martinelli

auditores

NOÇÕES DE

AUDITORIA DE SISTEMAS

MÓDULO 2
Fevereiro de 2002
 martinelli
auditores

SUMÁRIO

1. TECNOLOGIA DA INFORMAÇÃO
1.1 O que é Tecnologia da Informação?
1.2 Por que usar Sistemas de Informação?
1.3 Como funciona o Departamento de Tecnologia da Informação?

2. SEGURANÇA DA TECNOLOGIA DA INFORMAÇÃO

2.1 Por que Preocupar-se com Segurança de Sistemas de Tecnologia de
Informação?
2.2 Objetivos de Segurança
2.3 Política de Segurança
2.4 Análise de Risco

3. PLANEJAMENTO DA TECNOLOGIA DA INFORMAÇÃO

3.1 O que é “Planejamento da Informação” ?
3.2 Custo Total de Propriedade (TCO – Total Cost of Ownership)

4. SEGURANÇA NO DESENVOLVIMENTO DE SOFTWARE

4.1 Tipos de Desenvolvimento
4.2 Fases de Desenvolvimento
4.3 A Função do Auditor
4.4 Padrões de Documentação

5. SEGURANÇA DE SOFTWARE
5.1 Auditoria de Sistemas
5.2 Segurança Lógica
5.3 Mecanismos de Controle de Acesso
5.4 Procedimentos Gerais de Verificação de Auditoria de Rede
5.5 Pirataria

6. SEGURANÇA FÍSICA – AMBIENTAL E DE HARDWARE

6.1 Segurança Física
6.2 Manutenção de Hardware
6.3 Cuidados com Meios Magnéticos

7. SEGURANÇA DE RECURSOS HUMANOS

8. SEGURANÇA NA INTERNET
8.1 Controle de Utilização da Internet
8.2 Transações de Comércio Eletrônico

2
 martinelli
auditores

8.3 Segurança Contra Hackers

9. ORGANIZAÇÃO DA AUDITORIA
9.1 Utilitários Necessários
9.2 Aplicações dos Utilitários

3
 martinelli
auditores

1. TECNOLOGIA DA INFORMAÇÃO

1.1 O que é Tecnologia da Informação?

O termo “Tecnologia da Informação”, serve para designar o conjunto de

hardware e software usado por uma organização para armazenar,
processar, transmitir, e disseminar informações.

1.2 Por que usar Sistemas de Informação?

Algumas das razões que levaram a disseminação do uso dos sistemas

de informação:

- Única maneira de fazer determinado trabalho;

- Melhorar a eficiência;
- Aplicar controles melhores;
- Reduzir custos.

O principal benefício que a tecnologia da informação traz para as

organizações e a sua capacidade de melhorar a qualidade e a
disponibilidade de informações e conhecimentos importantes para a
empresa, seus clientes e fornecedores. Os sistemas de informação
mais modernos oferecem às empresas oportunidades sem precedentes
para a melhoria dos processos internos e dos serviços prestados ao
consumidor final.

O sucesso das empresas passou a depender de sua capacidade de

inovar das áreas de produtos, serviços, canais e processos. Nesse
contexto, a tecnologia da informação assume papel crítico, permitindo
às empresas modificar-se rapidamente e levar essas inovações até o
mercado.

1.3 Como funciona o departamento de Tecnologia da Informação?

O Departamento de Tecnologia da Informação é responsável por todas

as funções de informática de uma organização. Os termos “Sistemas de
Informação” ou “Tecnologia da Informação”, substituíram o título
“Processamento de Dados”, que tende a ser associado a leitoras de
cartão perfurados e antigas máquinas de teleprocessamento.

4
 martinelli
auditores

O departamento de TI precisa ter uma estrutura organizacional bem

definida, com as responsabilidades de suas unidades organizacionais
claramente estabelecidas, documentadas e divulgadas, e políticas de
pessoal adequadas, quanto à seleção, segregação de funções,
treinamento e avaliação de desempenho. Esta estrutura é necessária
para que se gerencie racionalmente os recursos computacionais da
organização, de modo a suprir as necessidades corporativas de
informação de forma eficiente e econômica.

O Departamento de Tecnologia da Informação de uma empresa de

grande porte apresenta tipicamente, as seguintes divisões:

Administração

A administração do departamento de TI já é vista como uma divisão

corporativa separada, com seu próprio diretor executivo.

Desenvolvimento e suporte de aplicação

Divisão dedicada ao projeto, desenvolvimento e manutenção de software

aplicativo. Pode englobar muitas equipes de desenvolvimento, formadas
por analistas de sistemas, projetistas de sistemas e programadores.

Suporte de produção

Faz a interligação entre o usuário e as demais divisões de TI, prestando

serviços na determinação de problemas, registro de defeitos, etc. Este
grupo também pode prover serviços de administração de banco de
dados.

Software de sistemas

Divisão responsável pela instalação e manutenção do software de

sistemas, e pelo serviço de suporte de natureza técnica para o resto do
pessoal de TI e usuários finais. Estão encarregados de providenciar para
que o hardware e software do sistema operem com um desempenho
ótimo.

Comunicação de dados

Esta divisão oferece serviços para os usuários de sistema que estejam

experimentando problemas de teleprocessamento ou desejem

5
 martinelli
auditores

comunicar-se com dispositivos ou usuários remotos. Eles são

responsáveis pelo desenvolvimento e manutenção de rede de
comunicação da organização.

