ESTADO DO RIO GRANDE DO SUL

TRIBUNAL DE CONTAS DO ESTADO

ESCOLA SUPERIOR DE GESTÃO E CONTROLE FRANCISCO JURUENA

Credenciamento MEC – Portaria nº 1965/06

CURSO DE ESPECIALIZAÇÃO EM GESTÃO PÚBLICA E

CONTROLE EXTERNO

AUDITORIA EM SISTEMAS DE INFORMAÇÃO E A APLICAÇÃO DA NORMA ISO 27002:2005

Elaine Candido da Silva

PORTO ALEGRE

2008

RESUMO

O avanço tecnológico, a crescente complexidade dos ambientes computacionais, o

incremento do número de transações por meios virtuais demandam uma constante

preocupação com a segurança das informações que trafegam neste contexto.

Adotar medidas de segurança mediante procedimentos padronizados que garantam

a confiabilidade, a integridade e a disponibilidade das informações torna-se um

desafio para gestores e organizações. Os padrões, normas e marcos reguladores

surgem, ora exigindo, ora contribuindo, para a implementação de regras que, se não

eliminam completamente os riscos, atenuam os seus efeitos. Dentre as diversas

opções de padrões ou normas existentes, optou-se por discutir a ISO 27002:2005

devido à abrangência de seus controles, assim como à sua boa aceitação no

mercado atual de Tecnologia da Informação como instrumento para a

implementação de segurança da informação. Considera-se que ela pode ser

utilizada para orientar na implementação de uma metodologia para Auditoria em

Sistemas de Informação no âmbito do Tribunal de Contas do Estado do Rio Grande

do Sul.

Palavras Chave: NBR ISO/IEC 27002:2005. Segurança da Informação. Sistemas

Aplicativos. Sistemas de Informação. Tecnologia da Informação.

ABSTRACT

Technological advances, the increasing complexity of computational

environments, the increment of the number of transactions for virtual ways demands

a constant concern with the security of the information that travel in this context. To

adopt security measures through standardized procedures that ensure the reliability,

integrity and availability of information becomes a challenge for managers and

organizations. The standards, rules and regulatory frameworks appear, sometimes

demanding, sometimes contributing, for the implementation of rules that, if do not

eliminate the risks completely, attenuate its effect. Among the diverse options of

standards or existing norms, it was opted to discuss the ISO 27002:2005 due to

scope of its controls, as well as its good acceptance in the current market of

Technology of the Information as instrument for the implementation of information

security. It was believed that it can be used to guide the implementation of a

methodology for Auditing in Information Systems within the Court of Accounts of the

State of Rio Grande do Sul.

Keywords: NBR ISO/IEC 27002:2005. Information Security. Applications Systems.

Information Systems. Information Technology.

LISTA DE FIGURAS

Quadro 1 – Alinhamento Estratégico: Documentos da PSI X Nível de Atuação ...................................37

Quadro 2 – Manutenção da PSI.............................................................................................................38

LISTA DE SIGLAS

AAR Análise e Avaliação de Riscos

ABNT Associação Brasileira de Normas Técnicas

ASI Auditoria em Sistemas de Informação

IEC International Electrotechnical Commission

ISO International Organization for Standardization

PDA Personal Digital Assistant

PSI Política de Segurança da Informação

SI Segurança da Informação

TI Tecnologia da Informação

SUMÁRIO

1 INTRODUÇÃO ................................................................................................................................................ 11

2 CONCEITOS DE AUDITORIA E SISTEMAS DE INFORMAÇÃO......................................................... 13

2.1 AUDITORIA ............................................................................................................................................ 13

2.2 SISTEMAS DE INFORMAÇÃO ................................................................................................................... 14

2.2.1 Dado X Informação................................................................................................................ 14

2.3 AUDITORIA EM SISTEMAS DE INFORMAÇÃO .......................................................................................... 15

2.3.1 Controle Interno na Auditoria de Sistemas de Informação.................................................... 15

2.3.2 Internet: um desafio ............................................................................................................... 17

3 SEGURANÇA DA INFORMAÇÃO............................................................................................................... 19

3.1 CONCEITOS ............................................................................................................................................ 19

3.2 GESTÃO DE RISCOS EM SEGURANÇA DA INFORMAÇÃO.......................................................................... 20

3.3 NORMAS E PADRÕES DE SEGURANÇA .................................................................................................... 22

3.3.1 NBR ISO/IEC 27001:2005 - Information Security Management Systems – Requirements

(Sistema de Gestão da Segurança da Informação – Requerimentos).................................................................... 23

3.3.2 NBR ISO/IEC 27002:2005 - Code of Practice for Information Security Management (Código

de Práticas para Gestão da Segurança da Informação) ....................................................................................... 24

4 ÁREAS DE CONTROLE DA ISO/IEC 27002 E A APLICABILIDADE NA POLÍTICA E GESTÃO DA

SEGURANÇA EM SISTEMAS APLICATIVOS............................................................................................. 26

4.1 A ISO 27002 E SUAS ÁREAS DE CONTROLES.......................................................................................... 26

4.2 PORQUE CONTROLAR?........................................................................................................................... 30

4.2.1 Controles Organizacionais .................................................................................................... 31

4.2.1.1 Segregação de Funções ............................................................................................................32 4.2.1.2 Recursos Humanos ..................................................................................................................33

4.2.2 Política de Segurança da Informação (PSI) .......................................................................... 35

4.2.2.1 Escopo da PSI ..........................................................................................................................36 4.2.2.2 Elaboração e Implementação da PSI........................................................................................37 4.2.2.3 Manutenção e Auditoria de conformidade com a PSI..............................................................38

4.2.3 Controles de Desenvolvimento e Manutenção de Sistemas Aplicativos................................. 39

4.2.3.1 Validação dos dados de entrada ...............................................................................................42 4.2.3.2 Controle do processamento interno..........................................................................................43 4.2.3.3 Validação dos dados de saída...................................................................................................44 4.2.3.4 Tratamento de Mensagens .......................................................................................................44 4.2.3.5 Controles Criptográficos ..........................................................................................................45 4.2.3.6 Segurança dos Arquivos do Sistema ........................................................................................45 4.2.3.7 Segurança em processos de desenvolvimento e de suporte......................................................47 4.2.3.8 Gestão de vulnerabilidades técnicas.........................................................................................48

10

5 CONCLUSÃO .................................................................................................................................................. 50

REFERÊNCIAS .................................................................................................................................................. 51

GLOSSÁRIO ....................................................................................................................................................... 52

11

1 INTRODUÇÃO

Em uma época em que a tecnologia da informação está inserida em todas

as áreas do conhecimento, a dinâmica que envolve a informatização de processos é

uma preocupação crescente para os gestores, tanto na Administração Pública

quanto na Administração Privada, e vem trazer um novo desafio para a atividade de

fiscalização: auditar não apenas a informação gerada pela tecnologia, mas também

a própria tecnologia com o propósito de averiguar se o processamento do dado em

informação foi realizado de forma adequada, confiável e segura.

Dada a complexidade tecnológica dos ambientes de Tecnologia da

Informação (TI) atuais, aliado à proliferação de fraudes financeiras e contábeis e os

crimes eletrônicos, trouxeram a necessidade de formar-se uma nova área dentro da

auditoria e uma nova formação dentro da carreira de auditor: a Auditoria em

Sistemas de Informação ou Auditoria da Tecnologia da Informação.

Esta trajetória não é diferente dentro do Tribunal de Contas do Estado do

Rio Grande do Sul (TCE-RS), no qual a crescente demanda por auditores em

sistemas de informação chegou a um ponto crítico. As equipes de auditoria

tradicionais estão enfrentando o desafio de auditar informações produzidas por

sistemas informatizados e tendo que deparar-se com a seguinte dúvida: até que

ponto este ambiente é confiável e seguro?

Estão sendo estabelecidas discussões sobre qual o formato de auditoria

em TI aplicável, qual a metodologia ou framework mais aderente ao processo de

auditoria existente, qual a estratégia de formação da(s) equipe(s) de auditoria em TI

dentro da nossa Corte de Contas.

A maioria dos autores aponta para a formação de equipes híbridas,

compostas por auditores tradicionais e auditores especialistas em Auditoria de

Sistemas de Informação. Recomendam, também, que o treinamento em técnicas e

métodos básicos de Auditoria em Sistemas de Informação (ASI) deveria ser aplicado

a todos os auditores tradicionais já que dificilmente auditarão entidades que não

utilizam a informática em seus processos e controles.

Diante desse contexto, é fácil supor que este é um caminho sem volta,

sendo necessário administrar as responsabilidades para a Segurança da Informação

com o objetivo de preservar organizações e profissionais envolvidos de serem alvos

12

de punições legais ou admnistrativas. Contudo, este cenário nos leva a uma outra

questão: qual(is) a(s) metodologia(s) aplicável(eis) em um processo de auditoria em

Sistemas de Informação?

A adoção de métricas, práticas de gestão e adequação às leis, normas ou

regulamentações é um desafio para os gestores, mas tornam-se aliadas quando

servem de espinha dorsal na implementação de uma metodologia que garanta a

conformidade com padrões internacionais, prevenindo contra incidentes envolvendo

questões de segurança e os seus conseqüentes impactos dentro da organização.

Conforme Beal (2005, p. 31)1, a aderência a uma norma ou padrão

técnico garante a qualidade de qualquer processo e aumenta a garantia de que este

seja eficiente, eficaz e confiável.

Este documento tem por objetivo apresentar alguns aspectos importantes

da ISO 27002 (antiga ISO 17799), como esta pode ser utilizada para a introdução da

Gestão de Risco como garantia para a Segurança da Informação e, finalmente,

como esta norma poderia servir de base para a implantação de auditoria em

Sistemas de Informação, tanto no âmbito do interno TCE-RS quanto nos órgãos

auditados por esta Corte de Contas.

