Auditoria de Segurana da

Informao

Secretaria de Fiscalizao
de Tecnologia da Informao

Harley Alves Ferreira

Novembro de 2009 1
Secretaria de Fiscalizao de Tecnologia da Informao
Agenda
Objetivos.
Conceitos.
Atributos da Segurana da Informao (SI).
Como a SI obtida?
Controles de Segurana.
Continuidade de Negcios.
Auditoria de SI.
Estudos de Casos.

Secretaria de Fiscalizao de Tecnologia da Informao 2

Objetivos

Conhecer conceitos atinentes segurana da

informao.
Compreender a importncia da segurana da
informao no contexto organizacional.
Ser apresentado a NBR ISO/IEC 27002 e como ela
utilizada como critrio de auditoria.
Identificar aspectos que devem ser abordados numa
auditoria de segurana da informao.
Discutir questes de auditoria relacionadas auditoria
de segurana da informao.

Secretaria de Fiscalizao de Tecnologia da Informao 3

 Objetivos.
Conceitos.
Atributos da Segurana da Informao (SI).
Como a SI obtida?
Controles de Segurana.
Continuidade de Negcios.
Auditoria de SI.
Estudos de Casos.

Secretaria de Fiscalizao de Tecnologia da Informao 4

Conceitos
Informao
Conjunto de dados, resultado de processamento, manipulao
e/ou organizao, com algum tipo de significado e/ou valor.
Ela pode existir sob diversas formas como: armazenada
eletronicamente, impressa ou escrita em papel, transmitida por
conversas ou meios de comunicao.
A informao um ativo essencial para os negcios de uma
organizao e, consequentemente, ela necessita ser
adequadamente protegida (NBR ISO/IEC 27002:2005).

Secretaria de Fiscalizao de Tecnologia da Informao 5

Conceitos
Informao
Qual o valor da informao?
Na sociedade da informao e do conhecimento, ter informao
ter poder.
Como fonte de poder, a informao transformou-se no mais
cobiado e valioso bem da atualidade, passando a merecer
tratamento especial.

Secretaria de Fiscalizao de Tecnologia da Informao 6

Conceitos
Riscos associados informao
Incidentes

Vrus
Impacto no Negcio
Ataques (Hackers)
Indisponibilidade
Vazamento/Furto de informaes Queda na receita
Fraudes Aumento dos custos
Invaso de site na Internet Perda de:
Oportunidades
Diferencial competitivo
Diminuio de:
Confiana do investidor
Confiana do cliente
Consequncias Confiana do cidado

Perda financeira
Danos imagem
Processos legais
Queda produtividade

Secretaria de Fiscalizao de Tecnologia da Informao 7

Conceitos
Segurana da Informao
Visa proteger a informao de diversos tipos de ameaas, com
os objetivos de garantir a continuidade dos negcios, minimizar
possveis riscos, proteger investimentos, preservar a
confidencialidade de dados sensveis, entre outros.
Busca garantir a continuidade do negcio da organizao e
minimizar os danos causados a ela, por meio da preveno e
reduo dos impactos causados por incidentes/acidentes
relacionados segurana.
No mbito da TI, ela no inclui apenas a segurana de dados,
mas tambm a segurana dos sistemas, recursos e servios.

Secretaria de Fiscalizao de Tecnologia da Informao 8

 Objetivos.
Conceitos.
Atributos da Segurana da Informao (SI).
Como a SI obtida?
Controles de Segurana.
Continuidade de Negcios.
Auditoria de SI.
Estudos de Casos.

Secretaria de Fiscalizao de Tecnologia da Informao 9

Atributos da SI
Confidencialidade
Garantia de que a informao acessvel somente por pessoas
autorizadas a terem acesso.

Integridade
Salvaguarda da exatido e completeza da informao e dos
mtodos de processamento. Garantia que esses somente sejam
alterados por meio de aes planejadas e autorizadas.

Disponibilidade
Garantia de que os usurios autorizados tm acesso
informao e aos ativos correspondentes quando requerido.

Secretaria de Fiscalizao de Tecnologia da Informao 10

Atributos da SI
Autenticidade
Garantia da veracidade da fonte das informaes, sendo
possvel confirmar a identidade da pessoa ou entidade que
presta informaes, isto , se ela realmente quem diz ser.