6
 martinelli
auditores

2. SEGURANÇA DA TECNOLOGIA DA INFORMAÇÃO

2.1 Por que preocupar-se com segurança de sistemas de TI?

Há três razões principais para preocupar-se com segurança de sistemas

de TI:

Dependência dos sistemas de informação

Sistemas que ofereçam serviços adequados e no tempo certo são a

chave para a maioria das organizações atuais. Sem seus computadores
e sistemas de comunicação, as empresas ficariam incapazes de
fornecer serviços, processar faturas, contatar clientes e fornecedores ou
efetuar pagamentos. Os sistemas de informação também armazenam
dados sigilosos que, se tornados públicos, causariam embaraço e em
alguns casos o fracasso da organização.

Vulnerabilidade dos sistemas de TI

Esses sistemas exigem um ambiente estável, podendo ser danificados

por desastres naturais como fogo, inundação ou terremotos, falhas no
controle de temperatura ou do suprimento de energia elétrica, acidentes
ou sabotagens. Os sistemas de TI são a chave para acesso a vasta
quantidade de dados corporativos, tornando-se alvo atraente para
hackers e espiões, e podem motivar administradores de sistemas a
abusar de seus privilégios, vendendo informações para terceiros. A
organização depende da exatidão da informação fornecida pelos seus
sistemas; se essa confiança for destruída, o impacto para a entidade
pode ser comparada a própria destruição do sistema. Dessa forma é
importante proteger dados tanto de corrupções acidentais quanto
propositais.

Investimento em sistemas de TI

Os sistemas de informação são caros tanto no desenvolvimento quanto

na manutenção, e a administração deve proteger esse investimento
como qualquer outro recurso valioso. Bens de TI são particularmente
atrativos para ladrões, por serem em alguns casos portáteis, e poderem
ser facilmente vendidos.

7
 martinelli
auditores

2.2 Objetivos da Segurança

Os objetivos chaves da segurança são:

Sigilo

Proteção contra a divulgação indevida de informações – Ex.: criptografia

e controle de acesso.

Integridade

Proteção contra a modificação não autorizada de informações – Ex.:

totais de controle e assinaturas digitais.

Disponibilidade

Proteção contra a interrupção do serviço – Ex.: back-up e duplicação de

sistemas.

Que objetivo é o mais importante em cada caso irá depender da

natureza do sistema. Por exemplo, em sistemas da área de
desenvolvimento de produtos a ênfase seria em sigilo acima de qualquer
coisa, enquanto que na maioria das outras aplicações a ênfase maior
estaria provavelmente na disponibilidade, seguida da integridade.

Os objetivos da segurança de informações se sobrepõem aos de

qualidade de serviço. A qualidade do serviço tende a se concentrar em
questões de disponibilidade dos serviços no tempo certo, e de
informação precisa e exata, deixando de lado a questão de sigilo, mas
existem pontos em comum suficientes para que seja útil considerar
qualidade de serviço e segurança de forma conjunta.

2.3 Política de Segurança.

O comprometimento com a segurança de sistemas deve surgir do mais

alto nível da organização, alavancado pelo reconhecimento dos sérios
problemas que poderiam resultar da divulgação, modificação ou
indisponibilidade da informação. Esse comprometimento tende a ser
expresso em uma política formal de segurança, estabelecida no contexto
dos objetivos e funções organizacionais.

Uma abordagem adotada por muitas organizações é a criação de uma

política concisa e simples, que sirva de ponto de partida para outros

8
 martinelli
auditores

documentos onde são estabelecidos os padrões, procedimentos e

orientações para o comportamento dos usuários em relação à
segurança.

Áreas específicas a serem cobertas em uma política de segurança de TI

corporativa incluem:

- quem é o responsável e presta contas pela segurança em todos os

níveis da organização, e quais são as linhas hierárquicas para
essas funções;

- padrão mínimo de segurança a ser aplicado a todos os sistemas

corporativos, e orientação quanto ao uso da análise de risco para a
identificação dos sistemas que irão merecer medidas extras de
proteção;

- reconhecimento de que uma proteção efetiva exige que a

segurança seja projetada durante o desenvolvimento dos sistemas,
e não adicionada posteriormente, devendo ser uma preocupação
presente em todas as aquisições ou desenvolvimento de sistemas;

- o princípio de que a segurança da TI deve ser inserida nos

procedimentos operacionais, incluindo controles de acesso e
auditoria interna para avaliação da adequação dos controles de
sistemas;

- definição sobre a política de segurança de pessoal (verificação dos

antecedentes de candidatos antes da admissão, tratamento das
violações de segurança);

- política de treinamento de pessoal, essencial para a

conscientização do quadro quanto à questões de segurança de TI;

- referência a procedimentos de controle de material proprietário e

licenças de uso de software;

- referência a procedimentos para registro e certificação de sistemas

e dados, e arranjos para garantir a conformidade com a legislação
aplicável;

- política quanto a conexão a sistemas externos;

- política quanto a investigação de incidentes de segurança;

- requisitos de planejamento da continuidade do serviço;

9
 martinelli
auditores

- distinção clara entre as responsabilidades para as funções de

gerência, administrador do sistema, administrador do sistema e
usuário.

2.4 Análise de Risco.

A análise de risco é o processo pelo qual são identificados os riscos a

que estão sujeitos os dados, sistemas de informação e redes de
comunicação que lhes dão suporte.

A análise de risco envolve:

Modelagem do negócio

Etapa onde se determina que sistemas de informação dão suporte a

quais processos corporativos.

Análise de impacto

Onde se determina a sensibilidade de funções-chave da organização a

falhas no sigilo, integridade e disponibilidade dos sistemas e dados.

Análise de dependência

Serve para determinar os pontos de acesso aos sistemas de informação,

e os recursos que precisam estar disponíveis para que sejam mantidos
os serviços associados às funções-chave.