O trabalho foi dividido em três capítulos. O primeiro capítulo trata de

apresentar conceitos de auditoria e de sistemas de informação. O segundo capítulo

trata sobre os aspectos que envolvem a segurança da informação, a gestão de risco

e apresenta, suscintamente, alguns padrões internacionais que desenvolveram um

sistema formal de gestão da segurança da informação. E, por fim, o terceiro capítulo

trata sobre a norma ISO 27002 e a sua aplicabilidade como garantia para a

segurança da informação na aquisição, manutenção e desenvolvimento de sistemas

de informação.

1 BEAL, Adriana. Segurança da Informação. 1º ed. São Paulo: Atlas, 2005. p. 31

13

2 CONCEITOS DE AUDITORIA E SISTEMAS DE INFORMAÇÃO

2.1 AUDITORIA

O conceito genérico de auditoria relaciona-se com o exame das

operações, processos, sistemas e responsabilidades gerenciais de uma entidade ou

organização com o propósito de verificar a sua conformidade com os objetivos e

políticas organizacionais, orçamentos, normas ou padrões.2

O termo auditoria, historicamente, esteve vinculado quase que

exclusivamente ao campo contábil. Contudo, diversos autores têm um ponto de vista

mais amplo e argumentam que ela engloba toda a organização, estendendo seu

campo de ação com a comunidade: clientes, fornecedores, instituições públicas e

privadas com as quais a empresa se relaciona.

Cassaro (1997, p. 32) afirma que cabe à auditoria a responsabilidade de

examinar e avaliar a ocorrência de atos e fatos empresariais com o objetivo de

assegurar que eles estejam em conformidade com as políticas, diretrizes e normas

da administração.

Auditoria é uma função de assessoria à alta administração que, mediante a aplicação de procedimentos de trabalho adequadamente planejados, obedecendo a normas e padrões geralmente aceitos, contribui para o cumprimento das funções de controle das operações da empresa.

3

2 DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. 1º ed. Rio de Janeiro: Axcel Books, 2000. p. 9. 3 CASSARO, Antonio Carlos. Controles Internos e Segurança de Sistemas. 1º ed. São Paulo: LTR, 1997. p. 32.

14

2.2 SISTEMAS DE INFORMAÇÃO

Para um melhor entendimento do que é um sistema de informação, é

necessário distinguir dado de informação.

2.2.1 Dado X Informação

Dados são os fatos de uma forma primária, tais como: nome de um

servidor, número de dependentes, quantidade de material em estoque, número de

matrícula, etc.

A transformação de dados em informação é um processo ou uma série

de tarefas logicamente relacionadas, executadas para atingir um resultado definido.

O processo de definição das relações entre dados requer conhecimento.

Conhecimento são regras, diretrizes e procedimentos usados para selecionar,

organizar e manipular dados, com a finalidade de torná-los úteis para uma tarefa

específica. Quando estes dados são organizados ou configurados de uma maneira

significativa, eles se tornam uma informação.

Sistemas é um conjunto de elementos inter-relacionados com o objetivo

de produzir informações que ajudarão nas decisões gerenciais.4

Um sistema é produzido após a identificação de um processo que

transforma os dados de entrada em informações de saída que permite a organização

avaliar uma tendência antes da tomada de decisão.

É um processo dinâmico cujo ciclo de manutenção operacional permite

que sejam agregadas novas estratégias empresariais visando à agregação de valor

qualitativo e quantitativo às informações com o objetivo de minimizar a interferência

de variáveis externas à organização, por exemplo, mercado, concorrência,

regulamentações, etc.

Em linhas gerais, um sistema é formado pelos seguintes elementos:

a) Entrada: elementos que entram no sistema para serem processados;

4 IMONIANA, Joshua Onome. Auditoria de Sistemas de Informação. 1º ed. São Paulo: Atlas, 2005. p. 16

15

b) Processamento: processo de transformação que converte a entrada em

produto;

c) Saída: a transferência de elementos produzidos por um processo de

transformação ao seu destino final;

d) Feedback ou realimentação: a saída é usada para fazer ajustes ou

modificações nas atividades de entrada ou processamento para a

correção de erros ou a adequação do sistema a uma nova realidade. A

fase de feedback é uma característica que permite que o sistema se auto-

regule ou se auto-monitore.

Existem várias classificações de sistemas, porém o aprofundamento neste

tema não é o objetivo deste trabalho.

2.3 AUDITORIA EM SISTEMAS DE INFORMAÇÃO

A auditoria em sistemas de informação é um tipo de auditoria operacional

e não muda a formação exigida para a profissão de auditor, ela apenas exige uma

nova percepção já que as informações anteriormente disponíveis em papel agora

são armazenadas em meios eletrônicos. Deste modo, este novo tipo de auditoria

também se vale dos controles internos e agrega não só o fato de averiguar as

informações em si, também verifica se as entradas, o processamento e as saídas

foram feitas de forma adequada e segura. Neste ambiente, estão inseridos recursos

materiais, tecnológicos e humanos. A partir daí, surge uma nova terminologia, muito

importante dentro deste contexto: segurança da informação, tema do próximo

capítulo deste trabalho.

2.3.1 Controle Interno na Auditoria de Sistemas de Informação

O termo controle supõe a fiscalização exercida sobre atividades, pessoas,

entidades ou produtos com o objetivo de verificar se estes estão em conformidade

16

com determinadas normas, regulamentações, regras ou padrões preestabelecidos.

Genericamente, os controles podem classificados em três tipos:

a) Preventivos: previnem erros, omissões ou atos fraudulentos (senhas de

acesso a um sistema);

b) Detectivos: detectam erros, omissões ou atos fraudulentos e relatam a sua

ocorrência (relatórios de tentativas de acesso não autorizado a um

sistema);

c) Corretivos: corrigem os erros detectados e minimizam os impactos da sua

ocorrência (planos de contingências).

Os objetivos de controle são metas de controle a serem alcançadas, ou efeitos negativos a serem evitados, para cada tipo de transação, atividade ou função fiscalizada. Esses objetivos de controle, para serem alcançados na prática, são traduzidos em procedimentos de auditoria. Os procedimentos de auditoria formam um conjunto de verificações e averiguações que permitem obter e analisar as informações necessárias à formulação da opinião do auditor.5

Já tendo conceituado o termo controle, podemos dizer que controle

interno é realizado pelo pessoal interno da organização e sua principal função é

assessorar a administração no controle (fiscalização) das operações da empresa.

O sistema de controle interno compreende o plano de organização e o conjunto coordenado de sistemas, métodos e procedimentos adotados por uma empresa para: a salvaguarda de seu patrimônio, a eficiência operacional e a exatidão e confiabilidade dos registros e informações contábeis-financeiras.6

Cassaro (1997, p. 34) afirma que existem dois tipos de controles internos,

os de natureza contábil e os de natureza administrativa.

Os controles de natureza contábil preocupam-se com a salvaguarda dos

bens, direitos e obrigações, assim como a fidelidade dos registros. Dentro deste

5 DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. 1º ed. Rio de Janeiro: Axcel Books, 2000. p. 9-10. 6 CASSARO, Antonio Carlos. Controles Internos e Segurança de Sistemas. 1º ed. São Paulo: LTR, 1997. p. 34.

17

escopo, podemos afirmar que o controle de natureza contábil preocupa-se com a

auditoria externa. Exemplos de controles deste grupo:

a) integridade dos dados: os dados são confiáveis?

b) segurança física: existem controles físicos sobre os bens e informações?

c) segurança lógica: existe segregação de funções? existe log de transações

ou trilha de auditoria?

d) confidencialidade: existe sistema de autorização de acesso e aprovação

de transações?

e) conformidade: está obedecendo às normas ou regulamentações?

Os controles de natureza administrativa preocupam-se com a eficiência e

eficácia operacional, assim como com a obediência às diretrizes, políticas, normas e

instruções da administração. Dentro deste escopo, podemos afirmar que o controle

de natureza administrativa preocupa-se com a auditoria interna. Exemplos de

controles deste grupo:

a) eficácia: atendimento adequado dos objetivos;

b) eficiência: produtividade e otimização dos processos e utilização

adequada dos recursos;

c) regras institucionais: obediência às diretrizes da administração.

Os objetivos gerais de controle interno não apresentam diferenças nos

procedimentos de controles internos em ambientes de TI.

2.3.2 Internet: um desafio

A internet é um desafio crescente para os gestores de TI, pois à medida

que as empresas começaram a se conectar na rede mundial para incrementar os

seus negócios, os sistemas ficaram expostos a uma quantidade maior de pessoas e,

a partir daí, explodiram os problemas de segurança. Acrescentando mais

complexidade a este ambiente já conturbado, ainda temos diferentes países, com

diferentes legislações agora interconectados, fazendo surgir um novo ramo das

ciências jurídicas que é o direito digital que, por si só, já seria outro assunto para

uma monografia.

18

A internet fez surgir outros dispositivos que dividem espaço com os

computadores, tais como: smartphones, PDAs, iPods, etc; aparelhos que podem ser

conectados à rede multiplicando o volume de informações que circulam neste meio e

facilitando o acesso de pessoas mal-intencionadas.

De forma bem resumida, saímos de uma situação em que informações sigilosas eram impressas em papel e protegidas fisicamente em cofres para um cenário em que agora elas trafegam por ondas viajando pelo ar que podem ser interceptadas a qualquer momento, muitas vezes de maneira não detectável.7

Assim sendo, as empresas devem estar preparadas para lidar com

cenários cada vez mais mutantes e interconectados, com variáveis sempre mais

complexas que elevam o potencial de falhas e problemas de segurança. Tudo isto é

um desafio constante para os profissionais de TI e de auditoria, estes devem manter-

se atualizados e atentos a novas tendências sob pena de ficar á margem deste

mercado em constante evolução.

7 RAMOS, Anderson (org). Security Officer – 1: Guia oficial para formação de gestores em segurança da informação. 1º

ed. Porto Alegre: Zouk, 2006. p. 35

19

3 SEGURANÇA DA INFORMAÇÃO

Dentro de uma organização a segurança8 deve ser aplicada a tudo aquilo

que possui valor e, por este motivo, demanda proteção. São os chamados ativos9.