No-repdio
a garantia que o emissor de uma mensagem ou a pessoa que
executou determinada transao de forma eletrnica no poder
posteriormente negar sua autoria.

Responsabilidade (accountability)
a habilidade para manter pessoas ou entidades responsveis
por suas aes por meio do registro de seus atos.

Secretaria de Fiscalizao de Tecnologia da Informao 11

 Objetivos.
Conceitos.
Atributos da Segurana da Informao (SI).
Como a SI obtida?
Controles de Segurana.
Continuidade de Negcios.
Auditoria de SI.
Estudos de Casos.

Secretaria de Fiscalizao de Tecnologia da Informao 12

Como a SI obtida?
Anlise de Riscos
Anlise das ameaas, impactos e vulnerabilidades dos recursos
de TI e da probabilidade de sua ocorrncia.
Gastos com controle necessitam ser balanceados (Custo X
Benefcio).
Direciona e determina aes gerenciais a partir da identificao
de requisitos de segurana.
Proporciona o estabelecimento de controles.
Anlise de risco responsabilidade do gestor. O auditor
responsvel por avaliar a gesto do risco realizada pelo gestor e
os controles implementados.

Secretaria de Fiscalizao de Tecnologia da Informao 13

Como a SI obtida?
Estabelecendo requisitos de segurana
fundamental que a organizao identifique seus
requisitos de segurana.

Fontes principais:
Anlise de Risco dos Ativos de Informao.

Normas internas (PSI, classificao da informao).

Legislao vigente, estatutos, regulamentao e

clusulas contratuais (requisitos legais).
Conjunto particular (no contexto da organizao) de
princpios, objetivos e requisitos para o processamento
da informao (objetivos de negcio).

Secretaria de Fiscalizao de Tecnologia da Informao 14

Como a SI obtida?
Estabelecendo controles
Uma vez identificado os requisitos de segurana, podem ser
selecionados e implementados controles que visem satisfazer esses
requisitos.
Existiro situaes onde a implementao de controles no ser capaz
de eliminar as vulnerabilidades identificadas, contudo poder ser
suficiente para reduzir os seus respectivos impactos ou probabilidade de
ocorrncia a um nvel de risco aceitvel.
Controles compensatrios tambm devem ser identificados. Exemplo:
funes devem ser segregadas para evitar fraudes e erros, contudo isso
pode no ser possvel para organizaes pequenas e, nesse caso, outra
maneira de se alcanar o mesmo objetivo de controle poder ser
necessrio (ex.: utilizao de trilhas de auditoria para monitoramento de
acessos e atividades por outra pessoa).

Secretaria de Fiscalizao de Tecnologia da Informao 15

Como a SI obtida?
Implementao de controles por meio de:
Polticas
Prticas
Procedimentos
Pessoas
Estruturas organizacionais
Ferramentas de software

Secretaria de Fiscalizao de Tecnologia da Informao 16

Como a SI obtida?
Fatores crticos de sucesso
Avaliao de riscos.
Poltica de segurana, com atribuio de responsabilidades.
Classificao da informao.
Enfoque para implementao da segurana que seja consistente
com a cultura organizacional.
Comprometimento e apoio visvel da administrao.
Divulgao eficiente da segurana para todos os funcionrios,
proporcionando educao e treinamento adequados.
Monitorao.
Tratamento e resposta a incidentes.

Secretaria de Fiscalizao de Tecnologia da Informao 17

Como a SI obtida?
Poltica de Segurana da Informao (PSI)
Prover administrao uma direo e apoio para a segurana
da informao.
Estabelecer os princpios adotados pela organizao para a
distribuio, proteo, administrao e superviso dos recursos
de informao.
Resoluo da alta administrao top-down.
Grande pilar de sustentao do ambiente informatizado, onde o
fundamental preservar os princpios bsicos de segurana:
integridade, disponibilidade, confidencialidade.

Secretaria de Fiscalizao de Tecnologia da Informao 18

Como a SI obtida?
Poltica Corporativa de Segurana da Informao do
TCU (PCSI/TCU) Resoluo-TCU n 217, de 15 de
outubro de 2008.
http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/seg
uranca_informacao/normas_internas -

Classificao da Informao no TCU - Resoluo-TCU

n 229, de 11/11/2009.