Análise de ameaças e vulnerabilidades

Determina os pontos fracos da configuração do sistema, e a

probabilidade de eventos que possam explorar as debilidades
identificadas, causando impactos em termos de quebra de sigilo,
integridade ou disponibilidade dos dados e sistemas.

10
 martinelli
auditores

3. PLANEJAMENTO DA TECNOLOGIA DA INFORMAÇÃO

3.1 O que é “Planejamento da Informação”?

A Tecnologia da Informação tem um custo elevadíssimo, e os

computadores não possuem poderes mágicos de resolver problemas de
gestão, racionalizar processos e aumentar a produtividade. Máquinas e
softwares idênticos executarão maravilhas em organismos bem
estruturados e organizados, mas serão apenas uma fonte de gastos
naqueles que não planejarem adequadamente suas necessidades de
informação.

O bom aproveitamento das facilidades trazidas pela tecnologia da

informação depende de um processo periódico e estruturado de
planejamento da informação. Para isso, os administradores precisam se
preocupar em adquirir uma visão estratégica de como os sistemas de
informação da organização deverão ser implementados ou alterados, de
forma a atender as necessidades da organização por um período de
aproximadamente 3 anos (é difícil estimar como precisão mais a frente,
pela velocidade da mudança tecnológica).

O planejamento de informação deve resultar em um documento – um

plano estratégico que decifra a direção futura dos recursos de TI,
refletindo as políticas, padrões e procedimentos de recursos de
informação como um todo, e oferecendo orientação para todos os
setores da organização. Normalmente este plano estratégico é chamado
de Plano Diretor de Informática.

3.2 Custo Total de Propriedade (TCO – Total Cost of Ownership)

Um dos aspectos mais importantes a ser vislumbrado no planejamento

de informática é o aspecto de redução de custos. Medir o custo de
propriedade de cada modelo da computação passou a ser uma
preocupação de muitas organizações, pressionadas pela necessidade
de redução de custos reais com tecnologia, que aumentaram
substancialmente após a invasão dos PC’s e das redes corporativas.

O TCO tenta levar em consideração todas as despesas envolvidas, e

inclui também a depreciação. O grande problema é decidir quais
elementos de custo devem ser considerados e como deve ser feito este

11
 martinelli
auditores

cálculo. Por exemplo, é difícil medir o custo do tempo que o usuário

gasta com seu micro. Também não há um valor médio do custo dos
PC`s que possa ser usado como referência pela organização haja visto
que este custo se altera constantemente.

Na prática, não são somente as escolhas técnicas quanto a software e

hardware que determinam os impactos financeiros pela organização. A
eficácia no gerenciamento destes recursos é fator determinante nos
custos da organização.

Uma planejamento racional de utilização, reduz substancialmente os

custos de aquisição e manutenção dos recursos de TI.

12
 martinelli
auditores

4. SEGURANÇA NO DESENVOLVIMENTO DE SOFTWARE

4.1 Tipos de Desenvolvimento

a) Desenvolvimento Interno

- Adoção de MDS - Metodologia de Desenvolvimento de

Sistemas: deve adotar o padrão “joiner” desenvolvimento
conjunto entre :

Informática + Usuários + Auditoria (controle)

- Acompanhamento pela Auditoria

- Deve gerar documentação apropriada.

b) Desenvolvimento Contratado

- Deve aderir à MDS da empresa: sistemas construídos com MDS

diferente acabam tendo sua manutenção também gerada fora
(ficam fora de controle).

c) Sistemas Adquiridos prontos

- Devem entregar: programas fonte; dicionário de dados; software

para o dicionário; documentação para usuário final.

4.2 Fases do Desenvolvimento

- Levantamento de Dados
- Projeto do Sistema
- Construção - desenvolvimento propriamente dito
- Testes
- Implantação

4.3 A Função do Auditor

Sua preocupação deve ser prioritária com:

13
 martinelli
auditores

- Existência de pontos de controle interno

- Aderência desses pontos ao projeto do sistema
- Identificação de pontos falhos
- Acompanhamento de testes

O principal ponto a ser verificado é se o sistema possui trilhas de

auditoria. Essas trilhas podem ser definidas como a capacidade de uma
informação ser acompanhada até sua saída final, separada de outras
informações eventualmente a ela agregadas e, por processo reverso,
acompanhar uma informação desde sua saída até sua entrada, inclusive
com a decomposição das informações a ela agregadas.

4.4 Padrões de Documentação

- Definição de todas as informações no Dicionário de Dados, inclusive

com grau de segurança.
- Todos os documentos de entrada e respectivas telas.
- Todos os relatórios de saída, inclusive de telas.
- Todas as ligações com sistemas internas e externas.
- Um fluxo que ligue todas as informações aos processos
(programas), entidades (internas e externas) e depósito de dados.
- Os helps-on-line, os tutorials, etc.

14
 martinelli
auditores

5. SEGURANÇA DE SOFTWARE

5.1 AUDITORIA de SISTEMAS

Todo e qualquer sistema deve ser observado sob 3 enfoques:

Os Programas

Existe máquina própria para desenvolvimento ou a área de

desenvolvimento utiliza a máquina de produção?

Existe norma de Catalogação de Programas de Produção com registro

de alterações que demonstre:

- a data da alteração;
- impacto da alteração na área do usuário;
- outros impactos (em outros programas, rotinas ou sistemas);
- as instruções alteradas dentro dos programas.

Rotina:

O Auditor deve solicitar todos os programas fonte catalogados e jogá-los

dentro de uma Infobase. Se não tiver tal recurso, deverá copiá-los para
dentro do Word (versão 6.0 em diante) ou WordPerfect (versão 6.0a em
diante) e fazer o seguinte:

- mês a mês repita o procedimento (de cópia)

- compare os programas
- verifique as modificações e analise seus impactos.

