Segurança da informação - Texto - Unidade III

Prévia do material em texto

85
SEGURANÇA DA INFORMAÇÃO
Unidade III
5 SEGURANÇA FÍSICA E LÓGICA
A segurança da informação também está associada à proteção dos ativos de informação nos 
estados físico e lógico. Assim, criar mecanismos para proteger as informações nesses dois estágios 
de vida representa um desafio para os profissionais de segurança da informação por se tratarem 
de ativos de informação diferentes em sua concepção, mas que da mesma forma requerem uma 
combinação de medidas preventivas, reativas ou detectivas. Ou seja, a segurança física e a lógica 
trabalham juntas para evitar que as ameaças explorem alguma vulnerabilidade existente. 
5.1 Segurança física
A segurança física é responsável pela proteção de todos os ativos valiosos da organização, razão 
pela qual sua abrangência é extensa – vai desde as instalações físicas, internas e externas em todas as 
localidades da organização, até a proteção dos ativos quando estão sendo transportados como valores 
ou fitas de backup.
Quando nos referimos a segurança física, a primeira palavra que vem à mente é prevenção, já que 
medidas preventivas, as quais podem ser chamadas de barreiras de segurança, devem ser tomadas. 
Segundo Beal (2008), uma barreira de segurança é um obstáculo que serve para prevenir um ataque. 
No quesito físico, um exemplo poderia ser uma cerca elétrica ou uma parede; quando falamos em 
segurança lógica, um exemplo seria um processo de logon para acesso a uma rede. Se ambas forem 
combinadas, comporemos o perímetro de segurança. 
A melhor forma de definição para perímetro de segurança seria uma linha delimitadora que define 
uma área separada protegida por um conjunto de barreiras físicas e lógicas. 
Alguns exemplos de barreiras que agregadas podem formar um perímetro de segurança são: salas-
cofre, roletas de controle de acesso físico, token, ou dispositivo biométrico para autenticação de pessoas 
antes da liberação da passagem, circuitos internos de TV, detectores de fumaça, sirenes e alarmes de 
incêndio, acionadores de água para combate a incêndio etc.
De acordo com a ISO 27001, citada anteriormente, perímetro de segurança é qualquer elemento 
que estabeleça uma barreira ao acesso indevido. Ela também define que, como melhores práticas para a 
segurança física, sejam considerados alguns itens de segurança obrigatórios: 
 
86
Unidade III
Quadro 20 – Itens de segurança física definidos pela ISO/IEC 27001
Itens de segurança obrigatórios
Perímetro de segurança deve estar claramente definido. 
Perímetro de prédios ou locais que contenham recursos de 
processamento de dados fisicamente consistente (sem brechas que 
facilitem a invasão). 
Implantação de área de recepção ou outro meio de acesso físico ao 
local ou prédio e restrição do acesso a pessoas autorizadas. 
Barreiras físicas estendidas da laje do piso até a laje superior, 
quando necessário para prevenir acessos não autorizados ou 
contaminação ambiental causada por fogo, inundação, fumaça etc. 
Portas de incêndio no perímetro de segurança com sensores de 
alarme e mola para fechamento automático. 
 Diante do escopo abrangente que remete à segurança física, é necessária a adoção de práticas de 
gestão idênticas às adotadas na gestão da segurança da informação, como análise e avaliação de risco 
e elaboração de normas. Tais práticas são necessárias para a correta e eficaz introdução de um processo 
de gestão da segurança física. 
Compreender o ambiente físico da organização é o primeiro passo para a identificação das 
vulnerabilidades, que podem abrir brechas para as ameaças capazes de comprometer o ambiente físico 
da organização. 
As ameaças e as vulnerabilidades mais comuns podem ser exemplificadas: 
Quadro 21 – Ameaças e vulnerabilidades à segurança física
 Ameaças Vulnerabilidades
Roubos e furtos Ausência ou falha no controle de acesso físico aos edifícios da organização 
Sabotagem e vandalismo Ativos físicos de fácil acesso ou expostos desnecessariamente 
Sequestro e chantagem
Falha ou ausência na proteção física dos 
ativos de informação ou na proteção 
dos colaboradores da organização 
Terrorismo ideológico ou 
criminoso
Falha ao evitar que a organização entre 
em temas polêmicos ou ideológicos 
Interrupção em serviços 
básicos como água, 
energia e gás 
Ausência ou falhas em planos de 
contingência 
Problemas em sistemas 
de suporte como ar 
condicionado e ventilação 
Ausência ou falhas em planos de 
contingência 
Fogo e fumaça Ausência ou falhas em mecanismos de detecção de incêndio 
Vazamento de água e 
enchentes 
Ausência ou falhas nos mecanismos de 
prevenção 
87
SEGURANÇA DA INFORMAÇÃO
 Lembrete
Para a definição de mecanismos apropriados à segurança física são 
necessários os mesmos procedimentos adotados para a definição dos 
mecanismos apropriados à segurança da informação como um todo. 
A análise de risco para os aspectos físicos auxilia na identificação das instalações físicas e dos 
ativos de negócio que estão associados à proteção física e, com isso, na adoção de mecanismos que 
contrabalanceiem investimento e benefício, uma vez que controles físicos requerem investimentos 
razoavelmente altos. 
A segurança da informação deve interferir o mínimo possível na rotina de uma organização, porém 
quando o assunto é segurança física essa intervenção é inevitável e necessária para tornar o ambiente 
seguro. Assim, devem ser adotados padrões mínimos para proteção física da organização, de seus ativos 
de informação e de seus colaboradores. 
Quanto maior a necessidade de proteção, maior vai ser a intervenção da segurança da informação 
na rotina da organização e, consequentemente, será gerado desconforto aos colaboradores. O grande 
desafio da segurança da informação, especificamente da segurança física, é o de adotar mecanismos 
de proteção física que contrabalanceiem as dificuldades e as proteções para evitar o excesso de 
procedimento de controle. 
O uso de planos de conscientização ajuda a dividir a responsabilidades e, com isso, reduzir a 
sensação de desconforto causada pela implantação de mecanismos de proteção física no ambiente 
da empresa. 
A padronização dos mecanismos de proteção física nas áreas comuns da organização é uma 
preocupação que transcende a segurança da informação, pois envolve a própria edificação da estrutura 
de construção da organização.
O conceito de Prevenção Criminal por meio do Desenho Ambiental vem sendo desenvolvido por 
35 anos em constante evolução. Após a sua elaboração inicial na década de 1960, Oscar Newman 
estabelece as bases do assunto com o livro Defensible Space (1972). 
A teoria se baseia na possibilidade de reduzir o crime e o medo por meio de certas medidas de 
planejamento e projeto de áreas. Para isso, o autor se utiliza de duas abordagens básicas:
• A primeira, de que é possível desenhar ambientes que reduzem as oportunidades para que um 
crime possa ocorrer.
• A segunda, de que é possível adotar medidas necessárias de segurança com foco na redução do 
medo do crime e no aumento da sensação de segurança pessoal, melhorando assim a qualidade 
de vida e o relacionamento interpessoal. 
88
Unidade III
Assim, no projeto de construções e espaços urbanos, alguns princípios básicos dispostos pela teoria 
são passíveis de ser seguidos por pessoas da área. Vejamos:
• Iluminação: deve ser adequada de acordo com o horário (dia ou noite) para melhorar a sensação 
de segurança e desencorajar a prática do crime, porque inibe a ação do criminoso e aumenta a 
capacidade de visão da vigilância.
• Campo de visão: visa a projetar áreas em que os usuários possam ter um largo campo de visão, 
o que lhes permite antecipar as proximidades de onde ele está no momento. Isso dá sensação 
de segurança e de antecipação. Um bom campo de visão de uma área aumenta naturalmente a 
quantidade de pessoas vigiando o ambiente. 
• Pontos de esconderijo: devem ser evitadas as vielas ou reentrâncias em construções, porque 
podem servir de esconderijo para criminosos.
• Prever os movimentos: deve-se evitarfazê-lo em construções que podem predizer por onde 
as pessoas devem necessariamente passar, como túneis para pedestres ou passarelas, os quais 
podem facilitar ação de criminosos. 
• Vigilância natural: projetar ambientes que permitem um bom campo de visão aumenta a 
vigilância natural e a exposição de alguém que queira cometer um crime.
• Uso misto de áreas: a mistura de áreas residenciais com comerciais garante uma boa distribuição 
de pessoas em diversos horários, garantindo a vigilância a qualquer hora do dia. 
• Geradores de atividades: criar espaços que geram atividades e que tragam as pessoas para 
ocupá-los, como parques e praças de alimentação em ambientes abertos. 
• Manutenção: por meio da manutenção constante, as áreas devem criar um senso de propriedade 
nas pessoas que as utilizam. Deve haver uma manutenção programada que além de manter a 
limpeza desencoraja a ação de vândalos.
• Sinalização: as localidades e os caminhos devem estar claramente sinalizados, pois isso transmite 
a sensação de segurança aos usuários, que podem identificar facilmente pontos de apoio ou rotas 
alternativas de fuga. 
• Localidade das instalações: a localização geográfica interfere diretamente na segurança da 
informação e é crucial na hora de identificar as ameaças, as vulnerabilidades e os riscos para 
aquele ambiente. Por meio da localização geográfica é possível analisar a probabilidade de 
ocorrerem problemas de ordem natural ou climática. 
Algumas perguntas devem ser respondidas quando analisamos a localização física: 
O local pode ser alvo de ataques terroristas?
Manifestações públicas são constantes ou esperadas?
Existe histórico de problemas recorrentes com o fornecimento dos serviços básicos?
89
SEGURANÇA DA INFORMAÇÃO
A área traz riscos inerentes, como proximidade com aeroportos, bases militares ou zonas de alto 
índice de incidência de crimes?