Na chamada era do conhecimento, a informação tornou-se o principal

patrimônio de uma organização e, pelo seu poder de agregar valor a um processo,

produto ou serviço trouxe a necessidade de preservá-la contra ameaças que possam

destruí-la, corrompê-la, adulterá-la ou deixá-la indisponível.

3.1 CONCEITOS

A Segurança da Informação são procedimentos que visam proteger os

ativos que contém informações contra as ameaças que poderiam comprometer a

sua integridade, disponibilidade e confidencialidade.

Ela tem como objetivo preservar os ativos de informação10, considerando

três aspectos:

a) Confidencialidade: garantia de que o acesso à informação está restrito aos

usuários autorizados. Neste aspecto, vale lembrar a necessidade de

utilização de trilhas de auditoria e logs para as aplicações críticas que

protegem os ativos contra erros e atos maliciosos cometidos por usuários

autorizados;

b) Integridade: garantia de que os dados não foram modificados por pessoas

não autorizadas;

c) Disponibilidade: garantia de que os ativos são acessíveis aos usuários ou

processos autorizados quando necessários.

8 Segurança é estar livre de perigos e incertezas. 9 Ativo é tudo aquilo que possui um valor para uma organização. 10 Ativo de Informação: qualquer dado ou informação a que esteja associado um valor para o negócio. Representam ativos de

informação as informações relevantes mantidas na mente dos tomadores de decisão, em bases de dados, arquivos de

computador, documentos e planos registrados em papel, etc. BEAL, Adriana. Segurança da Informação. 1º ed. São Paulo:

Atlas, 2005. p. Introdução e Visão geral.

20

Cada organização terá critérios próprios para identificar e priorizar os

ativos cujos componentes desejam assegurar. Ativos com necessidades de

segurança diferentes devem ser protegidos de forma diferente.

Cassarro (1997, p. 81)11 afirma que, dos componentes materiais,

tecnológicos e humanos que compõem uma empresa são os últimos os

responsáveis por todas as fraudes e prejuízos praticados. Ele considera impossível a

existência de um ativo que não possa ser fraudado ou burlado por uma pessoa e

quanto maior o desafio, maior a motivação para vencê-lo. Afirma que não há

segurança total em nada que diz respeito à vida e que ainda não existe um controle

interno que garanta 100% de proteção contra a fraudes e ações dolosas.

Na prática, nem todas as ações indevidas podem ser evitadas, assim

como nem todos os ativos podem ser protegidos, pois isto demandaria muitos

recursos humanos e financeiros. Para minimizar a probabilidade de ocorrência de

uma ameaça é necessário detectar e prevenir falhas de segurança e definir quais os

ativos se deseja proteger. É neste contexto que surge a necessidade de elaboração

de um programa de Política de Segurança da Informação. A política de segurança

da informação será tratada no capítulo 3 deste trabalho.

3.2 GESTÃO DE RISCOS EM SEGURANÇA DA INFORMAÇÃO

Risco é a medida da exposição a qual um ativo está sujeito, depende da

probabilidade de uma ameaça atacá-lo e do impacto resultante deste ataque.

Análise de risco é realizada identificando as ameaças e vulnerabilidades a

que estão sujeitos os ativos, bem como os impactos resultantes caso a sua

segurança fosse violada.

A gestão do risco12 envolve cinco componentes básicos: valor, ameaças,

vulnerabilidades e impactos.

a) Valor: é a importância do ativo para a organização e será avaliado

conforme o seu valor financeiro, o lucro que provê, o custo para substituí-

lo, etc;

11 CASSARO, Antonio Carlos. Controles Internos e Segurança de Sistemas. 1º ed. São Paulo: LTR, 1997. p. 81. 12 Gestão de Riscos é o processo que identifica e trata os riscos de forma sistemática e contínua.

21

b) Ameaça: é a expectativa de acontecimento acidental ou proposital,

causado por um agente, que pode afetar um ambiente, sistema ou ativo

de informação;

c) Vulnerabilidade: fragilidade que pode ser explorada por uma ameaça para

concretizar um ataque;

d) Impacto: consequência de uma vulnerabilidade ter sido explorada por uma

ameaça para concretizar um ataque;

e) Probabilidade: chance de a ameaça atacar com sucesso os ativos

computacionais.

É importante reconhecer que os riscos podem ser apenas minimizados, já

que é impossível eliminá-los completamente. Uma medida que hoje é eficiente,

amanhã poderá ser violada, pois uma quebra de segurança sempre poderá ocorrer,

é só uma questão de tempo, recursos técnicos e econômicos. As medidas proativas

podem facilitar e tornar menos onerosas as medidas corretivas.

Gestão do Risco é um conjunto de processos que permite às organizações identificar e implementar as medidas de proteção necessárias para diminuir os riscos a que estão sujeitos os seus ativos de informação, e equilibrá-los com os custos operacionais e financeiros envolvidos.13

A gestão do risco possui várias etapas cíclicas que minimizam a

probabilidade de ataques dos agentes sobre as vulnerabilidades dos alvos. São elas

estabelecimento do contexto, identificação dos riscos, análise do risco (mensurando

ameaças, vulnerabilidades e impactos), estimativa do risco, tratamento do risco e a

aceitação residual do risco.

Conforme a norma ISO 27002, a análise e avaliação de riscos é um dos

aspectos mais importantes da Gestão de Riscos. Um passo anterior à

implementação dos controles é ter mapeado todos os requisitos de segurança. Estes

requisitos são baseados em três fontes:

a) Análise e Avaliação de Riscos;

b) Legislação e Regulamentação;

c) Princípios e Valores da organização.

13 BEAL, Adriana. Segurança da Informação. 1º ed. São Paulo: Atlas, 2005. p. 11

22

Afirma que a análise e avaliação de riscos deve ser usada para avaliar se

todos os controles citados nas diversas seções da norma são ou não necessários,

para determinar a necessidade de outros controles além dos citados na norma.

3.3 NORMAS E PADRÕES DE SEGURANÇA

Conhecer e avaliar os riscos deixou de ser uma necessidade técnica para

se transformar numa questão estratégica para as organizações, em função das

exigências de mercado, governo, agências reguladoras e clientes.

A avaliação de riscos de uma organização passa a ser medida pela

capacidade de proteger seus ativos e isto está relacionado ao atendimento dos

requisitos de Segurança da Informação. As regulamentações podem exigir a

implementação de frameworks14 (ITIL15, COBIT16, ISO 27001, ISO 27002) para

garantir a segurança dos ativos. Ativos estes que envolvem ambientes, tecnologias,

processos e pessoas.

Estar em conformidade com normas e padrões representa o seguimento

das melhores práticas, pois elas promovem a uniformidade e qualidade aos

processos, produtos ou serviços visando a eficiência e eficácia.

Normas e padrões técnicos representam uma referência importante para a qualidade de qualquer processo. Quando processos de produção de bens e serviços são desenvolvidos em conformidade com um padrão de referência de qualidade, aumentam as garantias de que estes sejam eficientes, eficazes e confiáveis.17

Existem diversas metodologias (ou frameworks), padrões e

regulamentações disponíveis no mercado que podem ser utilizados como referência

para implementar a segurança da informação na organização. A aplicação pode

14 Frameworks : são metodologias estruturadas para a implementação de padrões técnicos. 15 ITIL: Information Technology Infrastructure Library. 16 COBIT: Common Objectives for Information and Related Technology. 17 BEAL, Adriana. Segurança da Informação. 1º ed. São Paulo: Atlas, 2005. p. 31

23

variar de empresa para empresa e, mais importante do que a certificação, é o

conhecimento de suas práticas para que cada organização possa extrair delas as

recomendações que mais se adaptam a sua realidade.

A seguir relacionamos dois padrões internacionais que desenvolveram um

sistema formal de gestão da segurança da informação.

3.3.1 NBR ISO/IEC18 27001:2005 - Information Security Management Systems –

Requirements (Sistema de Gestão da Segurança da Informação – Requerimentos)

A ISO 27001 é uma norma que trata da Gestão da Segurança da

Informação, ou seja, ela estabelece, implementa, opera, monitora, mantém e

melhora um Sistema de Gestão da Segurança de Informação (SGSI) dentro das

organizações. Estas podem ser de qualquer tipo, tamanho e natureza.

Esta norma adota o modelo PDCA (plan-do-check-act), sendo:

a) Plan: Estabelecer o SGSI;

b) Do: Implementar o SGSI;

c) Check: Monitorar e revisar o SGSI;

d) Act: Manter e melhorar o SGSI.

Ela está alinhada com outras normas, tais como NBR ISO 9001, NBR ISO

14001 e NBR ISO 15408 para apoiar a implementação e a operação de forma

consistente e integrada com normas de gestão relacionadas.

É o único padrão aceito internacionalmente para a gestão da segurança,

pois é a única norma que permite a certificação das organizações na área de

segurança. Esta questão é uma das diferenças entre a ISO 27001 e a ISO 27002.

Enquanto esta trata de “recomendar”, aquela trata de “requerer”. É quando os

“requerimentos” são implementados, monitorados e melhorados que a empresa

poderá solicitar a certificação na ISO 27001.

Áreas de controle da ISO 27001:

a) Sistema de Gestão da Segurança de Informação;

18 ISO/IEC: International Organization for Standardization / International Electrotechnical Commission

24

b) Responsabilidades da Direção;

c) Auditorias Internas do SGSI;

d) Análise Crítica do SGSI pela direção;

e) Melhoria do SGSI.

Analisando as diversas normas nota-se que existem vários itens em

comum e, em outros, elas se complementam em vários aspectos. Cada organização

deve escolher a norma que mais se adapta a suas características ou realidade.

Antes de mais nada, é necessário identificar o que se quer proteger para

posteriormente planejar em cima deste escopo. A prevenção legal em Segurança da

Informação é um processo de gestão dinâmico, sujeito a atualizações constantes,

por este motivo é importante retroalimentar o processo.

