Renato Braga CISARenato Braga CISA CIA CGAP
5ordm Governanccedila Aplicada
Minicurso Abordagens complementares
para Auditoria de TI
Renato Braga CISA CIA CGAP
Diretor de Educaccedilatildeo
Isaca Capiacutetulo Brasiacutelia
Brasiacutelia 16 de setembro de 2011
1
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoUm homem que trabalha com suas matildeos
eacute um operaacuterio o que trabalha com suas
matildeos e o seu ceacuterebro eacute um artesatildeo e o
que trabalha com suas matildeos seu ceacuterebro
e seu coraccedilatildeo eacute um artistardquo
Louis Nizer Advogado Norte-
Americano nascido na Inglaterra
2
Renato Braga CISARenato Braga CISA CIA CGAP
Puacuteblico-alvo
Auditores e gestores focados na implantaccedilatildeo de
controles internos de TI
3
Renato Braga CISARenato Braga CISA CIA CGAP
Objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
4
Renato Braga CISARenato Braga CISA CIA CGAP
Questatildeo preliminar
o que eacute a Sefti
Visite em
httpwwwtcugovbrfiscalizacaoti
5
Renato Braga CISARenato Braga CISA CIA CGAP
Criaccedilatildeo da Sefti
Em agosto de 2006 (Resoluccedilatildeo TCU nordm 1932006)
A Secretaria de Fiscalizaccedilatildeo de Tecnologia da
Informaccedilatildeo tem por finalidade fiscalizar a gestatildeo e o
uso de recursos de tecnologia da informaccedilatildeo pela
Administraccedilatildeo Puacuteblica Federal (sublinhado do original)
6
Renato Braga CISARenato Braga CISA CIA CGAP
Sefti
7
Negoacutecio
Controle externo da governanccedila de tecnologia da informaccedilatildeo
na Administraccedilatildeo Puacuteblica Federal
Missatildeo
Assegurar que a tecnologia da informaccedilatildeo agregue valor ao
negoacutecio da Administraccedilatildeo Puacuteblica Federal em benefiacutecio da
sociedade
VisatildeoSer unidade de excelecircncia no controle e no aperfeiccediloamento
da governanccedila de tecnologia da informaccedilatildeo
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
8
Renato Braga CISARenato Braga CISA CIA CGAP
Definiccedilatildeo de auditoria
Auditoria eacute o processo sistemaacutetico documentado
e independente de se avaliar objetivamente uma
situaccedilatildeo ou condiccedilatildeo para determinar a extensatildeo
na qual criteacuterios satildeo atendidos obter evidecircncias
quanto a esse atendimento e relatar os resultados
dessa avaliaccedilatildeo a um destinataacuterio
predeterminado
Fonte Normas de Auditoria do TCU - NAT
9
Renato Braga CISARenato Braga CISA CIA CGAP
Definiccedilatildeo de Auditoria Interna
A auditoria interna eacute uma atividade independente
e objetiva de avaliaccedilatildeo (assurance) e de
consultoria desenhada para adicionar valor e
melhorar as operaccedilotildees de uma organizaccedilatildeo
Ela auxilia uma organizaccedilatildeo a realizar seus
objetivos a partir da aplicaccedilatildeo de uma abordagem
sistemaacutetica e disciplinada para avaliar e melhorar
a eficaacutecia dos processos de gerenciamento de
riscos controle e governanccedila
Fonte International Professional Practices Framework - IPPF
10
Renato Braga CISARenato Braga CISA CIA CGAP
Controle
22 Forma de gerenciar o risco incluindo poliacuteticas
procedimentos diretrizes praacuteticas ou estruturas
organizacionais que podem ser de natureza
administrativa teacutecnica de gestatildeo ou legal
Fonte ABNT NBR ISOIEC 270022005
11
Renato Braga CISARenato Braga CISA CIA CGAP
Controles auditoria e anaacutelise de riscos
A escolha de quais
controles devem ser
implantados bem como
do que deve ser
auditado decorre de
anaacutelise de riscos
12
Renato Braga CISARenato Braga CISA CIA CGAP
Controles gerais
Aplicam-se a todos os componentes do sistema
dos processos e dos dados de uma organizaccedilatildeo
ou ambiente Controles gerais incluem mas natildeo
estatildeo limitados agrave poliacuteticas de seguranccedila da
informaccedilatildeo de administraccedilatildeo de acesso e de
autenticaccedilatildeo de segregaccedilatildeo de funccedilotildees chaves
de TI de gestatildeo de aquisiccedilatildeo e implementaccedilatildeo
de sistemas de gestatildeo de mudanccedilas de coacutepias
de seguranccedila e de continuidade do negoacutecio
Fonte GTAG Information Technology Controls Auditing (traduccedilatildeo livre)
13
Renato Braga CISARenato Braga CISA CIA CGAP
Controles de aplicaccedilatildeo
Satildeo os que estatildeo no escopo de processos de
negoacutecio ou sistemas de aplicaccedilatildeo Eles incluem
controles como ediccedilatildeo de dados separaccedilatildeo de
funccedilotildees de negoacutecio (eg solicitaccedilotildees e
autorizaccedilotildees) totalizaccedilotildees registros de acesso e
relatos de erros de processamento
Fonte GTAG Information Technology Controls Auditing (traduccedilatildeo livre)
14
Renato Braga CISARenato Braga CISA CIA CGAP
Objetivo de controle
Declaraccedilatildeo de um resultado desejado ou
propoacutesito a ser alcanccedilado pela implementaccedilatildeo de
praacuteticas de controle em um processo particular de
TI
Fonte IT Assurance Guide using Cobit (traduccedilatildeo livre)
15
Renato Braga CISARenato Braga CISA CIA CGAP
Tipos de testes
a) testes de observacircnciavisam agrave obtenccedilatildeo de
razoaacutevel seguranccedila de que os procedimentos de
controle interno estabelecidos pela Administraccedilatildeo
estatildeo em efetivo funcionamento e cumprimento
b) testes substantivos visam agrave obtenccedilatildeo de
evidecircncias quanto agrave suficiecircncia exatidatildeo e
validaccedilatildeo dos dados produzidos pelos sistemas
contaacutebil e administrativos da entidade rdquo
Fonte IN ndash SFC 012006
16
Renato Braga CISARenato Braga CISA CIA CGAP
Perfis de auditores
Auditores de negoacutecio (ou de processo)
Auditores de TI
competecircncias de um CISA
Auditores especialistas em TI
Fonte Intosai
17
Renato Braga CISARenato Braga CISA CIA CGAP
O IIA preconiza
Auditores internos devem ter conhecimento
suficiente dos principais riscos e controles de TI e
das teacutecnicas de auditoria baseadas em tecnologia
para realizar seus trabalhos Poreacutem natildeo eacute
esperado que todos auditores tenham as
habilidades de um auditor interno com a
responsabilidade primaacuteria de auditar TI
Fonte IIA IPPF 1210A3 (traduccedilatildeo livre sublinhado do original)
18
Renato Braga CISARenato Braga CISA CIA CGAP
Avaliaccedilatildeo de controles de TI
Auditores que natildeo detenham conhecimentos
especiacuteficos de TI podem (e devem) realizar uma
avaliaccedilatildeo limitada (menos profunda) dos controles
gerais e de aplicativos na extensatildeo necessaacuteria
para atendimento dos objetivos da auditoria
19
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
20
Renato Braga CISARenato Braga CISA CIA CGAP
IPPF 2040 ndash Poliacuteticas e Procedimentos
O executivo chefe de auditoria deve estabelecer
poliacuteticas e procedimentos para orientar a
atividade de auditoria interna
Interpretaccedilatildeo
A forma e o conteuacutedo das poliacuteticas e
procedimentos dependem do tamanho e da
estrutura da atividade de auditoria interna e da
complexidade de seu trabalho
21
Renato Braga CISARenato Braga CISA CIA CGAP
Exemplos de poliacuteticas e procedimentos
CFCCRC
httpwwwcfcorgbruparqManual_auditoria_sitepdf
Conab
httpwwwconabgovbrconabwebdownloadnupinMa
nualdeAuditoriaInternapdf
CGU
httpwwwcgugovbrLegislacaoArquivosInstrucoesN
ormativasIN01_06abr2001pdf
TCU
httpportal2tcugovbrportalpageportalTCUcomunid
adesfiscalizacao_controlenormas_auditoria
22
Renato Braga CISARenato Braga CISA CIA CGAP
Manual de auditoria de sistemas
do TCU
(httpwwwfacapebrcynarasasManual_TCU_Audit_Sistemaspdf)
De 1998
e em breve seraacute publicado o manual de auditoria de TI
23
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
PORTARIA-SEGECEX Nordm 26 DE 19 DE OUTUBRO DE 2009
24
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
25
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
26
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Achado
Responsaacutevel
Periacuteodo de exerciacutecio
Conduta
Nexo de causalidade
Culpabilidade
27
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
28
Renato Braga CISARenato Braga CISA CIA CGAP
Aacutereas de atuaccedilatildeo
29
Governanccedila
Seguranccedila
Sistemas
Dados
Infraestrutura
Contrataccedilotildees
Programas e poliacuteticas
Fiscalizaccedilatildeo
operacional ou
de conformidade
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagens de auditorias de TI
30
Governanccedila de TI
(direccedilatildeo mecanismos e controle)
Dados Contrataccedilotildees
(SLA OLA UC)
Seguranccedila da
Informaccedilatildeo
Sistemas
Poliacuteticas e programas
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
31
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Governanccedila de TI
Objetivo
Avaliar a estrutura de governanccedila de TI da
organizaccedilatildeo
Principal fonte de criteacuterios
Cobit
Tem-se mostrado a causa-raiz da maioria das
deficiecircncias encontradas nas auditorias
32
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
O que eacute o controle
NC 3IN01DSICGSIPR - 44 Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees (POSIC) documento aprovado
pela autoridade responsaacutevel do oacutergatildeo ou entidade da APF
com o objetivo de fornecer diretrizes criteacuterios e suporte
administrativo suficientes agrave implementaccedilatildeo da seguranccedila da
informaccedilatildeo e comunicaccedilotildees
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
3IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 13
NBR ABNT ISOIEC 27002 item 51
33
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
Por que o gestor deve implantar
NC 3IN01DSICGSIPR 21 A Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees declara o comprometimento da
alta direccedilatildeo organizacional com vistas a prover diretrizes
estrateacutegicas responsabilidades competecircncias e o apoio
para implementar a gestatildeo de seguranccedila da informaccedilatildeo e
comunicaccedilotildees nos oacutergatildeos ou entidades da Administraccedilatildeo
Puacuteblica Federal direta e indireta
Aspectos que o auditor deve analisar
formalizaccedilatildeo conteuacutedo divulgaccedilatildeo atualizaccedilatildeo recursos
para implantaccedilatildeo
34
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
35
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
36
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoUm homem que trabalha com suas matildeos
eacute um operaacuterio o que trabalha com suas
matildeos e o seu ceacuterebro eacute um artesatildeo e o
que trabalha com suas matildeos seu ceacuterebro
e seu coraccedilatildeo eacute um artistardquo
Louis Nizer Advogado Norte-
Americano nascido na Inglaterra
2
Renato Braga CISARenato Braga CISA CIA CGAP
Puacuteblico-alvo
Auditores e gestores focados na implantaccedilatildeo de
controles internos de TI
3
Renato Braga CISARenato Braga CISA CIA CGAP
Objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
4
Renato Braga CISARenato Braga CISA CIA CGAP
Questatildeo preliminar
o que eacute a Sefti
Visite em
httpwwwtcugovbrfiscalizacaoti
5
Renato Braga CISARenato Braga CISA CIA CGAP
Criaccedilatildeo da Sefti
Em agosto de 2006 (Resoluccedilatildeo TCU nordm 1932006)
A Secretaria de Fiscalizaccedilatildeo de Tecnologia da
Informaccedilatildeo tem por finalidade fiscalizar a gestatildeo e o
uso de recursos de tecnologia da informaccedilatildeo pela
Administraccedilatildeo Puacuteblica Federal (sublinhado do original)
6
Renato Braga CISARenato Braga CISA CIA CGAP
Sefti
7
Negoacutecio
Controle externo da governanccedila de tecnologia da informaccedilatildeo
na Administraccedilatildeo Puacuteblica Federal
Missatildeo
Assegurar que a tecnologia da informaccedilatildeo agregue valor ao
negoacutecio da Administraccedilatildeo Puacuteblica Federal em benefiacutecio da
sociedade
VisatildeoSer unidade de excelecircncia no controle e no aperfeiccediloamento
da governanccedila de tecnologia da informaccedilatildeo
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
8
Renato Braga CISARenato Braga CISA CIA CGAP
Definiccedilatildeo de auditoria
Auditoria eacute o processo sistemaacutetico documentado
e independente de se avaliar objetivamente uma
situaccedilatildeo ou condiccedilatildeo para determinar a extensatildeo
na qual criteacuterios satildeo atendidos obter evidecircncias
quanto a esse atendimento e relatar os resultados
dessa avaliaccedilatildeo a um destinataacuterio
predeterminado
Fonte Normas de Auditoria do TCU - NAT
9
Renato Braga CISARenato Braga CISA CIA CGAP
Definiccedilatildeo de Auditoria Interna
A auditoria interna eacute uma atividade independente
e objetiva de avaliaccedilatildeo (assurance) e de
consultoria desenhada para adicionar valor e
melhorar as operaccedilotildees de uma organizaccedilatildeo
Ela auxilia uma organizaccedilatildeo a realizar seus
objetivos a partir da aplicaccedilatildeo de uma abordagem
sistemaacutetica e disciplinada para avaliar e melhorar
a eficaacutecia dos processos de gerenciamento de
riscos controle e governanccedila
Fonte International Professional Practices Framework - IPPF
10
Renato Braga CISARenato Braga CISA CIA CGAP
Controle
22 Forma de gerenciar o risco incluindo poliacuteticas
procedimentos diretrizes praacuteticas ou estruturas
organizacionais que podem ser de natureza
administrativa teacutecnica de gestatildeo ou legal
Fonte ABNT NBR ISOIEC 270022005
11
Renato Braga CISARenato Braga CISA CIA CGAP
Controles auditoria e anaacutelise de riscos
A escolha de quais
controles devem ser
implantados bem como
do que deve ser
auditado decorre de
anaacutelise de riscos
12
Renato Braga CISARenato Braga CISA CIA CGAP
Controles gerais
Aplicam-se a todos os componentes do sistema
dos processos e dos dados de uma organizaccedilatildeo
ou ambiente Controles gerais incluem mas natildeo
estatildeo limitados agrave poliacuteticas de seguranccedila da
informaccedilatildeo de administraccedilatildeo de acesso e de
autenticaccedilatildeo de segregaccedilatildeo de funccedilotildees chaves
de TI de gestatildeo de aquisiccedilatildeo e implementaccedilatildeo
de sistemas de gestatildeo de mudanccedilas de coacutepias
de seguranccedila e de continuidade do negoacutecio
Fonte GTAG Information Technology Controls Auditing (traduccedilatildeo livre)
13
Renato Braga CISARenato Braga CISA CIA CGAP
Controles de aplicaccedilatildeo
Satildeo os que estatildeo no escopo de processos de
negoacutecio ou sistemas de aplicaccedilatildeo Eles incluem
controles como ediccedilatildeo de dados separaccedilatildeo de
funccedilotildees de negoacutecio (eg solicitaccedilotildees e
autorizaccedilotildees) totalizaccedilotildees registros de acesso e
relatos de erros de processamento
Fonte GTAG Information Technology Controls Auditing (traduccedilatildeo livre)
14
Renato Braga CISARenato Braga CISA CIA CGAP
Objetivo de controle
Declaraccedilatildeo de um resultado desejado ou
propoacutesito a ser alcanccedilado pela implementaccedilatildeo de
praacuteticas de controle em um processo particular de
TI
Fonte IT Assurance Guide using Cobit (traduccedilatildeo livre)
15
Renato Braga CISARenato Braga CISA CIA CGAP
Tipos de testes
a) testes de observacircnciavisam agrave obtenccedilatildeo de
razoaacutevel seguranccedila de que os procedimentos de
controle interno estabelecidos pela Administraccedilatildeo
estatildeo em efetivo funcionamento e cumprimento
b) testes substantivos visam agrave obtenccedilatildeo de
evidecircncias quanto agrave suficiecircncia exatidatildeo e
validaccedilatildeo dos dados produzidos pelos sistemas
contaacutebil e administrativos da entidade rdquo
Fonte IN ndash SFC 012006
16
Renato Braga CISARenato Braga CISA CIA CGAP
Perfis de auditores
Auditores de negoacutecio (ou de processo)
Auditores de TI
competecircncias de um CISA
Auditores especialistas em TI
Fonte Intosai
17
Renato Braga CISARenato Braga CISA CIA CGAP
O IIA preconiza
Auditores internos devem ter conhecimento
suficiente dos principais riscos e controles de TI e
das teacutecnicas de auditoria baseadas em tecnologia
para realizar seus trabalhos Poreacutem natildeo eacute
esperado que todos auditores tenham as
habilidades de um auditor interno com a
responsabilidade primaacuteria de auditar TI
Fonte IIA IPPF 1210A3 (traduccedilatildeo livre sublinhado do original)
18
Renato Braga CISARenato Braga CISA CIA CGAP
Avaliaccedilatildeo de controles de TI
Auditores que natildeo detenham conhecimentos
especiacuteficos de TI podem (e devem) realizar uma
avaliaccedilatildeo limitada (menos profunda) dos controles
gerais e de aplicativos na extensatildeo necessaacuteria
para atendimento dos objetivos da auditoria
19
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
20
Renato Braga CISARenato Braga CISA CIA CGAP
IPPF 2040 ndash Poliacuteticas e Procedimentos
O executivo chefe de auditoria deve estabelecer
poliacuteticas e procedimentos para orientar a
atividade de auditoria interna
Interpretaccedilatildeo
A forma e o conteuacutedo das poliacuteticas e
procedimentos dependem do tamanho e da
estrutura da atividade de auditoria interna e da
complexidade de seu trabalho
21
Renato Braga CISARenato Braga CISA CIA CGAP
Exemplos de poliacuteticas e procedimentos
CFCCRC
httpwwwcfcorgbruparqManual_auditoria_sitepdf
Conab
httpwwwconabgovbrconabwebdownloadnupinMa
nualdeAuditoriaInternapdf
CGU
httpwwwcgugovbrLegislacaoArquivosInstrucoesN
ormativasIN01_06abr2001pdf
TCU
httpportal2tcugovbrportalpageportalTCUcomunid
adesfiscalizacao_controlenormas_auditoria
22
Renato Braga CISARenato Braga CISA CIA CGAP
Manual de auditoria de sistemas
do TCU
(httpwwwfacapebrcynarasasManual_TCU_Audit_Sistemaspdf)
De 1998
e em breve seraacute publicado o manual de auditoria de TI
23
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
PORTARIA-SEGECEX Nordm 26 DE 19 DE OUTUBRO DE 2009
24
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
25
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
26
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Achado
Responsaacutevel
Periacuteodo de exerciacutecio
Conduta
Nexo de causalidade
Culpabilidade
27
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
28
Renato Braga CISARenato Braga CISA CIA CGAP
Aacutereas de atuaccedilatildeo
29
Governanccedila
Seguranccedila
Sistemas
Dados
Infraestrutura
Contrataccedilotildees
Programas e poliacuteticas
Fiscalizaccedilatildeo
operacional ou
de conformidade
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagens de auditorias de TI
30
Governanccedila de TI
(direccedilatildeo mecanismos e controle)
Dados Contrataccedilotildees
(SLA OLA UC)
Seguranccedila da
Informaccedilatildeo
Sistemas
Poliacuteticas e programas
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
31
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Governanccedila de TI
Objetivo
Avaliar a estrutura de governanccedila de TI da
organizaccedilatildeo
Principal fonte de criteacuterios
Cobit
Tem-se mostrado a causa-raiz da maioria das
deficiecircncias encontradas nas auditorias
32
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
O que eacute o controle
NC 3IN01DSICGSIPR - 44 Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees (POSIC) documento aprovado
pela autoridade responsaacutevel do oacutergatildeo ou entidade da APF
com o objetivo de fornecer diretrizes criteacuterios e suporte
administrativo suficientes agrave implementaccedilatildeo da seguranccedila da
informaccedilatildeo e comunicaccedilotildees
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
3IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 13
NBR ABNT ISOIEC 27002 item 51
33
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
Por que o gestor deve implantar
NC 3IN01DSICGSIPR 21 A Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees declara o comprometimento da
alta direccedilatildeo organizacional com vistas a prover diretrizes
estrateacutegicas responsabilidades competecircncias e o apoio
para implementar a gestatildeo de seguranccedila da informaccedilatildeo e
comunicaccedilotildees nos oacutergatildeos ou entidades da Administraccedilatildeo
Puacuteblica Federal direta e indireta
Aspectos que o auditor deve analisar
formalizaccedilatildeo conteuacutedo divulgaccedilatildeo atualizaccedilatildeo recursos
para implantaccedilatildeo
34
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
35
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
36
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Puacuteblico-alvo
Auditores e gestores focados na implantaccedilatildeo de
controles internos de TI
3
Renato Braga CISARenato Braga CISA CIA CGAP
Objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
4
Renato Braga CISARenato Braga CISA CIA CGAP
Questatildeo preliminar
o que eacute a Sefti
Visite em