Para comparar, no Word por exemplo, faça o seguinte:

1. abra o arquivo mais novo no Word;

2. Comande Ferramentas e Marcas de Revisão;
3. Marque Exibir Revisões na Tela e Exibir Revisões no Documento
Impresso;
4. Comande Comparar Versões e indique o arquivo anterior.

O arquivo aparecerá com as alterações riscadas e em cor diferente.

15
 martinelli
auditores

A Entrada de Dados

Os dados quando entram no sistema são submetidos a uma bateria de

programas de consistência.

Se os programas estiverem corretos, se ninguém tiver catalogado

nenhum programa frio; se a rotina de consistência não estiver aberta por
algum comando derivado de um programa anterior, então, os dados
deverão entrar nas bases de dados e executarem as funções solicitadas
que, ainda assim, poderão estar erradas.

O auditor, portanto, deve:

- Submeter a bateria de crítica A TODAS AS CONDIÇÕES

POSSÍVEIS DE TESTE.

Como?

- Separando todas as telas e documentos de entrada.

- Examinando cada campo e comparando com a listagem da
consistência.
- Submetendo os dados a uma bateria de testes em ambiente
apropriado (não de produção).

Os testes deverão começar com quesitos simples, do tipo:

- campo aceita brancos;

- alfa no lugar de números e seu inverso;
- qual a razão de determinado campo ser alfanumérico se só são
usados números nesse campo;
- datas devem ser checadas em termos de aceitação de datas
passadas, futuras e absurdas;

Em seguida, depois os testes deverão contemplar as condições

cruzadas, do tipo:

- cadastral = função advogado com número de OAB;

cálculo = com simulação de cálculos diversos em planilha apartada
e conferida com o resultado dos programas;
- função do programa = verificar se o programa executa a função
nele definida e já vista no processo de auditoria de catalogação.

Por exemplo: programa que deve emitir faturas

- inserir condições tais que algumas faturas passem e comprovem o

acerto da emissão, inclusive em seus cálculos.

16
 martinelli
auditores

Neste exemplo, faturas que passarem por erro de consistência deverão

ser examinadas detidamente para exame de:

- impacto;
- novos testes.

Varredura das Bases de Dados

O Auditor deve ter em mente que, a situação examinada no item

anterior, pode ser rapidamente alterada se houver cumplicidade na área
de informática.

É fundamental, portanto, que as Bases de Dados sejam examinadas por

programas de varredura.

Tais programas estão disponíveis no mercado com maior ou menor

qualidade, mas o Auditor deve saber que tais programas são
constituídos basicamente pelos seguintes componentes:

- versão para o seu ambiente de trabalho;

- capturadores de dados com formatação, normalmente em padrão
SQL ou ODBC;
- funções lógicas e matemáticas semelhantes a qualquer planilha ou
Banco de Dados para Windows existente no mercado;
- capacidade de gerar relatórios a exemplo de qualquer Banco de
Dados para Windows.

Deve o Auditor também:

Submeter a bateria de crítica (base de dados) A TODAS AS

CONDIÇÕES POSSÍVEIS DE TESTE:

Como?

- examinando cada campo e comparando com a listagem da

consistência;
- submetendo os dados a uma bateria de testes em ambiente
apropriado (não de produção);

Os testes deverão começar com quesitos simples, do tipo:

- campo aceita brancos;

- alfa no lugar de números e seu inverso;
- qual a razão de determinado campo ser alfanumérico se só são
usados números nesse campo;

17
 martinelli
auditores

- datas devem ser checadas em termos de aceitação de datas

passadas, futuras e absurdas;

Se quiser, o Auditor pode construir seus próprios programas de

varredura a partir dos componentes normais de mercado, com maior ou
menor grau de sofisticação.

Por exemplo: o WordPerfect 6.0a e WordPro97 (e posteriores) são

capazes de capturar dados SQL e ODBC, inclusive do DB2 de Grande
Porte. Após a captura ele permite que você faça a Query (consulta) que
desejar.

O Word também permite a captura de dados, mas com menor

capacidade. Não estamos sugerindo que se usem processadores de
texto, mas se você somar a capacidade de seu integrado (Office ou
MS-Office) é provável que você resolva o problema satisfatoriamente.

As varreduras são efetuadas a partir do conhecimento do formato das

tabelas do banco de dados a ser auditado. A partir daí, basta criar
Queries (consultas) dentro dos mesmos padrões de teste do item 2
(Consistência), com acréscimo do histórico de cada campo.

5.2 Segurança Lógica

A responsabilidade do Auditor não é escolher o Software de Segurança

da Rede ou mesmo as implantações do Software Padrão da Rede
(Rights).

Os conceitos de segurança lógica devem ser definidos pela

Administração de Segurança da Rede (se houver), pelos Owners
(responsáveis pelos sistemas) e usuários.

Os conceitos são os seguintes:

- Estabelecimento das necessidades de segurança.

Revisão das características do software.
- Garantia de que as características do software satisfaçam as
necessidades da empresa.
- Teste das características do software, identificando as funções
obrigatórias disponíveis:

a) Estabelecimento dos níveis de proteção.

b) Monitoramento do acesso aos recursos protegidos e
transações.
c) Disponibilidade de arquivos de Log ou de comandos que
informem:

18
 martinelli
auditores

- Tentativas de Acesso
- Violações
- Modificações nos parâmetros da rede
- Outras consideradas relevantes

5.3 Mecanismos de Controle de Acesso

Os mecanismos de controle de acesso devem identificar:

- Direitos de todos os participantes da rede

(Administrador/Supervisor, Usuários, etc).
- Restrições de todos os participantes da rede:

a) conta;
b) horário;
c) dia da semana;
d) estação de trabalho;
e) volume e limites de espaço em disco.
- Senhas:

a) óbvias e leis de construção.

b) todos os usuários devem ter senhas.
c) permissão para alterar senha .
d) período mínimo de alteração.
e) a senha deve ser diferente de quantas senhas anteriores?