3.3.2 NBR ISO/IEC 27002:2005 - Code of Practice for Information Security

Management (Código de Práticas para Gestão da Segurança da Informação)

A ISO 27002 é um conjunto de recomendações e de boas práticas para

gestão da segurança da informação para uso por aqueles que são responsáveis

pela introdução, implementação ou manutenção da segurança em suas

organizações. Tem como propósito prover uma base comum para o

desenvolvimento de normas de segurança organizacional, das práticas efetivas de

gestão da segurança e prover confiança nos relacionamentos entre as organizações.

A ISO 27002 atua em segurança da informação considerando tecnologia, processos

e pessoas e é publicada no Brasil pela ABNT com o código NBR ISO/IEC

27002:2005. Até 2007, esta norma era conhecida como ISO 17799.

Áreas de controle da ISO 27002:

a) Política de Segurança;

b) Organização da Segurança;

c) Gestão de Ativos (Patrimônio);

d) Segurança dos Recursos Humanos;

e) Segurança Física e Ambiental;

f) Gestão de Operações e Comunicações;

25

g) Controle de Acessos;

h) Aquisição, Manutenção e Desenvolvimento de Sistemas;

i) Gestão de Incidentes de Segurança da Informação;

j) Gestão da Continuidade do Negócio;

k) Conformidade.

A ISO 27002 será discutida no próximo capítulo deste trabalho.

26

4 ÁREAS DE CONTROLE DA ISO/IEC 27002 E A APLICABILIDADE NA

POLÍTICA E GESTÃO DA SEGURANÇA EM SISTEMAS APLICATIVOS

Alinhados com a proposta para a criação de uma metodologia que auxilie

na auditoria em sistemas de Informação no âmbito do TCE-RS e nos órgãos

auditados, os controles sugeridos na ISO 27002 podem servir de espinha dorsal

neste processo, já que contém os objetivos e controles necessários para garantir a

segurança dos ativos de informação da organização. Serão apresentados alguns

dos controles considerados relevantes para garantir a segurança dos ativos de

informação em geral, tanto quanto dos aplicativos de software em particular no

âmbito de uma organização.

A ISO 27002 é uma norma que apresenta um código com as melhores

práticas para a gestão da segurança da informação. Ela apresenta uma série de

recomendações de controle para minimizar os riscos envolvendo os ativos de

informação. Esta norma não possui certificação mas, nem por isto, deixa de ser um

dos instrumentos mais utilizados quando o assunto é a implementação da segurança

da informação. Ela é composta por 11 (onze) seções de controles, subdividida em 39

categorias principais de segurança.

A norma em nenhum momento diz que todos os controles nela descritos

devam ser implementados pela organização. Ela deixa à critério da própria

organização escolher o escopo, abrangência e profundidade dos controle que mais

estejam adequados com as suas diretrizes e com a especificidade do seu negócio.

4.1 A ISO 27002 E SUAS ÁREAS DE CONTROLES

a) Política de Segurança da Informação: orienta a organização no

estabelecimento de uma política clara que trate da segurança de

informações, alinhada com as diretrizes do negócio. Requer que a alta

administração demonstre seu apoio e comprometimento com a segurança

da informação por meio da publicação, manutenção e divulgação da

Política de Segurança da Informação (PSI) para toda a organização. São

27

fornecidas ferramentas para a elaboração e implementação do documento

e a sua análise crítica;

b) Organização da Segurança: orienta a organização em como gerenciar a

segurança da informação, assim como a manter a segurança dos recursos

de que são acessados, processados, comunicados ou gerenciados por

partes externas;

c) Gestão de Ativos (Patrimônio): orienta a organização a alcançar e

manter a proteção adequada dos ativos de informação, além de assegurar

que a informação seja classificada de acordo com seu nível adequado de

proteção. São fornecidas diretrizes para a realização de inventário dos

ativos, definição de seus proprietários e regras para o seu uso. A norma

traz algumas recomendações para a classificação da informação e sugere

a definição de procedimentos para rotulação e tratamento da informação;

d) Segurança dos Recursos Humanos: orienta a organização a assegurar

que funcionários, fornecedores e terceiros compreendam suas

responsabilidades, estejam conscientes das ameaças relativas à

segurança da informação e prontos para apoiar a PSI. São fornecidas

diretrizes para a definição de papéis e responsabilidades. Inclusive da

direção, seleção de pessoal, termos e condições de contratação,

conscientização, educação e treinamento em segurança da informação e

processo disciplinar. Assim como diretrizes para casos de encerramento

ou mudança da contratação quando são necessários devolução de ativos

e retirada de direitos de acesso;

e) Segurança Física e Ambiental: orienta a organização a prevenir aceso

físico não autorizado, danos e interferências nas instalações e

informações, tanto quanto impedir perdas, danos, furto ou

comprometimento de ativos e interrupção das atividades da organização.

São fornecidas diretrizes para áreas seguras, incluindo perímetro de

segurança física, controles de entrada física, segurança em escritórios,

28

salas e instalações, proteção contra ameaças externas e do meio

ambiente e acesso do público, áreas de entrega e carregamento. São

dadas recomendações para para instalação e proteção de equipamento,

inclusive contra falta de energia elétrica e outras interrupções provocadas

por falhas das utilidades, segurança do cabeamento, manutenção de

equipamentos, segurança de equipamentos fora das dependências da

organização, reutilização e alienação de equipamentos e, finalmente,

remoção de propriedade;

f) Gestão de Operações e Comunicações: orienta a organização quanto

aos procedimentos e responsabilidades operacionais, incluindo a gestão

de mudança, segregação de funções e separação dos ambientes de

produção, desenvolvimento e teste. São dadas diretrizes para o

gerenciamento de serviços terceirizados, planejamento e aceitação de

sistemas, proteção contra códigos maliciosos e móveis, cópias de

segurança, gerenciamento da segurança em redes, manuseio de mídias,

troca de informações, serviços de correio eletrônico e monitoramento;

g) Controle de Acessos: orienta a organização em relação aos controles de

acesso à informação e aos recursos de processamento das informações.

São dadas diretrizes para a definição de requisitos de negócio para

controle de acesso, gerenciamento de acesso e responsabilidade do

usuário, controle de acesso à rede, sistema operacional, aplicação e

informação e aspectos sobre computação móvel e trabalho remoto. Tais

diretrizes envolvem desde a definição de uma política de controle de

acesso e o gerenciamento de privilégios até o isolamento de sistemas

críticos;

h) Aquisição, Manutenção e Desenvolvimento de Sistemas: orienta a

organização quanto à definição dos requisitos necessários de segurança

nos sistemas de informação, medidas preventivas contra o processamento

incorreto das aplicações, uso de controles criptográficos, além de fornecer

diretrizes para a segurança dos arquivos de sistema, segurança em

29

processos de desenvolvimento e suporte e gestão de vulnerabilidades

técnicas;

i) Gestão de Incidentes de Segurança da Informação: orienta a

organização para que fragilidades e eventos de segurança da informação

associados com sistemas de informação sejam comunicados e

gerenciados de forma consistente e efetiva, permitindo a tomada de ação

corretiva em tempo hábil. São fornecidas diretrizes para a notificação de

eventos e fragilidades de segurança da informação, definição de

responsabilidades e procedimentos de gestão desses eventos e

fragilidades, além da coleta de evidências e do estabelecimento de

mecanismos para análise dos incidentes recorrentes ou de alto impacto

com vistas à sua quantificação e monitoramento;

j) Gestão da Continuidade do Negócio: orienta a organização na tomada

de medidas para prevenir a interrupção das atividades do negócio e

proteger os processos críticos contra defeitos, falhas ou desastres

significativos, assegurando sua retomada em tempo hábil. São fornecidas

diretrizes para incluir a segurança da informação no processo de gestão

da continuidade de negócio e realizar análise e avaliação de riscos, assim

como desenvolver, implementar, testar e reavaliar planos de continuidade

relativos à segurança da informação;

k) Conformidade: orienta a organização a evitar violação de qualquer lei

criminal ou civil, estatutos, regulamentações ou obrigações contratuais e

de qualquer dos requisitos de segurança da informação, além de garantir

a conformidade dos sistemas com as políticas e normas organizacionais

de segurança da informação. São dadas diretrizes para a identificação da

legislação vigente, proteção dos direitos de propriedade intelectual,

proteção dos registros organizacionais, proteção de dados e privacidade

de informações pessoais, prevenção de mau uso de recursos de

processamento da informação e regulamentação de controles de

30

criptografia. Também são feitas algumas considerações sobre a auditoria

de sistemas de informação.

Pela sua complexidade e abrangência, tratar da segurança da informação

ou segurança em tecnologia da informação torna-se um trabalho exaustivo e pode

envolver profissionais de diferentes campos de atuação, tanto quanto diferentes

áreas da organização. Segurança da informação é um assunto que não deve estar

ligado somente à área de TI, mas inserido na cultura organizacional.

Por tratar-se de um assunto que possui um escopo muito abrangente,

optamos por estender a discussão dentro do escopo de aquisição, desenvolvimento

e manutenção de sistemas aplicativos. Trataremos dos controles necessários para a

condução de uma auditoria interna ou externa envolvendo sistemas aplicativos.

4.2 PORQUE CONTROLAR?

Porque os controles são importantes? Porque um trabalho de auditoria em

sistemas de informação envolve, antes de auditar a informação em si, verificar se os

controles ou cuidados sobre o ambiente computacional estão sendo realizados de

forma adequada e segura. Os controles existem para tornar a informação mais

confiável.

Quando o auditor de TI tiver como objetivo auditar um dado aplicativo,

como por exemplo, o sistema de faturamento de uma organização, ele também irá

questionar a equipe de TI sobre quais os controles implementados sobre o

ambiente computacional como um todo. Exemplos de assuntos que poderão ser

tratados pelo auditor: controle de versões, controle de mudança, permissões de

acesso lógico ao sistema, permissões de acesso físico ao código fonte, etc.

O TCU (1998, p. 41) relaciona seis categorias de controles gerais que

devem ser consideradas em auditoria:

a) controles organizacionais;

b) programa geral de segurança;

c) continuidade do serviço;

d) controles de software de sistema;

31

e) controles de acesso;

f) controles de desenvolvimento e alteração de softwares aplicativos.19

Por razões de escopo, optou-se por tratar neste trabalho os aspectos

relacionados aos controles organizacionais, o programa geral de segurança, aqui

tratado como política de segurança da informação e os controles de

desenvolvimento e alteração de softwares aplicativos.