httpwwwtcugovbrfiscalizacaoti
5
Renato Braga CISARenato Braga CISA CIA CGAP
Criaccedilatildeo da Sefti
Em agosto de 2006 (Resoluccedilatildeo TCU nordm 1932006)
A Secretaria de Fiscalizaccedilatildeo de Tecnologia da
Informaccedilatildeo tem por finalidade fiscalizar a gestatildeo e o
uso de recursos de tecnologia da informaccedilatildeo pela
Administraccedilatildeo Puacuteblica Federal (sublinhado do original)
6
Renato Braga CISARenato Braga CISA CIA CGAP
Sefti
7
Negoacutecio
Controle externo da governanccedila de tecnologia da informaccedilatildeo
na Administraccedilatildeo Puacuteblica Federal
Missatildeo
Assegurar que a tecnologia da informaccedilatildeo agregue valor ao
negoacutecio da Administraccedilatildeo Puacuteblica Federal em benefiacutecio da
sociedade
VisatildeoSer unidade de excelecircncia no controle e no aperfeiccediloamento
da governanccedila de tecnologia da informaccedilatildeo
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
8
Renato Braga CISARenato Braga CISA CIA CGAP
Definiccedilatildeo de auditoria
Auditoria eacute o processo sistemaacutetico documentado
e independente de se avaliar objetivamente uma
situaccedilatildeo ou condiccedilatildeo para determinar a extensatildeo
na qual criteacuterios satildeo atendidos obter evidecircncias
quanto a esse atendimento e relatar os resultados
dessa avaliaccedilatildeo a um destinataacuterio
predeterminado
Fonte Normas de Auditoria do TCU - NAT
9
Renato Braga CISARenato Braga CISA CIA CGAP
Definiccedilatildeo de Auditoria Interna
A auditoria interna eacute uma atividade independente
e objetiva de avaliaccedilatildeo (assurance) e de
consultoria desenhada para adicionar valor e
melhorar as operaccedilotildees de uma organizaccedilatildeo
Ela auxilia uma organizaccedilatildeo a realizar seus
objetivos a partir da aplicaccedilatildeo de uma abordagem
sistemaacutetica e disciplinada para avaliar e melhorar
a eficaacutecia dos processos de gerenciamento de
riscos controle e governanccedila
Fonte International Professional Practices Framework - IPPF
10
Renato Braga CISARenato Braga CISA CIA CGAP
Controle
22 Forma de gerenciar o risco incluindo poliacuteticas
procedimentos diretrizes praacuteticas ou estruturas
organizacionais que podem ser de natureza
administrativa teacutecnica de gestatildeo ou legal
Fonte ABNT NBR ISOIEC 270022005
11
Renato Braga CISARenato Braga CISA CIA CGAP
Controles auditoria e anaacutelise de riscos
A escolha de quais
controles devem ser
implantados bem como
do que deve ser
auditado decorre de
anaacutelise de riscos
12
Renato Braga CISARenato Braga CISA CIA CGAP
Controles gerais
Aplicam-se a todos os componentes do sistema
dos processos e dos dados de uma organizaccedilatildeo
ou ambiente Controles gerais incluem mas natildeo
estatildeo limitados agrave poliacuteticas de seguranccedila da
informaccedilatildeo de administraccedilatildeo de acesso e de
autenticaccedilatildeo de segregaccedilatildeo de funccedilotildees chaves
de TI de gestatildeo de aquisiccedilatildeo e implementaccedilatildeo
de sistemas de gestatildeo de mudanccedilas de coacutepias
de seguranccedila e de continuidade do negoacutecio
Fonte GTAG Information Technology Controls Auditing (traduccedilatildeo livre)
13
Renato Braga CISARenato Braga CISA CIA CGAP
Controles de aplicaccedilatildeo
Satildeo os que estatildeo no escopo de processos de
negoacutecio ou sistemas de aplicaccedilatildeo Eles incluem
controles como ediccedilatildeo de dados separaccedilatildeo de
funccedilotildees de negoacutecio (eg solicitaccedilotildees e
autorizaccedilotildees) totalizaccedilotildees registros de acesso e
relatos de erros de processamento
Fonte GTAG Information Technology Controls Auditing (traduccedilatildeo livre)
14
Renato Braga CISARenato Braga CISA CIA CGAP
Objetivo de controle
Declaraccedilatildeo de um resultado desejado ou
propoacutesito a ser alcanccedilado pela implementaccedilatildeo de
praacuteticas de controle em um processo particular de
TI
Fonte IT Assurance Guide using Cobit (traduccedilatildeo livre)
15
Renato Braga CISARenato Braga CISA CIA CGAP
Tipos de testes
a) testes de observacircnciavisam agrave obtenccedilatildeo de
razoaacutevel seguranccedila de que os procedimentos de
controle interno estabelecidos pela Administraccedilatildeo
estatildeo em efetivo funcionamento e cumprimento
b) testes substantivos visam agrave obtenccedilatildeo de
evidecircncias quanto agrave suficiecircncia exatidatildeo e
validaccedilatildeo dos dados produzidos pelos sistemas
contaacutebil e administrativos da entidade rdquo
Fonte IN ndash SFC 012006
16
Renato Braga CISARenato Braga CISA CIA CGAP
Perfis de auditores
Auditores de negoacutecio (ou de processo)
Auditores de TI
competecircncias de um CISA
Auditores especialistas em TI
Fonte Intosai
17
Renato Braga CISARenato Braga CISA CIA CGAP
O IIA preconiza
Auditores internos devem ter conhecimento
suficiente dos principais riscos e controles de TI e
das teacutecnicas de auditoria baseadas em tecnologia
para realizar seus trabalhos Poreacutem natildeo eacute
esperado que todos auditores tenham as
habilidades de um auditor interno com a
responsabilidade primaacuteria de auditar TI
Fonte IIA IPPF 1210A3 (traduccedilatildeo livre sublinhado do original)
18
Renato Braga CISARenato Braga CISA CIA CGAP
Avaliaccedilatildeo de controles de TI
Auditores que natildeo detenham conhecimentos
especiacuteficos de TI podem (e devem) realizar uma
avaliaccedilatildeo limitada (menos profunda) dos controles
gerais e de aplicativos na extensatildeo necessaacuteria
para atendimento dos objetivos da auditoria
19
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
20
Renato Braga CISARenato Braga CISA CIA CGAP
IPPF 2040 ndash Poliacuteticas e Procedimentos
O executivo chefe de auditoria deve estabelecer
poliacuteticas e procedimentos para orientar a
atividade de auditoria interna
Interpretaccedilatildeo
A forma e o conteuacutedo das poliacuteticas e
procedimentos dependem do tamanho e da
estrutura da atividade de auditoria interna e da
complexidade de seu trabalho
21
Renato Braga CISARenato Braga CISA CIA CGAP
Exemplos de poliacuteticas e procedimentos
CFCCRC
httpwwwcfcorgbruparqManual_auditoria_sitepdf
Conab
httpwwwconabgovbrconabwebdownloadnupinMa
nualdeAuditoriaInternapdf
CGU
httpwwwcgugovbrLegislacaoArquivosInstrucoesN
ormativasIN01_06abr2001pdf
TCU
httpportal2tcugovbrportalpageportalTCUcomunid
adesfiscalizacao_controlenormas_auditoria
22
Renato Braga CISARenato Braga CISA CIA CGAP
Manual de auditoria de sistemas
do TCU
(httpwwwfacapebrcynarasasManual_TCU_Audit_Sistemaspdf)
De 1998
e em breve seraacute publicado o manual de auditoria de TI
23
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
PORTARIA-SEGECEX Nordm 26 DE 19 DE OUTUBRO DE 2009
24
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
25
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
26
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Achado
Responsaacutevel
Periacuteodo de exerciacutecio
Conduta
Nexo de causalidade
Culpabilidade
27
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
28
Renato Braga CISARenato Braga CISA CIA CGAP
Aacutereas de atuaccedilatildeo
29
Governanccedila
Seguranccedila
Sistemas
Dados
Infraestrutura
Contrataccedilotildees
Programas e poliacuteticas
Fiscalizaccedilatildeo
operacional ou
de conformidade
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagens de auditorias de TI
30
Governanccedila de TI
(direccedilatildeo mecanismos e controle)
Dados Contrataccedilotildees
(SLA OLA UC)
Seguranccedila da
Informaccedilatildeo
Sistemas
Poliacuteticas e programas
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
31
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Governanccedila de TI
Objetivo
Avaliar a estrutura de governanccedila de TI da
organizaccedilatildeo
Principal fonte de criteacuterios
Cobit
Tem-se mostrado a causa-raiz da maioria das
deficiecircncias encontradas nas auditorias
32
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
O que eacute o controle
NC 3IN01DSICGSIPR - 44 Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees (POSIC) documento aprovado
pela autoridade responsaacutevel do oacutergatildeo ou entidade da APF
com o objetivo de fornecer diretrizes criteacuterios e suporte
administrativo suficientes agrave implementaccedilatildeo da seguranccedila da
informaccedilatildeo e comunicaccedilotildees
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
3IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 13
NBR ABNT ISOIEC 27002 item 51
33
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
Por que o gestor deve implantar
NC 3IN01DSICGSIPR 21 A Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees declara o comprometimento da
alta direccedilatildeo organizacional com vistas a prover diretrizes
estrateacutegicas responsabilidades competecircncias e o apoio
para implementar a gestatildeo de seguranccedila da informaccedilatildeo e
comunicaccedilotildees nos oacutergatildeos ou entidades da Administraccedilatildeo
Puacuteblica Federal direta e indireta
Aspectos que o auditor deve analisar
formalizaccedilatildeo conteuacutedo divulgaccedilatildeo atualizaccedilatildeo recursos
para implantaccedilatildeo
34
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
35
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
36
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
4
Renato Braga CISARenato Braga CISA CIA CGAP
Questatildeo preliminar
o que eacute a Sefti
Visite em
httpwwwtcugovbrfiscalizacaoti
5
Renato Braga CISARenato Braga CISA CIA CGAP
Criaccedilatildeo da Sefti
Em agosto de 2006 (Resoluccedilatildeo TCU nordm 1932006)
A Secretaria de Fiscalizaccedilatildeo de Tecnologia da
Informaccedilatildeo tem por finalidade fiscalizar a gestatildeo e o
uso de recursos de tecnologia da informaccedilatildeo pela
Administraccedilatildeo Puacuteblica Federal (sublinhado do original)
6
Renato Braga CISARenato Braga CISA CIA CGAP
Sefti
7
Negoacutecio
Controle externo da governanccedila de tecnologia da informaccedilatildeo
na Administraccedilatildeo Puacuteblica Federal
Missatildeo
Assegurar que a tecnologia da informaccedilatildeo agregue valor ao
negoacutecio da Administraccedilatildeo Puacuteblica Federal em benefiacutecio da
sociedade
VisatildeoSer unidade de excelecircncia no controle e no aperfeiccediloamento
da governanccedila de tecnologia da informaccedilatildeo
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
8
Renato Braga CISARenato Braga CISA CIA CGAP
Definiccedilatildeo de auditoria
Auditoria eacute o processo sistemaacutetico documentado
e independente de se avaliar objetivamente uma
situaccedilatildeo ou condiccedilatildeo para determinar a extensatildeo
na qual criteacuterios satildeo atendidos obter evidecircncias
quanto a esse atendimento e relatar os resultados
dessa avaliaccedilatildeo a um destinataacuterio
predeterminado
Fonte Normas de Auditoria do TCU - NAT
9
Renato Braga CISARenato Braga CISA CIA CGAP
Definiccedilatildeo de Auditoria Interna
A auditoria interna eacute uma atividade independente
e objetiva de avaliaccedilatildeo (assurance) e de
consultoria desenhada para adicionar valor e
melhorar as operaccedilotildees de uma organizaccedilatildeo
Ela auxilia uma organizaccedilatildeo a realizar seus
objetivos a partir da aplicaccedilatildeo de uma abordagem
sistemaacutetica e disciplinada para avaliar e melhorar
a eficaacutecia dos processos de gerenciamento de
riscos controle e governanccedila
Fonte International Professional Practices Framework - IPPF
10
Renato Braga CISARenato Braga CISA CIA CGAP
Controle
22 Forma de gerenciar o risco incluindo poliacuteticas
procedimentos diretrizes praacuteticas ou estruturas
organizacionais que podem ser de natureza
administrativa teacutecnica de gestatildeo ou legal
Fonte ABNT NBR ISOIEC 270022005
11
Renato Braga CISARenato Braga CISA CIA CGAP
Controles auditoria e anaacutelise de riscos
A escolha de quais
controles devem ser
implantados bem como
do que deve ser
auditado decorre de
anaacutelise de riscos
12
Renato Braga CISARenato Braga CISA CIA CGAP
Controles gerais
Aplicam-se a todos os componentes do sistema
dos processos e dos dados de uma organizaccedilatildeo
ou ambiente Controles gerais incluem mas natildeo
estatildeo limitados agrave poliacuteticas de seguranccedila da
informaccedilatildeo de administraccedilatildeo de acesso e de
autenticaccedilatildeo de segregaccedilatildeo de funccedilotildees chaves
de TI de gestatildeo de aquisiccedilatildeo e implementaccedilatildeo
de sistemas de gestatildeo de mudanccedilas de coacutepias
de seguranccedila e de continuidade do negoacutecio
Fonte GTAG Information Technology Controls Auditing (traduccedilatildeo livre)
13
Renato Braga CISARenato Braga CISA CIA CGAP
Controles de aplicaccedilatildeo
Satildeo os que estatildeo no escopo de processos de
negoacutecio ou sistemas de aplicaccedilatildeo Eles incluem
controles como ediccedilatildeo de dados separaccedilatildeo de
funccedilotildees de negoacutecio (eg solicitaccedilotildees e
autorizaccedilotildees) totalizaccedilotildees registros de acesso e
relatos de erros de processamento
Fonte GTAG Information Technology Controls Auditing (traduccedilatildeo livre)
14
Renato Braga CISARenato Braga CISA CIA CGAP
Objetivo de controle
Declaraccedilatildeo de um resultado desejado ou
propoacutesito a ser alcanccedilado pela implementaccedilatildeo de
praacuteticas de controle em um processo particular de
TI
Fonte IT Assurance Guide using Cobit (traduccedilatildeo livre)
15
Renato Braga CISARenato Braga CISA CIA CGAP
Tipos de testes
a) testes de observacircnciavisam agrave obtenccedilatildeo de
razoaacutevel seguranccedila de que os procedimentos de
controle interno estabelecidos pela Administraccedilatildeo
estatildeo em efetivo funcionamento e cumprimento
b) testes substantivos visam agrave obtenccedilatildeo de
evidecircncias quanto agrave suficiecircncia exatidatildeo e
validaccedilatildeo dos dados produzidos pelos sistemas
contaacutebil e administrativos da entidade rdquo
Fonte IN ndash SFC 012006
16
Renato Braga CISARenato Braga CISA CIA CGAP
Perfis de auditores
Auditores de negoacutecio (ou de processo)
Auditores de TI
competecircncias de um CISA
Auditores especialistas em TI
Fonte Intosai
17
Renato Braga CISARenato Braga CISA CIA CGAP
O IIA preconiza
Auditores internos devem ter conhecimento
suficiente dos principais riscos e controles de TI e
das teacutecnicas de auditoria baseadas em tecnologia
para realizar seus trabalhos Poreacutem natildeo eacute
esperado que todos auditores tenham as
habilidades de um auditor interno com a
responsabilidade primaacuteria de auditar TI
Fonte IIA IPPF 1210A3 (traduccedilatildeo livre sublinhado do original)
18
Renato Braga CISARenato Braga CISA CIA CGAP
Avaliaccedilatildeo de controles de TI
Auditores que natildeo detenham conhecimentos
especiacuteficos de TI podem (e devem) realizar uma
avaliaccedilatildeo limitada (menos profunda) dos controles
gerais e de aplicativos na extensatildeo necessaacuteria
para atendimento dos objetivos da auditoria
19
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
20
Renato Braga CISARenato Braga CISA CIA CGAP
IPPF 2040 ndash Poliacuteticas e Procedimentos
O executivo chefe de auditoria deve estabelecer
poliacuteticas e procedimentos para orientar a
atividade de auditoria interna
Interpretaccedilatildeo
A forma e o conteuacutedo das poliacuteticas e
procedimentos dependem do tamanho e da
estrutura da atividade de auditoria interna e da
complexidade de seu trabalho
21
Renato Braga CISARenato Braga CISA CIA CGAP
Exemplos de poliacuteticas e procedimentos
CFCCRC
httpwwwcfcorgbruparqManual_auditoria_sitepdf
Conab
httpwwwconabgovbrconabwebdownloadnupinMa
nualdeAuditoriaInternapdf
CGU
httpwwwcgugovbrLegislacaoArquivosInstrucoesN
ormativasIN01_06abr2001pdf
TCU
httpportal2tcugovbrportalpageportalTCUcomunid
adesfiscalizacao_controlenormas_auditoria
22
Renato Braga CISARenato Braga CISA CIA CGAP
Manual de auditoria de sistemas
do TCU
(httpwwwfacapebrcynarasasManual_TCU_Audit_Sistemaspdf)
De 1998
e em breve seraacute publicado o manual de auditoria de TI
23
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
PORTARIA-SEGECEX Nordm 26 DE 19 DE OUTUBRO DE 2009
24
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
25
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
26
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Achado
Responsaacutevel
Periacuteodo de exerciacutecio
Conduta
Nexo de causalidade
Culpabilidade
27
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
28
Renato Braga CISARenato Braga CISA CIA CGAP
Aacutereas de atuaccedilatildeo
29
Governanccedila
Seguranccedila
Sistemas
Dados
Infraestrutura
Contrataccedilotildees
Programas e poliacuteticas
Fiscalizaccedilatildeo
operacional ou
de conformidade
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagens de auditorias de TI
30
Governanccedila de TI
(direccedilatildeo mecanismos e controle)
Dados Contrataccedilotildees
(SLA OLA UC)
Seguranccedila da
Informaccedilatildeo
Sistemas
Poliacuteticas e programas
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
31
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Governanccedila de TI
Objetivo
Avaliar a estrutura de governanccedila de TI da
organizaccedilatildeo
Principal fonte de criteacuterios
Cobit
Tem-se mostrado a causa-raiz da maioria das
deficiecircncias encontradas nas auditorias
32
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
O que eacute o controle
NC 3IN01DSICGSIPR - 44 Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees (POSIC) documento aprovado
pela autoridade responsaacutevel do oacutergatildeo ou entidade da APF
com o objetivo de fornecer diretrizes criteacuterios e suporte
administrativo suficientes agrave implementaccedilatildeo da seguranccedila da
informaccedilatildeo e comunicaccedilotildees
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
3IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 13
NBR ABNT ISOIEC 27002 item 51
33
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
Por que o gestor deve implantar
NC 3IN01DSICGSIPR 21 A Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees declara o comprometimento da
alta direccedilatildeo organizacional com vistas a prover diretrizes
estrateacutegicas responsabilidades competecircncias e o apoio
para implementar a gestatildeo de seguranccedila da informaccedilatildeo e
comunicaccedilotildees nos oacutergatildeos ou entidades da Administraccedilatildeo
Puacuteblica Federal direta e indireta
Aspectos que o auditor deve analisar
formalizaccedilatildeo conteuacutedo divulgaccedilatildeo atualizaccedilatildeo recursos
para implantaccedilatildeo
34
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
35
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
36
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Questatildeo preliminar
o que eacute a Sefti
Visite em
httpwwwtcugovbrfiscalizacaoti
5
Renato Braga CISARenato Braga CISA CIA CGAP
Criaccedilatildeo da Sefti
Em agosto de 2006 (Resoluccedilatildeo TCU nordm 1932006)
A Secretaria de Fiscalizaccedilatildeo de Tecnologia da
Informaccedilatildeo tem por finalidade fiscalizar a gestatildeo e o
uso de recursos de tecnologia da informaccedilatildeo pela
Administraccedilatildeo Puacuteblica Federal (sublinhado do original)
6
Renato Braga CISARenato Braga CISA CIA CGAP
Sefti
7
Negoacutecio
Controle externo da governanccedila de tecnologia da informaccedilatildeo
na Administraccedilatildeo Puacuteblica Federal
Missatildeo
Assegurar que a tecnologia da informaccedilatildeo agregue valor ao
negoacutecio da Administraccedilatildeo Puacuteblica Federal em benefiacutecio da
sociedade
VisatildeoSer unidade de excelecircncia no controle e no aperfeiccediloamento
da governanccedila de tecnologia da informaccedilatildeo
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
8
Renato Braga CISARenato Braga CISA CIA CGAP
Definiccedilatildeo de auditoria
Auditoria eacute o processo sistemaacutetico documentado
e independente de se avaliar objetivamente uma
situaccedilatildeo ou condiccedilatildeo para determinar a extensatildeo
na qual criteacuterios satildeo atendidos obter evidecircncias
quanto a esse atendimento e relatar os resultados
dessa avaliaccedilatildeo a um destinataacuterio
predeterminado
Fonte Normas de Auditoria do TCU - NAT
9
Renato Braga CISARenato Braga CISA CIA CGAP
Definiccedilatildeo de Auditoria Interna
A auditoria interna eacute uma atividade independente
e objetiva de avaliaccedilatildeo (assurance) e de
consultoria desenhada para adicionar valor e
melhorar as operaccedilotildees de uma organizaccedilatildeo
Ela auxilia uma organizaccedilatildeo a realizar seus