5.4 Processos Gerais de Verificação de Auditoria de Rede

Geralmente, nas auditorias de rede são utilizados softwares de apoio.

Elencamos a seguir algumas das informações identificadas por este tipo
de software:

- Senha não atribuída.

- Senhas sem segurança.
- Senhas muito curtas.
- Equivalência do Supervisor.
- Existência de Gerentes de Grupos de Trabalho.
- Privilégios no diretório-raiz .
- Ausência de script no Login .

19
 martinelli
auditores

- Direitos excessivos de certos diretórios.

- Usuário que não fez Login durante certo período de tempo.

5.5 Pirataria

Em fevereiro de 1998 foi criada a Lei do Software (9609) que diz respeito
às infrações de direito autoral, determinando penas de detenção ou
reclusão de até quatro anos, além de multa pesada.

Atualmente (informação publicada em abril.99) a ABES – Associação

Brasileira das Empresas de Software, estima que 61% dos programas
utilizados no Brasil sejam piratas. O maior número de infrações está no
mercado SOHO, ou seja, são pessoas que duplicam ou compram
aplicativos piratas para instalar em máquinas domésticas. Mas a maior
perda de dinheiro ocorre no mercado corporativo, seja em empresas que
fazem diversas cópias ilegais de um produto ou na venda de softwares
pirateados.

A ABES, portanto, está centrando esforços para atacar a pirataria.

Indícios são as recentes prisões em flagrante que aconteceram em

Minas Gerais e Rio de Janeiro, por exemplo. Para se ter uma idéia, em
1998 foram realizadas 118 ações de vistoria e apreensão, com mais de
20 prisões em flagrante por uso ou venda de softwares ilegais.

Denúncias

“Normalmente, recebemos as informações de ex-funcionários ou

empresas concorrentes”, conta Fisher da ABES.

Outro ponto de informação importante são os cadastros apreendidos de

vendedores ilegais de CDs.

Prevenção

θ Estude e leve a sério a possibilidade de utilizar um sistema de

software livre que simplesmente elimina a pirataria, como o LINUX.

θ Utilize o documento “Contrato de Garantia da Empresa com

respeito ao uso de Software”

θ Examine programas freeware

20
 martinelli
auditores

θ Teste programas Shareware, sem esquecer, entretanto, que o uso

de tais programas deve seguir rigorosamente as normas expressas
na autorização para teste, já que são passíveis de enquadramento
na Lei.

Contrato de Responsabilidade

Para tentar garantir que os funcionários não instalem softwares piratas

em suas máquinas, pode-se criar um Contrato de Responsabilidade
como o documento a seguir, sugerido pela ABES.

Com ele, cada funcionário será responsável por eventuais multas

decorrentes de instalações de software ilegais, e ainda poderá ser
demitido por justa causa. Segue exemplo:

CONTRATO DE GARANTIA DA EMPRESA COM RESPEITO AO

USO DE SOFTWARE.

A EMPRESA possui licenças para uso de software proveniente de uma

série de fornecedores. Não somos autores desses softwares ou de sua
documentação. Portanto, exceto quando autorizado pelos autores dos
softwares, nenhum funcionário ou contratado da EMPRESA tem o
direito de reproduzi-los.

Os funcionários e contratados da EMPRESA que tomarem

conhecimento de algum uso inadequado de software da empresa ou de
sua respectiva documentação deverão notificar, por escrito, o Gerente
do Departamento de Informática.

De acordo com a Lei de Software, as pessoas envolvidas em

reprodução ilegal de programas ficam sujeitas ao pagamento das
respectivas indenizações por perdas e danos, em valor correspondente
a até três mil vezes o valor de cada cópia do programa original, além
de sanções penais, como multas e prisão.

A EMPRESA não aceita a duplicação ilegal de software. Os

empregados ou contratados da EMPRESA que fizerem, adquirirem ou
usarem cópias ilegais e não autorizadas, serão punidos de acordo com
as circunstâncias, sendo inteiramente responsáveis pela reparação dos
danos resultantes de tais atos. Quando empregados, estarão também
sujeitos à rescisão do contrato de trabalho por Justa Causa, com base
no artigo 482 da C.L.T.

21
 martinelli
auditores

Penas e Multas

Os riscos que cada tipo de pirataria oferece:

CRIME :

Comercialização ilegal de programas

O QUE É

Só quem pode comercializar um programa é o desenvolvedor ou um

distribuidor autorizado. Quem comercializa programas sem
autorização do desenvolvedor está cometendo crime de uso de
propriedade intelectual e pode estar cometendo crime fiscal (pois não
está pagando os impostos devidos).

FORMAS MAIS COMUNS

- Comercialização de CDs-ROM com vários programas.

- Venda de computadores com programas pré-instalados sem a
autorização do desenvolvedor dos programas.

PENA

- Até quatro anos de prisão

- Multa
- Indenização de até 3000 vezes o valor dos programas
comercializados

CRIME

Utilização de programa sem licença de uso

O QUE É

Quando se adquire um programa, o usuário terá direito à instalação em

apenas UM computador. Em alguns casos, o desenvolvedor autoriza a
instalação simultânea em mais de um computador, mas o usuário deve
sempre consultar o desenvolvedor sobre isso, e ler a licença de uso
para esclarecer eventuais mal-entendidos.