Secretaria de Fiscalizao de Tecnologia da Informao 19

 Objetivos.
Conceitos.
Atributos da Segurana da Informao (SI).
Como a SI obtida?
Controles de Segurana.
Continuidade de Negcios.
Auditoria de SI.
Estudos de Casos.

Secretaria de Fiscalizao de Tecnologia da Informao 20

Controles de Acesso
Princpios bsicos

Definio da Poltica de Controle de Acesso (PCA). A PCA o

documento que especifica como os usurios so identificados e
autenticados, alm do seu nvel de acesso aos recursos.

Segregao de funes: visa garantir que nenhuma ao

individual poder comprometer a segurana de um sistema ou
obter acesso no autorizado aos dados.

Poltica do menor privilgio: requer que no ser dado a um

usurio ou processo mais privilgios que o necessrio para
execuo de seu trabalho.

Secretaria de Fiscalizao de Tecnologia da Informao 21

Controles Fsicos
Ameaas Fsicas
Dano fsico.
Furto.
Divulgao e cpia no autorizada de informaes.
Sabotagem/Terrorismo.

Ameaas Ambientais
Incndio.
gua/Umidade/Secura.
Flutuaes e cortes de energia.
Raios.
Temperaturas muito altas/baixas.

Secretaria de Fiscalizao de Tecnologia da Informao 22

Controles Fsicos
Impedir perdas, danos, furto ou comprometimento de
ativos e interrupo das atividades da organizao
(ABNT NBR ISO/IEC 27002:2005)

Classificao dos Controles Fsicos

Controles de Acesso: controles que impedem ou limitam o

acesso fsico (ex.: estabelecimento de permetro de segurana,
acesso de pessoas e veculos, cadeados, cofres, sala-cofre etc).

Controles Ambientais: visam proteger os recursos

computacionais contra danos provocados por desastres naturais
e por falhas estruturais (ex.: sistema de energia, de refrigerao,
detectores e supressores de gua e fogo, redundncia, backup
etc).

Secretaria de Fiscalizao de Tecnologia da Informao 23

Controles de Acesso Lgico
Controles de Acesso Lgico
Conjunto de medidas e procedimentos, administrativos ou
intrnsecos aos softwares, responsvel pela proteo dos
recursos computacionais (dados, programas) contra tentativas de
acesso no autorizadas.

Identificao

Autenticao

Autorizao

Secretaria de Fiscalizao de Tecnologia da Informao 24

Controles de Acesso Lgico
Possveis consequncias de acessos no autorizados
Divulgao no autorizada.
Alterao no autorizada.
Perda de integridade do sistema.
Perda financeira.
Descumprimento de obrigaes legais.
Perda de competitividade ou credibilidade no mercado.
Interrupo das atividades do negcio.

Secretaria de Fiscalizao de Tecnologia da Informao 25

Controles de Acesso Lgico
Identificao dos usurios
Cdigos de identificao nica
Mtodo mais comum o uso de uma credencial (ID ou login)

Autenticao dos usurios

Envolve algo que o usurio
impresso digital, identificao de retina, DNA etc
POSSUI carto de identificao, token etc
CONHECE senha, frase, PIN etc
Mtodo mais comum a senha

Secretaria de Fiscalizao de Tecnologia da Informao 26

Controles de Acesso Lgico
Controle de senhas
Regras de composio (exigncia de senhas de qualidade)
Tamanhos mximo e mnimo
Tempo de validade
Histrico para no reutilizao
Armazenada de forma de hash (via de mo nica) ou
criptografada
Alocao inicial
Senhas de demissionrios
Orientao aos usurios

Secretaria de Fiscalizao de Tecnologia da Informao 27

Controles de Acesso Lgico
Outros controles
Restries a sesses concorrentes (mesmo usurio)
Limitao do horrio de trabalho
Tentativas de acesso controladas
Proteo de tela automtica
Acesso a terminal especfico

Poltica de Controle de Acesso (PCA)

Define procedimentos e controles de acesso (ex: regras
para concesso/desligamento)

Secretaria de Fiscalizao de Tecnologia da Informao 28

 Objetivos.
Conceitos.
Atributos da Segurana da Informao (SI).
Como a SI obtida?
Controles de Segurana.
Continuidade de Negcios.
Auditoria de SI.
Estudos de Casos.

