para o cálculo 
de estimativas do ROSI, 
considerando os custos dos 
controles de segurança
Critérios de probabilidade
Passos para determinar a 
frequência de incidentes
Gráficos e histogramas
Aplicação de estatística para 
acompanhamento da evolução 
do ROSI
Critérios de oportunidades
Passos para determinar 
melhorias nos processos
Critérios de gravidade
Passos para determinar os custos 
ou impactos dos incidentes
Figura 60 – Um exemplo de metodologia para avaliação do ROSI
95
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
O ROSI leva em conta números como a expectativa anual de perdas e o histórico de incidentes 
que impactaram negativamente as taxas de produtividade das organizações. Com esses índices, busca 
reduzir os custos empregados para reconstituição da infraestrutura de TI afetada nos incidentes. Mesmo 
com essas vantagens, o ROSI não é efusivamente utilizado em segurança da informação. O problema 
principal é que, por empregar alguns parâmetros subjetivos, os resultados podem não ser precisos. Ainda 
assim, estimativas confiáveis podem ser conduzidas e são recomendáveis.
Há diversas ferramentas usadas para cálculo do ROSI. Muitas são versões e metodologias diferentes, 
desenvolvidas em universidades e organizações pelo mundo. Algumas até introduzem elementos de 
previsão, procurando aumentar o alcance dessas ferramentas. De forma geral, todas buscam os mesmos 
fins: justificar da melhor forma os investimentos em segurança.
Também há algumas normas que provêm suporte para o gerenciamento de risco, como a brasileira 
ABNT NBR ISO IEC 27005, as americanas NIST SP 800-30 e FISMA, a AS/NZS 4360 (Austrália e Nova 
Zelândia), as internacionais ISO 13335 e 31000, entre outras.
Figura 61 – Framework de gerenciamento de risco FISMA
A figura anterior mostra um framework com os passos gerais a serem seguidos para um processo 
de gerenciamento de risco sugerido pela FISMA. Perceba que o framework possui respaldo de uma 
série de normas da NIST.
96
Unidade III
Diante de todas essas vantagens e tendo como base a importância dos custos para as empresas, os 
processos de auditoria não podem ignorar a existência e eficácia dessas metodologias. Pelo contrário, 
o ideal é que a auditoria use os resultados dessas ferramentas como base para aumentar sua própria 
confiabilidade e se justificar financeiramente.
Outro detalhe que remete ao início deste tópico e que está além do custo financeiro é a questão da 
medição de resultados em um processo de auditoria. Se utilizar o gerenciamento de risco e o ROSI para 
geração de parâmetros úteis para a auditoria é uma medida recomendada, não há nada que impeça o 
uso dessas ferramentas durante o processo de auditoria.
5.2 Auditando processos de TI
Além dos já citados controles de segurança, usados para proteger os ativos contra ameaças 
e vulnerabilidades, uma organização conta com outros controles. Os controles organizacionais e 
operacionais são voltados para a organização dos processos do dia a dia da empresa. Não estão 
diretamente ligados à segurança, mas são controles que auxiliam as várias transações da companhia 
(financeiras, operacionais, comerciais etc.).
Exemplo de aplicação
Suponha que em uma pequena loja haja uma regra que exija que os vendedores anotem o próprio 
nome a tinta atrás das notas fiscais que emitem.
A princípio, trata-se de uma prática incoerente, já que o sistema no qual as notas são emitidas marca 
o nome do vendedor.
Porém, a medida é adotada devido a problemas que já ocorreram com vendedores que emitiramnotas fiscais usando o login de outro usuário e à necessidade de um controle manual em caso de 
falha do sistema.
Trata-se de um controle organizacional-operacional.
É fato que a exigência de muitos controles organizacionais e operacionais pode tornar o 
desempenho do trabalho mais lento. Isso é natural, visto que checagens, verificações e conferências 
são, muitas vezes, encaradas como burocracias (algumas vezes, são mesmo). Porém, os controles são 
necessários para regular e organizar o trabalho, além de servir para evitar conflitos na relação entre 
funcionários e empregadores.
É função do processo de auditoria verificar o cumprimento, a coerência e a validade desses controles.
São os gestores que administram os controles organizacionais-operacionais, criando regras e 
processos para atender às demandas da organização. Uma das funções mais importantes dos gestores 
é segregar funções.
97
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
A segregação de funções é uma atribuição de responsabilidades. Vital quando o assunto é 
segurança, esse tipo de atribuição também é essencial para uma boa organização da empresa, pois 
permite que cada setor ou mesmo indivíduo seja cobrado por suas tarefas. Uma segregação bem feita 
também permite que os resultados sejam avaliados de maneira mais clara.
De acordo com a norma ABNT NBR ISO/IEC 27002 (ABNT, 2013b), a segregação de funções tem o 
objetivo de diminuir o risco de acesso não autorizado, modificação ou mau uso não intencional de um 
ativo. Por esse motivo, todas as funções em conflito ou áreas de responsabilidade devem ser segregadas.
Dessa maneira, uma mesma pessoa não deve ter o direito de inclusão, modificação e autorização 
em um único perfil de acesso. O controle need-to-know basis se refere à necessidade de saber; ou 
seja, o usuário saberá apenas o necessário para a execução de sua função. Dessa forma, ele não terá 
informações desnecessárias disponíveis na operação.
A segregação de funções é um processo de divisão de uma tarefa em outras tarefas exclusivas, 
executadas por pessoas diferentes. Cada usuário envolvido no processo poderá executar apenas uma 
pequena parte, evitando, assim, a prática de fraudes ou erros, pois será necessária a colaboração de 
outros usuários para completar a tarefa.
Exemplo de aplicação
A atribuição de responsabilidades, gerada pelo processo de segregação de funções, tem uma fama 
ruim. Muitas vezes, é vista como uma forma de vigiar e cobrar quem trabalha e quem não trabalha. 
A ideia não deveria ser essa.
A atribuição prévia de responsabilidades até exime de culpa aquele que não errou, justamente por 
não ser responsável por aquela tarefa. Contudo, nem sempre é possível realizá-la da forma devida. Não 
é possível segregar todas as funções e responsabilidades dentro da empresa. Assim, algumas atividades 
acabam por ficar pulverizadas entre diversas pessoas.
Imagine um setor que possui 35 funcionários, dos quais cinco são gerentes. Suponha que exista um 
controle organizacional-operacional que define que, para a execução de uma determinada transação 
de exportação, é necessária a presença de um gerente e de mais dois funcionários. Ou seja: para 
que a transação seja efetuada, um gerente e mais dois funcionários devem se conectar ao sistema e 
aprovar a prática.
Note que não se trata de uma forma de contabilizar aqueles que estão aprovando transações. Na 
realidade, é uma medida de segurança para evitar fraudes e, ainda, que uma transação errada seja 
aprovada individualmente (um errar é fácil, três errarem já é mais difícil).
Os controles organizacionais-operacionais devem ter claramente definidas suas entradas e resultados 
esperados. Para isso, os gestores devem estar aptos a cumprir algumas tarefas de gerenciamento:
98
Unidade III
• Política de responsabilidades: como visto, o gestor deve trabalhar para implantar uma política 
voltada para a atribuição de responsabilidades de funções. Porém, atribuir responsabilidades 
para o acesso, o uso e a manipulação dos ativos da empresa também é muito importante. Essa 
prática envolve identificar e proteger os ativos críticos, alinhar os controles com a PSI, incentivar 
a conscientização dos colaboradores, revisar periodicamente os controles em uso e especificar as 
medidas punitivas em caso de descumprimento dos controles.