FORMAS MAIS COMUNS

- Instalação em casa de um programa comprado pela empresa.

22
 martinelli
auditores

- Comprar uma única cópia de um programa e instalar.

- em todos os computadores da empresa.
- Instalar cópias de jogos ou aplicativos particulares em
computadores da empresa.
- Instalação ou acesso de um programa monousuário em uma rede
local.
- Acesso a um programa em rede por mais usuários que o número
de licenças adquiridas.

PENA

- Até 2 anos de prisão

- Indenização de até 3000 vezes o valor dos programas utilizados.

23
 martinelli
auditores

6. SEGURANÇA FÍSICA – AMBIENTAL E DE HARDWARE

6.1 Segurança Física

Localização

Deve-se verificar se o local onde estão situados os servidores, estações

críticas e rack de equipamentos estão localizados em Área Crítica:

- Próximo de dispositivos que causam interferência eletro

magnética?
- Ligação entre Departamentos Usuários e Informática (para
segurança)?
- Próximo de depósitos de inflamáveis, cozinhas, áreas poluídas ou
assemelhadas ?
- Próximo de estacionamentos e garagens?
- Ligado a um único ramal de energia elétrica e distante de outro, se
houver?
- Em locais sujeitos a sol forte, paredes aquecidas, etc?
- Em locais sujeitos a inundação ou infiltração causada por canos em
parede, teto ou piso?

Construção

A construção que abriga os elementos críticos da Rede, possuem

características próprias:

- Os materiais são retardantes a fogo?

- Os locais são construídos de maneira a vedar o acesso?
- Existem detectores de fumaça no local?
- Estão corretamente regulados?
- Existe espaço para expansão (equivalente a 25% do espaço
ocupado)?
- As portas são corta fogo?
- Existem janelas no local? De que tipo são (vidro, alumínio, etc.)?
- Existe passagem de ar condicionado de outros locais para os locais
críticos?

Ações da Natureza

24
 martinelli
auditores

O tempo e suas conseqüências constituem risco da Natureza. Poucos

são os locais que estão imunes a condições adversas de tempo.

- Existe risco das áreas críticas serem atingidas por alagamentos?

- Existe proteção contra descargas atmosféricas?
Ø Locais?
Ø Nas proximidades?
Ø Por sobrecarga da instalação?
- Quais os dados de proteção do Pára-Raios?
Ø Zona de Proteção
Ø Número de condutores de descida em função da área coberta e
do perímetro da instalação
Ø Resistência da Malha
- Os condutores possuem curvas com ângulo de descida menor que
90 graus?
- Com raio mínimo de 20 cm (redução de indutâncias)?
Os condutores estão protegidos mecanicamente por materiais
isolantes até uma altura de 2 m a contar do solo?
- Estão isolados cerca de 20 cm do corpo da construção?
- Existem árvores próximas às áreas críticas?

Fatores Humanos

Em função da dependência informática da Empresa é essencial analisar

os possíveis fatores humanos que possam causar prejuízos.

- Existe sistema de proteção de áreas críticas na hipótese de

greves?
- No período noturno, existe esquema de vigilância do local?
- O perímetro externo da Empresa é protegido de forma efetiva?
- O perímetro do prédio, em dias específicos (domingos e feriados)
tem vigilância efetiva?
- O perímetro das áreas críticas é fechado nesses horários e dias?
- Existem casos ou suspeita de sabotagem em outras áreas da
Empresa?
- A vigilância tem orientação para reportar por escrito casos de
pessoas com comportamento suspeito?
- Pessoas que se encontrem nas instalações sem motivo?
- Veículos estacionados por longos períodos não pertencentes a:
Ø funcionários?
Ø Visitantes ou clientes?
- Nas demissões, o empregado tem suas chaves:
Ø físicas recolhidas (chaves,cartões de acesso, etc) e,
Ø lógicas (senhas) deletadas assim que o empregado manifeste o
desejo de sair (demissão por iniciativa do empregado)

25
 martinelli
auditores

Ø ou quando tal decisão é tomada pela empresa ?

- Os empregados são treinados para:
Ø extinção de fogo local (manuseio de extintores portáteis)?
Ø localizar interruptores de energia?
Ø conhecer os processos de desligamento normal?

Controle de Acesso Físico

O acesso de pessoas estranhas às áreas críticas foi estruturado em

função de a informática na empresa ser considerada pelo seu nível de
risco e conseqüente conceito:

- Não permite a continuidade dos negócios ou atividades da

empresa – Alto Risco.
- Apresenta dificuldades para a continuidade dos negócios ou
atividades da empresa – Risco Intermediário.
- Não afeta a continuidade dos negócios ou atividades da Empresa –
Risco Baixo.

Existe proibição específica para determinados objetos nas áreas

críticas?

- Imãs ou aparelhos que gerem campos magnéticos.

- Equipamentos eletrônicos de uso pessoal.
- Copiadores de Documentos.
- Bebidas e Alimentos.
- Material de Fumantes.

Existe regulamento ou norma interna que especifique o Controle de

Acesso?

Detecção, Alarme e Combate a Fogo

O fogo deve ser evitado via detecção, comunicado via alarme e

combatido por meio de extintores manuais ou automáticos.
O risco de fogo deve ser auditado:

As áreas críticas são utilizadas em períodos fora do expediente normal?

Existem sensores e alarmes de detecção nessas áreas ?

Tais sensores são ou podem ser:

- do tipo cruzado (acionam os alarmes e algum tipo de combate);

- controla fechamento de dumpers;

26
 martinelli
auditores

- corta a corrente elétrica (se houver No Break);

- opera alarmes em pontos estratégicos (Informática e Vigilância);

Os detectores, se existirem:

- estão em suspensos dentro de forros?