Os projetos de construção devem pensar nos aspectos de segurança relacionados à entrada de 
veículos, colaboradores, visitantes, prestadores de serviço, entregadores, logística, fornecimento de 
serviços básicos, sistema de ar condicionado e ventilação, de forma a garantir que a operação de 
organização não seja interrompida. 
Também é preciso pensar na implantação de mecanismos de proteção na sua própria concepção. 
A primeira forma de proteção física de uma organização costuma ser a chamada proteção perimetral 
ou periférica, que é constituída de barreiras que compõem a segurança periférica. 
Quadro 22 – Barreiras perimetrais ou periféricas
Barreiras Características 
Cercas 
Podem ser construídas de aço galvanizado, ferro ou até mesmo eletrificada 
e servem para demarcar a fronteira externa de uma construção. O maior 
benefício é o de manter o nível de visão e ruído produzido na tentativa de 
ultrapassagem. A desvantagem é que é facilmente cortada, transposta. 
Paisagismo Tem como principal objetivo criar barreiras naturais de proteção. Exemplos dessas barreiras podem ser arbustos ou paredes feitas de árvores. 
Portões São mecanismos de controle de acesso físico que se aplicam às pessoas e, com maior frequência, aos veículos. 
Barreiras veiculares 
Formadas por colunas de concreto ou metal colocadas nas calçadas, cujo 
objetivo é impedir a aproximação ou o estacionamento de veículos, sem 
atrapalhar o tráfego de pedestre. 
As barreiras de proteção podem ter efeitos detectivos e preventivos quando inibem ou detectam 
a ação de um intruso no ambiente físico. Exemplo desses mecanismos são fatores como iluminação, 
alarmes de intrusão, sensores de presença e circuito fechado de TV. 
Para a segurança física, a iluminação tem um função muito maior do que apenas para deixar o 
ambiente mais claro. Como já foi dito anteriormente, ela aumenta o campo de visão no período noturno 
e inibe a ação de intrusos, prevenindo assim a ação um criminoso. 
Os alarmes de intrusão são utilizados geralmente como barreiras externas e têm a finalidade de 
alertar sobre a existência de um possível intruso no perímetro de proteção. Geralmente são colocados na 
extensão total dos muros por meio de pequenos fios que quando rompidos disparam um alarme sonoro 
ou visual, requerendo assim a intervenção dos seguranças.
Os sensores de presença utilizam diversos tipos de tecnologias na tentativa de detectar a presença de 
pessoas não autorizadas dentro de ambientes controlados. As mais comuns são a quebra de circuito elétrico, 
interrupção de feixe de luz, infravermelho passivo, detector ultrassônico e dispositivos micro-ondas. 
Um circuito elétrico funciona quando a transmissão da corrente é interrompida por conta da 
interrupção de um fio, como um conector que se fecha quando a porta está fechada e se abre quando 
a porta está aberta, acusando assim a violação.
90
Unidade III
No processo de interrupção de feixe de luz, existe um feixe produzido por dispositivos fotoelétricos 
que, quando interrompidos por uma pessoa, disparam um alarme acusando a intrusão. O feixe pode ser 
visível ou invisível e também pode ser utilizado com detector de incêndio.
O infravermelho passivo funciona semelhantemente ao feixe de luz, porém a energia infravermelha é 
emanada no ambiente por um único sensor capaz de detectar variações na reflexão causadas pelo movimento. 
Os detectores ultrassônicos produzem no ambiente padrões de energia acústica não percebidas por 
seres humanos, que são alterados caso uma pessoa entre no ambiente. A vantagem desse sistema é que 
são imperceptíveis aos seres humanos, porém possui a desvantagem de que algum barulho externo 
pode gerar um alarme falso positivo.
Os dispositivos de micro-ondas são semelhantes aos dispositivos ultrassônicos, com a vantagem 
de não sofrerem interferência externa ao se utilizar antenas que permitem cobrir uma grande área de 
monitoramento. Porém, existe a dificuldade de confinar o sinal no mesmo ambiente. 
Os circuitos fechados de TV (CFTV) são sistemas de monitoramento que captam imagens por meio do 
uso de câmeras e as transmitem remotamente, permitindo assim o monitoramento. As imagens geradas 
podem servir de provas em um processo posterior de perícia e investigação.
De acordo com a qualidade das imagens e a frequência com que são capturadas, os circuitos fechados 
de TV possuem alguns níveis básicos: 
• Os detectivos, que somente visam identificar a presença de um corpo estranho, sem que seja 
possível a identificação.
• Os que permitem o reconhecimento, com o qual é possível diferenciar um homem de um animal, 
por exemplo.
• Os mais avançados, que permitem a identificação em detalhes de um corpo, como traços faciais, 
o que auxilia na identificação de uma pessoa. 
Quadro 23 – Componentes básicos de sistemas CFTV
COMPONENTES DESCRIÇÃO
Câmera e lente Capta as imagens através de lentes intercambiáveis, que permitem a substituição de lentes de acordo com necessidade. 
Iluminação A luz é um fator primordial para a captação de imagens. Em última instância, é exatamente aquilo que é captado pela câmera. 
Mídia de transmissão Pode ser com ou sem fio. Exemplos: cabos coaxiais, linhas telefônicas, redes elétricas, redes de dados, redes wi-fi e outras. 
Monitores Utilizados na visualização de imagens, a tecnologia dos monitores interfere na qualidade das imagens apresentadas. 
Dispositivos de 
armazenamento 
O armazenamento é opcional e pode ser realizado em sistemas digitais ou 
analógicos. 
91
SEGURANÇA DA INFORMAÇÃO
 Saiba mais
Os filmes a seguir podem propiciar uma breve noção dos diversos 
mecanismos para segurança física, relacionados aos conteúdos dessa 
unidade:
Missão Impossível 3. Dir. J. J. Abrams, 126 minutos, 2006.
Efeito Dominó. Dir. Roger Donaldson, 110 minutos, 2008.
A segurança da informação nos aspectos físicos deve estar atenta a outras formas de proteger a 
segurança dos ativos de informação físicos. Segundo a norma ISO/IEC 27001, devem ser protegidos 
escritórios, salas e instalações de processamento, áreas de expedição e carga, documentos em papel, 
mídias de computador,arquivo de documentos eletrônicos, hardware, cabeamento, proteção, remoção 
e descarte de equipamentos, políticas de mesa limpa e tela limpa etc. 
A proteção dos escritórios, salas e instalações de processamento definidas pela ISO/IEC 27001 
contempla que salas de escritório devem ser devidamente fechadas e que os equipamentos devem 
efetuar o bloqueio de acesso por inatividade, evitando assim o acesso indevido.
As áreas de expedição e carga devem ter acesso restrito e supervisão constante para prevenir 
atividades não autorizadas. Os mecanismos de proteção recomendados para essas áreas são equipamentos 
fotográficos, de vídeo, áudio e gravação. Recomenda-se também que as áreas de expedição e carga 
fiquem distantes e isoladas das áreas de processamento, pois isso evita que pessoas ou empresas não 
tenham acesso a áreas que possuem informações confidenciais. 
A norma ISO IEC/27001 recomenda que os documentos em papel tenham procedimentos de 
tratamento que cubram no mínimo os seguintes aspectos: cópia, armazenamento, transmissão pelo 
correio, fax e entregadores e descarte seguro. 
A norma procura esboçar as melhores práticas para proteger os ativos de informação em papel 
em todo o seu ciclo de vida e também seguindo a classificação da informação. Para isso, dispõe dos 
seguintes mecanismos de proteção: 
• Usar rótulos para identificar documentos que requerem tratamento confidencial.
• Estabelecimento de uma política para armazenamento de papéis em local protegido que assegure 
informações confidenciais ou críticas ao negócio, como cofres ou arquivos resistentes a fogo. 
• Adoção de procedimentos especiais para impressão e transmissão via fax de documentos 
confidenciais. 
• Procedimentos especiais para envio de documentos em papéis via correio ou entregadores devem 
ser adotados para informações confidenciais, como envelopes lacrados.
92
Unidade III
As mídias de computador (CDs, disquetes, DVDs, fitas magnéticas, discos removíveis etc.), assim 
como os documentos em papéis, precisam ser controlados e fisicamente protegidos. No caso das fitas 
de backup, sua proteção é uma das grandes preocupações da segurança física. 
Quadro 24 – Medidas de proteção para mídias 
Principais medidas de proteção para mídias
Armazenamento em ambiente protegido contra furto e 
compatível com as especificações do fabricante. 
Remoção do conteúdo de qualquer meio magnético 
reutilizável. 
Descarte de seguro (trituração ou incineração de 
mídias).
Uso de rótulos para identificação de mídias com 
conteúdo confidencial e adoção de serviços e 
mecanismos compatíveis. 
Mídias que serão levadas para fora das instalações 
devem se sujeitar a procedimentos de proteção e 
normas para que sejam devidamente protegidas fora 
do ambiente organizacional. 
Os arquivos de documentos eletrônicos requerem atenção quando da guarda permanente, por isso 
devem ser guardados e organizados de forma a serem facilmente achados para consultas futuras. 
...documentos eletrônicos, cada vez mais presentes nas organizações, alteram 
o foco da gestão para questões como a exigência de mediação e a exigência 
de mecanismos de segurança (BEAL, 2008, p. 84).
Segundo a exigência da mediação, os documentos eletrônicos devem utilizar aparatos técnicos e 
informáticos para serem compreensíveis aos seres humanos, ou seja, são necessários softwares para 
mediar o acesso a tais documentos. 
A exigência de mecanismos de segurança se torna necessária uma vez que documentos 
eletrônicos são mais suscetíveis a adulterações do que os documentos em papel, e por isso 
devem possuir mecanismos que protegem a confidencialidade, integridade e a disponibilidade 
das informações.