• Plano de continuidade do negócio ou Business Continuity Plan (BCP): é um plano criado 
para assegurar a continuidade dos negócios em casos de ocorrência de incidentes que tenham 
potencial para a interrupção ou, pelo menos, diminuição dos impactos. UM BCP envolve a 
identificação de quais são os recursos e ativos críticos e os tempos máximos de indisponibilidade, 
as prioridades, os dados que devem passar por backups, a documentação do BCP e as revisões 
periódicas pelas quais o BCP deve passar.
5.3 Auditando data centers
Os data centers são ambientes centrais que custodiam servidores e equipamentos de TI e armazenam 
dados, em sua maioria de terceiros.
Figura 62 – Data center
Como nesses ambientes as operações executadas costumam ser críticas, é comum observar:
• Controles de segurança físicos: a predominância de controles de segurança físicos é uma 
característica comum em data centers.
• Gerenciamento de temperatura: é preciso manter a temperatura nesses ambientes em níveis 
bem controlados. É comum a redundância de aparelhos de ar-condicionado para garantir que 
eventuais falhas não prejudiquem os equipamentos.
• Gerenciamento de energia: a grande incidência da virtualização de servidores a partir 
dos anos 2000 diminuiu consideravelmente a quantidade de máquinas nos data centers e, 
99
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
consequentemente, o consumo de energia. Um único servidor ocupa o lugar de muitas máquinas 
físicas, já que pode hospedar centenas de máquinas e equipamentos de rede virtuais. Ainda 
assim, a energia é uma preocupação da chamada TI verde, que busca métodos e modelos de uso 
computacional cada vez mais sustentáveis.
• Otimização do espaço físico: assim como no gerenciamento de energia, a virtualização 
também ajudou na otimização de espaços, com servidores individuais ocupando o espaço de 
centenas de máquinas.
• Gerenciamento de desastres naturais: os data centers devem possuir toda a infraestrutura para 
a contenção de incêndios, enchentes, raios e outros desastres naturais. Essa preocupação não se 
limita ao ambiente, mas se estende para os equipamentos e serviços oferecidos.
• Controle de acesso físico: definir quem pode ou não acessar fisicamente esses ambientes continua 
sendo uma prioridade, pois, ainda que o ambiente seja virtualizado, um dano por sabotagem 
continua sendo uma ameaça se controles desse tipo não existirem. Métodos de autenticação 
integrados (biometria + senha + tokens) são utilizados em conjunto com equipamentos que 
garantem o acesso apenas aos indivíduos autorizados.
• Manutenção: a manutenção em data centers deve ser otimizada para que não afete a CIDA dos 
dados e equipamentos. Por isso, esses ambientes costumam contar com equipes especializadas 
de monitoramento e de intervenção. Além disso, outra preocupação nesses ambientes é com a 
organização dos equipamentos e softwares de gerenciamento. Tendo em vista o tamanho dos 
data centers atuais, não é possível que se conviva com falta de organização e ingerência.
• Redundância: links de acesso, geradores, aparelhos de ar-condicionado, equipamentos de rede, 
enfim, o que for crítico deve ser redundante.
• Controles de segurança lógicos: os data centers devem contar com as proteções lógicas 
adequadas. Redes complexas baseadas em Software Defined Network (SDN), Network Functions 
Virtualization (NFV) e cenários de fog e cloud computing estão presentes nos data centers atuais 
e, muitas vezes, exigem proteção específica. Firewalls, Unified Threat Management (UTM), sistemas 
de detecção e prevenção de intrusões (SDPI), monitores e gerenciadores de rede e sistemas de 
backup são exemplos de controles de segurançaexigidos nesses ambientes.
 Observação
Uma forma de diminuir o consumo de energia é através do uso de 
técnicas de contenção que separam o ar quente gerado pela utilização 
dos equipamentos do ar frio gerado pelos sistemas de ar-condicionado, 
reduzindo o consumo de energia gasto com a climatização.
100
Unidade III
Além disso tudo, há preocupações com a disponibilidade dos recursos, com a escalabilidade e 
com o desempenho.
A norma internacional EIA/TIA 942:2005 trata sobre a construção e implementação de data centers, 
com definições sobre as características topológicas e os equipamentos, além de estabelecer uma 
classificação baseada na disponibilidade oferecida. A norma também trata sobre as melhores práticas 
de gerenciamento de recursos nesses ambientes, como o uso de soluções modulares para a expansão.
As principais áreas de um data center podem ser vistas na figura a seguir.
Tipos de cabeamento
Offices, 
operations center, 
support rooms 
(centro de controle)
Telecom room (TR)
(sala de 
telecomunicações)
Main dist. area (MDA)
(área de distribuição 
principal: roteadores, 
backbones, LAN/SAN, 
switches)
Entrance room (ER)
(hall de entrada: 
controle de 
temperatura e 
demarcações)
Horiz. dist. area (HDA) 
(área de distribuição 
horizontal: LAN/SAN, 
switches)
Zone dist. area
(zona de distribuição)
Horiz. dist. area (HDA) 
(área de distribuição 
horizontal: LAN/SAN, 
switches)
Horiz. dist. area (HDA) 
(área de distribuição 
horizontal: LAN/SAN, 
switches)
Horiz. dist. area (HDA) 
(área de distribuição 
horizontal: LAN/SAN, 
switches)
Equip. dist. area (EDA)
(área dos 
equipamentos: racks 
e gabinetes)
Equip. dist. area (EDA)
(área dos 
equipamentos: racks 
e gabinetes)
Equip. dist. area (EDA)
(área dos 
equipamentos: racks 
e gabinetes)
Equip. dist. area (EDA)
(área dos 
equipamentos: racks 
e gabinetes)
Backbone: conexões externas de alto volume
Horizontal: conexões internas de volume médio
Provedores de 
acesso
Provedores de 
acesso
Equipamentos de 
computação
Figura 63 – Topologia típica de um data center
Os componentes da figura anterior são assim descritos:
• Entrance Room (ER): área que concentra a interligação do cabeamento estruturado usado no 
data center com a infraestrutura das operadoras.
• Offices, Operations Center, Support Rooms: sala de controle.
• Telecom Room (TR): contém o cabeamento para as áreas externas, fora da área onde estão 
os computadores.
101
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
• Main Distribution Area (MDA): área principal de onde o cabeamento estruturado é distribuído.
• Equipment Distribution Area (EDA): área onde estão os equipamentos finais, como servidores, 
storages, roteadores, entre outros.
• Horizontal Distribution Area (HDA): esta área contém conexões e dispositivos que são ligados 
aos equipamentos finais (servidores, storages, roteadores etc.) localizados na EDA.
• Zone Distribution Area: área opcional que congrega a HDA e a EDA.
Como será mostrado a seguir, os data centers são classificados em quatro níveis (tiers), a partir de 
parâmetros relacionados à disponibilidade, como o tempo de parada do sistema durante o ano, os links 
e os geradores de energia redundantes, entre outros fatores:
• Tier 1: parada anual máxima = 28,8 horas. Não tem redundância, sendo sujeito a paradas totais 
ou parciais devido a problemas elétricos, de telecomunicações ou de rede.