- estão em caixas de painéis elétricos e de telefones?
- estão em dutos de exaustão de ar condicionado?

Os extintores são adequados ao ambiente?

- CO² (dióxido de carbono);

- Halon (1301 ou 1211);
- Monofosfato de Amônia;

Existe treinamento para manuseio de extintores ?

Os materiais existentes nas áreas críticas ou próximo delas é resistente

a fogo?

Existem materiais combustíveis ou tóxicos (álcool isopropílico, solventes,

freon, etc)

Estão armazenados próximo ou dentro das áreas críticas?

As luminárias fluorescentes são dotadas de reatores blindados ou

possuem reatores fora do ambiente crítico?

Os extintores estão dentro do prazo de validade (conteúdo e cilindro)?

Extintores de CO² e Pó Químico são pesados periodicamente?

No mínimo a cada 5 anos os extintores sofrem vistoria e ensaios de
pressão eletrostática?

As inspeções de segurança são efetuadas nos prazos?

- baterias não seladas do No Break;

- alarmes de fogo;
- recarga de extintores;
- detectores de combustão

Sistemas de proteção contra fogo

O sistema de proteção contra fogo subdivide-se em:

27
 martinelli
auditores

a) Sistema de detecção de superaquecimento e fogo:

Este sistema é formado por detectores de calor instalados em pontos de

ocorrência mais provável de fogo.

Os detectores podem ser locais (sensores que protegem pontos

isolados) ou contínuos (sensores em forma de fio, que protegem ao
longo de sua extensão), e provocam o acionamento de um alarme
sonoro e visual na cabine de comando

b) Sistema de extinção de fogo – acionado em emergências para áreas

vazias de pessoas:

Ao ocorrer aviso de fogo, é necessário seguir os procedimentos

recomendados pelo fabricante, incluindo verificações quanto ao falso
alarme ou mero superaquecimento.

Princípios do combate ao fogo

Para que um material possa entrar em combustão, é preciso que

existam três fatores : o combustível, o oxigênio e o calor.

Para extinguir o fogo, basta eliminar ou isolar um desses fatores.

Tipos de incêndio

Os incêndios são divididos em classes

CLASSE A

Materiais que deixam brasa ou cinza, como a madeira, o papel, tecidos,

etc.

CLASSE B

Líquidos inflamáveis como a gasolina e o álcool.

CLASSE C

Materiais elétricos como fios, isolantes, etc.

CLASSE D
Metais como o magnésio das rodas

28
 martinelli
auditores

Agentes Extintores

Os agentes extintores mais usados são:

Água
apaga por resfriamento incêndios de classe A.

Espuma
apaga por abafamento incêndios em líquidos (classe B). É corrosiva e
ataca metais; grande eficiência nos incêndios com combustível.

Pó químico
apaga por abafamento incêndios de classes B e C.

Pó seco
apaga por abafamento incêndios de classe D.

Dióxido de carbono (CO2)

é recomendado em incêndios elétricos, porque não conduz eletricidade,
afastando possibilidades de choques.

Energia Elétrica

O projeto elétrico, dada a importância das áreas críticas de informática,

exige que seja abordado criteriosamente e que aborde os seguintes
aspectos:

Ø Alimentação elétrica normal

Ø Alimentação elétrica alternativa
Ø Distribuição de eletrodutos e/ou canaletas
Ø Distribuição dos cabos elétricos (força)
Ø Distribuição dos circuitos elétricos
Ø Dispositivos de Proteção de Circuitos
Ø Terminais de Força e Controle
Ø Dispositivos de Emergência (No Break)
Ø Dispositivos de Emergência (Short Break)
Ø Pára Raios
Ø Aterramento

O Auditor deverá pesquisar o seguinte material e identificar sua

existência e conhecimento pelo pessoal da manutenção:

Ø Desenhos de Planta de Iluminação

Ø Desenhos de Planta das Casas de Força e Controle
Ø Desenhos de Dispositivos de Proteção, vida útil, tempo de

29
 martinelli
auditores

manutenção e garantia
Ø Desenhos de Alimentação Geral e Iluminação Externa
Ø Desenhos de Corte e Detalhes
Ø Desenhos do Pára-Raios e aterramento geral, mostrando tipo do
pára-raios e área de cobertura
Ø Planta de Força e Aterramento por Rede

Aterramento

O projeto elétrico, dada a importância das áreas críticas de informática,

exige que seja abordado criteriosamente e que aborde os seguintes
aspectos:

Objetivos

Escoar para terra a eletricidade estática gerada por equipamentos ou por

atrito de materiais isolantes:

• as descargas atmosféricas ocorridas;

• fluxo de correntes transitórias (de fuga); e
• sobretensões contingenciais.

Fornecer um referencial de terra zero de tensão para a lógica digital.

6.2 Manutenção de Hardware

A manutenção tem como objetivo manter os equipamentos em boas

condições de funcionamento para garantir a segurança das operações.
Pode ser feita por agentes internos ou prestadores de serviço
terceirizados.

A boa conservação dos equipamentos também deve ser objeto de

verificação pelo Auditor.

A manutenção é classificada em:

- Manutenção corretiva: corrige deficiências.

- Manutenção preventiva: previne falhas.

30
 martinelli
auditores

Inspeções Periódicas

A inspeção é o serviço de manutenção mais simples e consiste em

verificações visuais ou por outros meios imediatos, destinadas a detectar
anormalidades.