Secretaria de Fiscalizao de Tecnologia da Informao 29

Continuidade de Negcios
A Gesto da Continuidade do Negcio tem por objetivo
no permitir a interrupo das atividades do negcio e
proteger os processos crticos contra efeitos de falhas
ou desastres significativos, e assegurar a sua retomada
em tempo hbil, se for o caso (NBR ISO/IEC
27002:2005, item 14.1).

Secretaria de Fiscalizao de Tecnologia da Informao 30

Continuidade de Negcios
De cada cinco empresas que tiveram interrupo nas
suas operaes por uma semana, duas fecham as
portas em menos de trs anos (fonte: Disaster Recovery
Institute)

Impacto por interrupo (fonte: Universidade do Texas)

Perda de 0,5% da posio do mercado a cada 8 horas parada.
3 anos para recuperar 0,5 % da sua posio no mercado.

Secretaria de Fiscalizao de Tecnologia da Informao 31

Continuidade de Negcios

Secretaria de Fiscalizao de Tecnologia da Informao 32

Continuidade de Negcios
Lies do WTC 2001
empresas sumiram do mapa.
quem tinha um Plano de Continuidade de Negcios (PCN),
conseguiu continuar operando (maioria dos bancos):
empresas que optaram por apenas instalaes alternativas de TI passaram
por dificuldades para retomar operaes.
todos os riscos devem ser objetivo de anlise, independente de
sua probabilidade (ex.: terrorismo).
foco do PCN: capital intelectual e instalaes.
seus clientes/usurios/funcionrios necessitam de informaes
(caos center).
PCN incompleto e ambiente desatualizado dificultaram retomada
rpida de atividades.
Usurios desconheciam o PCN: pessoas e testes so crticos.

Secretaria de Fiscalizao de Tecnologia da Informao 33

Continuidade de Negcios

Incndio INSS - Braslia (27/12/2005)

4 a 9 andares destrudos.
destruio de 104 processos de dbitos
tributrios.
prejuzos de at R$ 10 Bilhes, segundo
Anprev (Associao Nacional dos
Procuradores da Previdncia).
somente se cria grupo para elaborar plano
de contingncia em 29/12/2005 (Portaria
3.032).

Secretaria de Fiscalizao de Tecnologia da Informao 34

Continuidade de Negcios

Exemplo de deficincias na gesto da continuidade de

negcio:

Convivendo com total falta de recursos ou planos de

contingncia, a atual Diretoria [...] foi alarmada pela
ocorrncia do dia 19/07/2005, quando uma falha nos
equipamentos de processamento centralizado
provocou a paralisao [da entidade] por mais de 20
horas, gerando danos a imagem e causando
prejuzos financeiros instituio. (TC 026.196/2007-
9)

Secretaria de Fiscalizao de Tecnologia da Informao 35

Continuidade de Negcios

Mais um exemplo de deficincias na gesto da

continuidade de negcio:

Obteve-se a informao que, devido a um vrus,

houve uma paralisao na rede [...] por mais de duas
semanas, o que comprova que o Plano de
Contingncia [...] remetido [...] no tem aplicabilidade
efetiva. (TC 026.200/2007-3)

Secretaria de Fiscalizao de Tecnologia da Informao 36

Plano de Continuidade de Negcios
Plano de Continuidade de Negcios (PCN)

o desenvolvimento preventivo de um conjunto de estratgias e

planos de ao de maneira a garantir que os servios essenciais
sejam devidamente identificados e preservados aps a
ocorrncia de um desastre.

o conjunto de planos/programas, onde encontram-se

detalhados os procedimentos a serem seguidos pelos
colaboradores por ocasio de ocorrncia de eventos que possam
afetar algum componente e, consequentemente, o processo de
negcio por ele suportado.