• Tier 2: parada anual máxima de 22 horas. Há redundância na telecomunicação do data 
center e das operadoras e no fornecimento de energia por meio de geradores. Os aparelhos de 
ar-condicionado devem funcionar sem interrupções com redundância.
• Tier 3: parada anual máxima de 1,6 hora. Nesta classificação, duas operadoras de telecomunicações 
distintas devem atender o data center, que deve contar com duas ER separadas por, pelo menos, 
20 metros. As ER devem ter zonas de proteção contra incêndio, sistema de energia e climatização 
separados e não devem compartilhar equipamentos de telecomunicação. Também deve existir 
redundância nos caminhos entre as ER, MDA e HDA, nas fibras ou nos pares de fios de rede e nos 
equipamentos críticos.
• Tier 4: parada anual máxima de 0,4 hora. A redundância atinge todo o cabeamento e os dispositivos 
que o alimentam. Os sistemas de backup devem ter comutação automática (pode-se usar uma 
MDA secundária) separada em zonas de proteção contra incêndio, tudo endereçado por caminhos 
diferentes. O fornecimento de energia deve ser realizado por, no mínimo, duas operadoras com 
subestações diferentes. O sistema de climatização deve ter diversas unidades de resfriamento.
Diante de todos os detalhes listados, fica claro que a construção e o gerenciamento de um data 
center representam um desafio complexo para os auditores. O planejamento de uma auditoria nesses 
ambientes, além de levar em conta os aspectos evidenciados pela norma EIA/TIA 942, deve tratar de 
todas as boas práticas elencadas na norma ABNT NBR ISO 19011 (ABNT, 2018).
5.4 Auditando hardware e infraestrutura
Quando se fala em auditoria em hardware (computadores) e infraestrutura – redes e equipamentos 
como roteadores e switches –, a primeira recomendação é implementar controles de segurança físicos 
que garantam a vida útil da rede e dos equipamentos.
102
Unidade III
Figura 64 – Switches em uma rede
Em geral, nas organizações, muitos desses controles são voltados para o controle de acesso físico 
dos usuários às instalações; porém, também há bastante incidência de controles voltados para o 
monitoramento das atividades e do uso que os usuários fazem dos recursos.
Controles físicos também devem proteger os equipamentos de interferências naturais, como raios, 
sobrecarga, falta de energia, indisponibilidade de links, entre outros problemas. Em geral, alguns controles 
podem afetar o desempenho de determinados equipamentos. Desde que essa interferência seja baixa e 
não aconteçam mudanças nas funcionalidades dos equipamentos protegidos, isso é aceitável.
Para controles físicos baseados em procedimentos manuais, um item de conformidade muito 
esquecido, mas sempre cobrado em auditorias, é a necessidade de orientação quanto à manipulação do 
ativo a ser protegido.
 Observação
Fichas de processo, manuais e apostilas impressas são alguns dos 
exemplos de orientações que devem acompanhar ativos de hardware 
e infraestrutura.
Para controles físicos automáticos, dentro do possível, o ideal é que os próprios sistemas identifiquem 
e alertem os responsáveis sobre os erros – ou mesmo que corrijam os próprios erros.
Assim, além da proteção oferecida aos ativos de hardware e infraestrutura, os controles de segurança 
desses ambientes asseguram o correto funcionamento dos equipamentos. Muitas vezes, sem a 
ação desses controles, é muito difícil identificar a forma correta como um equipamento deve funcionar.
Além de esforços na detecção e recuperação de problemas, recursos voltados para a prevenção 
de problemas são bem-vindos nesses ambientes. Uma forma é por meio de inventários de hardware 
103
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
e acompanhamento periódico. Basicamente, um inventário deve conter informações sobre os 
processadores, a memória, o sistema operacional, o fabricante, a série, o modelo e os periféricos, entre 
outros detalhes.
Exemplo de aplicação
Em muitos ambientes de hardware, existe a manutenção preventiva. Trata-se de manutenções 
periódicas agendadas nos computadores e ativos de hardware a fim de prevenir quebras ou 
problemas inesperados.
Figura 65 – Técnico realizando manutenção preventiva em placa-mãe de computador
Tendo como base a ideia de que manutenções programadas desse tipo tendem a descobrir 
previamente pequenos problemas de desgaste e mau uso dos equipamentos, é possível inventariar os 
equipamentos em manutenção e acompanhar a evolução dos problemas que estes apresentam.
Atualmente, grande parte das empresas utiliza serviços de cloud computing. Isso significa que a 
manutenção não é maisrealizada dentro do parque de máquinas da empresa, já que este está em um 
provedor externo. Porém, mesmo nesses casos, a prevenção ocorre.
Provedores de cloud que operam com alto índice de virtualização executam algoritmos de 
aprendizado de máquinas para definir, de forma antecipada, a liberação de recursos extras para 
máquinas virtuais que estão com tendências de aumento de uso. Nada mais é que o uso de controles 
voltados para a prevenção.
104
Unidade III
5.5 Auditoria e segurança em redes sem fio
As redes sem fio se popularizaram pela capacidade que oferecem de conectar equipamentos 
de forma rápida e eficiente. Elas podem ser classificadas em infraestrutura e ad-hoc, mostradas 
respectivamente nas figuras a seguir.
Rede de infraestrutura
Access point ligado à rede cabeada
Figura 66 – Rede sem fio do tipo infraestrutura
Rede ad-hoc
Figura 67 – Rede sem fio do tipo ad-hoc
As redes sem fio de infraestrutura se caracterizam pela presença de um access point (AP) ligado 
à rede cabeada. Apenas os nós no raio de alcance da antena do AP podem se comunicar uns com os 
outros, desde que estejam configurados para tal.
105
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
Em redes sem fio ad-hoc, não há um concentrador ligado à rede cabeada. Os nós se comunicam 
por meio de sinais de rádio sem um elemento centralizador. A função de roteamento e entrega de 
pacotes é executada pelos próprios nós da rede em um esquema conhecido como multihop.
As facilidades e a própria natureza das redes sem fio exigem atenção especial com as questões de 
segurança. Uma forma para prover segurança é por meio da criptografia dos dados. Isso evita que as 
informações estejam disponíveis à interceptação de usuários mal-intencionados.
A rede sem fio é alvo dos atacantes porque o sinal do rádio pode extrapolar os limites físicos de uma 
empresa e, caso esta esteja conectada à rede corporativa, abrirá pontos de vulnerabilidade que podem 
ser explorados, facilitando a captação de dados que trafegam sem encriptação.
O uso da criptografia é um dos controles de segurança mais importantes, pois, mesmo que o atacante 
se conecte à rede sem fio, será difícil a identificação da informação trocada entre os nós. A desativação 
da sinalização do Service Set IDentifier (SSID), a implantação do controle de endereço físico e a inclusão 
de autenticação forte à rede sem fio são práticas bastante utilizadas e aumentam o nível de segurança.
Um dos primeiros padrões de segurança para redes sem fio adotados foi o Wired Equivalent Privacy 
(WEP). Criado em 1999 e bastante popular, deixou de ser um padrão em 2004 justamente por ser 
vulnerável a ataques de força bruta durante a troca de pacotes entre usuários e o AP.