A escolha destes três tópicos deu-se porque considera-se pouco

ilustrativa e de difícil entendimento a discussão sobre os controles de

desenvolvimento de sistemas visto de forma solta e não interligada aos controles

organizacionais e à política de segurança da informação. Esta última, aliás, é

considerada um pré-requisito para a implantação de qualquer programa de gestão

da segurança de informação.

4.2.1 Controles Organizacionais

Podemos começar avaliando alguns aspectos organizacionais

envolvendo o componente humano, tais como segregação de funções e recursos

humanos.

Os elementos críticos para a avaliação dos controles organizacionais são:

a) Unidades organizacionais bem definidas, com níveis claros de autoridade,

responsabilidades e habilidades técnicas necessárias para exercer os

cargos;

b) Atividades dos funcionários controladas através de procedimentos de

operação e supervisão documentados e políticas claras de seleção,

treinamento e avaliação de desempenho;

c) Política de segregação de funções e controles de acesso para garantir na

prática a segregação de funções;

d) Recursos computacionais gerenciados de forma a suprir as necessidades

de informação de forma eficiente e econômica.

19 TRIBUNAL DE CONTAS DA UNIÃO. Secretaria de Controle Externo. Secretaria de Auditoria e Inspeções. Manual de

Auditoria de Sistemas. Brasília, 1998, p. 41.

32

4.2.1.1 Segregação de Funções

A Segregação de Funções é uma questão chave no controle interno pois,

conforme foi mencionado anteriormente, as pessoas são consideradas o aspecto

mais frágil a ser observado na segurança da informação. Segundo Beal, (2005, p.

71), quando se trata de pessoas com acesso a recursos de informação corporativos,

a melhor política é a expressão “confie, mas verifique”. Ela afirma que estudos

demonstram que a maior parte dos incidentes de segurança, sejam eles acidentais

ou intencionais, são provocados por integrantes da própria organização.

Pesquisa global sobre segurança da informação desenvolvida pela Ernst & Young (2003) cita diversos estudos para concluir que os incidentes de segurança internos acarretam prejuízos financeiros substancialmente maiores do que ataques externos. Quando se fala em ‘incidentes internos’, é importante considerar também as falhas de segurança provocadas por terceiros com acesso legítimo a recursos de informação da organização: fornecedores, prestadores de serviço, consultores, etc.20

No âmbito do desenvolvimento de sistemas, é uma boa prática:

a) quem desenvolve uma aplicação não deveria testá-la ou mantê-la sob

pena de adquirir tal domínio sobre a mesma que se tornaria imprescindível

ou “proprietária” do sistema. Tendo estas facilidades seria muito fácil

incorporar código fraudulendo ou danoso que poderiam trazer prejuízos

para a organização;

b) a atividade de manutenção de sistemas deveria ser realizada em rodízio,

para que uma mesma pessoa não efetuasse duas manutenções seguidas

em um mesmo sistema ou programa. As razões são as mesmas do item

anterior;

20 BEAL, Adriana. Segurança da Informação. 1º ed. São Paulo: Atlas, 2005. p. 71

33

A segregação de funções é que irá orientar na definição dos privilégios de

acesso às diversas funcionalidades do sistema, pois o privilégios devem ser

compatíveis com a função do usuário.

O acesso à aplicação deve ser garantida pelo uso de senha de caráter

pessoal e instransferível. A aplicação deve conter mecanismos de tratamento das

senhas de forma a não permitir a inclusão de senhas de fácil descoberta, tais como:

data de aniversário, o próprio nome, o nome dos pais ou dos filhos, etc.

4.2.1.2 Recursos Humanos

O dimensionamento da equipe deve ser pensado para atender às

demandas operacionais de curto prazo e àquelas voltadas para atender as

demandas de médio prazo definidas no planejamento estratégico.

Cassaro (1997, p. 98) cita a Lei de Parkinson para ilustrar que o número

de profissionais que trabalham na área de sistemas está diretamente ligado com a

qualidade do atendimento dado aos usuários, ele cita que “o tempo de resposta e a

qualidade da resposta que a área de telemática dá aos seus usuários são

inversamente proporcionais à quantidade de pessoas da área”.

Quando a equipe da área de sistemas de uma organização é pequena, o

resultado é a sobrecarga de trabalho e as pessoas acabam por tornarem-se

imprescindíveis. Já vimos quando tratamos da segregação de funções o aspecto

negativo de um colaborador imprescindível.

Beal (2005, p. 73) relaciona algumas medidas que uma organização pode

adotar para minimizar os riscos provocados pelo elemento humano em seus quadros

de colaboradores:

a) Processos confiáveis de seleção de pessoal, isenta de simpatias pessoais,

mas voltada para as reais habilidades demonstradas pelo candidato.

Deve abranger uma investigação dos antecendentes do funcionário, do

temporário ou prestador de serviço;

b) Contrato de trabalho incluindo a documentação das responsabilidades de

segurança e normas e políticas de segurança da organização;

34

c) Assinatura de acordos de confidencialidade com definição clara de termos

e condições de trabalho relativos à segurança da informação, direitos

autorais e proteção de dados;

d) Supervisão gerencial suficiente para permitir a detecção e reação à

situações de risco (problemas pessoais e financeiros, sinais de estresse)

ou atitudes suspeitas (mudança no estilo de vida, recusa em tirar férias);

e) Segregação de funções para evitar que uma mesma pessoa se torne

responsável por todas as etapas de um processo;

f) Treinamento e conscientização dos funcionários;

g) Expectativa de controle e de punição em caso de descumprimento de

normas de segurança, incluindo a demissão e a retirada dos privilégios de

acesso físico e lógico aos ativos de informação.

Outros controles relacionados pelo TCU (1998, p. 50) envolvem questões

de transferência e demissão de funcionários. Nele são indicados alguns cuidados

dispensados pela organização no término do vínculo empregatício.

Maiores detalhamentos sobre os assuntos segregação de funções,

segurança em recursos humanos e privilégios de acessos podem ser encontrados

em outras seções da ISO 27002.

A seção 8 da ISO 27002 trata, especificamente, da Segurança em

Recursos Humanos, seus papéis e responsabilidades, seleção, termos e condições

de contratação.

A seção 10 trata do Gerenciamento das Operações e Comunicações

envolvendo, entre outras coisas, a segregação de funções, a separação dos

ambientes de desenvolvimento, teste e produção, a proteção contra códigos

maliciosos, o controle de redes, o monitoramento do uso dos sistemas e de serviços

terceirizados. E a seção 11 trata sobre o Controle de Acessos.

Nós tópicos seguintes serão tratados aspectos mais técnicos envolvendo

os requisitos iniciais que devem ser observados no desenvolvimento de sistemas.

35

4.2.2 Política de Segurança da Informação (PSI)

Não há como tratar da gestão da segurança se a organização não tiver

definida uma política de segurança tratada na seção 5 da norma. Torna-se

necessário que a alta administração pense, trate e patrocine a PSI como um ítem

dentro do planejamento estratégico. A definição e a divulgação da PSI é de

fundamental importância para o sucesso da gestão da segurança no âmbito da

organização. A segurança deve ser incorporada na cultura organizacional.

Conceitualmente, a Política de Segurança da Informação é um conjunto

de documentos que descreve quais são os princípios e as diretrizes ligados à

Segurança da Informação adotados pela organização e que devem ser observados

pelos seus colaboradores e aplicados a todos os sistemas e processos corporativos

e, principalmente, deve estar alinhados às estratégias da organização.

Dias (2000, p. 44), aponta que antes de implementá-la é necessário

responder às seguintes perguntas:

a) O que se quer proteger?

b) Contra o que ou quem?

c) Quais as ameaças mais prováveis?

d) Qual a importância de cada recurso?

e) Qual o grau de proteção desejado?

f) Quanto se pretende investir (tempo, recursos financeiros e humanos) para

atingir os objetivos de segurança desejados?

g) Quais as expectativas dos usuários e clientes em relação à segurança de

informações?

h) Quais as consequências para a organização se seus ativos e informações

forem corrompidos ou roubados?

As respostas a estas perguntas servirão de base para a definição de uma

PSI. As medidas preventivas deverão ser definidas de forma a atender os requisitos

de segurança da PSI, considerando o equilíbrio entre necessidades de segurança e

custos.

36

A política de segurança é um mecanismo preventivo de proteção dos dados e processos importantes a uma organização que define um padrão de segurança a ser seguido pelo corpo técnico e gerencial e pelos usuários, internos ou externos. Pode ser usada para definir as interfaces entre usuários, fornecedores e parceiros e para medir a qualidade e a segurança dos sistemas atuais.21

A PSI é a diretriz ou espinha dorsal para todas as atividades de

Segurança da Informação executadas em uma organização e é através dela que a

estratégia de Segurança da Informação será planejada e passada para todas as

áreas envolvidas, nas diferentes esferas da organização. E, principalmente, é a PSI

que reflete o comprometimento da alta direção com a segurança, pois este é um

fator fundamental para que a política seja assimilada pelo maior número possível de

colaboradores.

4.2.2.1 Escopo da PSI

Embora o conteúdo de uma PSI possa variar conforme o tamanho ou grau

de informatização de uma organização, ela deve ser abrangente o suficiente para

identificar as responsabilidades em relação à segurança da informação em todos os

níveis organizacionais.

Sugere-se, como ponto de partida para a formulação do escopo da PSI,

utilizar os pontos de controle relacionados nas dez seções da ISO 27002 como

conteúdo para o documento da PSI. Os pontos de controle foram citados na página

24 deste trabalho, são eles: Organização da Segurança; Gestão de Ativos

(Patrimônio); Segurança dos Recursos Humanos; Segurança Física e Ambiental;

Gestão de Operações e Comunicações; Controle de Acessos; Aquisição,

Manutenção e Desenvolvimento de Sistemas; Gestão de Incidentes de Segurança

da Informação; Gestão da Continuidade do Negócio; Conformidade.