A proteção dos dispositivos de hardware também é necessária, pois os computadores são de fácil 
remoção (por isso podem ser facilmente furtados) e podem conter informações importantes em seus 
discos rígidos. Mas a segurança física também deve se preocupar com a proteção contra as ameaças 
de descargas elétricas causados por raios, bem como com a integridade física do hardware para que 
ele possa operar de forma adequada, como prevenção contra panes causadas por derramamento de 
líquidos no teclado e excesso de umidade do ambiente. 
A proteção de problemas ambientais e acidentais depende de um 
planejamento cuidadoso de medidas de proteção, a iniciar-se pelo 
93
SEGURANÇA DA INFORMAÇÃO
levantamento dos ativos físicos existentes e de sua localização e 
importância para a organização (BEAL, 2008, p.86).
Problemas com falhas do próprio hardware também devem ser previstos pela segurança da 
informação, como defeitos de fabricação ou mau funcionamento. Estes podem ocasionar danos 
irreversíveis aos ativos de informação de uma organização. 
A manutenção correta dos equipamentos pode minimizar os defeitos ou falhas em hardware, 
como uma avaliação do ambiente antes de qualquer instalação de qualquer tipo de equipamento 
relacionado a TI. Isso reduz o nível de exposição a acessos desnecessários, sabotagem, espionagem, 
entre outros riscos. 
Assim, a criação de regras que inibam ações que possam colocar os equipamentos em risco é 
necessária para a correta proteção dos ativos físicos.
Políticas específicas para restrição de alimentos, bebidas e fumo 
próximos às instalações de processamento de informações, monitoração 
de aspectos ambientais que possam afetar as instalações (IDEM, p. 88).
A remoção, o descarte e o transporte de equipamentos devem receber atenção especial sobre 
onde controles específicos devem ser implementados para, assim, evitar vazamento de informações 
e problemas com furto de componentes – como discos rígidos. Por isso, a implantação de lacres ou 
cadeados nos equipamentos aumenta as chances de redução desse risco. 
O envio de equipamento para manutenção em autorizadas ou empresas contratadas também pode 
representar risco à segurança das informações confidenciais armazenadas nos equipamentos quando 
não são adotados os procedimentos devidos para tal. Para salvaguardar as informações, podem ser 
firmados contratos de confidencialidade ou então ser feita a retirada do disco rígido antes de enviar 
os equipamentos para a manutenção. Toda e qualquer intervenção técnica em equipamento deve ser 
acompanhada por uma pessoa responsável. 
Quando do recolhimento do equipamento para descarte definitivo, é recomendada a correta 
eliminação de todos os softwares e dados contidos nos equipamentos. No caso de equipamento que 
contém informações sensíveis, confidenciais ou importantes, a destruição definitiva do disco rígido 
pode ser uma alternativa mais segura. 
Outros métodos utilizados são em relação a equipamentos portáteis transportados por 
colaboradores em viagens. Estes devem ser levados como bagagens de mão e acondicionados em 
recipientes que não revelem que se trata de um equipamento. O uso de senhas de acesso e de 
mecanismos criptográficos também são ações de proteção comuns e recomendáveis. 
A segurança física dos cabeamentos elétricos e de telecomunicações também faz parte dos 
assuntos recomendados pela ISO/IEC 27001. 
94
Unidade III
Quadro 25 – Melhores prática para cabeamento ISO/IEC 27001
Sempre que possível, é recomendável o uso de linhas elétricas e de 
telecomunicação subterrânea, ou pelo menos sujeitas à proteção 
alternativa adequada. 
Cabeamento de rede protegido contra interceptações não autorizadas 
ou danos, por exemplo, pelo uso de conduítes ou evitando a 
instalação em áreas públicas. 
Cabos elétricos separados dos cabos de comunicação para prevenir 
interferências. 
Controles adicionais para sistemas críticos, como uso de conduítes 
blindados e salas ou gabinetes trancados nos pontos de inspeção e 
terminais, cabeamento de fibra ótica, varredura para identificação de 
dispositivos não autorizados conectados aos cabos. 
A organização deve considerar a adoção de uma política de mesa limpa para papéis e mídias removíveis 
e uma política de tela limpa para os recursos de processamento da informação, de forma a reduzirriscos de 
acesso não autorizado, perda e danos à informação durante e fora do horário normal de trabalho. 
A política deve levar em consideração as classificações da segurança das informações, os riscos 
correspondentes e os aspectos culturais da organização. As informações deixadas em mesas de trabalho 
também são alvos prováveis de danos ou destruição em um desastre, como incêndio, inundações ou 
explosões. Recomenda-se que os seguintes controles sejam considerados:
• Convém que papéis e mídias de computador, quando não estiverem sendo utilizados, sejam 
guardados em gavetas adequadas com fechaduras e/ou outras formas seguras de mobiliário, 
especialmente fora do horário normal de trabalho.
• Informações sensíveis ou críticas ao negócio, quando não requeridas, devem ser guardadas em 
local distante, de forma segura e fechada (de preferência em um cofre ou arquivo resistente a 
fogo), especialmente quando o escritório estiver vazio.
• Computadores pessoais, terminais de computador e impressoras não devem ser deixados ligados 
quando não assistidos e devem ser protegidos por senhas, chaves ou outros controles quando não 
estiverem em uso.
• Pontos de recepção e envio de correspondências e máquinas de fax e telex não assistidas devem 
ser protegidos.
• Copiadoras devem ser travadas (ou de alguma forma protegidas contra o uso não autorizado) fora 
do horário normal de trabalho.
• Informações sensíveis e classificadas, quando impressas, devem ser imediatamente retiradas da 
impressora.
• Algumas áreas requerem segurança maior por tratarem de assuntos confidenciais ou por possuirem 
ativos físicos de maior valor ou importância para a organização. Essas áreas são chamadas de 
áreas de segurança.
95
SEGURANÇA DA INFORMAÇÃO
• Manuais e controles adicionais podem ser necessários para melhorar as condições de uma 
área de segurança. Isto inclui controles tanto para o pessoal da organização como para 
prestadores de serviços que trabalham em áreas de segurança, assim como para atividades 
terceirizadas que possam ocorrer nessa área. 
• Os colaboradores só podem ter conhecimento da existência de área de segurança ou de atividades 
dentro dela quando necessário.
• Deve ser evitado o trabalho sem supervisão nas áreas de segurança, tanto por razões de segurança 
como para evitar oportunidades para atividades maliciosas. 
• É necessário que as áreas de segurança desocupadas sejam mantidas fisicamente fechadas e 
verificadas periodicamente. 
• Convém que pessoal de serviço de suporte terceirizado tenha acesso restrito às áreas de 
segurança ou às instalações de processamento de informações sensíveis somente quando 
suas atividades o exigirem e que este acesso seja autorizado e monitorado. 
• Barreiras e perímetros adicionais para controlar o acesso físico podem ser necessários em áreas 
com diferentes requisitos de segurança dentro de um mesmo perímetro de segurança.
• Importante que não se permita o uso de equipamentos fotográficos, de vídeo, de áudio ou de 
outro equipamento de gravação, a menos que seja autorizado nas locações da organização.
5.2 Segurança lógica
Quando falamos do controle de acesso lógico e na interligação em redes, os problemas de segurança 
se multiplicam de forma alarmante. Basta um único usuário descuidado para comprometer toda a 
segurança de uma rede inteira. No caso das redes conectadas à internet, a proteção física já não garante 
a segurança da informação, pois nesse ambiente as ameaças são multiplicadas e potencializadas – tanto 
ameaças externas, como invasões e ataques de negação de serviço, quanto ameaças internas, como 
erros, abusos de privilégios, fraudes etc. 
Todas as novas tecnologias devem ser analisadas para que as medidas de segurança sejam 
devidamente implementadas. 
Os controles lógicos podem ser fundamentais para adequar a organização aos seus requisitos de 
segurança (BEAL, 2008, p. 92). Para facilitar a implantação e o controle dos mecanismos de proteção 
lógica, a segmentação dos problemas em áreas pode ser uma solução.
5.2.1 Segurança em redes
Como é no canal de comunicação que a informação corre um maior risco de vazar ou de ser 
utilizada com más intenções, a ausência de segurança em redes somente amplia tais riscos para a 
segurança de dados, informações e serviços. As redes nos dias atuais se confundem com o próprio 
96
Unidade III
negócio da organização, tanto que para isso a implantação de mecanismo de segurança para 
redes é fundamental.
A segurança em redes sempre foi considerada uma alternativa à segurança em estações de 
trabalho. O argumento dado sempre foi o da praticidade e da facilidade, pois achava-se que 
se a rede estivesse protegida as máquinas estariam seguras. Com o passar do tempo, a adoção 
de criptografia nos protocolos de rede fez com que essa abordagem perdesse parte de sua 
eficácia.
A ameaça que pode explorar as vulnerabilidades das redes pode agir de forma interna ou de 
forma passiva. As ameaças internas são desencadeadas por ataques que interagem diretamente 
com o ambiente. 
Nas ameaças passivas não há interação direta com a máquina atacada, pois o foco é a coleta de 
informação sobre o alvo por meio da interceptação de comunicações ou buscas em quaisquer fontes de 
pesquisa que possam ter informações relevantes.
As ameaças às redes de dados podem ser tipificadas dependendo dos objetivos que elas possuem 
em relação ao alvo atacado, podendo ser de interceptação, de modificação, de interrupção ou de 
fabricação.
Na interceptação, o atacante se posiciona entre dois dispositivos que estão se comunicando e faz 
com que essa comunicação passe por ele. Dessa forma, o atacante consegue copiar as informações que 
estão sendo transmitidas. 