O padrão subsequente que substituiu o WEP foi o Wi-Fi Protect Access (WPA). Apesar de usar chaves 
de encriptação mais robustas, o WPA precisava ser compatível com o antigo padrão WEP. Dessa forma, 
apesar de ser mais robusto contra ataques de força bruta, herdou alguns recursos do antigo padrão 
que permitiam que atacantes explorassem vulnerabilidades de sistemas legados baseados em WEP. 
O WPA 2 é uma evolução que utiliza uma combinação de algoritmo e chave mais robustos que seu 
predecessor WPA. Contudo, atualmente, o sistema de criptografia considerado seguro em rede sem fio 
de infraestrutura é o WPA 3.
 Saiba mais
A Wi-Fi Alliance é uma empresa sem fins lucrativos que cria, certifica e 
divulga o padrão Wi-Fi pelo mundo. Conheça melhor no site a seguir:
https://www.wi-fi.org/
5.6 Auditorias em inventários de hardware
Também é importante estabelecer um processo que permita a execução de auditorias de inventários 
de equipamentos.
106
Unidade III
 Lembrete
As auditorias de hardware podem ser realizadas de forma manual ou 
automática. Esta última modalidade é mais recomendada para auditorias 
ou inventários com grande quantidade de itens.
Os inventários são importantes, pois permitem o gerenciamento da evolução dos ativos.
Figura 68 – Inventário com leitor de código de barras
Na figura anterior, a leitura em estoque é realizada por leitor de código de barras. Contudo, há opções 
mais automatizadas, como a leitura por etiquetas de Radio Frequency IDentification (RFID), que possuem 
duas versões: as passivas, que não contêm fonte de energia e são ativadas pela luz de um leitor RFID 
externo; e as ativas, que possuem fonte de energia e propagam o sinal com seu ID aos sensores próximos 
– um exemplo são as etiquetas usadas em carros nos sistemas automáticos de pedágio em rodovias.
Figura 69 – Pedágios com cobrança automática por meio de etiquetas RFID
107
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
 Saiba mais
Conheça mais sobre o RFID:
FINKENZELLER, K. RFID Handbook: fundamentals and applications 
in contactless smart cards, radio frequency identification and near-field 
communication. 3. ed. Hoboken: Wiley, 2010.
Além disso, novas regulamentações estão sempre surgindo, e, muitas vezes, um administrador precisa 
saber exatamente em que condições está seu parque de equipamentos. Entretanto, quando não são 
bem planejados, estes podem se transformar em uma fonte de problemas para os administradores de 
TI. Há sistemas de mercado que permitem a geração automática de inventários por meio do protocolo 
Simple Network Management Protocol (SNMP). Essas funcionalidades podem ajudar bastante, pois 
são precisas e rápidas.
Entre as informações que devem ser coletadas nos processos de inventários, estão a capacidade de 
memória e armazenamento, slots livres e a capacidade de processamento e informações de rede ou dos 
serviços executados. Alguns sistemas permitem o compartilhamento de informações com dispositivos 
mobile, garantindo a emissão de alertas em tempo real aos administradores remotos.
Outra grande vantagem de auditorias voltadas para inventários é a possibilidade de gerenciar 
licenças de softwares e equipamentos. Há programas que realizam essa tarefa.
 Observação
Auditorias externas de sistemas operacionais são muito comuns. 
Ocorrem quando um fornecedor solicita as licenças para verificar se estão 
em conformidade.
No entanto, gerenciar licenças pode ser bastante cansativo em caso de auditorias externas de 
licenciamento. Nem sempre os ativos de software estão ligados às respectivas licenças e aos comprovantes, 
fato que pode gerar acusações de pirataria, caso não seja comprovada a aquisição legal do software. 
A solução não costuma ser complicada, já que consiste na compra da licença; porém, para a empresa, a 
compra de uma licença já adquirida é um custo adicional. Além disso, os administradores precisam estar 
atentos, pois os usuários também costumam instalar softwares e aplicativos aparentemente gratuitos 
que podem acabar por exigir licenciamento para uso comercial.
5.7 Padrões usados na auditoria de hardware
A padronização dos equipamentos de hardware é um ponto muito importante nesses ambientes. 
Sempre que possível, equipamentos originais e licenciados devem ser utilizados. Um dos problemas 
108
Unidade III
mais comuns é o da falta de compatibilidade entre equipamentos, que, por mais plug-and-play que 
sejam, muitas vezes não trabalham em conjunto com dispositivos de marcas, modelos, versões ou 
padrões diferentes. Além disso, uma boa auditoria deve alertar que uma organização que insiste em 
usar equipamentos não licenciados sempre está sujeita aos rigores da lei. Na PSI, devem estar claras as 
punições para esse tipo de comportamento.
Nesses ambientes, o auditor pode se utilizar de algumas normas e regulamentações para 
padronizar o trabalho.
A Health Insurance Portability and Accountability Act (HIPAA) é um regulamento voltado 
à proteção de dados pessoais sensíveis da área médica. Utilizada em hospitais, laboratórios e 
estabelecimentos médicos, a HIPAA estabelece regras que garantem a confidencialidade e a privacidade 
das informações pessoais armazenadas, como exames, prontuários e diagnósticos, assim como regras 
para a manipulação desses dados.
A HIPAA tambémestabelece regras que permitem ao paciente o acesso aos seus dados pessoais e, se 
necessário, a solicitação de alterações em caso de erros ou inconsistências.
Há uma série de exigências e controles administrativos que a HIPAA determina para que um ambiente 
seja considerado padronizado. Alguns estão listados na sequência:
• Prover controle de acesso físico a estações de trabalho e meios de comunicação nos ambientes 
homologados com o uso de controles de segurança para a autenticação de usuários.
• Utilizar sistemas de acesso de emergência e desligamento automático para casos urgentes.
• Garantir a confidencialidade, integridade e autenticação em diversos processos por meio de 
algoritmos de criptografia e assinatura digital.
• Realizar processos de rastreabilidade em trilhas de auditoria, logs de software e hardware a fim de 
identificar atividades maliciosas.
• Organizar planos de continuidade dos negócios e manter times voltados para a recuperação 
de desastres.
• Proteger as redes de comunicação para evitar o acesso e/ou uso não autorizado.
Mais detalhes sobre a HIPAA serão vistos adiante.
O Payment Card Industry Data Security Standard (PCI DSS) é um padrão internacional de 
segurança voltado para a garantia de segurança em transações que envolvem pagamento eletrônico com 
cartões. Por trás desse padrão de segurança, está um grupo formado pelas grandes corporações 
do setor, que mantinham padrões de segurança próprios antes da adoção de um sistema conjunto 
109
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
em 2004. A motivação principal é a ocorrência de fraudes no setor, além da necessidade de uma 
legislação abrangente que funcione em diversos países.
O PCI DSS requer diversas camadas de segurança para proteger as transações realizadas com os 
cartões. Como é um padrão usado por quase todos os provedores de cartão, esses requisitos se tornaram 
uma exigência, que deve ser atendida de acordo com o volume de transações que uma empresa gera.