objetivos a partir da aplicaccedilatildeo de uma abordagem
sistemaacutetica e disciplinada para avaliar e melhorar
a eficaacutecia dos processos de gerenciamento de
riscos controle e governanccedila
Fonte International Professional Practices Framework - IPPF
10
Renato Braga CISARenato Braga CISA CIA CGAP
Controle
22 Forma de gerenciar o risco incluindo poliacuteticas
procedimentos diretrizes praacuteticas ou estruturas
organizacionais que podem ser de natureza
administrativa teacutecnica de gestatildeo ou legal
Fonte ABNT NBR ISOIEC 270022005
11
Renato Braga CISARenato Braga CISA CIA CGAP
Controles auditoria e anaacutelise de riscos
A escolha de quais
controles devem ser
implantados bem como
do que deve ser
auditado decorre de
anaacutelise de riscos
12
Renato Braga CISARenato Braga CISA CIA CGAP
Controles gerais
Aplicam-se a todos os componentes do sistema
dos processos e dos dados de uma organizaccedilatildeo
ou ambiente Controles gerais incluem mas natildeo
estatildeo limitados agrave poliacuteticas de seguranccedila da
informaccedilatildeo de administraccedilatildeo de acesso e de
autenticaccedilatildeo de segregaccedilatildeo de funccedilotildees chaves
de TI de gestatildeo de aquisiccedilatildeo e implementaccedilatildeo
de sistemas de gestatildeo de mudanccedilas de coacutepias
de seguranccedila e de continuidade do negoacutecio
Fonte GTAG Information Technology Controls Auditing (traduccedilatildeo livre)
13
Renato Braga CISARenato Braga CISA CIA CGAP
Controles de aplicaccedilatildeo
Satildeo os que estatildeo no escopo de processos de
negoacutecio ou sistemas de aplicaccedilatildeo Eles incluem
controles como ediccedilatildeo de dados separaccedilatildeo de
funccedilotildees de negoacutecio (eg solicitaccedilotildees e
autorizaccedilotildees) totalizaccedilotildees registros de acesso e
relatos de erros de processamento
Fonte GTAG Information Technology Controls Auditing (traduccedilatildeo livre)
14
Renato Braga CISARenato Braga CISA CIA CGAP
Objetivo de controle
Declaraccedilatildeo de um resultado desejado ou
propoacutesito a ser alcanccedilado pela implementaccedilatildeo de
praacuteticas de controle em um processo particular de
TI
Fonte IT Assurance Guide using Cobit (traduccedilatildeo livre)
15
Renato Braga CISARenato Braga CISA CIA CGAP
Tipos de testes
a) testes de observacircnciavisam agrave obtenccedilatildeo de
razoaacutevel seguranccedila de que os procedimentos de
controle interno estabelecidos pela Administraccedilatildeo
estatildeo em efetivo funcionamento e cumprimento
b) testes substantivos visam agrave obtenccedilatildeo de
evidecircncias quanto agrave suficiecircncia exatidatildeo e
validaccedilatildeo dos dados produzidos pelos sistemas
contaacutebil e administrativos da entidade rdquo
Fonte IN ndash SFC 012006
16
Renato Braga CISARenato Braga CISA CIA CGAP
Perfis de auditores
Auditores de negoacutecio (ou de processo)
Auditores de TI
competecircncias de um CISA
Auditores especialistas em TI
Fonte Intosai
17
Renato Braga CISARenato Braga CISA CIA CGAP
O IIA preconiza
Auditores internos devem ter conhecimento
suficiente dos principais riscos e controles de TI e
das teacutecnicas de auditoria baseadas em tecnologia
para realizar seus trabalhos Poreacutem natildeo eacute
esperado que todos auditores tenham as
habilidades de um auditor interno com a
responsabilidade primaacuteria de auditar TI
Fonte IIA IPPF 1210A3 (traduccedilatildeo livre sublinhado do original)
18
Renato Braga CISARenato Braga CISA CIA CGAP
Avaliaccedilatildeo de controles de TI
Auditores que natildeo detenham conhecimentos
especiacuteficos de TI podem (e devem) realizar uma
avaliaccedilatildeo limitada (menos profunda) dos controles
gerais e de aplicativos na extensatildeo necessaacuteria
para atendimento dos objetivos da auditoria
19
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
20
Renato Braga CISARenato Braga CISA CIA CGAP
IPPF 2040 ndash Poliacuteticas e Procedimentos
O executivo chefe de auditoria deve estabelecer
poliacuteticas e procedimentos para orientar a
atividade de auditoria interna
Interpretaccedilatildeo
A forma e o conteuacutedo das poliacuteticas e
procedimentos dependem do tamanho e da
estrutura da atividade de auditoria interna e da
complexidade de seu trabalho
21
Renato Braga CISARenato Braga CISA CIA CGAP
Exemplos de poliacuteticas e procedimentos
CFCCRC
httpwwwcfcorgbruparqManual_auditoria_sitepdf
Conab
httpwwwconabgovbrconabwebdownloadnupinMa
nualdeAuditoriaInternapdf
CGU
httpwwwcgugovbrLegislacaoArquivosInstrucoesN
ormativasIN01_06abr2001pdf
TCU
httpportal2tcugovbrportalpageportalTCUcomunid
adesfiscalizacao_controlenormas_auditoria
22
Renato Braga CISARenato Braga CISA CIA CGAP
Manual de auditoria de sistemas
do TCU
(httpwwwfacapebrcynarasasManual_TCU_Audit_Sistemaspdf)
De 1998
e em breve seraacute publicado o manual de auditoria de TI
23
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
PORTARIA-SEGECEX Nordm 26 DE 19 DE OUTUBRO DE 2009
24
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
25
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
26
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Achado
Responsaacutevel
Periacuteodo de exerciacutecio
Conduta
Nexo de causalidade
Culpabilidade
27
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
28
Renato Braga CISARenato Braga CISA CIA CGAP
Aacutereas de atuaccedilatildeo
29
Governanccedila
Seguranccedila
Sistemas
Dados
Infraestrutura
Contrataccedilotildees
Programas e poliacuteticas
Fiscalizaccedilatildeo
operacional ou
de conformidade
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagens de auditorias de TI
30
Governanccedila de TI
(direccedilatildeo mecanismos e controle)
Dados Contrataccedilotildees
(SLA OLA UC)
Seguranccedila da
Informaccedilatildeo
Sistemas
Poliacuteticas e programas
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
31
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Governanccedila de TI
Objetivo
Avaliar a estrutura de governanccedila de TI da
organizaccedilatildeo
Principal fonte de criteacuterios
Cobit
Tem-se mostrado a causa-raiz da maioria das
deficiecircncias encontradas nas auditorias
32
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
O que eacute o controle
NC 3IN01DSICGSIPR - 44 Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees (POSIC) documento aprovado
pela autoridade responsaacutevel do oacutergatildeo ou entidade da APF
com o objetivo de fornecer diretrizes criteacuterios e suporte
administrativo suficientes agrave implementaccedilatildeo da seguranccedila da
informaccedilatildeo e comunicaccedilotildees
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
3IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 13
NBR ABNT ISOIEC 27002 item 51
33
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
Por que o gestor deve implantar
NC 3IN01DSICGSIPR 21 A Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees declara o comprometimento da
alta direccedilatildeo organizacional com vistas a prover diretrizes
estrateacutegicas responsabilidades competecircncias e o apoio
para implementar a gestatildeo de seguranccedila da informaccedilatildeo e
comunicaccedilotildees nos oacutergatildeos ou entidades da Administraccedilatildeo
Puacuteblica Federal direta e indireta
Aspectos que o auditor deve analisar
formalizaccedilatildeo conteuacutedo divulgaccedilatildeo atualizaccedilatildeo recursos
para implantaccedilatildeo
34
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
35
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
36
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Criaccedilatildeo da Sefti
Em agosto de 2006 (Resoluccedilatildeo TCU nordm 1932006)
A Secretaria de Fiscalizaccedilatildeo de Tecnologia da
Informaccedilatildeo tem por finalidade fiscalizar a gestatildeo e o
uso de recursos de tecnologia da informaccedilatildeo pela
Administraccedilatildeo Puacuteblica Federal (sublinhado do original)
6
Renato Braga CISARenato Braga CISA CIA CGAP
Sefti
7
Negoacutecio
Controle externo da governanccedila de tecnologia da informaccedilatildeo
na Administraccedilatildeo Puacuteblica Federal
Missatildeo
Assegurar que a tecnologia da informaccedilatildeo agregue valor ao
negoacutecio da Administraccedilatildeo Puacuteblica Federal em benefiacutecio da
sociedade
VisatildeoSer unidade de excelecircncia no controle e no aperfeiccediloamento
da governanccedila de tecnologia da informaccedilatildeo
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
8
Renato Braga CISARenato Braga CISA CIA CGAP
Definiccedilatildeo de auditoria
Auditoria eacute o processo sistemaacutetico documentado
e independente de se avaliar objetivamente uma
situaccedilatildeo ou condiccedilatildeo para determinar a extensatildeo
na qual criteacuterios satildeo atendidos obter evidecircncias
quanto a esse atendimento e relatar os resultados
dessa avaliaccedilatildeo a um destinataacuterio
predeterminado
Fonte Normas de Auditoria do TCU - NAT
9
Renato Braga CISARenato Braga CISA CIA CGAP
Definiccedilatildeo de Auditoria Interna
A auditoria interna eacute uma atividade independente
e objetiva de avaliaccedilatildeo (assurance) e de
consultoria desenhada para adicionar valor e
melhorar as operaccedilotildees de uma organizaccedilatildeo
Ela auxilia uma organizaccedilatildeo a realizar seus
objetivos a partir da aplicaccedilatildeo de uma abordagem
sistemaacutetica e disciplinada para avaliar e melhorar
a eficaacutecia dos processos de gerenciamento de
riscos controle e governanccedila
Fonte International Professional Practices Framework - IPPF
10
Renato Braga CISARenato Braga CISA CIA CGAP
Controle
22 Forma de gerenciar o risco incluindo poliacuteticas
procedimentos diretrizes praacuteticas ou estruturas
organizacionais que podem ser de natureza
administrativa teacutecnica de gestatildeo ou legal
Fonte ABNT NBR ISOIEC 270022005
11
Renato Braga CISARenato Braga CISA CIA CGAP
Controles auditoria e anaacutelise de riscos
A escolha de quais
controles devem ser
implantados bem como
do que deve ser
auditado decorre de
anaacutelise de riscos
12
Renato Braga CISARenato Braga CISA CIA CGAP
Controles gerais
Aplicam-se a todos os componentes do sistema
dos processos e dos dados de uma organizaccedilatildeo
ou ambiente Controles gerais incluem mas natildeo
estatildeo limitados agrave poliacuteticas de seguranccedila da
informaccedilatildeo de administraccedilatildeo de acesso e de
autenticaccedilatildeo de segregaccedilatildeo de funccedilotildees chaves
de TI de gestatildeo de aquisiccedilatildeo e implementaccedilatildeo
de sistemas de gestatildeo de mudanccedilas de coacutepias
de seguranccedila e de continuidade do negoacutecio
Fonte GTAG Information Technology Controls Auditing (traduccedilatildeo livre)
13
Renato Braga CISARenato Braga CISA CIA CGAP
Controles de aplicaccedilatildeo
Satildeo os que estatildeo no escopo de processos de
negoacutecio ou sistemas de aplicaccedilatildeo Eles incluem
controles como ediccedilatildeo de dados separaccedilatildeo de
funccedilotildees de negoacutecio (eg solicitaccedilotildees e
autorizaccedilotildees) totalizaccedilotildees registros de acesso e
relatos de erros de processamento
Fonte GTAG Information Technology Controls Auditing (traduccedilatildeo livre)
14
Renato Braga CISARenato Braga CISA CIA CGAP
Objetivo de controle
Declaraccedilatildeo de um resultado desejado ou
propoacutesito a ser alcanccedilado pela implementaccedilatildeo de
praacuteticas de controle em um processo particular de
TI
Fonte IT Assurance Guide using Cobit (traduccedilatildeo livre)
15
Renato Braga CISARenato Braga CISA CIA CGAP
Tipos de testes
a) testes de observacircnciavisam agrave obtenccedilatildeo de
razoaacutevel seguranccedila de que os procedimentos de
controle interno estabelecidos pela Administraccedilatildeo
estatildeo em efetivo funcionamento e cumprimento
b) testes substantivos visam agrave obtenccedilatildeo de
evidecircncias quanto agrave suficiecircncia exatidatildeo e
validaccedilatildeo dos dados produzidos pelos sistemas
contaacutebil e administrativos da entidade rdquo
Fonte IN ndash SFC 012006
16
Renato Braga CISARenato Braga CISA CIA CGAP
Perfis de auditores
Auditores de negoacutecio (ou de processo)
Auditores de TI
competecircncias de um CISA
Auditores especialistas em TI
Fonte Intosai
17
Renato Braga CISARenato Braga CISA CIA CGAP
O IIA preconiza
Auditores internos devem ter conhecimento
suficiente dos principais riscos e controles de TI e
das teacutecnicas de auditoria baseadas em tecnologia
para realizar seus trabalhos Poreacutem natildeo eacute
esperado que todos auditores tenham as
habilidades de um auditor interno com a
responsabilidade primaacuteria de auditar TI
Fonte IIA IPPF 1210A3 (traduccedilatildeo livre sublinhado do original)
18
Renato Braga CISARenato Braga CISA CIA CGAP
Avaliaccedilatildeo de controles de TI
Auditores que natildeo detenham conhecimentos
especiacuteficos de TI podem (e devem) realizar uma
avaliaccedilatildeo limitada (menos profunda) dos controles
gerais e de aplicativos na extensatildeo necessaacuteria
para atendimento dos objetivos da auditoria
19
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
20
Renato Braga CISARenato Braga CISA CIA CGAP
IPPF 2040 ndash Poliacuteticas e Procedimentos
O executivo chefe de auditoria deve estabelecer
poliacuteticas e procedimentos para orientar a
atividade de auditoria interna
Interpretaccedilatildeo
A forma e o conteuacutedo das poliacuteticas e
procedimentos dependem do tamanho e da
estrutura da atividade de auditoria interna e da
complexidade de seu trabalho
21
Renato Braga CISARenato Braga CISA CIA CGAP
Exemplos de poliacuteticas e procedimentos
CFCCRC
httpwwwcfcorgbruparqManual_auditoria_sitepdf
Conab
httpwwwconabgovbrconabwebdownloadnupinMa
nualdeAuditoriaInternapdf
CGU
httpwwwcgugovbrLegislacaoArquivosInstrucoesN
ormativasIN01_06abr2001pdf
TCU
httpportal2tcugovbrportalpageportalTCUcomunid
adesfiscalizacao_controlenormas_auditoria
22
Renato Braga CISARenato Braga CISA CIA CGAP
Manual de auditoria de sistemas
do TCU
(httpwwwfacapebrcynarasasManual_TCU_Audit_Sistemaspdf)
De 1998
e em breve seraacute publicado o manual de auditoria de TI
23
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
PORTARIA-SEGECEX Nordm 26 DE 19 DE OUTUBRO DE 2009
24
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
25
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
26
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Achado
Responsaacutevel
Periacuteodo de exerciacutecio
Conduta
Nexo de causalidade
Culpabilidade
27
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
28
Renato Braga CISARenato Braga CISA CIA CGAP
Aacutereas de atuaccedilatildeo
29
Governanccedila
Seguranccedila
Sistemas
Dados
Infraestrutura
Contrataccedilotildees
Programas e poliacuteticas
Fiscalizaccedilatildeo
operacional ou
de conformidade
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagens de auditorias de TI
30
Governanccedila de TI
(direccedilatildeo mecanismos e controle)
Dados Contrataccedilotildees
(SLA OLA UC)
Seguranccedila da
Informaccedilatildeo
Sistemas
Poliacuteticas e programas
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
31
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Governanccedila de TI
Objetivo
Avaliar a estrutura de governanccedila de TI da
organizaccedilatildeo
Principal fonte de criteacuterios
Cobit
Tem-se mostrado a causa-raiz da maioria das
deficiecircncias encontradas nas auditorias
32
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
O que eacute o controle
NC 3IN01DSICGSIPR - 44 Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees (POSIC) documento aprovado
pela autoridade responsaacutevel do oacutergatildeo ou entidade da APF
com o objetivo de fornecer diretrizes criteacuterios e suporte
administrativo suficientes agrave implementaccedilatildeo da seguranccedila da
informaccedilatildeo e comunicaccedilotildees
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
3IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 13
NBR ABNT ISOIEC 27002 item 51
33
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
Por que o gestor deve implantar
NC 3IN01DSICGSIPR 21 A Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees declara o comprometimento da
alta direccedilatildeo organizacional com vistas a prover diretrizes
estrateacutegicas responsabilidades competecircncias e o apoio
para implementar a gestatildeo de seguranccedila da informaccedilatildeo e
comunicaccedilotildees nos oacutergatildeos ou entidades da Administraccedilatildeo
Puacuteblica Federal direta e indireta
Aspectos que o auditor deve analisar
formalizaccedilatildeo conteuacutedo divulgaccedilatildeo atualizaccedilatildeo recursos
para implantaccedilatildeo
34
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
35
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
36
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Sefti
7
Negoacutecio
Controle externo da governanccedila de tecnologia da informaccedilatildeo
na Administraccedilatildeo Puacuteblica Federal
Missatildeo
Assegurar que a tecnologia da informaccedilatildeo agregue valor ao
negoacutecio da Administraccedilatildeo Puacuteblica Federal em benefiacutecio da
sociedade
VisatildeoSer unidade de excelecircncia no controle e no aperfeiccediloamento
da governanccedila de tecnologia da informaccedilatildeo
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
8
Renato Braga CISARenato Braga CISA CIA CGAP
Definiccedilatildeo de auditoria
Auditoria eacute o processo sistemaacutetico documentado
e independente de se avaliar objetivamente uma
situaccedilatildeo ou condiccedilatildeo para determinar a extensatildeo
na qual criteacuterios satildeo atendidos obter evidecircncias
quanto a esse atendimento e relatar os resultados
dessa avaliaccedilatildeo a um destinataacuterio
predeterminado
Fonte Normas de Auditoria do TCU - NAT
9
Renato Braga CISARenato Braga CISA CIA CGAP
Definiccedilatildeo de Auditoria Interna
A auditoria interna eacute uma atividade independente
e objetiva de avaliaccedilatildeo (assurance) e de
consultoria desenhada para adicionar valor e
melhorar as operaccedilotildees de uma organizaccedilatildeo
Ela auxilia uma organizaccedilatildeo a realizar seus
objetivos a partir da aplicaccedilatildeo de uma abordagem
sistemaacutetica e disciplinada para avaliar e melhorar
a eficaacutecia dos processos de gerenciamento de
riscos controle e governanccedila
Fonte International Professional Practices Framework - IPPF
10
Renato Braga CISARenato Braga CISA CIA CGAP
Controle
22 Forma de gerenciar o risco incluindo poliacuteticas
procedimentos diretrizes praacuteticas ou estruturas
organizacionais que podem ser de natureza
administrativa teacutecnica de gestatildeo ou legal
Fonte ABNT NBR ISOIEC 270022005
11
Renato Braga CISARenato Braga CISA CIA CGAP
Controles auditoria e anaacutelise de riscos
A escolha de quais
controles devem ser
implantados bem como
do que deve ser
auditado decorre de
anaacutelise de riscos
12
Renato Braga CISARenato Braga CISA CIA CGAP
Controles gerais
Aplicam-se a todos os componentes do sistema
dos processos e dos dados de uma organizaccedilatildeo
ou ambiente Controles gerais incluem mas natildeo
estatildeo limitados agrave poliacuteticas de seguranccedila da
informaccedilatildeo de administraccedilatildeo de acesso e de
autenticaccedilatildeo de segregaccedilatildeo de funccedilotildees chaves
de TI de gestatildeo de aquisiccedilatildeo e implementaccedilatildeo
de sistemas de gestatildeo de mudanccedilas de coacutepias
de seguranccedila e de continuidade do negoacutecio
Fonte GTAG Information Technology Controls Auditing (traduccedilatildeo livre)
13
Renato Braga CISARenato Braga CISA CIA CGAP
Controles de aplicaccedilatildeo
Satildeo os que estatildeo no escopo de processos de
negoacutecio ou sistemas de aplicaccedilatildeo Eles incluem
controles como ediccedilatildeo de dados separaccedilatildeo de
funccedilotildees de negoacutecio (eg solicitaccedilotildees e
autorizaccedilotildees) totalizaccedilotildees registros de acesso e
relatos de erros de processamento
Fonte GTAG Information Technology Controls Auditing (traduccedilatildeo livre)
14
Renato Braga CISARenato Braga CISA CIA CGAP
Objetivo de controle
Declaraccedilatildeo de um resultado desejado ou
propoacutesito a ser alcanccedilado pela implementaccedilatildeo de
praacuteticas de controle em um processo particular de
TI
Fonte IT Assurance Guide using Cobit (traduccedilatildeo livre)
15
Renato Braga CISARenato Braga CISA CIA CGAP
Tipos de testes
a) testes de observacircnciavisam agrave obtenccedilatildeo de
razoaacutevel seguranccedila de que os procedimentos de
controle interno estabelecidos pela Administraccedilatildeo