6.3 Cuidados com Meios Magnéticos

Ao transportar ou armazenar discos rígidos removíveis, disquetes, fitas

streamer de alta densidade, inclusive DATs, CD’s ou qualquer outro
meio magnético, verifique se as seguintes cautelas foram tomadas:

Armazenagem local de backups operacionais:

- local do armazenamento
- geração dos dados
- risco idêntico ao do disco original
- risco diferente ao do disco original (indicar + ou -)

Armazenagem Externa (de segurança) de backups críticos:

- local do armazenamento
- geração dos dados
- risco idêntico ao do disco original
- risco diferente ao do disco original (indicar + ou -)

Transporte

- percurso entre a área operacional e a de segurança

- referencie e descreva o meio de transporte utilizado
- caixas de disquetes ou cartucho (sem proteção)
- caixas com muito uso (sem proteção)
- meio próprio (tipo malafita)
- outros meios (descreva)

31
 martinelli
auditores

7. SEGURANÇA DE RECURSOS HUMANOS

Quanto a auditoria de recursos humanos de informática são aplicados os

mesmos procedimentos de análise de qualquer outra área, como por
exemplo:

- Treinamento adequado.
- Competência profissional.
- Segregação de responsabilidades que fragilizem os controles interno da
empresa.
- Plano de cargos e salários, etc.

Atenção especial deve ser dispensada quanto a contratação de pessoal

ligado a áreas estratégicas, como por exemplo a área de desenvolvimento de
produtos. Nestes casos, recomenda-se que a empresa realize uma completa
investigação dos antecedentes do candidato à vaga afim de evitar o
vazamento de informações confidenciais.

Também deve-se atentar para os aspectos ergonômicos das instalações da

empresa (teclados, iluminação, cadeiras, monitores de vídeo), afim de evitar
eventuais ações trabalhistas por lesões (Ex.: LER – lesão por esforço
repetitivo).

32
 martinelli
auditores

8. SEGURANÇA NA INTERNET

8.1 Controle de Utilização da Internet

Alguns dos controles que devem ser objeto de verificação pelo Auditor
são:

- Controle de sites visitados (estatísticas de utilização).

- Controle de mensagens enviadas e recebidas via e-mail
(vazamento de informações sigilosas).
- Controle de Downloads e arquivos anexados aos e-mail’s (infecção
por vírus, trojan horse).
- Limitação de tamanho de e-mail (tráfego lento).
- Administração de contas de correio eletrônico (colaboradores
desligados continuam recebendo mensagens internas da empresa)
- Configuração de anti-vírus.
- Avaliação do tipo de conexão e largura de banda disponibilizada.

8.2 Transações de Comércio Eletrônico

Os aspectos mais importantes a serem considerados e que podem ser

objeto de verificação pelo Auditor são:

- Criptografia utilizada na recebimento e envio de dados.

- Sigilo das informações pessoais ou cadastrais do cliente.
- Meios de pagamento empregados (cartão de crédito, depósito
bancário, etc.).
- Eficiência da área de logística (entrega da encomenda ao cliente).
- Reclamações de clientes.
- Testa as fragilidades do site em aceitar dados “frios”.
- Autenticação de segurança.
- Lay-out do site não pode ser confuso.
- Meios de assegurar a disponibilidade do site “no ar”.

8.3 Segurança contra Hackers

Alguns aspectos a serem considerados pelo Auditor são:

- Existência de firewall’s.

33
 martinelli
auditores

- Anti-vírus atualizado.
- Softwares de detecção de trojam-horse (podem ser os anti-vírus
atualizados).
- Política de senhas.
- Bloqueio de portas de comunicação.
- Ações contra a engenharia social (não jogar informações sigilosas
do sistema no lixo).
- Controla acessos de terceiros (externos) aos sistemas das
empresa (Ex.: PCAnywhere).

Um aspecto importante a ser observado é que muitas invasões partem

de funcionários da própria empresa. Todo usuário desligado deve ter
seus direitos imediatamente eliminados do sistema.

34
 martinelli
auditores

9. ORGANIZAÇÃO DA AUDITORIA

Na moderna auditoria, busca-se um ferramental que torne dois aspectos

desse trabalho, extremamente produtivo:

- Organização
- Trabalho de campo

Nesse contexto, a informática aparece como auxiliar valiosa no aumento da

produtividade e na escolha de soluções adequadas.

9.1 Utilitários Necessários

Um simples (até certo ponto) pacote Office, pode fornecer soluções

práticas de apoio à auditoria.

Entre os mais sofisticados, entretanto, existem hoje alguns processos

chamados de facilitadores de Inteligência Competitiva, que manipulam
informações textuais com tremenda facilidade.

Permitem a criação das Bases de Informações de apoio à Auditoria que

podem, com facilidade sustentar todo o processo de suporte de
argumentação que um auditor necessita no campo.

Assim, podemos hoje ter Bases Históricas de Relatórios, Bases Legais

acrescidas de todo o processo normativo interno, Bases Textuais de
Trabalhos de Campo, etc.

O exemplo mais contundente é o uso dos softwares de Infobase, como o

Folio ou o Acrobat.

9.2 Aplicação dos Utilitários

a) Para matriz de risco:

- Planilhas e Gerenciadores de Projeto

35
 martinelli
auditores

b) Para planejamento anual de auditoria:

- Gerenciadores de Projeto

c) Para fluxogramação:

- Interativos com geração automática de fluxograma.

d) Para geração de programas de trabalho:

- Interativos para geração automática de fluxograma e

aproveitamento dos scripts ou editores de texto.

e) Para papéis de trabalho e anexos:

- Html com links via scanner.

f) Para gerenciar dados:

- Gerenciadores tipo Access e Approach.

g) Para gerenciar textos:

- Infobases

h) Para testes:

- Freeware e Shareware obtidos na Internet.

36