Secretaria de Fiscalizao de Tecnologia da Informao 37

Plano de Continuidade de Negcios
Eventos contemplados no PCN
Falha humana.
Falha de componentes de TI / comunicaes.
Interrupo da energia eltrica.
Fenmenos da natureza (inundao, furaco, terremoto,
maremoto etc).
Fogo, exploso, raios.
Distrbio civil (greve etc).
Vrus, Acesso indevido, Roubo.
Ataque, sabotagem, vandalismo.
Exploso de bomba / avio / terrorismo.

Secretaria de Fiscalizao de Tecnologia da Informao 38

Plano de Continuidade de Negcios
Consideraes em uma auditoria
Se a organizao no tiver um plano, avaliar o grau de risco e
determinar se a opo por no fazer nada justificvel.
Um requisito mnimo a existncia de uma estratgia de
recuperao.
Existindo um plano, utilizar os procedimentos de auditoria
associados para verificar se este exequvel, se est atualizado,
e se o pessoal est treinado para execut-lo.
Avaliar conformidade com a ABNT NBR ISO/IEC 27002:2005 e
ABNT NBR 15999.

Secretaria de Fiscalizao de Tecnologia da Informao 39

 Objetivos.
Conceitos.
Atributos da Segurana da Informao (SI).
Como a SI obtida?
Controles de Segurana.
Continuidade de Negcios.
Auditoria de SI.
Estudos de Casos.

Secretaria de Fiscalizao de Tecnologia da Informao 40

Auditoria de Segurana
da Informao

avaliado se a gesto da segurana da informao, o

controle dos ativos e os riscos envolvidos so
considerados de forma efetiva pela organizao. A
auditoria de SI visa avaliar a gesto da organizao com
relao segurana.
Aborda aspectos de confidencialidade, integridade e
disponibilidade embutidos nos conceitos de segurana
lgica e fsica.

Secretaria de Fiscalizao de Tecnologia da Informao 41

Auditoria de SI

Aspectos abordados:

Comits diretivos e deliberativos, polticas e normas,

pessoas, responsabilidades, treinamento, identificao e
classificao de ativos, classificao da informao,
identificao e avaliao de riscos, gerncia de problemas
e incidentes, plano de continuidade de negcios,
permetro de segurana, equipamentos e instalaes,
gerenciamento e controle de acesso lgico, auditoria,
conformidade.

Secretaria de Fiscalizao de Tecnologia da Informao 42

Auditoria de SI
Escopo de uma Auditoria de SI

Identificao e avaliao de controles que afetam a

segurana da informao.

Poder ser feita no contexto macro, envolvendo

aspectos que envolvem toda a organizao ou
apenas considerando informaes, sistemas,
recursos, processos e servios especficos.

Secretaria de Fiscalizao de Tecnologia da Informao 43

Auditoria de SI
Normas utilizadas
Decreto n. 3.505/2000 Estabelece diretrizes gerais para definio da
Poltica de Segurana da Informao nos rgos e entidades da
Administrao Pblica Federal.

Decreto n. 4.553/2002 Dispe sobre a salvaguarda de dados,

informaes, documentos e materiais sigilosos de interesse da
segurana da sociedade e do Estado, no mbito da Administrao
Pblica Federal.

Instruo Normativa Gabinete de Segurana Institucional da Presidncia

da Repblica (GSI) n 1, de 13 de junho de 2008 Orienta as entidades
da Administrao Pblica Federal quanto a questes relativas
segurana da informao.

Secretaria de Fiscalizao de Tecnologia da Informao 44

Auditoria de SI
Padres utilizados
ABNT NBR ISO/IEC 27002:2005 (Cdigo de Prtica para a
Gesto da Segurana da Informao).
ABNT NBR 15999 (Gesto de Continuidade de Negcios).
Cobit (COntrol, governance and audit for Business Information
and related Technology).

Secretaria de Fiscalizao de Tecnologia da Informao 45

Auditoria de SI
Objetivo de controle: assegurar que a organizao define e estabelece
diretrizes e responsabilidades pela segurana da informao e
gesto de riscos.
Possveis questes de auditoria:
H uma Poltica de Segurana da Informao formalmente
aprovada e em vigor?
Essa poltica define de forma suficiente os princpios que norteiam a
gesto de segurana de informao e seus respectivos
responsveis?
O ente aplica e divulga internamente essa poltica?

O ente possui um Gestor de SI?