estatildeo em efetivo funcionamento e cumprimento
b) testes substantivos visam agrave obtenccedilatildeo de
evidecircncias quanto agrave suficiecircncia exatidatildeo e
validaccedilatildeo dos dados produzidos pelos sistemas
contaacutebil e administrativos da entidade rdquo
Fonte IN ndash SFC 012006
16
Renato Braga CISARenato Braga CISA CIA CGAP
Perfis de auditores
Auditores de negoacutecio (ou de processo)
Auditores de TI
competecircncias de um CISA
Auditores especialistas em TI
Fonte Intosai
17
Renato Braga CISARenato Braga CISA CIA CGAP
O IIA preconiza
Auditores internos devem ter conhecimento
suficiente dos principais riscos e controles de TI e
das teacutecnicas de auditoria baseadas em tecnologia
para realizar seus trabalhos Poreacutem natildeo eacute
esperado que todos auditores tenham as
habilidades de um auditor interno com a
responsabilidade primaacuteria de auditar TI
Fonte IIA IPPF 1210A3 (traduccedilatildeo livre sublinhado do original)
18
Renato Braga CISARenato Braga CISA CIA CGAP
Avaliaccedilatildeo de controles de TI
Auditores que natildeo detenham conhecimentos
especiacuteficos de TI podem (e devem) realizar uma
avaliaccedilatildeo limitada (menos profunda) dos controles
gerais e de aplicativos na extensatildeo necessaacuteria
para atendimento dos objetivos da auditoria
19
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
20
Renato Braga CISARenato Braga CISA CIA CGAP
IPPF 2040 ndash Poliacuteticas e Procedimentos
O executivo chefe de auditoria deve estabelecer
poliacuteticas e procedimentos para orientar a
atividade de auditoria interna
Interpretaccedilatildeo
A forma e o conteuacutedo das poliacuteticas e
procedimentos dependem do tamanho e da
estrutura da atividade de auditoria interna e da
complexidade de seu trabalho
21
Renato Braga CISARenato Braga CISA CIA CGAP
Exemplos de poliacuteticas e procedimentos
CFCCRC
httpwwwcfcorgbruparqManual_auditoria_sitepdf
Conab
httpwwwconabgovbrconabwebdownloadnupinMa
nualdeAuditoriaInternapdf
CGU
httpwwwcgugovbrLegislacaoArquivosInstrucoesN
ormativasIN01_06abr2001pdf
TCU
httpportal2tcugovbrportalpageportalTCUcomunid
adesfiscalizacao_controlenormas_auditoria
22
Renato Braga CISARenato Braga CISA CIA CGAP
Manual de auditoria de sistemas
do TCU
(httpwwwfacapebrcynarasasManual_TCU_Audit_Sistemaspdf)
De 1998
e em breve seraacute publicado o manual de auditoria de TI
23
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
PORTARIA-SEGECEX Nordm 26 DE 19 DE OUTUBRO DE 2009
24
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
25
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
26
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Achado
Responsaacutevel
Periacuteodo de exerciacutecio
Conduta
Nexo de causalidade
Culpabilidade
27
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
28
Renato Braga CISARenato Braga CISA CIA CGAP
Aacutereas de atuaccedilatildeo
29
Governanccedila
Seguranccedila
Sistemas
Dados
Infraestrutura
Contrataccedilotildees
Programas e poliacuteticas
Fiscalizaccedilatildeo
operacional ou
de conformidade
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagens de auditorias de TI
30
Governanccedila de TI
(direccedilatildeo mecanismos e controle)
Dados Contrataccedilotildees
(SLA OLA UC)
Seguranccedila da
Informaccedilatildeo
Sistemas
Poliacuteticas e programas
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
31
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Governanccedila de TI
Objetivo
Avaliar a estrutura de governanccedila de TI da
organizaccedilatildeo
Principal fonte de criteacuterios
Cobit
Tem-se mostrado a causa-raiz da maioria das
deficiecircncias encontradas nas auditorias
32
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
O que eacute o controle
NC 3IN01DSICGSIPR - 44 Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees (POSIC) documento aprovado
pela autoridade responsaacutevel do oacutergatildeo ou entidade da APF
com o objetivo de fornecer diretrizes criteacuterios e suporte
administrativo suficientes agrave implementaccedilatildeo da seguranccedila da
informaccedilatildeo e comunicaccedilotildees
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
3IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 13
NBR ABNT ISOIEC 27002 item 51
33
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
Por que o gestor deve implantar
NC 3IN01DSICGSIPR 21 A Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees declara o comprometimento da
alta direccedilatildeo organizacional com vistas a prover diretrizes
estrateacutegicas responsabilidades competecircncias e o apoio
para implementar a gestatildeo de seguranccedila da informaccedilatildeo e
comunicaccedilotildees nos oacutergatildeos ou entidades da Administraccedilatildeo
Puacuteblica Federal direta e indireta
Aspectos que o auditor deve analisar
formalizaccedilatildeo conteuacutedo divulgaccedilatildeo atualizaccedilatildeo recursos
para implantaccedilatildeo
34
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
35
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
36
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
8
Renato Braga CISARenato Braga CISA CIA CGAP
Definiccedilatildeo de auditoria
Auditoria eacute o processo sistemaacutetico documentado
e independente de se avaliar objetivamente uma
situaccedilatildeo ou condiccedilatildeo para determinar a extensatildeo
na qual criteacuterios satildeo atendidos obter evidecircncias
quanto a esse atendimento e relatar os resultados
dessa avaliaccedilatildeo a um destinataacuterio
predeterminado
Fonte Normas de Auditoria do TCU - NAT
9
Renato Braga CISARenato Braga CISA CIA CGAP
Definiccedilatildeo de Auditoria Interna
A auditoria interna eacute uma atividade independente
e objetiva de avaliaccedilatildeo (assurance) e de
consultoria desenhada para adicionar valor e
melhorar as operaccedilotildees de uma organizaccedilatildeo
Ela auxilia uma organizaccedilatildeo a realizar seus
objetivos a partir da aplicaccedilatildeo de uma abordagem
sistemaacutetica e disciplinada para avaliar e melhorar
a eficaacutecia dos processos de gerenciamento de
riscos controle e governanccedila
Fonte International Professional Practices Framework - IPPF
10
Renato Braga CISARenato Braga CISA CIA CGAP
Controle
22 Forma de gerenciar o risco incluindo poliacuteticas
procedimentos diretrizes praacuteticas ou estruturas
organizacionais que podem ser de natureza
administrativa teacutecnica de gestatildeo ou legal
Fonte ABNT NBR ISOIEC 270022005
11
Renato Braga CISARenato Braga CISA CIA CGAP
Controles auditoria e anaacutelise de riscos
A escolha de quais
controles devem ser
implantados bem como
do que deve ser
auditado decorre de
anaacutelise de riscos
12
Renato Braga CISARenato Braga CISA CIA CGAP
Controles gerais
Aplicam-se a todos os componentes do sistema
dos processos e dos dados de uma organizaccedilatildeo
ou ambiente Controles gerais incluem mas natildeo
estatildeo limitados agrave poliacuteticas de seguranccedila da
informaccedilatildeo de administraccedilatildeo de acesso e de
autenticaccedilatildeo de segregaccedilatildeo de funccedilotildees chaves
de TI de gestatildeo de aquisiccedilatildeo e implementaccedilatildeo
de sistemas de gestatildeo de mudanccedilas de coacutepias
de seguranccedila e de continuidade do negoacutecio
Fonte GTAG Information Technology Controls Auditing (traduccedilatildeo livre)
13
Renato Braga CISARenato Braga CISA CIA CGAP
Controles de aplicaccedilatildeo
Satildeo os que estatildeo no escopo de processos de
negoacutecio ou sistemas de aplicaccedilatildeo Eles incluem
controles como ediccedilatildeo de dados separaccedilatildeo de
funccedilotildees de negoacutecio (eg solicitaccedilotildees e
autorizaccedilotildees) totalizaccedilotildees registros de acesso e
relatos de erros de processamento
Fonte GTAG Information Technology Controls Auditing (traduccedilatildeo livre)
14
Renato Braga CISARenato Braga CISA CIA CGAP
Objetivo de controle
Declaraccedilatildeo de um resultado desejado ou
propoacutesito a ser alcanccedilado pela implementaccedilatildeo de
praacuteticas de controle em um processo particular de
TI
Fonte IT Assurance Guide using Cobit (traduccedilatildeo livre)
15
Renato Braga CISARenato Braga CISA CIA CGAP
Tipos de testes
a) testes de observacircnciavisam agrave obtenccedilatildeo de
razoaacutevel seguranccedila de que os procedimentos de
controle interno estabelecidos pela Administraccedilatildeo
estatildeo em efetivo funcionamento e cumprimento
b) testes substantivos visam agrave obtenccedilatildeo de
evidecircncias quanto agrave suficiecircncia exatidatildeo e
validaccedilatildeo dos dados produzidos pelos sistemas
contaacutebil e administrativos da entidade rdquo
Fonte IN ndash SFC 012006
16
Renato Braga CISARenato Braga CISA CIA CGAP
Perfis de auditores
Auditores de negoacutecio (ou de processo)
Auditores de TI
competecircncias de um CISA
Auditores especialistas em TI
Fonte Intosai
17
Renato Braga CISARenato Braga CISA CIA CGAP
O IIA preconiza
Auditores internos devem ter conhecimento
suficiente dos principais riscos e controles de TI e
das teacutecnicas de auditoria baseadas em tecnologia
para realizar seus trabalhos Poreacutem natildeo eacute
esperado que todos auditores tenham as
habilidades de um auditor interno com a
responsabilidade primaacuteria de auditar TI
Fonte IIA IPPF 1210A3 (traduccedilatildeo livre sublinhado do original)
18
Renato Braga CISARenato Braga CISA CIA CGAP
Avaliaccedilatildeo de controles de TI
Auditores que natildeo detenham conhecimentos
especiacuteficos de TI podem (e devem) realizar uma
avaliaccedilatildeo limitada (menos profunda) dos controles
gerais e de aplicativos na extensatildeo necessaacuteria
para atendimento dos objetivos da auditoria
19
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
20
Renato Braga CISARenato Braga CISA CIA CGAP
IPPF 2040 ndash Poliacuteticas e Procedimentos
O executivo chefe de auditoria deve estabelecer
poliacuteticas e procedimentos para orientar a
atividade de auditoria interna
Interpretaccedilatildeo
A forma e o conteuacutedo das poliacuteticas e
procedimentos dependem do tamanho e da
estrutura da atividade de auditoria interna e da
complexidade de seu trabalho
21
Renato Braga CISARenato Braga CISA CIA CGAP
Exemplos de poliacuteticas e procedimentos
CFCCRC
httpwwwcfcorgbruparqManual_auditoria_sitepdf
Conab
httpwwwconabgovbrconabwebdownloadnupinMa
nualdeAuditoriaInternapdf
CGU
httpwwwcgugovbrLegislacaoArquivosInstrucoesN
ormativasIN01_06abr2001pdf
TCU
httpportal2tcugovbrportalpageportalTCUcomunid
adesfiscalizacao_controlenormas_auditoria
22
Renato Braga CISARenato Braga CISA CIA CGAP
Manual de auditoria de sistemas
do TCU
(httpwwwfacapebrcynarasasManual_TCU_Audit_Sistemaspdf)
De 1998
e em breve seraacute publicado o manual de auditoria de TI
23
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
PORTARIA-SEGECEX Nordm 26 DE 19 DE OUTUBRO DE 2009
24
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
25
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
26
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Achado
Responsaacutevel
Periacuteodo de exerciacutecio
Conduta
Nexo de causalidade
Culpabilidade
27
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
28
Renato Braga CISARenato Braga CISA CIA CGAP
Aacutereas de atuaccedilatildeo
29
Governanccedila
Seguranccedila
Sistemas
Dados
Infraestrutura
Contrataccedilotildees
Programas e poliacuteticas
Fiscalizaccedilatildeo
operacional ou
de conformidade
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagens de auditorias de TI
30
Governanccedila de TI
(direccedilatildeo mecanismos e controle)
Dados Contrataccedilotildees
(SLA OLA UC)
Seguranccedila da
Informaccedilatildeo
Sistemas
Poliacuteticas e programas
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
31
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Governanccedila de TI
Objetivo
Avaliar a estrutura de governanccedila de TI da
organizaccedilatildeo
Principal fonte de criteacuterios
Cobit
Tem-se mostrado a causa-raiz da maioria das
deficiecircncias encontradas nas auditorias
32
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
O que eacute o controle
NC 3IN01DSICGSIPR - 44 Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees (POSIC) documento aprovado
pela autoridade responsaacutevel do oacutergatildeo ou entidade da APF
com o objetivo de fornecer diretrizes criteacuterios e suporte
administrativo suficientes agrave implementaccedilatildeo da seguranccedila da
informaccedilatildeo e comunicaccedilotildees
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
3IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 13
NBR ABNT ISOIEC 27002 item 51
33
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
Por que o gestor deve implantar
NC 3IN01DSICGSIPR 21 A Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees declara o comprometimento da
alta direccedilatildeo organizacional com vistas a prover diretrizes
estrateacutegicas responsabilidades competecircncias e o apoio
para implementar a gestatildeo de seguranccedila da informaccedilatildeo e
comunicaccedilotildees nos oacutergatildeos ou entidades da Administraccedilatildeo
Puacuteblica Federal direta e indireta
Aspectos que o auditor deve analisar
formalizaccedilatildeo conteuacutedo divulgaccedilatildeo atualizaccedilatildeo recursos
para implantaccedilatildeo
34
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
35
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
36
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Definiccedilatildeo de auditoria
Auditoria eacute o processo sistemaacutetico documentado
e independente de se avaliar objetivamente uma
situaccedilatildeo ou condiccedilatildeo para determinar a extensatildeo
na qual criteacuterios satildeo atendidos obter evidecircncias
quanto a esse atendimento e relatar os resultados
dessa avaliaccedilatildeo a um destinataacuterio
predeterminado
Fonte Normas de Auditoria do TCU - NAT
9
Renato Braga CISARenato Braga CISA CIA CGAP
Definiccedilatildeo de Auditoria Interna
A auditoria interna eacute uma atividade independente
e objetiva de avaliaccedilatildeo (assurance) e de
consultoria desenhada para adicionar valor e
melhorar as operaccedilotildees de uma organizaccedilatildeo
Ela auxilia uma organizaccedilatildeo a realizar seus
objetivos a partir da aplicaccedilatildeo de uma abordagem
sistemaacutetica e disciplinada para avaliar e melhorar
a eficaacutecia dos processos de gerenciamento de
riscos controle e governanccedila
Fonte International Professional Practices Framework - IPPF
10
Renato Braga CISARenato Braga CISA CIA CGAP
Controle
22 Forma de gerenciar o risco incluindo poliacuteticas
procedimentos diretrizes praacuteticas ou estruturas
organizacionais que podem ser de natureza
administrativa teacutecnica de gestatildeo ou legal
Fonte ABNT NBR ISOIEC 270022005
11
Renato Braga CISARenato Braga CISA CIA CGAP
Controles auditoria e anaacutelise de riscos
A escolha de quais
controles devem ser
implantados bem como
do que deve ser
auditado decorre de
anaacutelise de riscos
12
Renato Braga CISARenato Braga CISA CIA CGAP
Controles gerais
Aplicam-se a todos os componentes do sistema
dos processos e dos dados de uma organizaccedilatildeo
ou ambiente Controles gerais incluem mas natildeo
estatildeo limitados agrave poliacuteticas de seguranccedila da
informaccedilatildeo de administraccedilatildeo de acesso e de
autenticaccedilatildeo de segregaccedilatildeo de funccedilotildees chaves
de TI de gestatildeo de aquisiccedilatildeo e implementaccedilatildeo
de sistemas de gestatildeo de mudanccedilas de coacutepias
de seguranccedila e de continuidade do negoacutecio
Fonte GTAG Information Technology Controls Auditing (traduccedilatildeo livre)
13
Renato Braga CISARenato Braga CISA CIA CGAP
Controles de aplicaccedilatildeo
Satildeo os que estatildeo no escopo de processos de
negoacutecio ou sistemas de aplicaccedilatildeo Eles incluem
controles como ediccedilatildeo de dados separaccedilatildeo de
funccedilotildees de negoacutecio (eg solicitaccedilotildees e
autorizaccedilotildees) totalizaccedilotildees registros de acesso e
relatos de erros de processamento
Fonte GTAG Information Technology Controls Auditing (traduccedilatildeo livre)
14
Renato Braga CISARenato Braga CISA CIA CGAP
Objetivo de controle
Declaraccedilatildeo de um resultado desejado ou
propoacutesito a ser alcanccedilado pela implementaccedilatildeo de
praacuteticas de controle em um processo particular de
TI
Fonte IT Assurance Guide using Cobit (traduccedilatildeo livre)
15
Renato Braga CISARenato Braga CISA CIA CGAP
Tipos de testes
a) testes de observacircnciavisam agrave obtenccedilatildeo de
razoaacutevel seguranccedila de que os procedimentos de
controle interno estabelecidos pela Administraccedilatildeo
estatildeo em efetivo funcionamento e cumprimento
b) testes substantivos visam agrave obtenccedilatildeo de
evidecircncias quanto agrave suficiecircncia exatidatildeo e
validaccedilatildeo dos dados produzidos pelos sistemas
contaacutebil e administrativos da entidade rdquo
Fonte IN ndash SFC 012006
16
Renato Braga CISARenato Braga CISA CIA CGAP
Perfis de auditores
Auditores de negoacutecio (ou de processo)
Auditores de TI
competecircncias de um CISA
Auditores especialistas em TI
Fonte Intosai
17
Renato Braga CISARenato Braga CISA CIA CGAP
O IIA preconiza
Auditores internos devem ter conhecimento
suficiente dos principais riscos e controles de TI e
das teacutecnicas de auditoria baseadas em tecnologia
para realizar seus trabalhos Poreacutem natildeo eacute
esperado que todos auditores tenham as
habilidades de um auditor interno com a
responsabilidade primaacuteria de auditar TI
Fonte IIA IPPF 1210A3 (traduccedilatildeo livre sublinhado do original)
18
Renato Braga CISARenato Braga CISA CIA CGAP
Avaliaccedilatildeo de controles de TI
Auditores que natildeo detenham conhecimentos
especiacuteficos de TI podem (e devem) realizar uma
avaliaccedilatildeo limitada (menos profunda) dos controles
gerais e de aplicativos na extensatildeo necessaacuteria
para atendimento dos objetivos da auditoria
19
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
20
Renato Braga CISARenato Braga CISA CIA CGAP
IPPF 2040 ndash Poliacuteticas e Procedimentos
O executivo chefe de auditoria deve estabelecer
poliacuteticas e procedimentos para orientar a
atividade de auditoria interna
Interpretaccedilatildeo
A forma e o conteuacutedo das poliacuteticas e
procedimentos dependem do tamanho e da
estrutura da atividade de auditoria interna e da
complexidade de seu trabalho
21
Renato Braga CISARenato Braga CISA CIA CGAP
Exemplos de poliacuteticas e procedimentos
CFCCRC
httpwwwcfcorgbruparqManual_auditoria_sitepdf
Conab
httpwwwconabgovbrconabwebdownloadnupinMa
nualdeAuditoriaInternapdf
CGU
httpwwwcgugovbrLegislacaoArquivosInstrucoesN
ormativasIN01_06abr2001pdf
TCU
httpportal2tcugovbrportalpageportalTCUcomunid
adesfiscalizacao_controlenormas_auditoria
22
Renato Braga CISARenato Braga CISA CIA CGAP
Manual de auditoria de sistemas
do TCU
(httpwwwfacapebrcynarasasManual_TCU_Audit_Sistemaspdf)
De 1998
e em breve seraacute publicado o manual de auditoria de TI
23
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
PORTARIA-SEGECEX Nordm 26 DE 19 DE OUTUBRO DE 2009
24
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
25
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
26
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Achado
Responsaacutevel
Periacuteodo de exerciacutecio
Conduta
Nexo de causalidade
Culpabilidade
27
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
28
Renato Braga CISARenato Braga CISA CIA CGAP
Aacutereas de atuaccedilatildeo
29
Governanccedila
Seguranccedila
Sistemas
Dados
Infraestrutura
Contrataccedilotildees
Programas e poliacuteticas
Fiscalizaccedilatildeo
operacional ou
de conformidade
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagens de auditorias de TI
30
Governanccedila de TI
(direccedilatildeo mecanismos e controle)
Dados Contrataccedilotildees
(SLA OLA UC)
Seguranccedila da
Informaccedilatildeo
Sistemas
Poliacuteticas e programas
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
31
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Governanccedila de TI
Objetivo
Avaliar a estrutura de governanccedila de TI da
organizaccedilatildeo
Principal fonte de criteacuterios
Cobit
Tem-se mostrado a causa-raiz da maioria das
deficiecircncias encontradas nas auditorias
32
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
O que eacute o controle
NC 3IN01DSICGSIPR - 44 Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees (POSIC) documento aprovado
pela autoridade responsaacutevel do oacutergatildeo ou entidade da APF