Tráfego normal
Atacante
Atacante redireciona o 
tráfego, fazendo-o passar 
pela sua máquina
Estação 1 Estação 2
Figura 20 – Ataque de interceptação
Um dos principais tipos de ataque desta classificação é o man-in-the-middle, em que o invasor 
simula ser o parceiro de ambas as partes envolvidas na conexão, assumindo a identidade de um usuário 
válido.
O ataque de modificação visa a alterar a comunicação entre duas partes, atacando assim a 
integridade das informações comunicadas naquele canal. 
97
SEGURANÇA DA INFORMAÇÃO
 
Tráfego normal
Atacante
Atacante captura 
o tráfego entre as 
estações e o reenvia com 
alterações
Estação 1 Estação 2
Figura 21 – Ataque de modificação
Um exemplo de ataque desta classificação é o Replay, em que parte de uma transmissão da rede é 
copiada e reproduzida posteriormente, simulando um usuário autorizado. 
Já o ataque de interrupção acontece quando o atacante se posiciona entre as partes que estão em 
comunicação, conseguindo assim que o tráfego gerado pela origem não chegue ao destino. 
Tráfego normal
Atacante
Atacante ataca a Estação 
2 comprometendo seu 
funcionamento normal e 
indisponibilizando os seus 
serviços
Estação 1 Estação 2
Figura 22 – Ataque de interrupção
O principal tipo de ataque classificado como interrupção é o Denial of Service (DoS), que é o 
envio de requisições em massa para um determinado computador, de modo que este não consiga 
responder todas elas, ficando sobrecarregado e consequentemente fazendo com que o serviço 
pare de funcionar.
Quando um ataque de fabricação é proferido, o atacante produz mensagens para um destino 
se passando por algum outro componente, como se elas tivessem sido por ele originalmente 
produzidas.
98
Unidade III
Tráfego normal
Atacante
Pacotes IP falsificados 
com o endereço IP de rede 
da Estação 1
Estação 1 Estação 2
Figura 23 – Ataque de fabricação
O tipo de ataque mais comum de fabricação é o IP Spoofing, que consiste na substituição do 
endereço IP do computador do invasor, fazendo com que ele se passe por um computador confiável da 
rede, podendo assim obter privilégios na comunicação. 
Alguns métodos de proteção podem ser destacados, como a segurança via obscuridade e a segurança 
na comunicação:
• A segurança via obscuridade parte doprincípio de que um ativo de informação só pode ser 
atacado se alguém souber de sua existência. Então, ocultar as informações que poderiam ser 
possivelmente utilizadas por um atacante é uma excelente prática que pode melhorar a segurança 
como um todo.
• A segurança na comunicação visa assegurar a disponibilidade dos links de comunicação por meio 
de contratos com terceiros que garantam a confidencialidade, a integridade e a disponibilidade 
das informações que trafegam por esse canal.
Algumas estratégias de proteção podem ser implantadas para assegurar a proteção dos ativos de 
informação no seu caminho na rede. Vejamos:
• Estratégia de confiança: se assemelha à situação de uma pessoa passar o cartão em uma loja, 
pois ela estará confiando os dados do cartão ao estabelecimento. A confiança não deve ser 
utilizada de forma irresponsável, pois, como toda medida de segurança, ela é fruto de uma relação 
custo/benefício com riscos calculados e conhecidos. Como existe um número imenso de situações 
para as quais não existe controle, decidimos simplesmente confiar, pois normalmente o custo de 
proteção não compensa.
• Estratégia de privilegio mínimo: parte da ideia de que os usuários tenham apenas os privilégios 
necessários para desempenhar suas tarefas e nunca possuam privilégios adicionais desnecessários, 
pois estes aumentam os riscos sem qualquer benefício em troca.
• Estratégia de defesa em profundidade: tem como objetivo implantar controles tipos de diferentes. 
É mais eficaz que os recursos sejam divididos em diversos controles que se complementam e que 
servem de redundância entre si, em vez de um único controle, dito infalível.
99
SEGURANÇA DA INFORMAÇÃO
• Estratégia de ponto de estrangulamento: refere-se a reduzir o número de entradas, ou seja, 
quanto menos entradas o prédio tem, mais fácil e mais barato fica protegê-las e vigiá-las. O 
mesmo pode ser repassado para o conceito de redes. 
• Estratégia do elo mais fraco: nesta estratégia, os profissionais redobram a atenção, pois quem 
protege deve ter atenção a todos os pontos, ao passo que quem ataca precisa achar apenas um 
ponto falho para obter sucesso.
• Estratégia de fail-safe: prega que, em caso de falha, os controles de segurança bloqueiem todos 
os acessos. Assim, nem o atacante nem os usuários legítimos terão acesso ao sistema até que 
sejam feitos todos os reparos. 
• Estratégia de participação universal: buscar uniformidade na aplicação, envolvendo 
procedimentos de treinamento e conscientização de usuários.
• Estratégia de diversidade: técnica utilizada em conjunto com a de profundidade, variando os 
tipos de controle utilizados.
• Estratégia de simplicidade: prevê que ambientes podem se tornar desnecessariamente 
complexos, fazendo com que a simples avaliação de brechas, por exemplo, se torne uma tarefa 
mais difícil do que deveria.
As preocupações com a segurança da rede devem abranger os problemas 
de autenticação de usuários e equipamentos e de restrição de acesso dos 
usuários aos serviços autorizados, contemplando o estabelecimento de 
interfaces seguras entre a rede interna e as redes públicas ou de outras 
organizações (IDEM, p. 93).
Os elementos básicos para proteção de rede incluem dispositivos como roteadores de borda, firewalls, 
NAT (Network Address Translation), VPN (Redes Virtuais Privadas), Bastion Host, Perímetro lógico, IDS 
(Intrusion Detection System), IPS (Intrusion Prevention System) e Política de Segurança.
Internet
Firewall
DMZ - Zona 
desmilitarizada
Bastion
Host
Servidor web
WWW
Roteador 
externo
Roteador 
interno
Rede de perímetro
Rede interna
Figura 24 – Elementos básicos de controle de acesso a redes
100
Unidade III
O rotador de borda é o último gateway (dispositivo que interconecta redes diferentes) que conecta 
a rede interna da empresa à internet. Trata-se da primeira linha de defesa da empresa contra ameaças 
externas.
O firewall (parede de fogo) é um conjunto de hardware e software que permite a criação de regras 
definindo que tipos de serviço e tráfegos são permitidos por entre as redes que ele conecta. São 
dispositivos de controle de acesso que possui como uma de suas funções principais a proteção das 
estações e da segmentação de perímetros, geralmente colocado na junção de duas redes com níveis de 
confiança distintos.
O firewall isolado não consegue inibir todos os acessos indevidos, mas unido a outras ferramentas 
de controle de acesso pode evitar a entrada de vírus na rede e até mesmo detectar uma tentativa de 
invasão na rede interna. 
A desvantagem fica por conta do fato de ser o único ponto de acesso, o que pode tornar o acesso 
a outra rede lento. Uma solução para isso seria aumentar a capacidade com soluções de redundância, 
porém isso demandaria um alto custo.
O tráfego de informações entre os computadores ou redes e o mundo 
exterior é examinado e bloqueado quando uma informação não atende a 
critérios predefinidos de segurança (IDEM, p. 94).
Dessa forma, a função do firewall é de analisar pacotes que passam por ele e compará-los a um 
conjunto de regras para saber qual decisão tomar. Para isso existem algumas tecnologias para o emprego 
do firewall em uma rede.
A tecnologia de filtro de pacotes funciona com o uso de listas de controle previamente configuradas 
chamadas de ACLs. Os roteadores que recebem essas listas são chamados de filtros de pacotes. As ACLs, 
ou listas de controle, são regras que permitem a tomada de ação baseada em critérios coletados nos 
pacotes. 
As vantagens do uso dos filtros de pacotes residem na velocidade com que os pacotes são analisados, 
no custo de implantação razoavelmente baixo, na transparência no processo e na manutenção.
Apesar de suas vantagens, os filtros de pacotes possuem sérias limitações de segurança, como sérios 
problemas em conseguir barrar efetivamente os chamados ataques de fragmentação.
 Observação
Ataque de fragmentação é uma maneira de fazer com que serviços TCP 
de máquinas protegidas por um filtro de pacotes possam ser acessados 
mesmo que o filtro não permita seu acesso (ou seja, ele é uma maneira de 
enganar o filtro de pacotes). 
101
SEGURANÇA DA INFORMAÇÃO
Outra tecnologia muito utilizada é o proxy, que são dispositivos criados para resolver problemas 
dos filtros de pacotes. Os proxies intercedem a conexão entre clientes e servidores, impedindo uma 
comunicação direta entre eles.
Os filtros de pacotes dinâmicos (stateful inspection), em vez de trabalhar com um conjunto de 
critérios estáticos, como os utilizados com as ACLs dos roteadores, coletam informações sobre os pacotes 
trafegados, armazenando-as em um componente chamado tabela de estados. Além de muito populares, 
os filtros dinâmicos são a tecnologia mais utilizada em soluções comerciais de mercado. Contudo, essa 
tecnologia também utiliza os proxys como auxílio.
Uma outra tecnologia utilizada é o NAT (Network Address Translation), criado para permitir que 
máquinas possam acessar a internet sem que necessariamente haja um endereço IP válido, já que os 
endereços válidos são centralmente distribuídos e controlados. Ele oferece benefícios do ponto de vista 
de segurança, pois a partir da internet normalmente não é possível acessar de forma direta máquinas 
que estão na rede interna. Assim, essa tecnologia permite o afunilamento do acesso à internet em 
alguns pontos pela rede interna.