O ser humano é considerado o elo mais mais frágil quando o assunto é

segurança. Assim, além de identificar os objetivos da organização em relação à

Segurança da Informação, é muito importante para o sucesso da PSI a atribuição de

21 DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. 1º ed. Rio de Janeiro: Axcel Books, 2000. p. 48

37

responsabilidades entre os colaboradores da organização a fim de criar uma cultura

de segurança e disseminar a importância deste documento para os resultados da

organização.

4.2.2.2 Elaboração e Implementação da PSI

A PSI deve ser planejada e implementada com base nos objetivos

alinhados às necessidades da organização, após torna-se necessário identificar

quais os ativos são importantes para alcançar estes objetivos, já que toda

organização possui aspectos críticos e específicos em que deseja direcionar seu

foco de proteção: alta disponibilidade, informações sigilosas, proteção da imagem,

etc.

TIPO DE DOCUMENTO NÍVEL DE ATUAÇÃO

Diretrizes Estratégico

Normas Tático

Procedimentos e Instruções Operacional Quadro 1 – Alinhamento Estratégico: Documentos da PSI X Nível de Atuação22 Fonte: Ramos (2006, p. 93)

Pode-se dividir os documentos da PSI em três tipos:

a) Diretrizes: são os princípios que norteiam a organização alinhados com a

visão estratégica da alta admnistração;

b) Normas: são representadas pelos controles implementados no nível tático

direcionados para atingir a estratégia definida nas diretrizes;

c) Procedimentos e instruções: é a implementação dos controles

estabelecidos nas normas detalhados no plano operacional.

A norma recomenda que seja utilizado para esta tarefa a Análise e

Avaliação de Risco (AAR), considerada fundamental para o desenvolvimento da PSI.

Os autores recomendam que a abordagem da AAR deva ser gradual, dos itens mais

22 RAMOS, Anderson (org). Security Officer – 1: Guia oficial para formação de gestores em segurança da informação. 1º

ed. Porto Alegre: Zouk, 2006. p. 93

38

relevantes e críticos para a organização, para facilitar a sua implementação, já que

uma tentativa de englobar toda a organização pode ser tornar inviável.

Uma boa prática para a elaboração da PSI é a utilização da metodologia

5W2H (Who, What, When, Where, Why, How, How Much / Quem, O que, Quando,

Onde, Porque, Como, Quanto), sempre tendo em mente que os documentos

produzidos para a PSI devem estar adequados ao público ao qual se destinam:

gestores, técnicos, usuários, etc.

4.2.2.3 Manutenção e Auditoria de conformidade com a PSI

É importante que a PSI retrate as dinâmicas e mudanças organizacionais,

ou seja, ela deve sofrer as atualizações necessárias para acompanhar as mudanças

de cenários, tanto tecnológicos quanto administrativos, pois novos problemas de

segurança aparecem quase que diariamente.

Além disto, o envolvimento e colaboração de todos os envolvidos é

fundamental para que uma política de segurança seja bem-sucedida, como esta

participação universal nem sempre é possível, a norma recomenda a adoção de

mecanismos para a avaliação do grau de conformidade por parte dos usuários com

as práticas exigidas pela PSI. Estes mecanismos podem ser obtidos através do

monitoramento de incidentes de segurança ou outros eventos relevantes.

Mudança na Deve-se atualizar Freqüência Volume

Rotina Procedimentos e

Instruções

Alta Baixo

Tecnologia Normas

(e Procedimentos)

Média Médio

Empresa Diretrizes

(e normas

e procedimentos)

Baixa Alto

Quadro 2 – Manutenção da PSI23 Fonte: Ramos (206, p. 104)

23 RAMOS, Anderson (org). Security Officer – 1: Guia oficial para formação de gestores em segurança da informação. 1º

ed. Porto Alegre: Zouk, 2006. p. 104

39

...A garantia de conformidade com a política de segurança depende ainda de uma verificação periódica do comportamento de todos os envolvidos na implementação dos controles, de modo que eventuais desvios em relação às diretrizes estabelecidas possam ser identificados e corrigidos (etapas de avaliação e ação corretiva do ciclo PDCA da gestão da segurança). Essa avaliação deve abranger todos os processos críticos da organização, e é provável que as responsabilidades precisem ser divididas entre as áreas responsáveis pelos diferentes aspectos da segurança (humanos, tecnológicos, físicos, administrativos, etc). Eventuais auditorias de conformidade com a PSI devem ser desempenhadas por indivíduos que não participem diretamente das atividades auditadas, para garantir a isenção da análise...24

Pode-se concluir que uma PSI bem implementada deve ser abrangente o

suficiente para estar inserida em todo o ambiente organizacional, e não apenas aos

recursos computacionais. Ela deve integrar-se às políticas institucionais relativas à

segurança em geral e ao planejamento estratégico da informática, tais como

planejamento de contingências, planejamento de desenvolvimento ou aquisição de

novos sistemas, planejamento de aumento do parque de máquinas instalada, entre

outros.

4.2.3 Controles de Desenvolvimento e Manutenção de Sistemas Aplicativos

Sistemas aplicativos podem ser entendidos como um conjunto de

programas desenvolvidos para executar determinado tipo de operação, por exemplo:

faturamento ou folha de pagamento.

O foco deste trabalho é apresentar algumas recomendações da ISO

27002 dentro da auditoria de sistemas tratados na seção 12 da norma. Ela trata que

a segurança deve estar inserida em todas as etapas do processo de

desenvolvimento e manutenção de sistemas: especificação, projeto,

desenvolvimento, teste, implementação em produção, operação, manutenção e

inativação. De forma abrangente, estas tarefas incluem:

a) Planejamento de sistemas de informações;

b) Aquisição de sistemas;

c) Especificação, programação, teste e implementação de sistemas novos;

24 BEAL, Adriana. Segurança da Informação. 1º ed. São Paulo: Atlas, 2005. p. 49

40

d) Modificação dos programas das aplicações existentes;

e) Manutenção preventiva dos sistemas aplicativos;

f) Documentação e controle sobre versões de programas em produção.

Inicialmente, é importante ressaltar que os sistemas devem estar

alinhados com as diretrizes da organização e, por este modo, devem ser

desenvolvidos para alcançar os objetivos relacionados no planejamento estratégico.

Imoniana (2005, p. 93)25 afirma que o desenvolvimento de um novo

sistema deve ser patrocinado pela alta administração da organização. Cassaro

(1997, p. 109) se alinha a este argumento quando considera que os trabalhos de

desenvolvimento de sistemas devem ocorrer através da formação de uma equipe

multidisciplinar composta por especialista em TI, por representantes dos principais

usuários e, sempre que possível, com alguém da auditoria e da contabilidade. A

administração deve estar presente pois partirá dela a disponibilização dos recursos

econômicos que viabilizarão o início do projeto, assim como a priorização das

demandas que deverão ser trabalhadas para o atingimento das estratégias.26

É recomendável que haja uma reunião formal quando o sistema será

oficialmente iniciado, com uma ata estabelecendo os responsáveis e suas

atribuições e o escopo do sistema. A seguir, deve ser definido um cronograma de

atividades e a devida alocação dos tempos e recursos envolvidos.

No âmbito do TCE-RS existe a figura do Gerente do Sistema que deve

servir de intermediário entre as necessidades dos usuários finais e a área de

sistemas, filtrando as demandas mais urgentes e essenciais dos usuários e

auxiliando o analista de sistemas nas especificações do projeto. Por causa destas

atividades, o gerente do sistema deve ser um usuário mais qualificado e conhecedor

da(s) área(s) de negócio envolvida(s). Contudo, na prática, a figura do Gerente do

Sistema não funciona de forma efetiva já que as funções e cargos alteram-se

constantemente e as atividades não são passadas aos substitutos. Outra causa

provável pode ser a falta de comprometimento com o projeto em si, os gerentes não

pegam para si esta função, acarretando, no final das contas, com que as atividades

do gerente sejam incorporadas às demais atividades da área de sistemas.

25 IMONIANA, Joshua Onome. Auditoria de Sistemas de Informação. 1º edição. São Paulo: Atlas, 2005. p. 93. 26 CASSARO, Antonio Carlos. Controles Internos e Segurança de Sistemas. 1º ed. São Paulo: LTR, 1997. p. 109.

41

Mais recentemente, está sendo implantado no TCE-RS o Escritório de

Projetos que terá como função principal orientar e acompanhar a execução dos

projetos desenvolvidos pelos vários setores deste órgão de controle.

Nos tópicos seguintes iremos discutir alguns aspectos de segurança na

aquisição, manutenção e desenvolvimento de sistemas de informações baseados

nas recomendações da ISO 27002.

É recomendável que as questões de segurança sejam consideradas já no

início da especificação do sistema e que os controles necessários sejam

incorporados nos estágios iniciais dos trabalhos pois neste ponto eles são menos

custosos de implementar e manter.

Muitas das vulnerabilidades dos sistemas ocorrem por falhas no estágio

de levantamento de requisitos. Alguns cuidados devem ser tomados para que o

produto entregue pela área de desenvolvimento de sistemas corresponda ao

proposto no escopo inicial.

O estabelecimento de padrões em desenvolvimento de sistemas, como

em qualquer outra área do conhecimento, uniformiza o processo de desenvolvimento

e manutenção de sistemas. A utilização de metodologias comprovadamente

eficientes pode reduzir a incidência de variáveis indesejáveis no ciclo de

desenvolvimento e manutenção de sistemas.

A metodologia pode incluir desde documentação padrão para

levantamento de requisitos até ferramentas de modelagem de dados, geradores de

aplicações, frameworks de desenvolvimento, entre outras.

Na fase de especificação e projeto é que devem ser levantadas as

questões de segurança em relação à(s) tecnologia(s) escolhida(s). Atualmente, o

número de camadas de software que envolvem uma aplicação é cada vez maior e,

se as questões de segurança não forem pensadas com antecedência, podem deixar

expostas fragilidades que irão comprometer os ativos de informação envolvidos. A

norma recomenda que os controles de segurança reflitam o valor dos ativos de

informação para a organização.