com o objetivo de fornecer diretrizes criteacuterios e suporte
administrativo suficientes agrave implementaccedilatildeo da seguranccedila da
informaccedilatildeo e comunicaccedilotildees
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
3IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 13
NBR ABNT ISOIEC 27002 item 51
33
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
Por que o gestor deve implantar
NC 3IN01DSICGSIPR 21 A Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees declara o comprometimento da
alta direccedilatildeo organizacional com vistas a prover diretrizes
estrateacutegicas responsabilidades competecircncias e o apoio
para implementar a gestatildeo de seguranccedila da informaccedilatildeo e
comunicaccedilotildees nos oacutergatildeos ou entidades da Administraccedilatildeo
Puacuteblica Federal direta e indireta
Aspectos que o auditor deve analisar
formalizaccedilatildeo conteuacutedo divulgaccedilatildeo atualizaccedilatildeo recursos
para implantaccedilatildeo
34
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
35
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
36
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Definiccedilatildeo de Auditoria Interna
A auditoria interna eacute uma atividade independente
e objetiva de avaliaccedilatildeo (assurance) e de
consultoria desenhada para adicionar valor e
melhorar as operaccedilotildees de uma organizaccedilatildeo
Ela auxilia uma organizaccedilatildeo a realizar seus
objetivos a partir da aplicaccedilatildeo de uma abordagem
sistemaacutetica e disciplinada para avaliar e melhorar
a eficaacutecia dos processos de gerenciamento de
riscos controle e governanccedila
Fonte International Professional Practices Framework - IPPF
10
Renato Braga CISARenato Braga CISA CIA CGAP
Controle
22 Forma de gerenciar o risco incluindo poliacuteticas
procedimentos diretrizes praacuteticas ou estruturas
organizacionais que podem ser de natureza
administrativa teacutecnica de gestatildeo ou legal
Fonte ABNT NBR ISOIEC 270022005
11
Renato Braga CISARenato Braga CISA CIA CGAP
Controles auditoria e anaacutelise de riscos
A escolha de quais
controles devem ser
implantados bem como
do que deve ser
auditado decorre de
anaacutelise de riscos
12
Renato Braga CISARenato Braga CISA CIA CGAP
Controles gerais
Aplicam-se a todos os componentes do sistema
dos processos e dos dados de uma organizaccedilatildeo
ou ambiente Controles gerais incluem mas natildeo
estatildeo limitados agrave poliacuteticas de seguranccedila da
informaccedilatildeo de administraccedilatildeo de acesso e de
autenticaccedilatildeo de segregaccedilatildeo de funccedilotildees chaves
de TI de gestatildeo de aquisiccedilatildeo e implementaccedilatildeo
de sistemas de gestatildeo de mudanccedilas de coacutepias
de seguranccedila e de continuidade do negoacutecio
Fonte GTAG Information Technology Controls Auditing (traduccedilatildeo livre)
13
Renato Braga CISARenato Braga CISA CIA CGAP
Controles de aplicaccedilatildeo
Satildeo os que estatildeo no escopo de processos de
negoacutecio ou sistemas de aplicaccedilatildeo Eles incluem
controles como ediccedilatildeo de dados separaccedilatildeo de
funccedilotildees de negoacutecio (eg solicitaccedilotildees e
autorizaccedilotildees) totalizaccedilotildees registros de acesso e
relatos de erros de processamento
Fonte GTAG Information Technology Controls Auditing (traduccedilatildeo livre)
14
Renato Braga CISARenato Braga CISA CIA CGAP
Objetivo de controle
Declaraccedilatildeo de um resultado desejado ou
propoacutesito a ser alcanccedilado pela implementaccedilatildeo de
praacuteticas de controle em um processo particular de
TI
Fonte IT Assurance Guide using Cobit (traduccedilatildeo livre)
15
Renato Braga CISARenato Braga CISA CIA CGAP
Tipos de testes
a) testes de observacircnciavisam agrave obtenccedilatildeo de
razoaacutevel seguranccedila de que os procedimentos de
controle interno estabelecidos pela Administraccedilatildeo
estatildeo em efetivo funcionamento e cumprimento
b) testes substantivos visam agrave obtenccedilatildeo de
evidecircncias quanto agrave suficiecircncia exatidatildeo e
validaccedilatildeo dos dados produzidos pelos sistemas
contaacutebil e administrativos da entidade rdquo
Fonte IN ndash SFC 012006
16
Renato Braga CISARenato Braga CISA CIA CGAP
Perfis de auditores
Auditores de negoacutecio (ou de processo)
Auditores de TI
competecircncias de um CISA
Auditores especialistas em TI
Fonte Intosai
17
Renato Braga CISARenato Braga CISA CIA CGAP
O IIA preconiza
Auditores internos devem ter conhecimento
suficiente dos principais riscos e controles de TI e
das teacutecnicas de auditoria baseadas em tecnologia
para realizar seus trabalhos Poreacutem natildeo eacute
esperado que todos auditores tenham as
habilidades de um auditor interno com a
responsabilidade primaacuteria de auditar TI
Fonte IIA IPPF 1210A3 (traduccedilatildeo livre sublinhado do original)
18
Renato Braga CISARenato Braga CISA CIA CGAP
Avaliaccedilatildeo de controles de TI
Auditores que natildeo detenham conhecimentos
especiacuteficos de TI podem (e devem) realizar uma
avaliaccedilatildeo limitada (menos profunda) dos controles
gerais e de aplicativos na extensatildeo necessaacuteria
para atendimento dos objetivos da auditoria
19
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
20
Renato Braga CISARenato Braga CISA CIA CGAP
IPPF 2040 ndash Poliacuteticas e Procedimentos
O executivo chefe de auditoria deve estabelecer
poliacuteticas e procedimentos para orientar a
atividade de auditoria interna
Interpretaccedilatildeo
A forma e o conteuacutedo das poliacuteticas e
procedimentos dependem do tamanho e da
estrutura da atividade de auditoria interna e da
complexidade de seu trabalho
21
Renato Braga CISARenato Braga CISA CIA CGAP
Exemplos de poliacuteticas e procedimentos
CFCCRC
httpwwwcfcorgbruparqManual_auditoria_sitepdf
Conab
httpwwwconabgovbrconabwebdownloadnupinMa
nualdeAuditoriaInternapdf
CGU
httpwwwcgugovbrLegislacaoArquivosInstrucoesN
ormativasIN01_06abr2001pdf
TCU
httpportal2tcugovbrportalpageportalTCUcomunid
adesfiscalizacao_controlenormas_auditoria
22
Renato Braga CISARenato Braga CISA CIA CGAP
Manual de auditoria de sistemas
do TCU
(httpwwwfacapebrcynarasasManual_TCU_Audit_Sistemaspdf)
De 1998
e em breve seraacute publicado o manual de auditoria de TI
23
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
PORTARIA-SEGECEX Nordm 26 DE 19 DE OUTUBRO DE 2009
24
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
25
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
26
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Achado
Responsaacutevel
Periacuteodo de exerciacutecio
Conduta
Nexo de causalidade
Culpabilidade
27
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
28
Renato Braga CISARenato Braga CISA CIA CGAP
Aacutereas de atuaccedilatildeo
29
Governanccedila
Seguranccedila
Sistemas
Dados
Infraestrutura
Contrataccedilotildees
Programas e poliacuteticas
Fiscalizaccedilatildeo
operacional ou
de conformidade
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagens de auditorias de TI
30
Governanccedila de TI
(direccedilatildeo mecanismos e controle)
Dados Contrataccedilotildees
(SLA OLA UC)
Seguranccedila da
Informaccedilatildeo
Sistemas
Poliacuteticas e programas
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
31
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Governanccedila de TI
Objetivo
Avaliar a estrutura de governanccedila de TI da
organizaccedilatildeo
Principal fonte de criteacuterios
Cobit
Tem-se mostrado a causa-raiz da maioria das
deficiecircncias encontradas nas auditorias
32
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
O que eacute o controle
NC 3IN01DSICGSIPR - 44 Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees (POSIC) documento aprovado
pela autoridade responsaacutevel do oacutergatildeo ou entidade da APF
com o objetivo de fornecer diretrizes criteacuterios e suporte
administrativo suficientes agrave implementaccedilatildeo da seguranccedila da
informaccedilatildeo e comunicaccedilotildees
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
3IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 13
NBR ABNT ISOIEC 27002 item 51
33
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
Por que o gestor deve implantar
NC 3IN01DSICGSIPR 21 A Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees declara o comprometimento da
alta direccedilatildeo organizacional com vistas a prover diretrizes
estrateacutegicas responsabilidades competecircncias e o apoio
para implementar a gestatildeo de seguranccedila da informaccedilatildeo e
comunicaccedilotildees nos oacutergatildeos ou entidades da Administraccedilatildeo
Puacuteblica Federal direta e indireta
Aspectos que o auditor deve analisar
formalizaccedilatildeo conteuacutedo divulgaccedilatildeo atualizaccedilatildeo recursos
para implantaccedilatildeo
34
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
35
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
36
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Controle
22 Forma de gerenciar o risco incluindo poliacuteticas
procedimentos diretrizes praacuteticas ou estruturas
organizacionais que podem ser de natureza
administrativa teacutecnica de gestatildeo ou legal
Fonte ABNT NBR ISOIEC 270022005
11
Renato Braga CISARenato Braga CISA CIA CGAP
Controles auditoria e anaacutelise de riscos
A escolha de quais
controles devem ser
implantados bem como
do que deve ser
auditado decorre de
anaacutelise de riscos
12
Renato Braga CISARenato Braga CISA CIA CGAP
Controles gerais
Aplicam-se a todos os componentes do sistema
dos processos e dos dados de uma organizaccedilatildeo
ou ambiente Controles gerais incluem mas natildeo
estatildeo limitados agrave poliacuteticas de seguranccedila da
informaccedilatildeo de administraccedilatildeo de acesso e de
autenticaccedilatildeo de segregaccedilatildeo de funccedilotildees chaves
de TI de gestatildeo de aquisiccedilatildeo e implementaccedilatildeo
de sistemas de gestatildeo de mudanccedilas de coacutepias
de seguranccedila e de continuidade do negoacutecio
Fonte GTAG Information Technology Controls Auditing (traduccedilatildeo livre)
13
Renato Braga CISARenato Braga CISA CIA CGAP
Controles de aplicaccedilatildeo
Satildeo os que estatildeo no escopo de processos de
negoacutecio ou sistemas de aplicaccedilatildeo Eles incluem
controles como ediccedilatildeo de dados separaccedilatildeo de
funccedilotildees de negoacutecio (eg solicitaccedilotildees e
autorizaccedilotildees) totalizaccedilotildees registros de acesso e
relatos de erros de processamento
Fonte GTAG Information Technology Controls Auditing (traduccedilatildeo livre)
14
Renato Braga CISARenato Braga CISA CIA CGAP
Objetivo de controle
Declaraccedilatildeo de um resultado desejado ou
propoacutesito a ser alcanccedilado pela implementaccedilatildeo de
praacuteticas de controle em um processo particular de
TI
Fonte IT Assurance Guide using Cobit (traduccedilatildeo livre)
15
Renato Braga CISARenato Braga CISA CIA CGAP
Tipos de testes
a) testes de observacircnciavisam agrave obtenccedilatildeo de
razoaacutevel seguranccedila de que os procedimentos de
controle interno estabelecidos pela Administraccedilatildeo
estatildeo em efetivo funcionamento e cumprimento
b) testes substantivos visam agrave obtenccedilatildeo de
evidecircncias quanto agrave suficiecircncia exatidatildeo e
validaccedilatildeo dos dados produzidos pelos sistemas
contaacutebil e administrativos da entidade rdquo
Fonte IN ndash SFC 012006
16
Renato Braga CISARenato Braga CISA CIA CGAP
Perfis de auditores
Auditores de negoacutecio (ou de processo)
Auditores de TI
competecircncias de um CISA
Auditores especialistas em TI
Fonte Intosai
17
Renato Braga CISARenato Braga CISA CIA CGAP
O IIA preconiza
Auditores internos devem ter conhecimento
suficiente dos principais riscos e controles de TI e
das teacutecnicas de auditoria baseadas em tecnologia
para realizar seus trabalhos Poreacutem natildeo eacute
esperado que todos auditores tenham as
habilidades de um auditor interno com a
responsabilidade primaacuteria de auditar TI
Fonte IIA IPPF 1210A3 (traduccedilatildeo livre sublinhado do original)
18
Renato Braga CISARenato Braga CISA CIA CGAP
Avaliaccedilatildeo de controles de TI
Auditores que natildeo detenham conhecimentos
especiacuteficos de TI podem (e devem) realizar uma
avaliaccedilatildeo limitada (menos profunda) dos controles
gerais e de aplicativos na extensatildeo necessaacuteria
para atendimento dos objetivos da auditoria
19
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
20
Renato Braga CISARenato Braga CISA CIA CGAP
IPPF 2040 ndash Poliacuteticas e Procedimentos
O executivo chefe de auditoria deve estabelecer
poliacuteticas e procedimentos para orientar a
atividade de auditoria interna
Interpretaccedilatildeo
A forma e o conteuacutedo das poliacuteticas e
procedimentos dependem do tamanho e da
estrutura da atividade de auditoria interna e da
complexidade de seu trabalho
21
Renato Braga CISARenato Braga CISA CIA CGAP
Exemplos de poliacuteticas e procedimentos
CFCCRC
httpwwwcfcorgbruparqManual_auditoria_sitepdf
Conab
httpwwwconabgovbrconabwebdownloadnupinMa
nualdeAuditoriaInternapdf
CGU
httpwwwcgugovbrLegislacaoArquivosInstrucoesN
ormativasIN01_06abr2001pdf
TCU
httpportal2tcugovbrportalpageportalTCUcomunid
adesfiscalizacao_controlenormas_auditoria
22
Renato Braga CISARenato Braga CISA CIA CGAP
Manual de auditoria de sistemas
do TCU
(httpwwwfacapebrcynarasasManual_TCU_Audit_Sistemaspdf)
De 1998
e em breve seraacute publicado o manual de auditoria de TI
23
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
PORTARIA-SEGECEX Nordm 26 DE 19 DE OUTUBRO DE 2009
24
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
25
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
26
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Achado
Responsaacutevel
Periacuteodo de exerciacutecio
Conduta
Nexo de causalidade
Culpabilidade
27
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
28
Renato Braga CISARenato Braga CISA CIA CGAP
Aacutereas de atuaccedilatildeo
29
Governanccedila
Seguranccedila
Sistemas
Dados
Infraestrutura
Contrataccedilotildees
Programas e poliacuteticas
Fiscalizaccedilatildeo
operacional ou
de conformidade
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagens de auditorias de TI
30
Governanccedila de TI
(direccedilatildeo mecanismos e controle)
Dados Contrataccedilotildees
(SLA OLA UC)
Seguranccedila da
Informaccedilatildeo
Sistemas
Poliacuteticas e programas
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
31
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Governanccedila de TI
Objetivo
Avaliar a estrutura de governanccedila de TI da
organizaccedilatildeo
Principal fonte de criteacuterios
Cobit
Tem-se mostrado a causa-raiz da maioria das
deficiecircncias encontradas nas auditorias
32
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
O que eacute o controle
NC 3IN01DSICGSIPR - 44 Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees (POSIC) documento aprovado
pela autoridade responsaacutevel do oacutergatildeo ou entidade da APF
com o objetivo de fornecer diretrizes criteacuterios e suporte
administrativo suficientes agrave implementaccedilatildeo da seguranccedila da
informaccedilatildeo e comunicaccedilotildees
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
3IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 13
NBR ABNT ISOIEC 27002 item 51
33
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
Por que o gestor deve implantar
NC 3IN01DSICGSIPR 21 A Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees declara o comprometimento da
alta direccedilatildeo organizacional com vistas a prover diretrizes
estrateacutegicas responsabilidades competecircncias e o apoio
para implementar a gestatildeo de seguranccedila da informaccedilatildeo e
comunicaccedilotildees nos oacutergatildeos ou entidades da Administraccedilatildeo
Puacuteblica Federal direta e indireta
Aspectos que o auditor deve analisar
formalizaccedilatildeo conteuacutedo divulgaccedilatildeo atualizaccedilatildeo recursos
para implantaccedilatildeo
34
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
35
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
36
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Controles auditoria e anaacutelise de riscos
A escolha de quais
controles devem ser
implantados bem como
do que deve ser
auditado decorre de
anaacutelise de riscos
12
Renato Braga CISARenato Braga CISA CIA CGAP
Controles gerais
Aplicam-se a todos os componentes do sistema
dos processos e dos dados de uma organizaccedilatildeo
ou ambiente Controles gerais incluem mas natildeo
estatildeo limitados agrave poliacuteticas de seguranccedila da
informaccedilatildeo de administraccedilatildeo de acesso e de
autenticaccedilatildeo de segregaccedilatildeo de funccedilotildees chaves
de TI de gestatildeo de aquisiccedilatildeo e implementaccedilatildeo
de sistemas de gestatildeo de mudanccedilas de coacutepias
de seguranccedila e de continuidade do negoacutecio
Fonte GTAG Information Technology Controls Auditing (traduccedilatildeo livre)
13
Renato Braga CISARenato Braga CISA CIA CGAP
Controles de aplicaccedilatildeo
Satildeo os que estatildeo no escopo de processos de
negoacutecio ou sistemas de aplicaccedilatildeo Eles incluem
controles como ediccedilatildeo de dados separaccedilatildeo de
funccedilotildees de negoacutecio (eg solicitaccedilotildees e
autorizaccedilotildees) totalizaccedilotildees registros de acesso e
relatos de erros de processamento
Fonte GTAG Information Technology Controls Auditing (traduccedilatildeo livre)
14
Renato Braga CISARenato Braga CISA CIA CGAP
Objetivo de controle
Declaraccedilatildeo de um resultado desejado ou
propoacutesito a ser alcanccedilado pela implementaccedilatildeo de
praacuteticas de controle em um processo particular de
TI
Fonte IT Assurance Guide using Cobit (traduccedilatildeo livre)
15
Renato Braga CISARenato Braga CISA CIA CGAP
Tipos de testes
a) testes de observacircnciavisam agrave obtenccedilatildeo de
razoaacutevel seguranccedila de que os procedimentos de
controle interno estabelecidos pela Administraccedilatildeo
estatildeo em efetivo funcionamento e cumprimento
b) testes substantivos visam agrave obtenccedilatildeo de
evidecircncias quanto agrave suficiecircncia exatidatildeo e
validaccedilatildeo dos dados produzidos pelos sistemas
contaacutebil e administrativos da entidade rdquo
Fonte IN ndash SFC 012006
16
Renato Braga CISARenato Braga CISA CIA CGAP
Perfis de auditores
Auditores de negoacutecio (ou de processo)
Auditores de TI
competecircncias de um CISA
Auditores especialistas em TI
Fonte Intosai
17
Renato Braga CISARenato Braga CISA CIA CGAP
O IIA preconiza
Auditores internos devem ter conhecimento
suficiente dos principais riscos e controles de TI e
das teacutecnicas de auditoria baseadas em tecnologia
para realizar seus trabalhos Poreacutem natildeo eacute
esperado que todos auditores tenham as
habilidades de um auditor interno com a
responsabilidade primaacuteria de auditar TI
Fonte IIA IPPF 1210A3 (traduccedilatildeo livre sublinhado do original)
18
Renato Braga CISARenato Braga CISA CIA CGAP
Avaliaccedilatildeo de controles de TI
Auditores que natildeo detenham conhecimentos
especiacuteficos de TI podem (e devem) realizar uma
avaliaccedilatildeo limitada (menos profunda) dos controles
gerais e de aplicativos na extensatildeo necessaacuteria
para atendimento dos objetivos da auditoria
19
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
20
Renato Braga CISARenato Braga CISA CIA CGAP
IPPF 2040 ndash Poliacuteticas e Procedimentos
O executivo chefe de auditoria deve estabelecer
poliacuteticas e procedimentos para orientar a
atividade de auditoria interna
Interpretaccedilatildeo
A forma e o conteuacutedo das poliacuteticas e
procedimentos dependem do tamanho e da
estrutura da atividade de auditoria interna e da
complexidade de seu trabalho
21
Renato Braga CISARenato Braga CISA CIA CGAP
Exemplos de poliacuteticas e procedimentos
CFCCRC
httpwwwcfcorgbruparqManual_auditoria_sitepdf
Conab
httpwwwconabgovbrconabwebdownloadnupinMa
nualdeAuditoriaInternapdf
CGU
httpwwwcgugovbrLegislacaoArquivosInstrucoesN
ormativasIN01_06abr2001pdf
TCU
httpportal2tcugovbrportalpageportalTCUcomunid
adesfiscalizacao_controlenormas_auditoria
22
Renato Braga CISARenato Braga CISA CIA CGAP
Manual de auditoria de sistemas
do TCU
(httpwwwfacapebrcynarasasManual_TCU_Audit_Sistemaspdf)
De 1998
e em breve seraacute publicado o manual de auditoria de TI
23
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