Já as VPNs (Redes Virtuais Privadas) se referem ao acesso entre redes por meio seguro através de um 
rede insegura.
Internet
Criptografia Criptografia
Roteador 
externo
Roteador 
externo
Rede interna Rede interna
Figura 25 – Conexão segura entre redes internas via rede externa (VPN)
Os Bastion host são estações de trabalho adicionadas fora da rede interna – ou seja, na rede 
perimetral – que procuram focar o aspecto de segurança da máquina que é acessada pela internet, pois 
se ela não for comprometida e o firewall estiver configurado corretamente para bloquear os acessos 
por meio dela, não sobram muitas opções para o intruso.É necessário que os equipamentos colocados 
nessa posição não possuam vulnerabilidades. 
O perímetro de segurança significa uma faixa de delimitação territorial. A utilização de uma DMZ 
(DeMilitarized Zone) consiste em uma rede perimetral que concentra máquinas que são acessadas 
externamente. Sempre que as máquinas são acessadas por clientes externos vindo de um ambiente não 
confiável, deve-se considerar a hipótese de invasão ou de comprometimento da segurança.
102
Unidade III
O IDS (Intrusion Detection System), ou sistema de detecção de intrusos, auxilia a DMZ na 
automatização dessas tarefas por meio da coleta de informações na rede ou dentro de estações, 
analisando-as a partir de uma série de métodos em busca de padrões que caracterizem ataques.
A junção dos IDS com os firewalls leva o nome de IPS (Intrusion Prevention System).
Por fim, a conscientização dos usuários também é de fundamental importância para a 
segurança lógica. As políticas de segurança são um conjunto de regras que visam definir quais 
serviços são permitidos e quem pode usá-los, regras essas que devem ser pensadas antes do seu 
uso e não o contrário.
 Lembrete
É importante ressaltar que os mecanismos tecnológicos de proteção 
para redes são importantes e extremamente necessários, porém o fator 
humano também deve estar conscientizado e treinado para o uso seguro 
das redes nas organizações. 
5.2.2 Segurança para softwares 
Quando se fala em ameaças à segurança da informação física, o assunto é simples de ser tratado. 
Porém, quando o assunto são as ameaças ao ambiente lógico, as possibilidades de ataques são bem 
maiores. 
Existe uma enormidade de softwares maliciosos, como os vírus, as bombas lógicas (códigos maliciosos 
que permanecem inativos por um período de tempo até o seu acionamento remoto), os cavalos de troia 
(códigos maliciosos que são embutidos em aplicativos inofensivos e que assim que instalado pelo usuário 
pode furtar as informações ou dominar o equipamento destinando a invadir outros equipamentos), 
os worms (programas que podem rodar de forma independente e ser transmitidos de equipamento a 
equipamento causando danos), entre outros. 
 As preocupações com software malicioso vão além dos relacionados a downloads de anexos 
infectados ou uso do correio eletrônico, já que a introdução de um dispositivo infectado em uma estação 
na rede ou a instalação de softwares não confiáveis pode colocar em risco a segurança da informação. 
Diante dessa situação, tornam-se necessárias medidas de proteção contra tais ameaças, como o uso 
de programas de conscientização dos usuários, procedimentos controlados para importação de arquivos 
e softwares, instalação e atualização regular de softwares antivírus e exame periódico de computadores 
e mídias. 
A instalação de um bom antivírus é primordial para proteger os ativos de informação contra ataques 
de códigos maliciosos, pois vasculham arquivos periodicamente em busca de mudanças não esperadas 
nos arquivos e fazem a comparação com uma lista de vírus existentes. 
103
SEGURANÇA DA INFORMAÇÃO
Essas e todas as diversas medidas tecnológicas adotadas são importantes, mas o fundamental 
é conscientizar os usuários sobre os riscos e criar mecanismos de controle de instalação de novos 
softwares. 
A segurança de software diz respeito ao uso de controles embutidos nos 
próprios programas, que operam independentemente das medidas de 
proteção a que estão submetidas as redes, complementando-as (no caso 
do comércio eletrônico, por exemplo, as complexidades dos requisitos de 
segurança acabam levando à necessidade de implantação de controles nos 
próprios aplicativos...). (IDEM, p. 98).
A segurança de sistemas aplicativos deve demandar alguns controles de acordo com os requisitos 
de segurança existentes: a validação de dados de entrada, controle do processamento interno, 
validação da saída e controle da transmissão de mensagens. 
Como proteger as informações no ambiente do usuário final também é necessário, a implantação 
de medidas para controle dos usuários dentro do ambiente lógico de software se torna fundamental. 
Vejamos os tipos de proteção: 
Quadro 26 – Proteções aplicáveis aos usuários finais
Controle Descrição 
Proteção das informações 
críticas 
Criar mecanismos para proteger as informações críticas 
que precisam ser compartilhadas, por esse motivo o uso 
de criptografia é recomendado. 
Atualização dos antivírus É necessária a atualização constante da lista de vírus conhecidos. 
Uso de firewall Não apenas na rede, mas nas estações de trabalho, individualmente. 
Procedimentos de logon 
A entrada no sistema deve limitar o tempo máximo 
para sua conclusão e o tempo máximo de tentativas de 
entrada. 
Políticas e controles Relacionadas ao uso de equipamentos portáteis, como notebooks e celulares. 
5.2.3 Controle de acesso
O controle de acesso lógico visa criar medidas que impeçam o acesso não autorizado aos 
ativos de informação, razão pela qual os direitos de acesso aos usuários e o estabelecimento 
de níveis básicos e fundamentais são necessários para proteger os princípios de segurança, a 
confidencialidade, a disponibilidade e a integridade das informações da organização. 
104
Unidade III
Confidencialidade Integridade Disponibilidade
Controle de 
acesso
Revelação 
controlada, sigilo, 
privacidade, 
intimidade
Informação 
completa, autêntica 
e dentro do nível de 
precisão exigido
Direito à informação
Garantia de acesso à 
informação necessária 
para a realização do 
trabalho
Figura 26 – Exemplo dos aspectos de controle de acesso
Os mecanismos para controle de acesso lógico contribuem para a segurança da informação, 
preservando os pilares da segurança da informação nos objetivos de confidencialidade, integridade e 
disponibilidade. 
Beal (2008) expõe os objetivos de confidencialidade no controle de acesso lógico como contribuição, 
evitando o acesso de pessoas não autorizadas a informações confidenciais e salvaguardando os segredos 
de negócio e a privacidade de dados pessoais. 
Quando o assunto é integridade, o objetivo do controle de acesso evita que pessoas não autorizadas 
tenham acesso às informações para criar, alterar ou destruir. 
No que tange ao pilar de disponibilidade, o controle de acesso permite identificar os usuários 
legítimos da informação para que estes tenham acesso às suas informações quando assim os 
requerer. 
Os controles de acesso lógicos devem proteger o acesso ligado aos sistemas corporativos, aos 
sistemas de gerenciamento de banco de dados e aplicações, aos programas fonte e objetos, aos arquivos 
de dados, ao sistema operacional e utilitário e aos arquivos de log.
A autenticação dos usuários nos mais diversos sistemas é um fator importante para a administração 
do controle de acesso no qual devem ser criadas credenciais exclusivas aos colaboradores, ou seja, as 
“contas de usuários” às quais estão associadas todas as suas permissões de acesso. Por essa razão é 
fundamental a criação de regras ou métodos de verificação das identidades dos usuários e seus acessos 
aos sistemas.
Os métodos de autenticação podem ser divididos em três grandes grupos de acordo com a técnica 
utilizada: 
• Método de autenticação baseado no que você sabe: o meio mais comum dessa técnica é o 
uso de senhas para a autenticação. Nas redes, a permissão de acesso somente é liberada com a 
inserção de um número identificador e de uma senha validada.
105
SEGURANÇA DA INFORMAÇÃO
• Método de autenticação que utiliza o que você tem: baseado em dispositivos físicos como 
tokens ou smartcards, que são entregues aos usuário e que devem ser guardados para uso no 
momento em que o sistema fizer a requisição. 
• Método de autenticação pelo que você é: baseia-se em características físicas (reconhecimento 
biométrico), como o uso de impressão digital para o acesso a sistemas.
A combinação desses três métodos fortalece o controle de acesso a sistemas e, consequentemente, 
a segurança da informação.
 Saiba mais
Parasaber mais sobre os aspectos de controle de acesso a sistemas, 
assista aos seguintes filmes:
Os Incríveis. Dir. Brad Bird, 115 minutos, 2004.
Firewall - Segurança em risco. Dir. Richard Loncraine, 105 minutos, 2006.
5.2.4 Segurança no ciclo de vida de sistemas
A atenção à segurança da informação para sistemas de informação deve ser tratada logo no início do 
projeto de um novo sistema e em todas as etapas do processo, como: especificação, desenvolvimento, 
teste, colocação em produção, operação, manutenção e descarte.
Uma boa segurança de sistemas exige que os requisitos de segurança 
sejam considerados já no início das atividades de especificação para que 
os controles necessários sejam incorporados ao projeto e não inseridos 
a posteriori, quando a proteção se torna mais cara e muitas vezes já não 
é mais possível eliminar todas as vulnerabilidades que podem levar ao 
comprometimento da segurança do sistema (IDEM, p. 123).
A maior parte das vulnerabilidades de sistemas surge na fase de levantamento de requisitos, quando 
é comum serem desprezadas questões de segurança necessárias para o uso confiável do sistema (por 
exemplo, especificações que não preveem mecanismos de proteção dos arquivos de senhas de acesso 
manipuladas pelo programa, deixando-os vulneráveis à usurpação de identidade por terceiros mal-
intencionados). 