Há 12 requisitos de conformidade definidos pelo PCI DSS:
• Instalar e manter uma configuração de firewall para proteger os dados do portador do 
cartão: a ideia é garantir a segurança lógica, filtrando o tráfego de rede que circula entre a máquina 
de cartão da empresa (que usa a internet para acesso externo) e a rede dos provedores de cartão.
• Não usar padrões fornecidos pelo fornecedor para senhas do sistema e outros parâmetros 
de segurança: deve-se evitar o uso de senhas padrão – aquelas que vêm de fábrica, quando 
o equipamento é novo, como “admin”, “password”, “senha”, “1234” etc. Como são padrões 
conhecidos, ataques em sistemas que contêm essas vulnerabilidades são comuns. Sendo assim, os 
requisitos sobre a criação de senhas fortes devem ser observados e seguidos.
• Proteger os dados armazenados do portador do cartão: métodos e algoritmos de 
criptografia, truncamento e hashing devem ser utilizados para que os dados armazenados não 
sejam acessados indevidamente. Dentro do possível, dados pessoais do portador não devem ser 
armazenados no cartão.
• Criptografar a transmissão dos dados do portador do cartão em redes públicas abertas: é 
importante realizar as transmissões de forma encriptada. Vulnerabilidades em sistemas, redes e 
equipamentos são constantemente criadas e podem permitir que, durante o compartilhamento 
de dados sem criptografia, acessos maliciosos aconteçam.
• Proteger todos os sistemas contra malwares e atualizar regularmente softwares ou 
programas antivírus: malwares são uma categoria de programas maliciosos que incluem os 
vírus, os worms e os trojans. Além de serem causas de problemas bem conhecidos dos usuários, 
como lentidão e perda de dados, esses scripts maliciosos podem ser utilizados para fraudes, como 
a abertura de conexões externas, chamadas de backdoors, que permitem conexões externas 
não autorizadas.
• Desenvolver e manter sistemas e aplicativos seguros: existem metodologias que melhoram 
a segurança da programação, assim como a utilização de aplicativos. As atualizações de 
sistemas e operacionais e o uso apenas de programas homologados também são vitais para 
garantir a segurança.
• Restringir o acesso aos dados do portador do cartão por necessidade do negócio: é preciso 
implementar um controle de acesso rígido nos sistemas e processos que utilizam os cartões.
110
Unidade III
• Identificar e autenticar o acesso aos componentes do sistema: além da senha, cada usuário 
deve ter um número de identificação, do inglês Identification Number (ID), único, que o diferencie 
de outros usuários.
• Restringir o acesso físico aos dados do portador do cartão: deve-se evitar que pessoas não 
autorizadas tenham acesso ao cartão ou aos dados nele contidos.
• Rastrear e monitorar todo o acesso a recursos de rede e dados do portador do cartão: 
processos de rastreabilidade, como logs e registros de transações, devem ser implementados 
para que, em caso de fraudes, tanto as operações fraudulentas quanto os responsáveis possam 
ser identificados.
• Testar regularmente os sistemas e processos de segurança: esta recomendação diz respeito 
à implementação do serviço de segurança de garantia. Deve-se testar os sistemas e controles de 
segurança para ver se: funcionam sem falhas; executam exatamente o que foram programados 
para fazer; e entregam o esperado. Além de prover a avaliação dos controles, essa prática pode 
propiciar evoluções.
• Manter uma PSI forte e abrangente: a criação e evolução constante de uma PSI é uma premissa 
recomendada em diversas normas. Garante a disseminação da segurança da informação de forma 
ampla e padronizada.
6 AUDITANDO PROCESSOS DE AUTENTICAÇÃO
Este tópico irá apresentar os processos de autenticação, como a biometria, e os conceitos de gestão 
de permissões e acessos lógicos em ambientes tecnológicos. O contexto se estende para discussões 
sobre a auditoria de acessos em ambientes compartilhados, o gerenciamento de identidade e acesso e a 
política de senha e métodos de autenticação.
Também haverá menções sobre o gerenciamento centralizado de usuários e grupos e uma introdução 
sobre a ligação que existe entre os serviços de segurança de autenticação e de controle de acesso, com 
discussões sobre o princípio do mínimo privilégio com a segregação de funções.
6.1 A autenticação de usuários
Para manter a segurança da informação na organização, é necessário que haja um processo que 
garanta que o acesso aos sistemas corporativos seja feito apenas por usuários autorizados. Ou seja, 
o sistema verifica as credenciais de acesso do usuário que constam em uma base de dados criada 
previamente. A ideia é identificar o usuário, descobrir se ele é realmente quem alega ser.
A identificação e a autenticação são responsáveis pela validação do usuário. Na identificação, o 
usuário mostra algo que o identifica e possa ser conferido na base de dados, como o par login e senha.
111
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
Para que o processo de autenticação de usuários seja executado de maneira segura, deve haver 
dispositivos ou sistemas que garantam que o usuário que está efetuando o acesso é realmente o 
usuário autorizado. É importante considerar a forma da coleta de dados de autenticação, o método 
de transmissão dessas informações e a validação final do usuário. Deve ser estabelecido em paralelo 
um processo de auditoria para a verificação de tentativas de acesso válidas e inválidas. Em conjunto 
com a autenticação e a autorização, é formado o pilar de segurança Authentication, Authorization 
and Auditing (AAA).
Os três métodos mais conhecidos para a validação de usuários são:
• O que o usuário sabe: algo que o usuário conheça, como senhas, chave criptográfica ou Personal 
Identification Number (PIN).
• O que o usuário possui: algo que o usuário tenha em sua posse e sirva para identificá-lo, como 
um token, um cartão ou um smartphone que receba mensagens de identificação.
• O que o usuário é: algum traço biológico ou característica, como biometria, formato do lóbuloda orelha, formato do rosto, impressão digital, entre outros.
Todos os métodos têm seus pontos fortes e fracos. Quanto maior a quantidade de métodos aplicados, 
maior o grau de segurança implementado. No caso da aplicação de mais de um método, a autenticação 
é denominada de autenticação multifator; quando há dois métodos, a autenticação é conhecida como 
autenticação em dois fatores; e, no caso da aplicação de três métodos, a autenticação é conhecida 
como autenticação em três fatores.
6.2 Biometria
A biometria é o estudo das características físicas (impressão digital, face, íris, geometria da mão e 
da orelha) e comportamentais (voz, assinatura, dinâmica da digitação e forma de andar) dos seres vivos.
(a)
(g) (h) (i) (j) (k)
(b) (c) (d) (e)
(f)
Figura 70 – Tipos de biometria
112
Unidade III
Na figura anterior, estão listados: (a) impressão digital; (b) reconhecimento facial; (c) análise de 
retina; (d) voz; (e) geometria da mão; (f) assinatura; (g) veias oculares; (h) assinatura de calor do rosto; 
(i) assinatura de calor da mão; (j) digitação; e (k) veias da mão.
A verificação de diferenças entre as características biométricas dos seres é usada justamente 
como um identificador para a autenticação. Para o reconhecimento das características, a biometria 
utiliza quatro passos:
• Coleta: obtenção de dados biométricos, realizada de forma analógica com diversas possibilidades 
de dados de entrada (digital, íris, escrita, DNA, entre outros).
• Conversão: consiste na conversão dos dados da captura (analógicos) em um formato digital que 
possa ser armazenado e comparado a outros dados coletados.