PORTARIA-SEGECEX Nordm 26 DE 19 DE OUTUBRO DE 2009
24
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
25
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
26
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Achado
Responsaacutevel
Periacuteodo de exerciacutecio
Conduta
Nexo de causalidade
Culpabilidade
27
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
28
Renato Braga CISARenato Braga CISA CIA CGAP
Aacutereas de atuaccedilatildeo
29
Governanccedila
Seguranccedila
Sistemas
Dados
Infraestrutura
Contrataccedilotildees
Programas e poliacuteticas
Fiscalizaccedilatildeo
operacional ou
de conformidade
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagens de auditorias de TI
30
Governanccedila de TI
(direccedilatildeo mecanismos e controle)
Dados Contrataccedilotildees
(SLA OLA UC)
Seguranccedila da
Informaccedilatildeo
Sistemas
Poliacuteticas e programas
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
31
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Governanccedila de TI
Objetivo
Avaliar a estrutura de governanccedila de TI da
organizaccedilatildeo
Principal fonte de criteacuterios
Cobit
Tem-se mostrado a causa-raiz da maioria das
deficiecircncias encontradas nas auditorias
32
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
O que eacute o controle
NC 3IN01DSICGSIPR - 44 Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees (POSIC) documento aprovado
pela autoridade responsaacutevel do oacutergatildeo ou entidade da APF
com o objetivo de fornecer diretrizes criteacuterios e suporte
administrativo suficientes agrave implementaccedilatildeo da seguranccedila da
informaccedilatildeo e comunicaccedilotildees
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
3IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 13
NBR ABNT ISOIEC 27002 item 51
33
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
Por que o gestor deve implantar
NC 3IN01DSICGSIPR 21 A Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees declara o comprometimento da
alta direccedilatildeo organizacional com vistas a prover diretrizes
estrateacutegicas responsabilidades competecircncias e o apoio
para implementar a gestatildeo de seguranccedila da informaccedilatildeo e
comunicaccedilotildees nos oacutergatildeos ou entidades da Administraccedilatildeo
Puacuteblica Federal direta e indireta
Aspectos que o auditor deve analisar
formalizaccedilatildeo conteuacutedo divulgaccedilatildeo atualizaccedilatildeo recursos
para implantaccedilatildeo
34
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
35
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
36
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Controles gerais
Aplicam-se a todos os componentes do sistema
dos processos e dos dados de uma organizaccedilatildeo
ou ambiente Controles gerais incluem mas natildeo
estatildeo limitados agrave poliacuteticas de seguranccedila da
informaccedilatildeo de administraccedilatildeo de acesso e de
autenticaccedilatildeo de segregaccedilatildeo de funccedilotildees chaves
de TI de gestatildeo de aquisiccedilatildeo e implementaccedilatildeo
de sistemas de gestatildeo de mudanccedilas de coacutepias
de seguranccedila e de continuidade do negoacutecio
Fonte GTAG Information Technology Controls Auditing (traduccedilatildeo livre)
13
Renato Braga CISARenato Braga CISA CIA CGAP
Controles de aplicaccedilatildeo
Satildeo os que estatildeo no escopo de processos de
negoacutecio ou sistemas de aplicaccedilatildeo Eles incluem
controles como ediccedilatildeo de dados separaccedilatildeo de
funccedilotildees de negoacutecio (eg solicitaccedilotildees e
autorizaccedilotildees) totalizaccedilotildees registros de acesso e
relatos de erros de processamento
Fonte GTAG Information Technology Controls Auditing (traduccedilatildeo livre)
14
Renato Braga CISARenato Braga CISA CIA CGAP
Objetivo de controle
Declaraccedilatildeo de um resultado desejado ou
propoacutesito a ser alcanccedilado pela implementaccedilatildeo de
praacuteticas de controle em um processo particular de
TI
Fonte IT Assurance Guide using Cobit (traduccedilatildeo livre)
15
Renato Braga CISARenato Braga CISA CIA CGAP
Tipos de testes
a) testes de observacircnciavisam agrave obtenccedilatildeo de
razoaacutevel seguranccedila de que os procedimentos de
controle interno estabelecidos pela Administraccedilatildeo
estatildeo em efetivo funcionamento e cumprimento
b) testes substantivos visam agrave obtenccedilatildeo de
evidecircncias quanto agrave suficiecircncia exatidatildeo e
validaccedilatildeo dos dados produzidos pelos sistemas
contaacutebil e administrativos da entidade rdquo
Fonte IN ndash SFC 012006
16
Renato Braga CISARenato Braga CISA CIA CGAP
Perfis de auditores
Auditores de negoacutecio (ou de processo)
Auditores de TI
competecircncias de um CISA
Auditores especialistas em TI
Fonte Intosai
17
Renato Braga CISARenato Braga CISA CIA CGAP
O IIA preconiza
Auditores internos devem ter conhecimento
suficiente dos principais riscos e controles de TI e
das teacutecnicas de auditoria baseadas em tecnologia
para realizar seus trabalhos Poreacutem natildeo eacute
esperado que todos auditores tenham as
habilidades de um auditor interno com a
responsabilidade primaacuteria de auditar TI
Fonte IIA IPPF 1210A3 (traduccedilatildeo livre sublinhado do original)
18
Renato Braga CISARenato Braga CISA CIA CGAP
Avaliaccedilatildeo de controles de TI
Auditores que natildeo detenham conhecimentos
especiacuteficos de TI podem (e devem) realizar uma
avaliaccedilatildeo limitada (menos profunda) dos controles
gerais e de aplicativos na extensatildeo necessaacuteria
para atendimento dos objetivos da auditoria
19
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
20
Renato Braga CISARenato Braga CISA CIA CGAP
IPPF 2040 ndash Poliacuteticas e Procedimentos
O executivo chefe de auditoria deve estabelecer
poliacuteticas e procedimentos para orientar a
atividade de auditoria interna
Interpretaccedilatildeo
A forma e o conteuacutedo das poliacuteticas e
procedimentos dependem do tamanho e da
estrutura da atividade de auditoria interna e da
complexidade de seu trabalho
21
Renato Braga CISARenato Braga CISA CIA CGAP
Exemplos de poliacuteticas e procedimentos
CFCCRC
httpwwwcfcorgbruparqManual_auditoria_sitepdf
Conab
httpwwwconabgovbrconabwebdownloadnupinMa
nualdeAuditoriaInternapdf
CGU
httpwwwcgugovbrLegislacaoArquivosInstrucoesN
ormativasIN01_06abr2001pdf
TCU
httpportal2tcugovbrportalpageportalTCUcomunid
adesfiscalizacao_controlenormas_auditoria
22
Renato Braga CISARenato Braga CISA CIA CGAP
Manual de auditoria de sistemas
do TCU
(httpwwwfacapebrcynarasasManual_TCU_Audit_Sistemaspdf)
De 1998
e em breve seraacute publicado o manual de auditoria de TI
23
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
PORTARIA-SEGECEX Nordm 26 DE 19 DE OUTUBRO DE 2009
24
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
25
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
26
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Achado
Responsaacutevel
Periacuteodo de exerciacutecio
Conduta
Nexo de causalidade
Culpabilidade
27
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
28
Renato Braga CISARenato Braga CISA CIA CGAP
Aacutereas de atuaccedilatildeo
29
Governanccedila
Seguranccedila
Sistemas
Dados
Infraestrutura
Contrataccedilotildees
Programas e poliacuteticas
Fiscalizaccedilatildeo
operacional ou
de conformidade
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagens de auditorias de TI
30
Governanccedila de TI
(direccedilatildeo mecanismos e controle)
Dados Contrataccedilotildees
(SLA OLA UC)
Seguranccedila da
Informaccedilatildeo
Sistemas
Poliacuteticas e programas
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
31
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Governanccedila de TI
Objetivo
Avaliar a estrutura de governanccedila de TI da
organizaccedilatildeo
Principal fonte de criteacuterios
Cobit
Tem-se mostrado a causa-raiz da maioria das
deficiecircncias encontradas nas auditorias
32
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
O que eacute o controle
NC 3IN01DSICGSIPR - 44 Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees (POSIC) documento aprovado
pela autoridade responsaacutevel do oacutergatildeo ou entidade da APF
com o objetivo de fornecer diretrizes criteacuterios e suporte
administrativo suficientes agrave implementaccedilatildeo da seguranccedila da
informaccedilatildeo e comunicaccedilotildees
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
3IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 13
NBR ABNT ISOIEC 27002 item 51
33
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
Por que o gestor deve implantar
NC 3IN01DSICGSIPR 21 A Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees declara o comprometimento da
alta direccedilatildeo organizacional com vistas a prover diretrizes
estrateacutegicas responsabilidades competecircncias e o apoio
para implementar a gestatildeo de seguranccedila da informaccedilatildeo e
comunicaccedilotildees nos oacutergatildeos ou entidades da Administraccedilatildeo
Puacuteblica Federal direta e indireta
Aspectos que o auditor deve analisar
formalizaccedilatildeo conteuacutedo divulgaccedilatildeo atualizaccedilatildeo recursos
para implantaccedilatildeo
34
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
35
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
36
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Controles de aplicaccedilatildeo
Satildeo os que estatildeo no escopo de processos de
negoacutecio ou sistemas de aplicaccedilatildeo Eles incluem
controles como ediccedilatildeo de dados separaccedilatildeo de
funccedilotildees de negoacutecio (eg solicitaccedilotildees e
autorizaccedilotildees) totalizaccedilotildees registros de acesso e
relatos de erros de processamento
Fonte GTAG Information Technology Controls Auditing (traduccedilatildeo livre)
14
Renato Braga CISARenato Braga CISA CIA CGAP
Objetivo de controle
Declaraccedilatildeo de um resultado desejado ou
propoacutesito a ser alcanccedilado pela implementaccedilatildeo de
praacuteticas de controle em um processo particular de
TI
Fonte IT Assurance Guide using Cobit (traduccedilatildeo livre)
15
Renato Braga CISARenato Braga CISA CIA CGAP
Tipos de testes
a) testes de observacircnciavisam agrave obtenccedilatildeo de
razoaacutevel seguranccedila de que os procedimentos de
controle interno estabelecidos pela Administraccedilatildeo
estatildeo em efetivo funcionamento e cumprimento
b) testes substantivos visam agrave obtenccedilatildeo de
evidecircncias quanto agrave suficiecircncia exatidatildeo e
validaccedilatildeo dos dados produzidos pelos sistemas
contaacutebil e administrativos da entidade rdquo
Fonte IN ndash SFC 012006
16
Renato Braga CISARenato Braga CISA CIA CGAP
Perfis de auditores
Auditores de negoacutecio (ou de processo)
Auditores de TI
competecircncias de um CISA
Auditores especialistas em TI
Fonte Intosai
17
Renato Braga CISARenato Braga CISA CIA CGAP
O IIA preconiza
Auditores internos devem ter conhecimento
suficiente dos principais riscos e controles de TI e
das teacutecnicas de auditoria baseadas em tecnologia
para realizar seus trabalhos Poreacutem natildeo eacute
esperado que todos auditores tenham as
habilidades de um auditor interno com a
responsabilidade primaacuteria de auditar TI
Fonte IIA IPPF 1210A3 (traduccedilatildeo livre sublinhado do original)
18
Renato Braga CISARenato Braga CISA CIA CGAP
Avaliaccedilatildeo de controles de TI
Auditores que natildeo detenham conhecimentos
especiacuteficos de TI podem (e devem) realizar uma
avaliaccedilatildeo limitada (menos profunda) dos controles
gerais e de aplicativos na extensatildeo necessaacuteria
para atendimento dos objetivos da auditoria
19
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
20
Renato Braga CISARenato Braga CISA CIA CGAP
IPPF 2040 ndash Poliacuteticas e Procedimentos
O executivo chefe de auditoria deve estabelecer
poliacuteticas e procedimentos para orientar a
atividade de auditoria interna
Interpretaccedilatildeo
A forma e o conteuacutedo das poliacuteticas e
procedimentos dependem do tamanho e da
estrutura da atividade de auditoria interna e da
complexidade de seu trabalho
21
Renato Braga CISARenato Braga CISA CIA CGAP
Exemplos de poliacuteticas e procedimentos
CFCCRC
httpwwwcfcorgbruparqManual_auditoria_sitepdf
Conab
httpwwwconabgovbrconabwebdownloadnupinMa
nualdeAuditoriaInternapdf
CGU
httpwwwcgugovbrLegislacaoArquivosInstrucoesN
ormativasIN01_06abr2001pdf
TCU
httpportal2tcugovbrportalpageportalTCUcomunid
adesfiscalizacao_controlenormas_auditoria
22
Renato Braga CISARenato Braga CISA CIA CGAP
Manual de auditoria de sistemas
do TCU
(httpwwwfacapebrcynarasasManual_TCU_Audit_Sistemaspdf)
De 1998
e em breve seraacute publicado o manual de auditoria de TI
23
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
PORTARIA-SEGECEX Nordm 26 DE 19 DE OUTUBRO DE 2009
24
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
25
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
26
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Achado
Responsaacutevel
Periacuteodo de exerciacutecio
Conduta
Nexo de causalidade
Culpabilidade
27
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
28
Renato Braga CISARenato Braga CISA CIA CGAP
Aacutereas de atuaccedilatildeo
29
Governanccedila
Seguranccedila
Sistemas
Dados
Infraestrutura
Contrataccedilotildees
Programas e poliacuteticas
Fiscalizaccedilatildeo
operacional ou
de conformidade
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagens de auditorias de TI
30
Governanccedila de TI
(direccedilatildeo mecanismos e controle)
Dados Contrataccedilotildees
(SLA OLA UC)
Seguranccedila da
Informaccedilatildeo
Sistemas
Poliacuteticas e programas
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
31
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Governanccedila de TI
Objetivo
Avaliar a estrutura de governanccedila de TI da
organizaccedilatildeo
Principal fonte de criteacuterios
Cobit
Tem-se mostrado a causa-raiz da maioria das
deficiecircncias encontradas nas auditorias
32
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
O que eacute o controle
NC 3IN01DSICGSIPR - 44 Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees (POSIC) documento aprovado
pela autoridade responsaacutevel do oacutergatildeo ou entidade da APF
com o objetivo de fornecer diretrizes criteacuterios e suporte
administrativo suficientes agrave implementaccedilatildeo da seguranccedila da
informaccedilatildeo e comunicaccedilotildees
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
3IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 13
NBR ABNT ISOIEC 27002 item 51
33
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
Por que o gestor deve implantar
NC 3IN01DSICGSIPR 21 A Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees declara o comprometimento da
alta direccedilatildeo organizacional com vistas a prover diretrizes
estrateacutegicas responsabilidades competecircncias e o apoio
para implementar a gestatildeo de seguranccedila da informaccedilatildeo e
comunicaccedilotildees nos oacutergatildeos ou entidades da Administraccedilatildeo
Puacuteblica Federal direta e indireta
Aspectos que o auditor deve analisar
formalizaccedilatildeo conteuacutedo divulgaccedilatildeo atualizaccedilatildeo recursos
para implantaccedilatildeo
34
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
35
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
36
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Objetivo de controle
Declaraccedilatildeo de um resultado desejado ou
propoacutesito a ser alcanccedilado pela implementaccedilatildeo de
praacuteticas de controle em um processo particular de
TI
Fonte IT Assurance Guide using Cobit (traduccedilatildeo livre)
15
Renato Braga CISARenato Braga CISA CIA CGAP
Tipos de testes
a) testes de observacircnciavisam agrave obtenccedilatildeo de
razoaacutevel seguranccedila de que os procedimentos de
controle interno estabelecidos pela Administraccedilatildeo
estatildeo em efetivo funcionamento e cumprimento
b) testes substantivos visam agrave obtenccedilatildeo de
evidecircncias quanto agrave suficiecircncia exatidatildeo e
validaccedilatildeo dos dados produzidos pelos sistemas
contaacutebil e administrativos da entidade rdquo
Fonte IN ndash SFC 012006
16
Renato Braga CISARenato Braga CISA CIA CGAP
Perfis de auditores
Auditores de negoacutecio (ou de processo)
Auditores de TI
competecircncias de um CISA
Auditores especialistas em TI
Fonte Intosai
17
Renato Braga CISARenato Braga CISA CIA CGAP
O IIA preconiza
Auditores internos devem ter conhecimento
suficiente dos principais riscos e controles de TI e
das teacutecnicas de auditoria baseadas em tecnologia
para realizar seus trabalhos Poreacutem natildeo eacute
esperado que todos auditores tenham as
habilidades de um auditor interno com a
responsabilidade primaacuteria de auditar TI
Fonte IIA IPPF 1210A3 (traduccedilatildeo livre sublinhado do original)
18
Renato Braga CISARenato Braga CISA CIA CGAP
Avaliaccedilatildeo de controles de TI
Auditores que natildeo detenham conhecimentos
especiacuteficos de TI podem (e devem) realizar uma
avaliaccedilatildeo limitada (menos profunda) dos controles
gerais e de aplicativos na extensatildeo necessaacuteria
para atendimento dos objetivos da auditoria
19
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
20
Renato Braga CISARenato Braga CISA CIA CGAP
IPPF 2040 ndash Poliacuteticas e Procedimentos
O executivo chefe de auditoria deve estabelecer
poliacuteticas e procedimentos para orientar a
atividade de auditoria interna
Interpretaccedilatildeo
A forma e o conteuacutedo das poliacuteticas e
procedimentos dependem do tamanho e da
estrutura da atividade de auditoria interna e da
complexidade de seu trabalho
21
Renato Braga CISARenato Braga CISA CIA CGAP
Exemplos de poliacuteticas e procedimentos
CFCCRC
httpwwwcfcorgbruparqManual_auditoria_sitepdf
Conab
httpwwwconabgovbrconabwebdownloadnupinMa
nualdeAuditoriaInternapdf
CGU
httpwwwcgugovbrLegislacaoArquivosInstrucoesN
ormativasIN01_06abr2001pdf
TCU
httpportal2tcugovbrportalpageportalTCUcomunid
adesfiscalizacao_controlenormas_auditoria
22
Renato Braga CISARenato Braga CISA CIA CGAP
Manual de auditoria de sistemas
do TCU
(httpwwwfacapebrcynarasasManual_TCU_Audit_Sistemaspdf)
De 1998
e em breve seraacute publicado o manual de auditoria de TI
23
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
PORTARIA-SEGECEX Nordm 26 DE 19 DE OUTUBRO DE 2009
24
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
25
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
26
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Achado
Responsaacutevel
Periacuteodo de exerciacutecio
Conduta
Nexo de causalidade
Culpabilidade
27
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
28
Renato Braga CISARenato Braga CISA CIA CGAP
Aacutereas de atuaccedilatildeo
29
Governanccedila
Seguranccedila
Sistemas
Dados
Infraestrutura
Contrataccedilotildees
Programas e poliacuteticas
Fiscalizaccedilatildeo
operacional ou
de conformidade
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagens de auditorias de TI
30
Governanccedila de TI
(direccedilatildeo mecanismos e controle)
Dados Contrataccedilotildees
(SLA OLA UC)
Seguranccedila da
Informaccedilatildeo
Sistemas
Poliacuteticas e programas
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
31
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Governanccedila de TI
Objetivo
Avaliar a estrutura de governanccedila de TI da
organizaccedilatildeo
Principal fonte de criteacuterios
Cobit
Tem-se mostrado a causa-raiz da maioria das
deficiecircncias encontradas nas auditorias
32
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
O que eacute o controle
NC 3IN01DSICGSIPR - 44 Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees (POSIC) documento aprovado
pela autoridade responsaacutevel do oacutergatildeo ou entidade da APF
com o objetivo de fornecer diretrizes criteacuterios e suporte
administrativo suficientes agrave implementaccedilatildeo da seguranccedila da
informaccedilatildeo e comunicaccedilotildees
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
3IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 13
NBR ABNT ISOIEC 27002 item 51
33
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
Por que o gestor deve implantar
NC 3IN01DSICGSIPR 21 A Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees declara o comprometimento da
alta direccedilatildeo organizacional com vistas a prover diretrizes
estrateacutegicas responsabilidades competecircncias e o apoio
para implementar a gestatildeo de seguranccedila da informaccedilatildeo e