A entidade instituiu um Comit de Segurana da Informao e

Comunicaes? (Comit SI / TCU Portaria-TCU n 277, de
18/11/2008)

Secretaria de Fiscalizao de Tecnologia da Informao 46

Auditoria de SI

Critrios:
Artigo 5 da Instruo Normativa GSI n 1, de 13 de junho de 2008.

Item 5.1 da NBR ISO/IEC 27002:2005.

PO4.8 e PO6.1 do Cobit 4.1.

Possveis achados:
Baixo comprometimento do ente quanto SI.

Poltica de Segurana da Informao inexistente, informal,

insuficiente, no aplicada ou no divulgada (no efetiva).
A entidade no possui um Gestor de Segurana da Informao ou
um Comit Gestor de Segurana da Informao e Comunicaes.

Secretaria de Fiscalizao de Tecnologia da Informao 47

Auditoria de SI

Objetivo de controle: assegurar que existam procedimentos de controle

de acesso com o objetivo de proteger equipamentos, sistemas, rede
e arquivos de dados, de forma sistematizada e gerenciada.
Possveis questes de auditoria:
Os controles de acesso fsico concorrem para proteger o ambiente
de produo?
Existem regras que disciplinam o acesso informao?

O ente possui regras definidas de controle de acesso lgico que

dificultem o uso indevido das informaes?
As polticas de controle de acesso so suficientes, alm de serem
seguidas e aplicadas?

Secretaria de Fiscalizao de Tecnologia da Informao 48

Auditoria de SI
Critrios:
Acrdos nos 2.023/2005, item 9.1.3 e 71/2007, item 9.2.7, todos do
Plenrio-TCU
Item 11.1.1 da NBR ISO/IEC 27002:2005.

PO6.1, DS5.3, DS5.4 e DS12.3 do Cobit 4.1.

Possveis achados:
Falta de uniformizao e de procedimentos formalizados para
acesso aos sistemas informatizados (incluindo a concesso, a
reviso peridica e a revogao de acesso).
Falhas nos procedimentos de entrada dos sistemas e de acesso
fsico aos ambientes de produo.
Falhas no gerenciamento das senhas de usurios.

No so estabelecidas regras para formao de senhas e nomes de

usurios.

Secretaria de Fiscalizao de Tecnologia da Informao 49

Auditoria de SI

Objetivo de controle: certificar-se de que fragilidades, falhas e

incidentes relacionados segurana da informao so notificados,
registrados e devidamente gerenciados, permitindo a tomada de
ao corretiva.
Possveis questes de auditoria:
Os incidentes, as falhas e as fragilidades so comunicados por um
canal nico, apropriado, conhecido, acessvel, disponvel e utilizado
por todos os clientes de TI?
Os incidentes e falhas de segurana so tempestivamente
identificados, estancados e corrigidos?

Secretaria de Fiscalizao de Tecnologia da Informao 50

Auditoria de SI

Critrios:
Artigo 5, inciso V, da Instruo Normativa GSI n 1, de 13 de junho
de 2008.
Itens 13.1 e 13.2 da NBR ISO/IEC 27002:2005.

Possveis achados:
Ausncia de registros de incidentes de segurana.

Indefinio sobre quem so as pessoas responsveis pelo

tratamento de incidentes.
Os incidentes de segurana no so tratados.

As falhas identificadas no so corrigidas.

Secretaria de Fiscalizao de Tecnologia da Informao 51

Auditoria de SI

Objetivo de controle: certificar-se de que os riscos de TI

so identificados, avaliados e tratados
Possveis questes de auditoria:
efetuada anlise de riscos na rea de TI?

A anlise de riscos constantemente atualizada?

Secretaria de Fiscalizao de Tecnologia da Informao 52

Auditoria de SI

Critrios:
CF, art. 37, caput (princpio da eficincia)

NBR ISO/IEC 27002:2005, item 4 - Anlise/avaliao e

tratamento de riscos
Cobit 4.1
PO9.4 Avaliao de riscos

Possveis achados:
Inexistncia de um processo formal de anlise de riscos
de TI

Secretaria de Fiscalizao de Tecnologia da Informao 53

Auditoria de SI

Objetivo de controle: assegurar que a organizao possui mecanismos

sistematizados de retorno normalidade em casos de incidentes
Possveis questes de auditoria:
H procedimentos definidos para retorno normalidade em casos
de contingncia?
Os procedimentos so divulgados, conhecidos e testados
periodicamente?
H um Plano de Continuidade do Negcio compatvel com as
necessidades operacionais do ente?
Esse plano define quem so as pessoas e quais so os
procedimentos chaves de continuidade do negcio?