• Padronização: busca por padrões, características específicas e detalhes significativos.
• Comparação: comparação dos dados obtidos por meio de coleta, já convertidos, com os dados 
armazenados, a fim de verificar as semelhanças e definir se são autênticos ou se pertencem a um 
indivíduo específico.
Há dois modos pelos quais a biometria pode ser utilizada para autenticação: identificação 
biométrica e verificação biométrica.
A identificação biométrica serve para verificar se o usuário que está sendo avaliado está cadastrado 
no banco de dados biométrico. Nesse modo de operação, o objetivo é identificar se o usuário faz parte 
de um determinado grupo – se ele está lá. O usuário não diz quem ele é, apenas informa a característica 
biométrica avaliada, e um sistema realiza uma busca aberta 1:N (um para muitos) em um banco de 
dados. O resultado é uma lista de registros com as características similares aos dados consultados. Em 
tese, um desses registros é do usuário avaliado. Esse tipo de autenticação pode ser usado, por exemplo, 
para verificar de quem é um determinado perfil comportamental.
O modo de verificação biométrica serve para determinar se o usuário é quem ele alega ser. Nesse 
modo, o usuário apresenta sua característica biométrica em conjunto com sua identidade alegada. O 
sistema biométrico realiza uma busca fechada 1:1 (um para um) em um banco de dados de modelos 
biométricos, verificando se as características coletadas correspondem às características armazenadas 
para a identidade alegada. Por exemplo: em um caixa eletrônico no qual o usuário inclui inicialmente 
um cartão como identidade alegada seguida da característica biométrica, o sistema realiza o modo de 
autenticação por verificação biométrica.
Entre os pontos fortes da biometria, está o fato de ela ser vinculada a uma identidade, sendo 
que não precisa ser memorizada, não pode ser esquecida ou emprestada. Também há pontos fracos, 
como o fato de as características biométricas não serem revogáveis (muitas vezes, podem durar 
para sempre) e não serem segredo. Contudo, um dos principais problemas da biometria é a pouca 
113
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
aceitação dos usuários durante a coleta. Para a coleta de determinadas características – leitura da 
retina, por exemplo –, há certa resistência por parte dos usuários.
6.3 Gerenciamento de identidade e acesso
O Identity Management (IdM) ou gerenciamento de identidade é um conceito que envolve 
autenticação, mapeamento de funções, controle de acesso, auditoria e relatórios de acessos de 
todos os ativos críticos de uma organização. A arquitetura de um IdM gerencia diversos tipos 
de recursos tecnológicos, como catraca, fechadura eletrônica, sistemas, software, redes e aplicações 
Single Sign-On (SSO).
 Observação
O SSO é um processo de autenticação no qual alguém consegue acesso 
a vários serviços usando um único par login + senha.
Figura 71 – Exemplo típico de SSO na internet
No atual estado da arte, o conceito de gerenciamento de identidades é mais conhecido como 
Identity and Access Management (IAM) ou Customer Identity and Access Management (CIAM). 
As soluções CIAM são projetadas para prover controles de acesso externos, ou seja, envolver ambientes 
Business-to-consumer (B2C) e Business-to-business (B2B).
Uma implementação de um IdM de identidade bem-sucedida deve abordar os seguintes aspectos:
• Políticas e regras: definem a necessidade de segurança de acordo com o perfil da corporação e 
os tipos de dados que são manuseados.
• Mapeamento de processos: os processos precisam ser mapeados e ter todos os fluxos de 
trabalhos e aprovadores bem definidos.
114
Unidade III
• Perfis por função: mapeamento dos perfis de acessos e alinhamento de controles juntos ao setor 
de recursos humanos.
• Cultura: é necessário que todos os colaboradores e departamentos da empresa estejam instruídos 
e ambientados com o conceito.
• Tecnologia: os recursos tecnológicos devem auxiliar em todos os requisitos funcionais sem 
impactar no fluxo operacional da corporação.
6.4 Política de senha e métodos de autenticação
Uma política de senha define os processos envolvidos na gestão das senhas. As regras definem a 
complexidade das senhas, como a quantidade mínima de caracteres e a obrigatoriedade de uso de 
maiúsculas, minúsculas, números e caracteres especiais. Os processos tratam da gestão das senhas, 
como recuperação, alteração, validade, reutilização e fatores de autenticação.
O método de identificação é a maneira de identificar um usuário em um sistema e verificar 
se sua identidade é legítima. A identificação (ID) deve ser única e confirmada através de uma 
validação multifator AAA.
Lembrar diversas senhas robustas, de diversas aplicações, é uma tarefa complexa. Uma solução é utilizar 
um gerenciador de senhas que armazena as chaves fortes em uma base criptografada, cujo acesso 
depende de uma senha mestra. O risco desse processo é a gestão da chave mestra, pois o esquecimento 
dessa senha invalida as demais, e o vazamento dela compromete todas as senhas armazenadas.
6.5 Gerenciamento centralizado de usuários e grupos
Mesmo com uma política de senha bem definida e fortes métodos de autenticação, a gestão de 
autorização de acessos a recursos como banco de dados, e-mails e diretórios compartilhados, para ser 
ágil e eficaz, deve ser realizada de forma centralizada.
Uma maneira de simplificar a gestão de acessos para diferentes logins e senhas é a utilização do 
padrão aberto Security Assertion Markup Language (SAML), que integra provedores de identidades 
a provedores de serviços web através da ativação do login único SSO.
Outra opção é o protocolo Lightweight Directory Access Protocol (LDAP), um provedor 
de identidade e serviço de diretório que pode ser usado para integrar diversos sistemas em 
diferentes plataformas.
115
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
dn: cn=josé silva, ou=funcionários, dc=plano, dc=br
Atributos (tipos:valores):
cn: josé silva
objectClass: pessoa
sn: silva
fone: 999-888-777
dc=plano, dc=br
ou=dispositivos ou=funcionários
cn=josé silva
Relative distinguished name (RDN) 
(nome único relativo)
Figura 72 – Exemplo de árvore de diretórios LDAP
O LDAP é um protocolo que permite organizar os dados de uma rede na forma de árvores hierárquicas 
de diretório. O LDAP funciona sobre o protocolo TCP/IP, é multinívele possui grande escalabilidade e 
desempenho, permitindo consultas rápidas de rede.
Um produto baseado no LDAP, robusto e consolidado no mercado é o serviço Active Directory 
Domain Services (ADDS) da Microsoft. Trata-se de um aplicativo disponibilizado nos servidores Microsoft 
Windows que permite a criação e o gerenciamento de domínios, serviços e grupos de usuários, bastante 
eficaz na distribuição das configurações administrativas.
O LDAP segue um padrão de entrada de dados chamados de LDAP Data Interchange Format (LDIF). 
Esse padrão define que os dados são estruturados em formato Key Value (KV) de acordo com as 
definições da classe de objeto (objectClass), que especifica os atributos obrigatórios e opcionais. 
O LDPA organiza as entradas em uma árvore hierárquica não relacional com base no nome dos 
atributos (dn) para facilitar as pesquisas. O quadro a seguir apresenta alguns dos atributos comuns 
da hierarquia LDAP.