comunicaccedilotildees nos oacutergatildeos ou entidades da Administraccedilatildeo
Puacuteblica Federal direta e indireta
Aspectos que o auditor deve analisar
formalizaccedilatildeo conteuacutedo divulgaccedilatildeo atualizaccedilatildeo recursos
para implantaccedilatildeo
34
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
35
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
36
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Tipos de testes
a) testes de observacircnciavisam agrave obtenccedilatildeo de
razoaacutevel seguranccedila de que os procedimentos de
controle interno estabelecidos pela Administraccedilatildeo
estatildeo em efetivo funcionamento e cumprimento
b) testes substantivos visam agrave obtenccedilatildeo de
evidecircncias quanto agrave suficiecircncia exatidatildeo e
validaccedilatildeo dos dados produzidos pelos sistemas
contaacutebil e administrativos da entidade rdquo
Fonte IN ndash SFC 012006
16
Renato Braga CISARenato Braga CISA CIA CGAP
Perfis de auditores
Auditores de negoacutecio (ou de processo)
Auditores de TI
competecircncias de um CISA
Auditores especialistas em TI
Fonte Intosai
17
Renato Braga CISARenato Braga CISA CIA CGAP
O IIA preconiza
Auditores internos devem ter conhecimento
suficiente dos principais riscos e controles de TI e
das teacutecnicas de auditoria baseadas em tecnologia
para realizar seus trabalhos Poreacutem natildeo eacute
esperado que todos auditores tenham as
habilidades de um auditor interno com a
responsabilidade primaacuteria de auditar TI
Fonte IIA IPPF 1210A3 (traduccedilatildeo livre sublinhado do original)
18
Renato Braga CISARenato Braga CISA CIA CGAP
Avaliaccedilatildeo de controles de TI
Auditores que natildeo detenham conhecimentos
especiacuteficos de TI podem (e devem) realizar uma
avaliaccedilatildeo limitada (menos profunda) dos controles
gerais e de aplicativos na extensatildeo necessaacuteria
para atendimento dos objetivos da auditoria
19
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
20
Renato Braga CISARenato Braga CISA CIA CGAP
IPPF 2040 ndash Poliacuteticas e Procedimentos
O executivo chefe de auditoria deve estabelecer
poliacuteticas e procedimentos para orientar a
atividade de auditoria interna
Interpretaccedilatildeo
A forma e o conteuacutedo das poliacuteticas e
procedimentos dependem do tamanho e da
estrutura da atividade de auditoria interna e da
complexidade de seu trabalho
21
Renato Braga CISARenato Braga CISA CIA CGAP
Exemplos de poliacuteticas e procedimentos
CFCCRC
httpwwwcfcorgbruparqManual_auditoria_sitepdf
Conab
httpwwwconabgovbrconabwebdownloadnupinMa
nualdeAuditoriaInternapdf
CGU
httpwwwcgugovbrLegislacaoArquivosInstrucoesN
ormativasIN01_06abr2001pdf
TCU
httpportal2tcugovbrportalpageportalTCUcomunid
adesfiscalizacao_controlenormas_auditoria
22
Renato Braga CISARenato Braga CISA CIA CGAP
Manual de auditoria de sistemas
do TCU
(httpwwwfacapebrcynarasasManual_TCU_Audit_Sistemaspdf)
De 1998
e em breve seraacute publicado o manual de auditoria de TI
23
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
PORTARIA-SEGECEX Nordm 26 DE 19 DE OUTUBRO DE 2009
24
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
25
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
26
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Achado
Responsaacutevel
Periacuteodo de exerciacutecio
Conduta
Nexo de causalidade
Culpabilidade
27
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
28
Renato Braga CISARenato Braga CISA CIA CGAP
Aacutereas de atuaccedilatildeo
29
Governanccedila
Seguranccedila
Sistemas
Dados
Infraestrutura
Contrataccedilotildees
Programas e poliacuteticas
Fiscalizaccedilatildeo
operacional ou
de conformidade
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagens de auditorias de TI
30
Governanccedila de TI
(direccedilatildeo mecanismos e controle)
Dados Contrataccedilotildees
(SLA OLA UC)
Seguranccedila da
Informaccedilatildeo
Sistemas
Poliacuteticas e programas
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
31
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Governanccedila de TI
Objetivo
Avaliar a estrutura de governanccedila de TI da
organizaccedilatildeo
Principal fonte de criteacuterios
Cobit
Tem-se mostrado a causa-raiz da maioria das
deficiecircncias encontradas nas auditorias
32
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
O que eacute o controle
NC 3IN01DSICGSIPR - 44 Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees (POSIC) documento aprovado
pela autoridade responsaacutevel do oacutergatildeo ou entidade da APF
com o objetivo de fornecer diretrizes criteacuterios e suporte
administrativo suficientes agrave implementaccedilatildeo da seguranccedila da
informaccedilatildeo e comunicaccedilotildees
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
3IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 13
NBR ABNT ISOIEC 27002 item 51
33
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
Por que o gestor deve implantar
NC 3IN01DSICGSIPR 21 A Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees declara o comprometimento da
alta direccedilatildeo organizacional com vistas a prover diretrizes
estrateacutegicas responsabilidades competecircncias e o apoio
para implementar a gestatildeo de seguranccedila da informaccedilatildeo e
comunicaccedilotildees nos oacutergatildeos ou entidades da Administraccedilatildeo
Puacuteblica Federal direta e indireta
Aspectos que o auditor deve analisar
formalizaccedilatildeo conteuacutedo divulgaccedilatildeo atualizaccedilatildeo recursos
para implantaccedilatildeo
34
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
35
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
36
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Perfis de auditores
Auditores de negoacutecio (ou de processo)
Auditores de TI
competecircncias de um CISA
Auditores especialistas em TI
Fonte Intosai
17
Renato Braga CISARenato Braga CISA CIA CGAP
O IIA preconiza
Auditores internos devem ter conhecimento
suficiente dos principais riscos e controles de TI e
das teacutecnicas de auditoria baseadas em tecnologia
para realizar seus trabalhos Poreacutem natildeo eacute
esperado que todos auditores tenham as
habilidades de um auditor interno com a
responsabilidade primaacuteria de auditar TI
Fonte IIA IPPF 1210A3 (traduccedilatildeo livre sublinhado do original)
18
Renato Braga CISARenato Braga CISA CIA CGAP
Avaliaccedilatildeo de controles de TI
Auditores que natildeo detenham conhecimentos
especiacuteficos de TI podem (e devem) realizar uma
avaliaccedilatildeo limitada (menos profunda) dos controles
gerais e de aplicativos na extensatildeo necessaacuteria
para atendimento dos objetivos da auditoria
19
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
20
Renato Braga CISARenato Braga CISA CIA CGAP
IPPF 2040 ndash Poliacuteticas e Procedimentos
O executivo chefe de auditoria deve estabelecer
poliacuteticas e procedimentos para orientar a
atividade de auditoria interna
Interpretaccedilatildeo
A forma e o conteuacutedo das poliacuteticas e
procedimentos dependem do tamanho e da
estrutura da atividade de auditoria interna e da
complexidade de seu trabalho
21
Renato Braga CISARenato Braga CISA CIA CGAP
Exemplos de poliacuteticas e procedimentos
CFCCRC
httpwwwcfcorgbruparqManual_auditoria_sitepdf
Conab
httpwwwconabgovbrconabwebdownloadnupinMa
nualdeAuditoriaInternapdf
CGU
httpwwwcgugovbrLegislacaoArquivosInstrucoesN
ormativasIN01_06abr2001pdf
TCU
httpportal2tcugovbrportalpageportalTCUcomunid
adesfiscalizacao_controlenormas_auditoria
22
Renato Braga CISARenato Braga CISA CIA CGAP
Manual de auditoria de sistemas
do TCU
(httpwwwfacapebrcynarasasManual_TCU_Audit_Sistemaspdf)
De 1998
e em breve seraacute publicado o manual de auditoria de TI
23
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
PORTARIA-SEGECEX Nordm 26 DE 19 DE OUTUBRO DE 2009
24
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
25
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
26
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Achado
Responsaacutevel
Periacuteodo de exerciacutecio
Conduta
Nexo de causalidade
Culpabilidade
27
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
28
Renato Braga CISARenato Braga CISA CIA CGAP
Aacutereas de atuaccedilatildeo
29
Governanccedila
Seguranccedila
Sistemas
Dados
Infraestrutura
Contrataccedilotildees
Programas e poliacuteticas
Fiscalizaccedilatildeo
operacional ou
de conformidade
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagens de auditorias de TI
30
Governanccedila de TI
(direccedilatildeo mecanismos e controle)
Dados Contrataccedilotildees
(SLA OLA UC)
Seguranccedila da
Informaccedilatildeo
Sistemas
Poliacuteticas e programas
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
31
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Governanccedila de TI
Objetivo
Avaliar a estrutura de governanccedila de TI da
organizaccedilatildeo
Principal fonte de criteacuterios
Cobit
Tem-se mostrado a causa-raiz da maioria das
deficiecircncias encontradas nas auditorias
32
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
O que eacute o controle
NC 3IN01DSICGSIPR - 44 Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees (POSIC) documento aprovado
pela autoridade responsaacutevel do oacutergatildeo ou entidade da APF
com o objetivo de fornecer diretrizes criteacuterios e suporte
administrativo suficientes agrave implementaccedilatildeo da seguranccedila da
informaccedilatildeo e comunicaccedilotildees
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
3IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 13
NBR ABNT ISOIEC 27002 item 51
33
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
Por que o gestor deve implantar
NC 3IN01DSICGSIPR 21 A Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees declara o comprometimento da
alta direccedilatildeo organizacional com vistas a prover diretrizes
estrateacutegicas responsabilidades competecircncias e o apoio
para implementar a gestatildeo de seguranccedila da informaccedilatildeo e
comunicaccedilotildees nos oacutergatildeos ou entidades da Administraccedilatildeo
Puacuteblica Federal direta e indireta
Aspectos que o auditor deve analisar
formalizaccedilatildeo conteuacutedo divulgaccedilatildeo atualizaccedilatildeo recursos
para implantaccedilatildeo
34
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
35
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
36
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
O IIA preconiza
Auditores internos devem ter conhecimento
suficiente dos principais riscos e controles de TI e
das teacutecnicas de auditoria baseadas em tecnologia
para realizar seus trabalhos Poreacutem natildeo eacute
esperado que todos auditores tenham as
habilidades de um auditor interno com a
responsabilidade primaacuteria de auditar TI
Fonte IIA IPPF 1210A3 (traduccedilatildeo livre sublinhado do original)
18
Renato Braga CISARenato Braga CISA CIA CGAP
Avaliaccedilatildeo de controles de TI
Auditores que natildeo detenham conhecimentos
especiacuteficos de TI podem (e devem) realizar uma
avaliaccedilatildeo limitada (menos profunda) dos controles
gerais e de aplicativos na extensatildeo necessaacuteria
para atendimento dos objetivos da auditoria
19
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
20
Renato Braga CISARenato Braga CISA CIA CGAP
IPPF 2040 ndash Poliacuteticas e Procedimentos
O executivo chefe de auditoria deve estabelecer
poliacuteticas e procedimentos para orientar a
atividade de auditoria interna
Interpretaccedilatildeo
A forma e o conteuacutedo das poliacuteticas e
procedimentos dependem do tamanho e da
estrutura da atividade de auditoria interna e da
complexidade de seu trabalho
21
Renato Braga CISARenato Braga CISA CIA CGAP
Exemplos de poliacuteticas e procedimentos
CFCCRC
httpwwwcfcorgbruparqManual_auditoria_sitepdf
Conab
httpwwwconabgovbrconabwebdownloadnupinMa
nualdeAuditoriaInternapdf
CGU
httpwwwcgugovbrLegislacaoArquivosInstrucoesN
ormativasIN01_06abr2001pdf
TCU
httpportal2tcugovbrportalpageportalTCUcomunid
adesfiscalizacao_controlenormas_auditoria
22
Renato Braga CISARenato Braga CISA CIA CGAP
Manual de auditoria de sistemas
do TCU
(httpwwwfacapebrcynarasasManual_TCU_Audit_Sistemaspdf)
De 1998
e em breve seraacute publicado o manual de auditoria de TI
23
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
PORTARIA-SEGECEX Nordm 26 DE 19 DE OUTUBRO DE 2009
24
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
25
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
26
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Achado
Responsaacutevel
Periacuteodo de exerciacutecio
Conduta
Nexo de causalidade
Culpabilidade
27
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
28
Renato Braga CISARenato Braga CISA CIA CGAP
Aacutereas de atuaccedilatildeo
29
Governanccedila
Seguranccedila
Sistemas
Dados
Infraestrutura
Contrataccedilotildees
Programas e poliacuteticas
Fiscalizaccedilatildeo
operacional ou
de conformidade
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagens de auditorias de TI
30
Governanccedila de TI
(direccedilatildeo mecanismos e controle)
Dados Contrataccedilotildees
(SLA OLA UC)
Seguranccedila da
Informaccedilatildeo
Sistemas
Poliacuteticas e programas
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
31
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Governanccedila de TI
Objetivo
Avaliar a estrutura de governanccedila de TI da
organizaccedilatildeo
Principal fonte de criteacuterios
Cobit
Tem-se mostrado a causa-raiz da maioria das
deficiecircncias encontradas nas auditorias
32
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
O que eacute o controle
NC 3IN01DSICGSIPR - 44 Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees (POSIC) documento aprovado
pela autoridade responsaacutevel do oacutergatildeo ou entidade da APF
com o objetivo de fornecer diretrizes criteacuterios e suporte
administrativo suficientes agrave implementaccedilatildeo da seguranccedila da
informaccedilatildeo e comunicaccedilotildees
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
3IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 13
NBR ABNT ISOIEC 27002 item 51
33
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
Por que o gestor deve implantar
NC 3IN01DSICGSIPR 21 A Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees declara o comprometimento da
alta direccedilatildeo organizacional com vistas a prover diretrizes
estrateacutegicas responsabilidades competecircncias e o apoio
para implementar a gestatildeo de seguranccedila da informaccedilatildeo e
comunicaccedilotildees nos oacutergatildeos ou entidades da Administraccedilatildeo
Puacuteblica Federal direta e indireta
Aspectos que o auditor deve analisar
formalizaccedilatildeo conteuacutedo divulgaccedilatildeo atualizaccedilatildeo recursos
para implantaccedilatildeo
34
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
35
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
36
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Avaliaccedilatildeo de controles de TI
Auditores que natildeo detenham conhecimentos
especiacuteficos de TI podem (e devem) realizar uma
avaliaccedilatildeo limitada (menos profunda) dos controles
gerais e de aplicativos na extensatildeo necessaacuteria
para atendimento dos objetivos da auditoria
19
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
20
Renato Braga CISARenato Braga CISA CIA CGAP
IPPF 2040 ndash Poliacuteticas e Procedimentos
O executivo chefe de auditoria deve estabelecer
poliacuteticas e procedimentos para orientar a
atividade de auditoria interna
Interpretaccedilatildeo
A forma e o conteuacutedo das poliacuteticas e
procedimentos dependem do tamanho e da
estrutura da atividade de auditoria interna e da
complexidade de seu trabalho
21
Renato Braga CISARenato Braga CISA CIA CGAP
Exemplos de poliacuteticas e procedimentos
CFCCRC
httpwwwcfcorgbruparqManual_auditoria_sitepdf
Conab
httpwwwconabgovbrconabwebdownloadnupinMa
nualdeAuditoriaInternapdf
CGU
httpwwwcgugovbrLegislacaoArquivosInstrucoesN
ormativasIN01_06abr2001pdf
TCU
httpportal2tcugovbrportalpageportalTCUcomunid
adesfiscalizacao_controlenormas_auditoria
22
Renato Braga CISARenato Braga CISA CIA CGAP
Manual de auditoria de sistemas
do TCU
(httpwwwfacapebrcynarasasManual_TCU_Audit_Sistemaspdf)
De 1998
e em breve seraacute publicado o manual de auditoria de TI
23
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
PORTARIA-SEGECEX Nordm 26 DE 19 DE OUTUBRO DE 2009
24
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
25
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
26
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Achado
Responsaacutevel
Periacuteodo de exerciacutecio
Conduta
Nexo de causalidade
Culpabilidade
27
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
28
Renato Braga CISARenato Braga CISA CIA CGAP
Aacutereas de atuaccedilatildeo
29
Governanccedila
Seguranccedila
Sistemas
Dados
Infraestrutura
Contrataccedilotildees
Programas e poliacuteticas
Fiscalizaccedilatildeo
operacional ou
de conformidade
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagens de auditorias de TI
30
Governanccedila de TI
(direccedilatildeo mecanismos e controle)
Dados Contrataccedilotildees
(SLA OLA UC)
Seguranccedila da
Informaccedilatildeo
Sistemas
Poliacuteticas e programas
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
31
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Governanccedila de TI
Objetivo
Avaliar a estrutura de governanccedila de TI da
organizaccedilatildeo
Principal fonte de criteacuterios
Cobit
Tem-se mostrado a causa-raiz da maioria das
deficiecircncias encontradas nas auditorias
32
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
O que eacute o controle
NC 3IN01DSICGSIPR - 44 Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees (POSIC) documento aprovado
pela autoridade responsaacutevel do oacutergatildeo ou entidade da APF
com o objetivo de fornecer diretrizes criteacuterios e suporte
administrativo suficientes agrave implementaccedilatildeo da seguranccedila da
informaccedilatildeo e comunicaccedilotildees
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
3IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 13
NBR ABNT ISOIEC 27002 item 51
33
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
Por que o gestor deve implantar
NC 3IN01DSICGSIPR 21 A Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees declara o comprometimento da
alta direccedilatildeo organizacional com vistas a prover diretrizes
estrateacutegicas responsabilidades competecircncias e o apoio
para implementar a gestatildeo de seguranccedila da informaccedilatildeo e
comunicaccedilotildees nos oacutergatildeos ou entidades da Administraccedilatildeo
Puacuteblica Federal direta e indireta
Aspectos que o auditor deve analisar
formalizaccedilatildeo conteuacutedo divulgaccedilatildeo atualizaccedilatildeo recursos
para implantaccedilatildeo
34
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
35
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
36
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
20
Renato Braga CISARenato Braga CISA CIA CGAP
IPPF 2040 ndash Poliacuteticas e Procedimentos
O executivo chefe de auditoria deve estabelecer
poliacuteticas e procedimentos para orientar a
atividade de auditoria interna
Interpretaccedilatildeo
A forma e o conteuacutedo das poliacuteticas e
procedimentos dependem do tamanho e da
estrutura da atividade de auditoria interna e da
complexidade de seu trabalho
21
Renato Braga CISARenato Braga CISA CIA CGAP
Exemplos de poliacuteticas e procedimentos
CFCCRC
httpwwwcfcorgbruparqManual_auditoria_sitepdf
Conab
httpwwwconabgovbrconabwebdownloadnupinMa
nualdeAuditoriaInternapdf
CGU
httpwwwcgugovbrLegislacaoArquivosInstrucoesN
ormativasIN01_06abr2001pdf
TCU
httpportal2tcugovbrportalpageportalTCUcomunid
adesfiscalizacao_controlenormas_auditoria
22
Renato Braga CISARenato Braga CISA CIA CGAP
Manual de auditoria de sistemas
do TCU
(httpwwwfacapebrcynarasasManual_TCU_Audit_Sistemaspdf)
De 1998
e em breve seraacute publicado o manual de auditoria de TI
23
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
PORTARIA-SEGECEX Nordm 26 DE 19 DE OUTUBRO DE 2009
24
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
25
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
26
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Achado
Responsaacutevel
Periacuteodo de exerciacutecio
Conduta
Nexo de causalidade
Culpabilidade
27
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
28
Renato Braga CISARenato Braga CISA CIA CGAP
Aacutereas de atuaccedilatildeo
29
Governanccedila
Seguranccedila
Sistemas
Dados
Infraestrutura