Secretaria de Fiscalizao de Tecnologia da Informao 54

Auditoria de SI

Critrios:
Princpio da Continuidade dos Servios Pblicos.

Art. 10, inciso IX, Lei n 7.783/89 (processamento de dados ligados

a servios essenciais).
Art. 22 da Lei n 8.078/90 (fornecimento de servios essenciais).

Acrdo no 71/2007-TCU-Plenrio, item 9.2.14.

Item 14 e subitens da NBR ISO/IEC 27002:2005.

ABNT NBR 15999 (Gesto de Continuidades dos Negcios).

DS4 e subitens do Cobit 4.1.

Secretaria de Fiscalizao de Tecnologia da Informao 55

Auditoria de SI

Possveis achados:
Inexistncia de Plano de Continuidade de Negcios.

Ausncia de rea especfica para lidar com incidentes e

contingncias.
O plano no conhecido.

Treinamentos insuficientes.

O plano no testado e atualizado periodicamente.

O plano inexequvel.

A informao no classificada segundo sua relevncia, criticidade

e necessidade de sigilo.
Ausncia de polticas ou procedimentos de back-up.

Secretaria de Fiscalizao de Tecnologia da Informao 56

 Objetivos.
Conceitos.
Atributos da Segurana da Informao (SI).
Como a SI obtida?
Controles de Segurana.
Continuidade de Negcios.
Auditoria de SI.
Estudos de Casos.

Secretaria de Fiscalizao de Tecnologia da Informao 57

Infraero
Por qu?
Levantamento do TCU constatou que a Infraero conta
com uma srie de sistemas informatizados de
arrecadao que no foram auditados/avaliados pela
Auditoria Interna.

Objetivo
Avaliar os aspectos de segurana dos principais
sistemas informatizados pertinentes ao processo de
arrecadao de receitas da Empresa Brasileira de
Infra-Estrutura Aeroporturia - Infraero.

Secretaria de Fiscalizao de Tecnologia da Informao 58

Infraero
Problemas identificados (Acrdo n 1092/2007 TCU -
Plenrio)
No realizao de inventrio e classificao de ativos de
informao.
Inexistncia de uma Poltica de Controle de Acesso (PCA).
Ausncia de procedimentos formalizados para concesso e
revogao de acessos aos sistemas.
Falhas nos gerenciamentos das senhas dos usurios.
Falta de conscientizao dos funcionrios quanto
confidencialidade das senhas.
Inexistncia de Plano de Continuidade do Negcio.

Secretaria de Fiscalizao de Tecnologia da Informao 59

Infoseg
Por qu?
Auditoria operacional realizada durante o exerccio de
2004 pelo TCU no programa Sistema nico de
Segurana Pblica (SUSP) identificou que havia
problemas enfrentados pela Senasp e pelos estados
na implantao do Infoseg.
Objetivo
Avaliar aspectos relacionados segurana e
consistncia das informaes gerenciadas pelo
sistema.

Secretaria de Fiscalizao de Tecnologia da Informao 60

Infoseg
Problemas identificados (Acrdo n 71/2007 TCU
Plenrio)
Inexistncia de PSI.
Falhas na Poltica de Controle de Acesso (PCA).
Inexistncia de Plano de Continuidade do Negcio (PCN).
Gesto insatisfatria das cpias de segurana.
Deficincias na segurana fsica da gerncia do Infoseg.
Indefinio dos proprietrios de alguns ativos.
Falhas nos contratos de locao de mo-de-obra quanto SI.
Insuficincia de trilhas de auditoria.
Inexistncia de controles compensatrios para as operaes dos
administradores do sistema (DBA).

Reportagem na TV (SBT)

Secretaria de Fiscalizao de Tecnologia da Informao 61

 Obrigado!

Harley Alves Ferreira

Secretaria de Fiscalizao de Tecnologia da Informao 62