Outras fontes comuns de problemas são falhas na construção do código, quando o software 
não atende à especificação de segurança e/ou quando vulnerabilidades são introduzidas em 
função do uso de padrões inadequados de desenvolvimento de software ou de escolhas incorretas 
de projetos. Por exemplo, o código concede permissões de leitura e escrita em arquivos críticos 
106
Unidade III
desnecessariamente, e problemas na operação, quando o software é desenvolvido dentro das 
especificações, estavam adequadas, mas vulnerabilidades são introduzidas como resultado de 
controles inadequados sobre a operação. Um exemplo típico é um software preparado para realizar 
transmissões seguras de dados sigilosos mediante técnicas de criptografia, que pode ter o processo 
comprometido pela falta de cuidado do usuário em proteger sua chave criptográfica secreta.
A separação dos ambientes de desenvolvimento, teste e produção de sistemas é importante não 
só para garantir a segregação das funções associadas a cada uma dessas etapas do ciclo de vida dos 
sistemas, mas também para permitir um melhor controle de cada um desses ambientes e garantir um 
contexto de produção confiável e estável, não afetado por eventuais problemas ocorridos durante a 
realização de alterações de software ou dados ou na fase de teste de modificações nos sistemas.
A ISO 27001 recomenda que sempre que possível exista uma separação clara também entre 
desenvolvimento e teste. Nela estão dispostas as seguintes recomendações: 
• Execução do software em desenvolvimento em processador, domínio ou diretório diferente do 
usado para o software em produção.
• Atividades de desenvolvimento e teste realizadas, tanto quanto possível, de forma separada.
• Compiladores, editores e outros programas utilitários não acessíveis a partir do ambiente de 
produção quando isso não for uma necessidade.
• Diferenciação dos processos e senhas de acesso e das telas de entrada para ambiente de 
produção e de desenvolvimento, a fim de reduzir a possibilidade de confusão e de erros entre 
esses ambientes.
• Senhas de produção concedidas de forma controlada ao pessoal de desenvolvimento, apenas 
para suporte a sistemas no ambiente de produção e com controles para garantir que essas senhas 
sejam alteradas após o uso.
Sempre que existirem recursos terceirizados associados aos processos de desenvolvimento, 
manutenção e operação de sistemas, devem ser consideradas ainda medidas de proteção adicionais 
mencionadas que tratam da segurança na terceirização de serviços.
Para a aceitação dos sistemas, a segurança no ambiente de SI/TI depende da existência de 
procedimentos adequados de aceitação de novos sistemas e de suas atualizações e novas versões. A 
realização de testes baseados em critérios formalmente definidos é fundamental para reduzir os riscos 
de falhas na migração. 
Os controles sugeridos pela ISO 27001 com relação à aceitação de sistemas são: 
• Identificação dos requisitos de desempenho e demanda da capacidade computacional.
• Procedimentos de recuperação de erros, reinicialização e contingência.
• Elaboração e teste de procedimentos operacionais para o estabelecimento de padrões.
107
SEGURANÇA DA INFORMAÇÃO
• Aceitação pelos responsáveis do conjunto de controles de segurança adotados.
• Procedimentos manuais eficazes.
• Plano de continuidade de negócio.
• Confirmação de que a instalação do novo sistema não afetará de forma adversa os sistemas já 
existentes, particularmente nos períodos de pico de demanda do processamento, como em final 
de mês.
• Verificação do impacto do novo sistema na segurança da organização como um todo.
• Treinamento na operação ou uso de novos sistemas.
A segurança da documentação dos sistemas também deve atentar aos preceitos de segurança 
da informação. A ISO 27001 relaciona diversas informações sensíveis que podem estar contidas na 
documentação de sistemas: descrições de processos da aplicação, procedimentos, estruturas de dados 
e processos de autorização. A proteção dessa documentação deve ser feita utilizando-se controles 
aplicáveis a informações sigilosas, como armazenamento em local protegido e restrição de acesso às 
pessoas com reais necessidades de uso.
A proteção das ferramentas de auditoria de sistemas alerta para a necessidade de proteger 
as ferramentas de auditoria de sistemas (software e arquivos de dados) para prevenir qualquer uso 
impróprio ou comprometimento da segurança. O armazenamento dessas ferramentas deve ser feito 
em local separado dos sistemas em desenvolvimento ou produção, e fora do alcance de usuários não 
autorizados.
Quando o assunto é controlar e proteger os dados de teste, certos cuidados devem ser tomados 
referentes aos testes de desenvolvimento e aceitação de sistemas. Estes normalmente requerem 
o uso de grandes volumes de dados que reflitam o mais proximamente possível os dados em 
produção. Esforços devem ser aplicados na despersonalização dos dados individuais antes do 
uso, na implantação de controles de acesso adequados para proteger os dados de teste e na 
exclusão de informações de produção do ambiente de teste tão logo sejam finalizados (o uso de 
informações de produção nos testes deve ser registrado para permitir a formação de uma trilha 
de auditoria).
A adequada administração dos processos de instalação de patches (correções de software) permite 
reduzir sua complexidade, aumentar sua eficácia, melhorar a confiabilidade e em última instância 
minimizar os riscos e os custos envolvidos. Embora o ideal fosse não precisar efetuar a instalação 
de patches, à medida que defeitos e erros vão sendo encontrados e corrigidos pelos fornecedores, é 
necessário acrescentar as correções ao ambiente de SI/TI usando processos seguros de instalação. Entre 
os controles que podem ser usados para minimizar os riscos estão a avaliação do impacto de aplicar ou 
não uma correção, teste da confiabilidade do patch e manutenção de uma lista completa dos patches 
instalados.
Para minimizar o risco de corrupção de sistemas é recomendado que:
108
Unidade III
• a atualização das bibliotecas de programa de produção seja restrita a um “bibliotecário” nomeado 
e sob supervisão gerencial; 
• seja introduzido apenas o código executável no ambiente de operação; 
• a implantação do sistema somente ocorra depois de obtidas evidências de sucesso nos testes de 
aceitação pelos usuários;
• se ache registro de auditoria para todas as atualizações de programas em produção;
• sejam devidamente retidas as versões anteriores do software como medida de contingência.
Para Beal (2008), é necessária a adequada gestão de mudanças nos sistemas de informação,baseada 
em procedimentos formais de controle. Isso é de grande importância para evitar o comprometimento 
da segurança durante os processos de mudança. A ISO 27001 traz como principais recomendações a 
aprovação formal das mudanças propostas, o controle de versões do software, procedimentos para 
garantir que a implementação ocorrerá com o menor transtorno possível para o negócio, documentação 
do sistema e de sua operação atualizada ao final de cada modificação e manutenção de uma trilha de 
auditoria para toda modificação ocorrida.
A necessidade dos serviços terceirizados causa certo desconforto quando falamos de segurança 
da informação, porém nenhuma organização consegue eliminar toda a sua dependência em relação a 
terceiros para realizar suas operações. 
A terceirização de serviços relacionados ao ambiente de SI/TI acrescenta novos riscos de 
segurança ao ambiente corporativo. A averiguação da reputação no mercado e da qualidade dos 
controles de segurança utilizados pelos potenciais fornecedores é necessária para evitar que a 
organização multiplique seu nível de vulnerabilidade a partir da transferência da responsabilidade 
pela execução de serviços de processamento, suporte ou desenvolvimento de sistemas para terceiros 
pouco confiáveis.
Para controlar essa terceirização, existem os acordos de nível de serviço (ANS), que estabelecem 
as regras para a administração da entrega ou prestação de serviços de tecnologia da informação e os 
critérios de avaliação do desempenho do seu fornecedor (seja ele uma firma terceirizada ou uma equipe 
interna da organização) em termos de qualidade, quantidade e preço. Assim, tenta-se reduzir os riscos 
que o uso de serviços terceirizados podem gerar.
Relacionados pela ISO 27001, vejamos a seguir os aspectos a serem considerados no que se 
referem aos riscos de terceirização de serviços de processamento da informação:
• Identificação das aplicações críticas e sensíveis que devem ser processadas internamente.
• Obtenção da aprovação dos gestores ou responsáveis pelos processos ou sistemas para o esquema 
de terceirização.
• Análise das implicações da terceirização nos planos de continuidade do negócio.
109
SEGURANÇA DA INFORMAÇÃO
• Estabelecimento de normas de segurança e de processos de aferição de conformidade com essas 
normas.
• Definição de procedimentos e responsabilidades de monitoração para garantir o adequado 
acompanhamento das atividades que afetem a segurança.
• Definição de procedimentos e responsabilidades em relação à comunicação e ao tratamento de 
incidentes.
Quando o assunto é terceirização de serviços de desenvolvimento, as melhores práticas 
recomendam:
• Acordos sobre licenças, propriedade do código-fonte e direitos de propriedade intelectual.
• Certificação da qualidade e da exatidão do trabalho implementado.
• Acordos na eventualidade de haver falha por parte de prestadores de serviços.
• Direitos de acesso para auditoria da qualidade e da exatidão do trabalho executado.
• Requisitos de qualidade do software.
• Teste antes da instalação para detecção de código que possa afetar o sistema de forma não 
autorizada, não controlada e não solicitada pelo cliente (tais como “cavalos de troia”).
Diante desse cenário, existem ameaças relacionadas a provedores de serviços de rede que podem 
representam perigo considerável para as organizações. Pela natureza do serviço, esses provedores 
possuem computadores que se conectam diretamente à rede da organização, colocando a empresa 
prestadora de serviço (ou um funcionário descontente desta) em posição de realizar um ataque sério 
à organização. Muitas vezes informações altamente confidenciais, como dados de cobrança, incluindo 
números de cartão de crédito, podem ficar vulneráveis a uma ação indevida por parte de representantes 
do provedor.