A recomendação para sistemas comprados de terceiros é que uma

bateria de testes sejam aplicados em produtos de diferentes fornecedores. Os testes

devem responder a um checklist dos requisitos de segurança que devem estar

implementados nos produtos. Se algum dos produtos avaliados não corresponder

42

aos requisitos de segurança desejados, a norma recomenda que o risco introduzido

seja considerado antes da compra do produto.

É recomendável testar várias opções oferecidas pelo mercado até que

seja encontrada a opção mais aderente às necessidades da organização.

4.2.3.1 Validação dos dados de entrada

Para testes em sistemas desenvolvidos internamente, Imoniana (2005, p.

94)27 recomenda que sejam introduzidos dados incorretos, incompletos ou

inconsistentes para verificar se foram implementados os controles esperados.

Neste ponto, os controles pretendem identificar os valores fora de faixa,

caracteres inválidos, volume de dados excedendo limites superiores ou inferiores,

dados de controle inconsistentes ou não autorizados, procedimentos para tratar

erros de validação, entre outros.

As rotinas de validação de dados testam a presença de: códigos de aprovação e autorização, dígitos de verificação em todas as chaves de identificação, dígitos de verificação ao final de uma seqüência (string) de dados numéricos, códigos válidos, valores alfanuméricos ou numéricos válidos, tamanhos válidos de campo, campos combinados, limites válidos, razoabilidade dos valores ou faixa de valores válida, campos obrigatórios preenchidos, símbolos, registros de entrada completos, campos repetitivos, eliminando a necessidade da entrada dos mesmos dados mais de uma vez.28

Cabe mecionar novamente que os testes devem ser realizados por

pessoas que não participaram do processo de desenvolvimento do sistema.

É recomendável a utilização de padrões para a construção das telas,

obdecendo a regras de ergonomia de software e de entrada de dados, tais como a

facilidade de identificação dos campos obrigatórios, o agrupamento de campos

relacionados ao mesmo assunto, utilização de abas ou guias para a separação dos

27 IMONIANA, Joshua Onome. Auditoria de Sistemas de Informação. 1º edição. São Paulo: Atlas, 2005. p. 94. 28 TRIBUNAL DE CONTAS DA UNIÃO. Secretaria de Controle Externo. Secretaria de Auditoria e Inspeções. Manual de

Auditoria de Sistemas. Brasília, 1998, p. 71.

43

assuntos, padronização de teclas de atalho e botões com a devida identificação de

suas funções, etc.

A autorização para a entrada de dados deve ser feita via permissões de

acesso através do uso de senhas às diversas funcionalidades do aplicativo, assim

como através do uso de validações internas aos dados inseridos. Log de transações

podem ser incorporados aos aplicativos para identificar quem realizou determinada

operação durante a utilização do aplicativo.

Outra consideração importante é verificar se a aplicação possui

mecanismos para prevenir a inviolabilidade do princípio da segregação de funções,

ou seja, um mesmo usuário executando atividades que deveriam ser realizadas por

usuários diferentes.

E por fim, é necessário definir um adequado tratamento de erros para as

operações indevidas sobre o aplicativo.

4.2.3.2 Controle do processamento interno

A norma recomenda uma série de controles para garantir o correto

processamento da aplicação sobre os dados de forma a minimizar inconsistências e

a perda da integridade.

É recomendável que as manipulações que implicam em incluir, alterar ou

remover os dados sejam realizadas através de funções. Esta funcionalidade

padroniza e facilita a manutenção da aplicação para os casos de adição ou remoção

de colunas em tabelas, por exemplo, já que a referida manutenção será feita em um

único local.

Também devem ser implementados controles que impeçam que os

programas sejam executados em ordem errada ou que continuem a execução após

uma falha de processamento.

Em implementações onde ocorra a atualização ou transferências de

dados ou programas entre computadores centrais e remotos, devem ser realizadas

verificações de integridade e autenticidade.

A norma recomenda o registro em arquivos de log das atividades

envolvidas no processamento, as exceções e outros eventos de segurança da

44

informação. Por tratar-se de um recurso custoso, por exigir grande espaço de

armazenamento e implicar em maior tempo de processamento das aplicações, a

área de sistemas deve avaliar quais os processos serão monitorados por log pelo

seu grau de complexidade, criticidade ou pelo valor que este representa para a

organização.

Pela possibilidade de conter informações confidenciais, a norma

recomenda que medidas apropriadas de proteção de privacidade sejam tomadas,

assim como considera que administradores de sistemas não tenham permissão de

remoção ou desativação dos registros de log de suas próprias atividades.

4.2.3.3 Validação dos dados de saída

A norma recomenda que os dados de saída das aplicações sejam

validados para assegurar que o processamento dos dados de entrada está correto.

Não há garantias que aplicações onde tenham sido realizados validações de entrada

e controles sobre o processamento, irão produzir saídas confiáveis. Mesmo quando

existe um grande número de controles na entrada e processamento, é importante a

realização de testes sobre o produto final de um sistema feitos a partir de uma

massa de dados confiável e por pessoas conhecedoras do negócio tratado pelo

sistema.

4.2.3.4 Tratamento de Mensagens

Por fim, o aplicativo deve oferecer um tratamento adequado às

mensagens de um modo geral, tanto as mensagens de erro quanto as mensagens

de natureza informativa.

No tratamento de erros, as mensagens devem ser claras e indicar

objetivamente a natureza do problema de modo a facilitar o diagnóstico e a correção

do erro. O aplicativo deve ser capaz de suspender o processamento até que uma

45

ação seja tomada, ou seja, a revisão ou correção do dado de entrada ou

processamento.

4.2.3.5 Controles Criptográficos

A criptografia pode desempenhar um importante papel na proteção da

informação e da comunicação. A ISO 27002 recomenda que seja considerado o

desenvolvimento e implementação de controles criptográficos com o propósito de

proteger a informação no âmbito do desenvolvimento de sistemas aplicativos,

incluindo o gerenciamento das chaves e os procedimentos para determinar o nível

adequado de proteção criptográfica.

A criptografia visa proteger:

a) Confidencialidade: proteção da informação crítica nos meios de

armazenamento e em processo de transmissão de um computador para

outro;

b) Integridade/autenticidade: impedir e detectar alterações indevidas em

dados (intencionais ou acidentais);

c) Não repúdio: verificar a autenticidade da ocorrência ou não ocorrência de

um evento ou ação.

Beal (2005, p. 100) lembra que processos criptográficos não são 100%

seguros pois os algoritmos podem ser quebrados e que diferentes técnicas de

criptografia oferecem diferentes níveis de segurança.

4.2.3.6 Segurança dos Arquivos do Sistema

Neste tópico a norma trata sobre os cuidados necessários sobre os

diversos arquivos de software utilizados pela organização.

46

A principal medida para prevenir o acesso indevido aos arquivos do

sistema é feita através do controle de acesso lógico implementado através das redes

de computadores.

Os ativos a serem protegidos dentro do contexto de Arquivos do Sistema

são:

a) Programas Fonte e Objeto: a norma recomenda que o acesso ao

código-fonte dos aplicativos seja restrito e controlado para minimizar a

introdução de funcionalidade não autorizada e evitar mudanças não

intencionais. Recomenda que qualquer alteração no código fonte de um

aplicativo esteja atrelado a procedimentos de controle de mudanças e

controle de versões;

b) Arquivos de Dados: as bases de dados, arquivos ou transações de

banco de dados devem ser protegidos para evitar que os dados sejam

removidos ou modificados sem autorização. A norma também trata da

proteção dos dados de teste ressaltando a preocupação da equipe de

desenvolvimento em criar uma massa de testes que seja o mais fiel

possível aos dados de produção. Deste modo, a norma recomenda que

estes dados sejam tão protegidos quanto possível já que podem conter

informações confidenciais e, quando finalizados os testes, sejam

removidos do ambiente de testes;

c) Utilitários e Sistema Operacional: a norma recomenda que as

atualizações dos sistemas operacionais e utilitários, tais como

compiladores, softwares de manutenção e diagnóstico sejam realizadas

por profissional especializado. Orienta que a organização adote apenas

softwares homologados pela área de TI após a realização de testes

extensivos e bem-sucedidos. Os testes devem envolver aspectos de

segurança, efeitos sobre outros sistemas e utilização. A fragilidade do

sistema operacional pode comprometer a segurança de todo o conjunto de

aplicativos. Recomenda a separação da área dos utilitários da área dos

47

aplicativos, assim como a remoção do ambiente de TI de todos os

utilitários que não estejam em uso.

4.2.3.7 Segurança em processos de desenvolvimento e de suporte

Neste tópico a ISO 27002 trata, principalmente, sobre o controle de

mudanças nos ambientes de projeto e suporte. Ela recomenda a aprovação formal

das mudanças propostas, o controle de versões de software e procedimentos que

garantam o mínimo de impacto possível para as atividades da organização. Prevê a

documentação atualizada de qualquer alteração realizada no sistema. Há uma

categoria específica que trata do controle de mudanças nos recursos de

processamento da informação. É recomendável que os procedimentos de controle

de mudanças sejam integrados sempre que possível.

Cuidados referentes ao controle de mudanças do ambiente computacional

em geral:

a) Identificação e registro das mudanças significativas;

b) Planejamento e testes das mudanças;

c) Avaliação do impacto potencial das mudanças;

d) Procedimento formal de aprovação das mudanças propostas;

e) Comunicação dos reflexos das mudanças para todos os envolvidos;

f) Procedimentos e indicação de responsáveis para a interrupção das

mudanças e recuperação em caso de insucesso ou na ocorrência de

eventos inesperados.