Quadro 7 – Atributos comuns usados no LDAP
Atributo Significado Descrição
o Organização Identifica a entrada de primeiro nível
ou Unidade organizacional Subdivisão lógica (por exemplo, um departamento corporativo)
cn Nome comum Nome mais natural para representar a entrada
dc Componente de domínio Utilizado em sites que modelam a hierarquia LDAP com base no DNS
objectClass Classe de objeto Esquema ao qual os atributos desta entrada obedecem
O quadro a seguir exibe diversos documentos técnicos, os chamados Request for Comments (RFC), 
mantidos pelo Internet Engineering Task Force (IETF), que tratam sobre temas relacionados ao LDAP.
116
Unidade III
Quadro 8 – RFC importantes relacionados com o LDAP
RFC Título
2307 An Approach for Using LDAP as a Network Information Service
2820 Access Control Requirements for LDAP
2849 The LDAP Data Interchange Format (LDIF) - Technical Specification
3112 LDAP Authentication Password Schema
3672 Subentries in the LDAP
4510 LDAP: Technical Specification Road Map
4511 LDAP: The Protocol
4512 LDAP: Directory Information Models
4513 LDAP: Authentication Methods and Security Mechanisms
4514 LDAP: String Representation of Distinguished Names
4515 LDAP: String Representation of Search Filters
4516 LDAP: Uniform Resource Locator
4517 LDAP: Syntaxes and Matching Rules
4519 LDAP: Schema for User Applications 
Além do Windows, o LDAP funciona em diversas plataformas (sistemas operacionais) e pode ser 
usado de forma segura com encriptação.
Protocolos como o LDAP e o SSO podem ser usados como facilitadores de alguns processos de 
auditoria. Isso é bem claro no LDAP, já que as consultas aos dados ficam mais eficientes e organizadas, 
podendo ser transportadas para outras bases de forma bem rápida. Se o SSO for um processo local, em 
uma rede interna com registros de eventos, por exemplo, a rastreabilidade das operações pode ser bem 
assegurada, facilitando a auditoria. Entretanto, quando o SSO é realizado na internet, a dificuldade de 
rastreamento de eventos e dados transmitidos de um site a outro é muito maior. Nesses casos, o SSO 
pode ser um elemento que age contra a segurança, principalmente contra a privacidade dos dados.
6.6 A ligação entre a autenticação e o controle de acesso
A partir das definições do gerenciamento de identidade, da política de senha, dos métodos de 
autenticação e das ferramentas de administração e integração, é necessário definir o controle de acesso. 
O perfil por função ou Role Based Access Control (RBAC) é um controle de acesso não discricionário 
proposto pela NIST.
117
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
Permissões são 
autorizadas para 
regras específicas
As regras definem o 
nível de permissão
Regras são atribuídas 
aos usuários
Administrados 
definem regras para 
usuários específicos
Usuário
Usuário
Figura 73 – Esquema proposto no modelo RBAC
O princípio do privilégio mínimo especifica que seja concedido apenas os acessos bem delimitados 
e o suficiente para o desempenho do perfil por função, conceito muito difundido na área de segurança 
da informação como need-to-know. Por meio do RBAC, é possível garantir que todos os usuários de 
sistemas não tenham acessos desnecessários.
Já a segregação de funções tem por objetivo mitigar riscos de mau uso dos ativos da organização 
e conflitos de interesses. A norma ABNT NBR ISO/IEC 27002 (ABNT, 2013b) reconhece a dificuldade 
de realizar a segregação de funções, principalmente em pequenas organizações. No entanto, a norma 
também recomenda que seja realizada sempre que possível, e, quando não praticável, convém a utilização 
de outros controles, como trilhas de auditoria e monitoramento das atividades realizadas. Além disso, a 
norma recomenda a revisão periódica dos acessos concedidos.
Como pôde ser visto, a autenticação é o princípio necessário para o controle de acesso – não é 
possível controlar acessos sem uma autenticação eficiente.
6.7 Auditoria de acesso em ambientes compartilhados
A aplicação do controle de acesso é essencial para garantir a segurança da informação em uma 
corporação. Muitas vezes, o controle de acesso requer medidas de isolamento e segregação de ambientes.
Esse tipo de medida minimiza a ocorrência de vulnerabilidades, mas não se limita aos ambientes 
físicos. Além do enfoque lógico, existe o viés de governança com o processo de responsabilização, o 
modelo de controle de acesso a recursos computacionais e o gerenciamento de usuários em rede.
No atual estado da arte, o compartilhamento é essencial para a colaboração e execução da maioria 
das atividades corporativas. O processo de auditar e verificar se os acessos concedidos em teoria estão 
aplicados na prática e se não ocorreu nenhuma alteração indevida ou esquecimento de liberação ou 
cancelamento é complexo, porém indispensável.
A validação de acessos é uma tarefa complexa e passível de erros quando realizada por intervenção 
humana. Uma forma eficaz para controlar a gestão de mudanças do controle de acesso é gerar 
118
Unidade III
um hash do arquivo de configuração e fazer comparações periódicas para controlar as modificações. 
Existem ferramentas open source de detecção de intrusão que também podem auxiliar nesse processo, 
como o Advanced Intrusion Detection Environment (AIDE).
6.8 Segregação de ambientes como ferramenta de controle de acesso
Todos os ataques computacionais estão baseados em acesso indevido e/ou uso indevido de um 
recurso. Sempre que um ataque acontecer, um dos dois (ou ambos) acontece.
Exemplo de aplicação
Imagine um vírus de computador que entrou em um sistema porque um usuário usou, sem saber, um 
pen drive infectado. Os vírus são códigos computacionais maliciosos que infectam arquivos inserindo 
parte do seu código. Perceba que o fato de o vírus estar dentro do sistema, onde não deveria estar, 
denota um acesso não autorizado a um recurso (sistema operacional). Da mesma forma, o fato de o 
vírus infectar outros arquivos pela máquina indica um uso não autorizado de um recurso (arquivo).
Imagine agora um ataque de invasão, no qual um atacante consegue acesso a uma rede de uma 
grande empresa. Suponha que o atacante não altere e não apague nada na rede; ele apenas acessa 
arquivos confidenciais e lê o conteúdo. Nesse caso, houve apenas um acesso não autorizado de 
recursos (rede).
Se esse mesmo atacante usa de forma maliciosa o conteúdo confidencial que leu nos arquivos, 
divulgando-os e causando prejuízos à empresa, trata-se de uso não autorizado de um recurso (informação).
O exemplo de aplicação apresentado apenas denota como o controle de acesso é importante para 
a segurança da informação. Ferramentas que provêm controle de acesso podem ser divididas em duas 
fases: a fase de definição da política e a fase de imposição da política.
Na fase de definição da política, é definido quem deve ter acesso a quais sistemas e/ou 
recursos. Tem uma etapa:
• Autorização: corresponde à identificação de quem pode acessar em conjunto com o que 
pode ser acessado.
Na fase de imposição da política, os privilégios deacesso, concedidos na autorização, são 
confirmados ou revogados. Tem três etapas:
• Identificação: corresponde à forma de identificação dos usuários (ID, nome, documento, 
número, código etc.).
• Autenticação: corresponde ao processo de autenticação, que garante a veracidade da 
identificação de um usuário.
119
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
• Responsabilização: corresponde ao registro e à ligação das tarefas executadas com os usuários 
executantes.