Ao mesmo tempo que cria problemas para o objetivo de confidencialidade 
da informação, a terceirização de serviços de rede pode trazer vantagens 
importantes, principalmente para os aspectos de integridade e disponibilidade 
da informação, permitindo confiar a terceiros especializados no assunto as 
tarefas de configuração e manutenção da rede e detecção e correção de 
problemas. A existência de processos rigorosos de monitoração e controle 
por parte da organização contratante pode reduzir a níveis aceitáveis riscos 
associados a esse tipo de terceirização. (IDEM, p. 131).
 Observação
As melhores práticas para desenvolvimento de software e aplicativos 
estão dispostas no CMMI (Capability Maturity Model Integration). 
110
Unidade III
6 AUDITORIA DE SEGURANÇA DA INFORMAÇÃO
Para minimizar problemas que podem causar impacto nas operações e no cotidiano das organizações, 
dispõe-se dos controles internos. Estes podem ou não utilizar recursos computacionais, podem ser 
preventivos quando visam evitar erros, falhas e promover boas práticas, detectivos quando identificam 
ou corrigem problemas e corretivos quando visam sanar o problema ocorrido. 
Assim, o controle interno pode ser definido como um plano de organização com todos os métodos 
e medidas coordenadas, aplicadas em uma organização a fim de proteger seus bens, conferir a exatidão 
e a fidelidade de seus dados contábeis, promover a eficiência operacional e estimular a obediência às 
diretrizes administrativas estabelecidas.
Planejamento Padrão
Execução Medida
Padrão
Controle Desvios
Medida
= x
Figura 27 – Ciclo gerencial dos controles internos
Alguns parâmetros de controle interno devem ser compreendidos na esfera administrativa para a 
formação dos padrões que serão definidos pela organização e logo após auditados e consequentemente 
protegidos nos quesitos relacionados a segurança da informação. 
Na esfera contábil é necessário garantir parâmetros, como a fidelidade da informação em relação 
ao dado, a segurança física, a segurança lógica, a confidencialidade e a obediência à legislação em 
vigor. Os parâmetros administrativos devem garantir a eficácia, a eficiência e a obediência às diretrizes 
administrativas.
Quanto à fidelidade da informação em relação ao dado, deve ser verificado se as saídas das 
informações estão corretas e se são provenientes dos dados de entrada. Também é preciso validar os 
resultados em banco de dados, arquivos, documentos, relatórios, medir o efeito de um determinado 
processo de sistema e detectar e evidenciar o grau de falha ou erro existente no sistema de informação. 
Quando o assunto é segurança física, os controles internos devem avaliar os recursos materiais e 
humanos aplicados ao ambiente de sistemas de informação, validar o grau de segurança proporcionado 
aos recursos envolvidos no ambiente de sistemas em relação às ameaças existentes e prováveis sinistros 
que podem ocorrer, analisar a segurança do ambiente de tecnologia de informação e utilizar as 
ferramentas como procedimentos de controle, dispositivos de segurança etc.
A segurança lógica também tem fundamental importância nesse contexto. Deve-se avaliar 
o nível de segurança e de controle empregados com recursos tecnológicos nos processos de um 
111
SEGURANÇA DA INFORMAÇÃO
sistema. Atenção também aos procedimentos operacionais e de controle para transformação dos 
dados em informação.
A confidencialidade da informação deve ser preservada pelos controles internos de uma empresa. É 
preciso avaliar o grau de sigilo que um sistema consegue manter perante acessos de terceiros ou pessoas 
não autorizadas, além de revisar e avaliar os recursos tecnológicos empregados, como criptografia e 
senhas. Outro fator a ser levado em consideração é o fator humano. O nível de confidencialidade é 
estabelecido pela análise de dados a ser feita pelos seus administradores e usuários finais.
Os controles internos devem prestar obediência à legislação em vigor, ou seja, deve ser verificado se 
os processos ou rotinas de sistemas estão de acordo com as leis vigentes no país, estado, município e 
entidades externas responsáveis pelo estabelecimento de normas e procedimentos.
É precisoassegurar a eficiência dos controles por meio da verificação do aumento da produtividade 
proporcionado pela melhoria de um determinado processo, além de revisar e avaliar a melhor forma de 
utilização dos recursos em geral.
Quanto à obediência às diretrizes administrativas, deve ser verificado o cumprimento das normas e 
procedimentos determinados pelos diversos setores da organização e avaliar a adequação dos processos 
e resultados do sistema às políticas e normas estabelecidas pela alta administração.
A adoção de controles internos aufere à organização alguns custos, os quais são necessários, mas a 
simples introdução de investimentos não garante a eficácia dos controles internos. Assim, é necessária 
uma avaliação para conhecermos a faixa que maximiza os investimentos e a eficácia do processo de 
controles internos.
Custo
Integridade, 
segurança
Eficiência, 
eficácia
Faixa 
aceitável
Figura 28 – Curva de eficácia do investimento em controles internos
112
Unidade III
Os controles internos são a base para o processo de auditoria, que podem ser representadas pelas 
palavras exame, investigação e perícia.
A auditoria pode ser definida como: 
uma técnica contábil que, através de procedimentos que lhe são peculiares, 
objetiva obter elementos de convicção que permitam julgar se os registros 
contábeis foram efetuados de acordo com os princípios fundamentais 
e normas de contabilidade e se as demonstrações contábeis refletem 
adequadamente a situação econômico-financeira da empresa, num 
determinado período (CASSARO, 1997, p. 21).
Outra definição: 
É uma atividade que engloba o exame das operações, processos, sistemas e 
responsabilidades gerenciais de uma determinada entidade, com intuito de 
verificar sua conformidade com certos objetivos e políticas institucionais, 
orçamentos, regras, normas ou padrões (DIAS, 2000, p. 8).
Os trabalhos de auditoria são necessários para analisar se os relatórios apresentados à 
administração de uma organização e as demonstrações financeiras e contábeis podem não 
evidenciar todas as transações econômicas e financeiras de um exercício contábil. Podem 
haver erros de registros incorretos, incompletos e válidos, mas com problemas de integridade, e 
apresentar, intencionalmente, demonstrações enganosas. As demonstrações e os relatórios podem 
não ser apresentados conforme demandam as legislações locais, chegando às vezes até a omitir 
informações relevantes para a compreensão das demonstrações financeiras, o que pode levar à 
perda da consistência das informações devido às complexidades das operações empresariais.
Os objetivos das auditorias estão ligados às necessidades de auxiliar a alta administração a atingir 
os objetivos da organização, desenvolvendo: assessoria nos processos de planejamento, execução e 
controle das operações empresariais, assessoria nas implementações de tecnologias gerenciais e de 
processos, avaliação do sistema de controle interno aplicado pela empresa para a realização de suas 
transações e operações, investigação de irregularidades, desfalques para quantificar os efeitos nos 
resultados dos negócios, prevenção de fraudes e erros relevantes em tempo e promover a adequação 
na utilização de recursos humanos, materiais e tecnológicos envolvidos no ambiente de sistemas de 
informação.
O processo de auditoria deve ser realizado por órgãos idôneos e comprometidos com o resultado. 
Existem três tipos de órgãos responsáveis pelo processo de auditoria: 
• Auditoria interna: realizada por departamento interno responsável pela verificação e avaliação 
dos sistemas e procedimentos internos de uma entidade. Avalia a eficiência e a eficácia das tarefas. 
Visa assessorar a alta administração no cumprimento de suas funções de controle das operações 
da empresa.
113
SEGURANÇA DA INFORMAÇÃO
• Auditoria externa: realizada por instituição externa e independente da entidade auditada, com 
o objetivo de assegurar aos proprietários e/ou acionistas, ao conselho de administração e ao 
mercado em geral, se as demonstrações financeiras da empresa espelham o real resultado que as 
transações de um determinado período constituem como a situação patrimonial da empresa.
• Auditoria articulada: realizada em conjunto pelas auditorias internas e externas em virtude da 
superposição de responsabilidades dos órgãos fiscalizadores. É caracterizada pelo uso comum de 
recursos e da comunicação recíproca dos resultados.
6.1 Personagens envolvidos no processo de auditoria 
Cliente é aquele que solicita ou contrata a auditoria. Sua função é determinar o propósito da auditoria, 
informar aos funcionários envolvidos os objetivos e o escopo do trabalho de auditoria, apresentar os 
principais responsáveis para participar da auditoria como auditado, fornecer recursos adequados e acessos 
a instalações e materiais relevantes, receber o relatório de auditoria e fazer análise crítica.
Auditado é aquele que é avaliado durante a auditoria. Sua responsabilidade é cooperar apresentando 
as informações e documentos solicitados pelo auditor, participar de reuniões e entrevistas sempre que 
solicitado, acompanhar os trabalhos de auditoria e coordenar e/ou implementar as recomendações 
apresentadas.
Auditor é aquele que coordena e/ou realiza os trabalhos de auditoria. É responsável por organizar 
e propor o plano de auditoria, cumprir e comunicar os requisitos para tal, confirmar o uso de filosofia 
e ética, documentar as observações, coletar e evidenciar as informações, apresentar o relatório de 
auditoria e fazer o acompanhamento das ações corretivas (quando aplicável).
6.2 Pareceres de auditoria
Diante de uma auditoria, após a análise, cabe ao auditor emitir o parecer, ou seja, um relatório no 
qual ele expressa sua opinião, de forma clara e objetiva, quanto aos resultados apurados em todos os 
aspectos relevantes. É avaliado se estão ou não representados adequadamente na data do levantamento 
e para o período correspondente. Os pareceres podem ou não possuir ressalva, mesmo podendo parecer 
adverso haver abstenção de opinião e incerteza. 