Cuidados referentes ao controle de mudanças em processos de

desenvolvimento e suporte em particular:

a) Manutenção de um registro dos níveis acordados de autorização;

b) Garantia de que as mudanças sejam submetidas por usuários autorizados;

c) Análise crítica dos procedimentos de controle e integridade para assegurar

que as mudanças não os comprometam;

48

d) Identificação de todo software, informação, entidades em bancos de dados

e hardware que precisam de emendas;

e) Aprovação formal para a proposta das mudanças antes da

implementação;

f) Aceitação das mudanças por usuários autorizados antes da

implementação;

g) Atualização da documentação do sistema após a conclusão de cada

mudança e de que a documentação antiga seja arquivada ou descartada;

h) Manutenção do controle de versão de todas as atualizações de softwares;

i) Manutenção de uma trilha para auditoria de todas as mudanças

solicitadas;

j) Garantia de que toda a documentação operacional e procedimentos dos

usuários sejam alterados conforme necessário;

k) Garantia de que as mudanças sejam implementadas em horários

adequados.

Por impactarem no ambiente operacional, a norma recomenda que as

mudanças de softwares sejam testadas em ambiente diferente dos ambientes de

produção e de desenvolvimento pois fornece uma proteção adicional à informação

operacional utilizada para fins de teste. Isto também vale para correções, aplicações

de patches e outras atualizações.

O controle de versão é uma variável importante para o correto

funcionamento das aplicações, pois é uma garantia de que todos os usuários

utilizam a mesma versão de um software ou aplicativo. A versão mais atual de um

aplicativo deve ser armazenada em uma biblioteca de programas com acesso

controlado e distribuída para todos os usuários.

4.2.3.8 Gestão de vulnerabilidades técnicas

A gestão de vulnerabilidades técnicas envolve a avaliação das

fragilidades técnicas dos sistemas de informação que expõem a organização a

riscos indesejados.

49

A norma recomenda, como ponto de partida, que seja feito um inventário

dos ativos de informação de modo a identificar os aplicativos e softwares em uso

pela organização e avaliar o grau de vulnerabilidade de cada um. A partir daí, será

possível implementar medidas de proteção àqueles que a organização considera

como sensíveis, críticos e de alto risco. Além destas medidas, a norma sugere que

sejam estabelecidas as funções e responsabilidades para o monitoramento de

vulnerabilidades, a análise de riscos de vulnerabilidades, patches, acompanhamento

dos ativos e outras medidas necessárias para minimizar ou eliminar a

vulnerabilidade técnica.

Um inventário completo e atualizado dos ativos de informação é um pré-

requisito para uma gestão efetiva de vulnerabilidade técnica.

50

5 CONCLUSÃO

O entedimento retirado ao término deste trabalho é de que existem alguns

pré-requisitos essenciais que devem ser observados para a efetiva implementação

de qualquer modelo de metodologia relativa à segurança da informação.

O primeiro refere-se ao estabelecimento de controles organizacionais que

criem a cultura da segurança no âmbito da organização.

O segundo diz respeito ao comprometimento da alta administração no que

tange à compra e ao patrocínio da idéia de uma política de segurança da informação

alinhada com o planejamento estratégico. Esta PSI deve apontar os ativos que a

organização considera importantes que sejam resguardados, além de definir os

responsáveis pela sua execução.

Finalmente, o terceiro pré-requisito está relacionado à efetiva atuação do

controle interno para a garantia de que os controles organizacionais estão sendo

respeitados pelos colaboradores.

A ISO 27002 recomenda que a organização avalie quais os ativos devem

ser resguardados de modo que a segurança seja estabelecida aos poucos, de

acordo com os recursos (financeiros e humanos) disponíveis.

No âmbito do Tribunal de Contas do Estado do Rio Grande do Sul é

importante a criação de uma comissão permanente da segurança cujos membros

não seriam afetados pelas trocas de gestão. Além de representantes da área de TI,

esta comissão também poderia compôr representantes da área de controle interno,

do escritório de projetos e da área de controle e fiscalização. Os servidores

escolhidos como representantes de suas áreas de atuação deverão estar

comprometidos com a atividade da segurança, assim como com a preocupação de

disseminá-la nesta Corte de Contas.

Ciente da crescente demanda da figura do Auditor em Sistemas de

Informação que possa efetivamente auxiliar na Auditoria tradicional, esta comissão

da segurança deverá iniciar a discussão, para a consequente definição, de uma

metodologia eficiente e eficaz para implementação da Auditoria em Sistemas de

Informação nos jurisdicionados.

51

REFERÊNCIAS

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Tecnologia da Informação: Técnicas de Segurança: Código de prática para a gestão da segurança da informação: NBR ISO/IEC 27002:2005. Rio de Janeiro, 2005. BEAL, Adriana. Segurança da Informação: Princípio e Melhores Práticas para a proteção dos Ativos de Informação nas Organizações. 1º edição. São Paulo: Atlas, 2005. CASSARO, Antônio Carlos. Controles Internos e Segurança de Sistemas. 1º edição. São Paulo: LTR, 1997. DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. 1º edição. Rio de Janeiro: Axcel Books, 2000. FACULDADE ASSIS GURGACZ. Balanced Scorecard. Gerência Estratégica (Segundo Bimestre). Disponível em http://www.fag.edu.br/professores/rozane/Balanced%20Scorecard.ppt#5 Acesso em 27 out 2007. IMONIANA, Joshua Onome. Auditoria de Sistemas de Informação. 1º edição. São Paulo: Atlas, 2005. RAMOS, Anderson (Org). Security Officer: Guia Oficial para Formação de Gestores em Segurança da Informação: 1º edição. Porto Alegre: Zouk, 2006. TRIBUNAL DE CONTAS DA UNIÃO (Brasil). Secretaria-Geral de Controle Externo. Secretaria de Fiscalização de tecnologia da Informação. Boas Práticas em Segurança da IInformação. 2º edição. Brasília, 2007. TRIBUNAL DE CONTAS DA UNIÃO (Brasil). Secretaria-Geral de Controle Externo. Secretaria de Auditoria e Inspeções. Manual de Auditoria de Sistemas. Brasília, 1998.

52

GLOSSÁRIO

AMEAÇA: causa potencial de um incidente indesejado, que pode resultar em dano

para um sistema ou organização.

ANÁLISE DE RISCOS: uso sistemático de informações para identificar fontes e

estimar o risco.

AVALIAÇÃO DE RISCOS: processo de comparar o risco estimado com critérios de

risco pré-definidos para determinar a importância do risco

ANÁLISE E AVALIAÇÃO DE RISCOS (AAR): processo completo de análise e

avaliação de riscos. Faz parte da Gestão de Riscos e trata da indentificação dos

riscos e seus elementos: alvos, agentes, ameaças, vulnerabilidades e impactos.

ATIVO: qualquer coisa que tenha valor para a organização.

ATIVOS DE INFORMAÇÃO: qualquer dado ou informação a que esteja associado

um valor para o negócio. Representam ativos de informação as informações

relevantes mantidas na mente dos tomadores de decisão, em bases de dados,

arquivos de computador, documentos e planos registrados em papel, etc. BEAL,

Adriana. Segurança da Informação. 1º ed. São Paulo: Atlas, 2005. p. Introdução e

Visão geral.

CONFORMIDADE LEGAL: como parte da Gestão de Riscos, o atendimento e

conformidade legal visam garantir a perenidade e resiliência da Empresa, de

maneira a competir nos mercados locais e globais. O principal benefício deste tipo

de ação é o gerenciando adequada do impacto relativo a requisitos regulatórios na

rotina da Empresa, balanceando seus investimentos em Conformidade e Auditoria

com riscos presentes e futuros, nos âmbitos tributários, cíveis, trabalhistas,

financeiros e de imagem da Empresa.

53

CONTROLE: forma de gerenciar o risco, incluindo políticas, procedimentos,

diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza

administrativa, técnica, de gestão ou legal.

DIRETRIZ: descrição que orienta o que deve ser feito e como, para se alcançarem

os objetivos estabelecidos nas políticas.

FEEDBACK: na teoria dos sistemas é o procedimento através do qual parte do sinal

de saída de um sistema (ou circuito) é transferida para a entrada deste mesmo

sistema, com o objetivo de diminuir, amplificar ou controlar a saída do sistema. Este

processo é chamado de .retroalimentação ou realimentação. Nas organizações,

feedback é o procedimento que consiste no provimento de informação à uma pessoa

sobre o desempenho, conduta ou eventualidade executada por ela e objetiva

reprimir, reorientar e/ou estimular uma ou mais ações determinadas, executadas

anteriormente¹

FRAMEWORKS: são metodologias estruturadas para a implementação de padrões

técnicos.

GESTÃO DE RISCOS: atividades coordenadas para direcionar e controlar uma

organização no que se refere a riscos.

GOVERNANÇA DE TI: são controles de processos e procedimentos através da

implementação de um framework de responsabilidades para estimular

comportamentos desejáveis e éticos na utilização de TI.

PERSONAL DIGITAL ASSISTANT (PDA): Assistente Digital Pessoal, é um

computador de bolso.

POLÍTICA: inteções e diretrizes globais formalmente expressas pela direção.

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO (PSI): é um conjunto de

documentos que descreve quais são os princípios e as diretrizes ligadas a

54

Segurança da Informação adotados pela organização e que devem ser observados

pelos seus colaboradores e aplicados a todos os sistemas e processos corporativos

e, principalmente, deve estar alinhado às estratégias da organização.

RISCO: combinação da probabilidade de um evento e de suas consequências.

SEGURANÇA DA INFORMAÇÃO (SI): preservação da confiabilidade, da

integridade e da disponibilidade da informação; adicionalmente, outras propriedades,

tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem

também estar envolvidas.

TECNOLOGIA DA INFORMAÇÃO (TI): solução ou conjunto de soluções

sistematizadas baseadas no uso de métodos, recursos de informática, de

comunicação e de multimídia que visam a resolver problemas relativos à geração,

tratamento, processamento, armazenamento, veculação e reprodução de dados, e a

subsidiar processos que convertem dados em informação.

TRATAMENTO DO RISCO: processo de seleção e implementação de medidas para

modificar um risco.

VULNERABILIDADE: fragilidade de um ativo ou grupo de ativos que pode ser

explorada por uma ou mais ameaças.