O controle de acesso executado nas empresas pode ter como base controles físicos ou lógicos.
Os controles de acesso físicos controlam os acessos físicos em áreas restritas, como condomínios, 
salas de reunião, estádios, entre outras. Em geral, há um responsável pelo controle físico – por 
exemplo, um segurança que controla a entrada de alunos com cartão de identificação pela catraca em 
uma universidade.
Perceba que, em controles de acesso físicos, como catracas, que controlam a entrada mediante a 
leitura de um cartão magnético ou por biometria, existem dois controles de segurança envolvidos: 
a autenticação e o controle de acesso.
A autenticação acontece quando a catraca lê o cartão magnético ou a biometria do aluno, 
identificando-o. É interessante perceber que, em geral, esse processo é lógico, baseado em software.
Em seguida, depois da autenticação, ocorre o processo de controle de acesso. Depois que o sistema de 
autenticação já identificou corretamente a pessoa, uma consulta a um banco de dados com informações 
sobre os privilégios de acesso é realizada. Se o usuário tiver privilégios para entrar (está adimplente com 
a universidade, por exemplo), a catraca abre. Caso contrário (o cartão está vencido, por exemplo), a 
catraca não abre.
O controle de acesso não termina aí. Ainda há um processo de rastreabilidade, com o registro das 
ações e a ligação desses registros com os usuários que as executaram.
Esses controles costumam ser binários, ou seja, ou a pessoa pode ter acesso ou não pode. De 
qualquer forma, é desejável que uma política de controle de acesso com as quatro etapas (autorização, 
identificação, autenticação e responsabilização) seja implementada previamente para o funcionamento 
adequado dos controles de acesso físicos.
Já os controles de acesso lógicos são aqueles usados para o acesso a servidores, arquivos, pastas, 
áreas de armazenamento, cloud computing, redes, entre outros. Esses controles lógicos vão além da 
funcionalidade lógico-binária dos controles de acesso físicos, já que podem indicar outros tipos de 
acesso, como ler, modificar, criar, apagar, alterar atributos, entre outros.
O responsável pelo controle de acesso – controlador – decide o tipo de acesso que determinado 
indivíduo deve ter a um arquivo, uma área, um computador ou uma pasta. Esse processo de 
atribuição de acesso também tem como base as quatro etapas citadas do controle de acesso e 
pode ser observado de forma esquemática na figura a seguir.
120
Unidade III
Banco de dados
Regras de acesso
Monitor de 
referência
Etapa 2:
Identificação
Etapa 3: 
Autenticação
Etapa 1: Autorização
Objetos
ControladorPolíticas de 
acesso
Usuário
Etapa 4: 
Responsabilização
Figura 74 – Esquema para controle de acesso
Na figura anterior, basicamente, a implementação do controle de acesso conta com um monitor de 
referências, que é o núcleo do controle de segurança de acesso. Um usuário inicialmente se identifica 
em um sistema. O processo de autenticação entra em ação e confirma a identidade do usuário – esse 
processo pode ser qualquer esquema de autenticação, como login/senha, biometria ou uso de token. 
Depois de autenticado, o usuário solicita ao monitor de referências um acesso a um objeto qualquer. 
No monitor, está o algoritmo responsável por consultar um banco de dados com as regras de acesso 
cadastradas pelo controlador para cada usuário do objeto que precisa ser acessado. O controlador 
é o responsável pela distribuição de acessos, realizada a partir de uma política de acessos. Os logs 
alimentam o monitor de forma que sejam rastreadas as ações executadas nos objetos pelos usuários. 
Observando a figura anterior, podemos perceber a presença das quatro etapas dos controles de acesso.
As políticas de acesso são estratégias desenvolvidas para direcionar a atribuição de privilégios 
entre os usuários ou grupos. Com base nessas políticas, os controladores criam as regras e distribuem 
os privilégios no sistema. Perceba que esse processo é independente da aplicação, do algoritmo ou do 
sistema operacional usado no monitor de referência.
De acordo com Beneton (2019), uma política de acessos é um conjunto de determinações que 
autorizam que determinado grupo de usuários acesse ou execute ações somente em recursos autorizados 
previamente. Esse tipo de política evita que a segurança da informação de uma organização seja 
comprometida por eventuais riscos.
Portanto, as políticas de acesso servem para minimizar riscos e organizar a criação de privilégios de 
acesso. Por isso, quatro elementos centrais devem ser tratados durante a manipulação dessas políticas:
121
AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)
• Usuários: são aqueles que pretendem ter acesso aos objetos controlados.
• Recursos: são os objetos cujo controle de acesso está sendo efetivado a partir da política 
estabelecida. Na figura “Esquema para controle de acesso”, os objetos listados são uma pasta, 
uma rede, uma casa, um provedor de cloud computing e uma sala (porta).
• Ações: são as atividades que podem ser executadas nos objetos. Um usuário pode ter acesso a 
um objeto, mas isso não significa necessariamente que todas as atividades desse objeto estão 
disponíveis para uso dele.
• Relacionamentos: são as permissões específicas distribuídas aos usuários em relação aos 
objetos. Podem indicar, por exemplo, privilégio de acesso e leitura a um objeto, enquanto negam 
alterações nesse mesmo objeto para esse mesmo usuário.
Há aplicações específicas que realizam controles de acesso sofisticados que podem ser 
implementadas em computadores individuais e em redes corporativas com servidores e inúmeros 
usuários. Algumas aplicações são vinculadas a um sistema operacional, como o Active Directory 
Domain Services (ADDS), que funciona em servidores Microsoft Windows. O ADDS permite a criação 
e o gerenciamento de usuários e do banco de dados com privilégios de diversas formas, inclusive com 
a criação de domínios, grupos e outras subdivisões organizacionais que permitem estender o controle 
de acesso aos mínimos detalhes.
A figura a seguir mostra uma tela usada para a definição de políticas de segurança e controle de 
acesso locais em um servidor Windows 2008.
Figura 75 – Tela de políticas de segurança locais em um servidor Windows 2008
122
Unidade III
O kernel de um sistema operacional também realiza o controle de acesso, já que: gerencia o acesso 
e o compartilhamento dos recursos, impedindo o acesso simultâneo de recursos; define quem pode 
acessar o sistema e os dados; gera o acesso a dispositivos de Entrada e Saída (E/S); define o acesso 
controlado a arquivos e ao sistema; e monitora e registra o uso de recursos. Esse detalhe é importante, 
pois a auditoria também se debruça sobre os controles de acesso executados no sistema operacional.
De acordo com a norma ABNT NBR ISO/IEC 27002, a política de acesso deve ser baseada no negócio 
da organização e em requisitos preestabelecidos da segurança da informação. A política de acesso deve 
ser documentada e analisada periodicamente, privilegiando o andamento dos negócios com agilidade, 
equilíbrio e atendendo às conveniências da segurança da informação.
Segundo as diretrizes da norma ABNT NBR ISO/IEC 27002 (ABNT, 2013b):
• Os proprietários dos ativos devem estabelecer regras para o controle de acesso, conforme os 
direitos e as restrições de cada usuário no âmbito da organização, detalhando de tal modo que 
os riscos associados sejam bem refletidos.
• Os controles de acesso lógicos e físicos devem ser