O parecer sem ressalva indica que o auditor está convencido de que as demonstrações foram 
elaboradas consoante as disposições contidas nos controles internos ou nas normas, em todos os 
aspectos relevantes. O auditor não deve emitir parecer sem ressalva quando existir qualquer das 
circunstâncias seguintes, que, em sua opinião, tenham efeitos relevantes para as demonstrações: 
discordância com a administração da entidade a respeito do conteúdo e/ou forma de apresentação 
das demonstrações contábeis, ou limitação na extensão do seu trabalho.
O parecer com ressalva é emitido quando o auditor conclui que o efeito de qualquer discordância 
ou restrição na extensão de um trabalho não é de tal magnitude que requeira parecer adverso ou 
abstenção de opinião. São exceções.
114
Unidade III
O parecer adverso é utilizado quando o auditor emite opinião de que as demonstrações não estão 
adequadamente representadas, nas datas e períodos indicados, de acordo com as disposições contidas 
nos controles internos ou nas normas. O auditor deve emitir parecer adverso quando verificar que 
as demonstrações estão incorretas ou incompletas em tal magnitude que impossibilite a emissão do 
parecer com ressalva.
O parecer com abstenção de opinião é aquele em que o auditor deixa de emitir opinião sobre as 
demonstrações por não ter obtido comprovação suficiente para fundamentá-la. A abstenção de opinião 
em relação às demonstrações tomadas em conjunto não elimina a responsabilidade do auditor de 
mencionar, no parecer, qualquer desvio relevante que possa influenciar a decisão do usuário dessas 
demonstrações.
A incerteza pode ocorrer quando em relação a fato relevante, cujo desfecho poderá afetar 
significativamente a posição patrimonial e financeira da entidade, bem como o resultado das suas 
operações. O auditor deve adicionar um parágrafo de ênfase em seu parecer após o parágrafo de opinião, 
fazendo referência à nota explicativa da administração,que deve descrever de forma mais extensa a 
natureza e, quando possível, o efeito da incerteza.
6.3 Auditoria de sistemas
Segundo Arima (1994), a auditoria de sistemas é a adequação, a avaliação e as recomendações para 
o aprimoramento dos controles internos nos sistemas de informação da empresa no que se refere à 
utilização dos recursos humanos, materiais e tecnológicos envolvidos no processamento dos mesmos. 
Os trabalhos de auditoria devem ser desenvolvidos nos sistemas em operação normal, nos sistemas 
em desenvolvimento, administrativo e operacional do ambiente e em eventos específicos.
Os trabalhos de auditoria nos sistemas em operação normal consistem na revisão e avaliação de 
procedimentos e nos resultados dos sistemas de informação. A auditoria pode ser do tipo preventiva, 
detectiva e corretiva.
Para os trabalhos em sistemas em desenvolvimento, a auditoria consiste na revisão e na avaliação do 
processo de construção de sistemas de informação. Sua característica é preventiva.
Os trabalhos de auditoria de sistemas no ambiente administrativo e operacional do ambiente 
abrangem todo o ambiente de tecnologia da informação em termos de infraestrutura, normas e 
procedimentos, custos, nível de utilização de recursos, planos de segurança e de contingência.
A auditoria de sistemas para eventos específicos abrange a análise da causa, da consequência e da 
ação corretiva cabível de eventos específicos e localizados, detectado por outros órgãos e levados para 
seu conhecimento. Sua característica é corretiva.
Os pontos de controle de um processo de auditoria de sistemas demonstram uma situação levantada 
a ser validada segundo determinados parâmetros de controle interno. 
115
SEGURANÇA DA INFORMAÇÃO
Os processos são representados por rotina operacional, rotina de controle, etapas de 
desenvolvimento ou manutenção de sistemas e procedimentos administrativos.
O resultado dos pontos de controle são demonstrados por meio de documentos, relatórios, arquivos, 
pontos de integração, estrutura lógica/física de sistema, modelo entidade-relacionamento etc.
Quadro 27 – Comparativo entre processo e resultado
Natureza do processo/resultado Tipo Exemplo
Rotina operacional Processo
Rotina de atualização do cadastro de itens 
em estoque. 
Rotina de cálculo do saldo em estoque.
Informação operacional Resultado
Informações do cadastro de estoque 
atualizado.
Informação do saldo em estoque.
Rotina de controle Processo
Rotina de gravação ou impressão de tentativa 
de inclusão de item já existente no cadastro 
de estoque.
Rotina de verificação quanto ao fato de o 
saldo do item em estoque ser negativo.
Informação de controle Resultado
Item a ser incluído, já existente no cadastro 
de estoque e listado no relatório de erros de 
atualização.
Item em estoque com saldo negativo e 
impresso em relatório de erros.
Rotina de projeto Processo
Etapas de desenvolvimento ou manutenção 
de sistemas.
Processos e procedimentos administrativos.
Informação de projeto Resultado
MER, estrutura dos projetos lógico e físico do 
sistema, banco de dados.
Documentos, relatórios.
Fonte: Adaptado de Gil, 2000, p. 43.
O ponto de auditoria é um ponto de controle já validado que apresentou fraqueza e que constará no 
relatório de avaliação do controle interno. É caracterizado por documentação comprobatória, descrição 
do tipo de fraqueza e alternativa de solução recomendada.
Caracterização e 
inventário dos pontos 
de controle
Implementação da 
solução recomendada
Avaliação dos pontos de 
controle selecionados
Caracterização do 
ponto de auditoria
Apresentou 
fraqueza?
Sim
Fim
Não
Figura 29 – Ciclo de vida dos pontos de controle e de auditoria
116
Unidade III
O ciclo de auditoria de sistemas se inicia a partir do diagnóstico do “como a organização está atuando 
em relação aos controles definidos”. Após a avaliação, se os pontos de controle possuírem fraquezas, 
tornam-se pontos de auditoria que devem ser avaliados. 
Quadro 28 – Ciclo de auditoria de sistemas
Auditoria de reposição Auditoria de acompanhamento
Avaliação dos pontos de controle
Avaliação dos pontos de 
auditoria
Pontos de 
controle 
caracterizados
Pontos de controle não 
selecionados
Pontos de 
controle 
testados
Não apresentam 
fraquezas
Apresentam 
fraquezas Pontos de auditoria
Fonte: ARIMA, 2000 p. 43. 
Diante do ciclo do projeto de auditoria, o planejamento e o controle se referem à definição das 
necessidades de recursos humanos, tecnológicos, materiais e financeiros, em função do enfoque, da 
abrangência e da delimitação do sistema a ser auditado em relação ao prazo estabelecido pela alta 
administração. Devem ser formadas equipes de trabalho para coordenação e execução, bem como a 
elaboração de cronogramas, quadro de recursos, orçamentos etc.
Na fase de levantamento, as características do sistema devem ser relevantes em nível macro, 
suficientes e abrangentes para seu entendimento pleno e global. A análise da documentação também 
é necessária à elaboração do diagrama de fluxo de dados, do dicionário de dados, do modelo entidade-
relacionamento e do diagrama hierárquico de funções.
Já o inventário de pontos de controle identifica os diversos pontos que poderão vir a ser avaliados 
pelo auditor e que podem se agrupar por meio de processos informatizados, processos manuais e 
resultados de processamento.
São exemplos de pontos de controle os documentos de entrada, relatórios e telas, arquivos 
magnéticos, rotinas ou programas de computador e pontos de integração.
A eleição dos pontos inventariados consiste em estabelecer prioridades para avaliação dos pontos 
inventariados. Como aspectos comumente observados para priorização desses pontos, temos a análise 
de risco, a disponibilidade de recursos, os prazos e cronogramas de trabalho, a decisão gerencial, a 
relevância dos aspectos a serem avaliados, a natureza da avaliação e o foco dos trabalhos de auditoria.
A revisão e a avaliação consistem em executar testes de validação dos pontos de controle, segundo 
parâmetros de controle interno determinados para auditoria do sistema de informação. Aplicam-se as 
técnicas de auditoria que evidenciem as falhas ou fraquezas de controle interno, tais como “ao redor”, 
“através de” ou “com” computador. 
117
SEGURANÇA DA INFORMAÇÃO
Detectando falhas ou fraquezas, elabora-se o relatório de fraqueza de controle interno, 
apontando e recomendando as alternativas de solução que as minimizem ou até mesmo as 
eliminem. 
O ponto de controle se transforma em ponto de auditoria, o qual deverá ser acompanhado 
em função do prazo dado para correção por parte dos analistas e usuários responsáveis pela 
manutenção. Uma vez solucionado, volta ao processo de um novo inventário ou de segunda 
auditoria.
A conclusão consiste em apresentar por meio do relatório de auditoria a opinião final sobre a 
situação do controle interno do sistema de informação, o qual pode ser satisfatório, baixo, médio ou 
alto risco ou não satisfatório.
Há a possibilidade de alguns pontos elencados não serem avaliados em sua totalidade ou o processo 
de avaliação ainda não fornecer elementos que possam dar suporte à opinião do auditor. Especificamente 
para esses casos, o status do parecer será “Não Avaliado”, e na sequência apresenta-se os motivos pelos 
quais isto ocorreu.
O follow-up consiste em revisar, dentro de um novo projeto de auditoria, os pontos de controle 
que apresentaram deficiências em trabalhos anteriores. A atividade de follow-up tem por finalidade 
identificar se os problemas foram resolvidos, se medidas estão sendo adotadas no sentido de eliminar 
tais deficiências, adequar e atualizar as recomendações face a novas realidades tecnológicas e à 
organização empresarial e avaliar o comprometimento da administração frente à segurança 
computacional.
Auditoria de posição
Planejam
ento e controle
 1. Levantamento
 2. Inventários de pontos de controle
 3. Eleição e seleção dos pontos inventariados
 4. Revisão e avaliação