Contrataccedilotildees
Programas e poliacuteticas
Fiscalizaccedilatildeo
operacional ou
de conformidade
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagens de auditorias de TI
30
Governanccedila de TI
(direccedilatildeo mecanismos e controle)
Dados Contrataccedilotildees
(SLA OLA UC)
Seguranccedila da
Informaccedilatildeo
Sistemas
Poliacuteticas e programas
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
31
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Governanccedila de TI
Objetivo
Avaliar a estrutura de governanccedila de TI da
organizaccedilatildeo
Principal fonte de criteacuterios
Cobit
Tem-se mostrado a causa-raiz da maioria das
deficiecircncias encontradas nas auditorias
32
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
O que eacute o controle
NC 3IN01DSICGSIPR - 44 Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees (POSIC) documento aprovado
pela autoridade responsaacutevel do oacutergatildeo ou entidade da APF
com o objetivo de fornecer diretrizes criteacuterios e suporte
administrativo suficientes agrave implementaccedilatildeo da seguranccedila da
informaccedilatildeo e comunicaccedilotildees
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
3IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 13
NBR ABNT ISOIEC 27002 item 51
33
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
Por que o gestor deve implantar
NC 3IN01DSICGSIPR 21 A Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees declara o comprometimento da
alta direccedilatildeo organizacional com vistas a prover diretrizes
estrateacutegicas responsabilidades competecircncias e o apoio
para implementar a gestatildeo de seguranccedila da informaccedilatildeo e
comunicaccedilotildees nos oacutergatildeos ou entidades da Administraccedilatildeo
Puacuteblica Federal direta e indireta
Aspectos que o auditor deve analisar
formalizaccedilatildeo conteuacutedo divulgaccedilatildeo atualizaccedilatildeo recursos
para implantaccedilatildeo
34
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
35
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
36
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
IPPF 2040 ndash Poliacuteticas e Procedimentos
O executivo chefe de auditoria deve estabelecer
poliacuteticas e procedimentos para orientar a
atividade de auditoria interna
Interpretaccedilatildeo
A forma e o conteuacutedo das poliacuteticas e
procedimentos dependem do tamanho e da
estrutura da atividade de auditoria interna e da
complexidade de seu trabalho
21
Renato Braga CISARenato Braga CISA CIA CGAP
Exemplos de poliacuteticas e procedimentos
CFCCRC
httpwwwcfcorgbruparqManual_auditoria_sitepdf
Conab
httpwwwconabgovbrconabwebdownloadnupinMa
nualdeAuditoriaInternapdf
CGU
httpwwwcgugovbrLegislacaoArquivosInstrucoesN
ormativasIN01_06abr2001pdf
TCU
httpportal2tcugovbrportalpageportalTCUcomunid
adesfiscalizacao_controlenormas_auditoria
22
Renato Braga CISARenato Braga CISA CIA CGAP
Manual de auditoria de sistemas
do TCU
(httpwwwfacapebrcynarasasManual_TCU_Audit_Sistemaspdf)
De 1998
e em breve seraacute publicado o manual de auditoria de TI
23
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
PORTARIA-SEGECEX Nordm 26 DE 19 DE OUTUBRO DE 2009
24
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
25
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
26
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Achado
Responsaacutevel
Periacuteodo de exerciacutecio
Conduta
Nexo de causalidade
Culpabilidade
27
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
28
Renato Braga CISARenato Braga CISA CIA CGAP
Aacutereas de atuaccedilatildeo
29
Governanccedila
Seguranccedila
Sistemas
Dados
Infraestrutura
Contrataccedilotildees
Programas e poliacuteticas
Fiscalizaccedilatildeo
operacional ou
de conformidade
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagens de auditorias de TI
30
Governanccedila de TI
(direccedilatildeo mecanismos e controle)
Dados Contrataccedilotildees
(SLA OLA UC)
Seguranccedila da
Informaccedilatildeo
Sistemas
Poliacuteticas e programas
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
31
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Governanccedila de TI
Objetivo
Avaliar a estrutura de governanccedila de TI da
organizaccedilatildeo
Principal fonte de criteacuterios
Cobit
Tem-se mostrado a causa-raiz da maioria das
deficiecircncias encontradas nas auditorias
32
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
O que eacute o controle
NC 3IN01DSICGSIPR - 44 Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees (POSIC) documento aprovado
pela autoridade responsaacutevel do oacutergatildeo ou entidade da APF
com o objetivo de fornecer diretrizes criteacuterios e suporte
administrativo suficientes agrave implementaccedilatildeo da seguranccedila da
informaccedilatildeo e comunicaccedilotildees
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
3IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 13
NBR ABNT ISOIEC 27002 item 51
33
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
Por que o gestor deve implantar
NC 3IN01DSICGSIPR 21 A Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees declara o comprometimento da
alta direccedilatildeo organizacional com vistas a prover diretrizes
estrateacutegicas responsabilidades competecircncias e o apoio
para implementar a gestatildeo de seguranccedila da informaccedilatildeo e
comunicaccedilotildees nos oacutergatildeos ou entidades da Administraccedilatildeo
Puacuteblica Federal direta e indireta
Aspectos que o auditor deve analisar
formalizaccedilatildeo conteuacutedo divulgaccedilatildeo atualizaccedilatildeo recursos
para implantaccedilatildeo
34
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
35
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
36
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Exemplos de poliacuteticas e procedimentos
CFCCRC
httpwwwcfcorgbruparqManual_auditoria_sitepdf
Conab
httpwwwconabgovbrconabwebdownloadnupinMa
nualdeAuditoriaInternapdf
CGU
httpwwwcgugovbrLegislacaoArquivosInstrucoesN
ormativasIN01_06abr2001pdf
TCU
httpportal2tcugovbrportalpageportalTCUcomunid
adesfiscalizacao_controlenormas_auditoria
22
Renato Braga CISARenato Braga CISA CIA CGAP
Manual de auditoria de sistemas
do TCU
(httpwwwfacapebrcynarasasManual_TCU_Audit_Sistemaspdf)
De 1998
e em breve seraacute publicado o manual de auditoria de TI
23
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
PORTARIA-SEGECEX Nordm 26 DE 19 DE OUTUBRO DE 2009
24
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
25
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
26
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Achado
Responsaacutevel
Periacuteodo de exerciacutecio
Conduta
Nexo de causalidade
Culpabilidade
27
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
28
Renato Braga CISARenato Braga CISA CIA CGAP
Aacutereas de atuaccedilatildeo
29
Governanccedila
Seguranccedila
Sistemas
Dados
Infraestrutura
Contrataccedilotildees
Programas e poliacuteticas
Fiscalizaccedilatildeo
operacional ou
de conformidade
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagens de auditorias de TI
30
Governanccedila de TI
(direccedilatildeo mecanismos e controle)
Dados Contrataccedilotildees
(SLA OLA UC)
Seguranccedila da
Informaccedilatildeo
Sistemas
Poliacuteticas e programas
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
31
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Governanccedila de TI
Objetivo
Avaliar a estrutura de governanccedila de TI da
organizaccedilatildeo
Principal fonte de criteacuterios
Cobit
Tem-se mostrado a causa-raiz da maioria das
deficiecircncias encontradas nas auditorias
32
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
O que eacute o controle
NC 3IN01DSICGSIPR - 44 Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees (POSIC) documento aprovado
pela autoridade responsaacutevel do oacutergatildeo ou entidade da APF
com o objetivo de fornecer diretrizes criteacuterios e suporte
administrativo suficientes agrave implementaccedilatildeo da seguranccedila da
informaccedilatildeo e comunicaccedilotildees
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
3IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 13
NBR ABNT ISOIEC 27002 item 51
33
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
Por que o gestor deve implantar
NC 3IN01DSICGSIPR 21 A Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees declara o comprometimento da
alta direccedilatildeo organizacional com vistas a prover diretrizes
estrateacutegicas responsabilidades competecircncias e o apoio
para implementar a gestatildeo de seguranccedila da informaccedilatildeo e
comunicaccedilotildees nos oacutergatildeos ou entidades da Administraccedilatildeo
Puacuteblica Federal direta e indireta
Aspectos que o auditor deve analisar
formalizaccedilatildeo conteuacutedo divulgaccedilatildeo atualizaccedilatildeo recursos
para implantaccedilatildeo
34
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
35
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
36
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Manual de auditoria de sistemas
do TCU
(httpwwwfacapebrcynarasasManual_TCU_Audit_Sistemaspdf)
De 1998
e em breve seraacute publicado o manual de auditoria de TI
23
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
PORTARIA-SEGECEX Nordm 26 DE 19 DE OUTUBRO DE 2009
24
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
25
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
26
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Achado
Responsaacutevel
Periacuteodo de exerciacutecio
Conduta
Nexo de causalidade
Culpabilidade
27
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
28
Renato Braga CISARenato Braga CISA CIA CGAP
Aacutereas de atuaccedilatildeo
29
Governanccedila
Seguranccedila
Sistemas
Dados
Infraestrutura
Contrataccedilotildees
Programas e poliacuteticas
Fiscalizaccedilatildeo
operacional ou
de conformidade
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagens de auditorias de TI
30
Governanccedila de TI
(direccedilatildeo mecanismos e controle)
Dados Contrataccedilotildees
(SLA OLA UC)
Seguranccedila da
Informaccedilatildeo
Sistemas
Poliacuteticas e programas
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
31
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Governanccedila de TI
Objetivo
Avaliar a estrutura de governanccedila de TI da
organizaccedilatildeo
Principal fonte de criteacuterios
Cobit
Tem-se mostrado a causa-raiz da maioria das
deficiecircncias encontradas nas auditorias
32
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
O que eacute o controle
NC 3IN01DSICGSIPR - 44 Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees (POSIC) documento aprovado
pela autoridade responsaacutevel do oacutergatildeo ou entidade da APF
com o objetivo de fornecer diretrizes criteacuterios e suporte
administrativo suficientes agrave implementaccedilatildeo da seguranccedila da
informaccedilatildeo e comunicaccedilotildees
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
3IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 13
NBR ABNT ISOIEC 27002 item 51
33
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
Por que o gestor deve implantar
NC 3IN01DSICGSIPR 21 A Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees declara o comprometimento da
alta direccedilatildeo organizacional com vistas a prover diretrizes
estrateacutegicas responsabilidades competecircncias e o apoio
para implementar a gestatildeo de seguranccedila da informaccedilatildeo e
comunicaccedilotildees nos oacutergatildeos ou entidades da Administraccedilatildeo
Puacuteblica Federal direta e indireta
Aspectos que o auditor deve analisar
formalizaccedilatildeo conteuacutedo divulgaccedilatildeo atualizaccedilatildeo recursos
para implantaccedilatildeo
34
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
35
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
36
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
PORTARIA-SEGECEX Nordm 26 DE 19 DE OUTUBRO DE 2009
24
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
25
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
26
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Achado
Responsaacutevel
Periacuteodo de exerciacutecio
Conduta
Nexo de causalidade
Culpabilidade
27
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
28
Renato Braga CISARenato Braga CISA CIA CGAP
Aacutereas de atuaccedilatildeo
29
Governanccedila
Seguranccedila
Sistemas
Dados
Infraestrutura
Contrataccedilotildees
Programas e poliacuteticas
Fiscalizaccedilatildeo
operacional ou
de conformidade
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagens de auditorias de TI
30
Governanccedila de TI
(direccedilatildeo mecanismos e controle)
Dados Contrataccedilotildees
(SLA OLA UC)
Seguranccedila da
Informaccedilatildeo
Sistemas
Poliacuteticas e programas
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
31
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Governanccedila de TI
Objetivo
Avaliar a estrutura de governanccedila de TI da
organizaccedilatildeo
Principal fonte de criteacuterios
Cobit
Tem-se mostrado a causa-raiz da maioria das
deficiecircncias encontradas nas auditorias
32
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
O que eacute o controle
NC 3IN01DSICGSIPR - 44 Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees (POSIC) documento aprovado
pela autoridade responsaacutevel do oacutergatildeo ou entidade da APF
com o objetivo de fornecer diretrizes criteacuterios e suporte
administrativo suficientes agrave implementaccedilatildeo da seguranccedila da
informaccedilatildeo e comunicaccedilotildees
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
3IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 13
NBR ABNT ISOIEC 27002 item 51
33
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
Por que o gestor deve implantar
NC 3IN01DSICGSIPR 21 A Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees declara o comprometimento da
alta direccedilatildeo organizacional com vistas a prover diretrizes
estrateacutegicas responsabilidades competecircncias e o apoio
para implementar a gestatildeo de seguranccedila da informaccedilatildeo e
comunicaccedilotildees nos oacutergatildeos ou entidades da Administraccedilatildeo
Puacuteblica Federal direta e indireta
Aspectos que o auditor deve analisar
formalizaccedilatildeo conteuacutedo divulgaccedilatildeo atualizaccedilatildeo recursos
para implantaccedilatildeo
34
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
35
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
36
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
25
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
26
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Achado
Responsaacutevel
Periacuteodo de exerciacutecio
Conduta
Nexo de causalidade
Culpabilidade
27
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
28
Renato Braga CISARenato Braga CISA CIA CGAP
Aacutereas de atuaccedilatildeo
29
Governanccedila
Seguranccedila
Sistemas
Dados
Infraestrutura
Contrataccedilotildees
Programas e poliacuteticas
Fiscalizaccedilatildeo
operacional ou
de conformidade
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagens de auditorias de TI
30
Governanccedila de TI
(direccedilatildeo mecanismos e controle)
Dados Contrataccedilotildees
(SLA OLA UC)
Seguranccedila da
Informaccedilatildeo
Sistemas
Poliacuteticas e programas
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
31
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Governanccedila de TI
Objetivo
Avaliar a estrutura de governanccedila de TI da
organizaccedilatildeo
Principal fonte de criteacuterios
Cobit
Tem-se mostrado a causa-raiz da maioria das
deficiecircncias encontradas nas auditorias
32
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
O que eacute o controle
NC 3IN01DSICGSIPR - 44 Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees (POSIC) documento aprovado
pela autoridade responsaacutevel do oacutergatildeo ou entidade da APF
com o objetivo de fornecer diretrizes criteacuterios e suporte
administrativo suficientes agrave implementaccedilatildeo da seguranccedila da
informaccedilatildeo e comunicaccedilotildees
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
3IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 13
NBR ABNT ISOIEC 27002 item 51
33
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
Por que o gestor deve implantar
NC 3IN01DSICGSIPR 21 A Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees declara o comprometimento da
alta direccedilatildeo organizacional com vistas a prover diretrizes
estrateacutegicas responsabilidades competecircncias e o apoio
para implementar a gestatildeo de seguranccedila da informaccedilatildeo e
comunicaccedilotildees nos oacutergatildeos ou entidades da Administraccedilatildeo
Puacuteblica Federal direta e indireta
Aspectos que o auditor deve analisar
formalizaccedilatildeo conteuacutedo divulgaccedilatildeo atualizaccedilatildeo recursos
para implantaccedilatildeo
34
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
35
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
36
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
26
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Achado
Responsaacutevel
Periacuteodo de exerciacutecio
Conduta
Nexo de causalidade
Culpabilidade
27
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
28
Renato Braga CISARenato Braga CISA CIA CGAP
Aacutereas de atuaccedilatildeo
29
Governanccedila
Seguranccedila
Sistemas
Dados
Infraestrutura
Contrataccedilotildees
Programas e poliacuteticas
Fiscalizaccedilatildeo
operacional ou
de conformidade
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagens de auditorias de TI
30
Governanccedila de TI
(direccedilatildeo mecanismos e controle)
Dados Contrataccedilotildees
(SLA OLA UC)
Seguranccedila da
Informaccedilatildeo
Sistemas
Poliacuteticas e programas
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
31
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Governanccedila de TI
Objetivo
Avaliar a estrutura de governanccedila de TI da
organizaccedilatildeo
Principal fonte de criteacuterios
Cobit
Tem-se mostrado a causa-raiz da maioria das
deficiecircncias encontradas nas auditorias
32
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
O que eacute o controle
NC 3IN01DSICGSIPR - 44 Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees (POSIC) documento aprovado
pela autoridade responsaacutevel do oacutergatildeo ou entidade da APF
com o objetivo de fornecer diretrizes criteacuterios e suporte
administrativo suficientes agrave implementaccedilatildeo da seguranccedila da
informaccedilatildeo e comunicaccedilotildees
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
3IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 13
NBR ABNT ISOIEC 27002 item 51
33
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
Por que o gestor deve implantar
NC 3IN01DSICGSIPR 21 A Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees declara o comprometimento da
alta direccedilatildeo organizacional com vistas a prover diretrizes
estrateacutegicas responsabilidades competecircncias e o apoio
para implementar a gestatildeo de seguranccedila da informaccedilatildeo e
comunicaccedilotildees nos oacutergatildeos ou entidades da Administraccedilatildeo
Puacuteblica Federal direta e indireta
Aspectos que o auditor deve analisar
formalizaccedilatildeo conteuacutedo divulgaccedilatildeo atualizaccedilatildeo recursos
para implantaccedilatildeo
34
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
35
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
36
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Padrotildees de auditoria de conformidade do TCU
Achado
Responsaacutevel
Periacuteodo de exerciacutecio
Conduta
Nexo de causalidade
Culpabilidade
27
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
28
Renato Braga CISARenato Braga CISA CIA CGAP
Aacutereas de atuaccedilatildeo
29
Governanccedila
Seguranccedila
Sistemas
Dados
Infraestrutura
Contrataccedilotildees
Programas e poliacuteticas
Fiscalizaccedilatildeo
operacional ou
de conformidade
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagens de auditorias de TI
30
Governanccedila de TI
(direccedilatildeo mecanismos e controle)
Dados Contrataccedilotildees
(SLA OLA UC)
Seguranccedila da
Informaccedilatildeo
Sistemas
Poliacuteticas e programas
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
31
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Governanccedila de TI
Objetivo
Avaliar a estrutura de governanccedila de TI da
organizaccedilatildeo
Principal fonte de criteacuterios
Cobit
Tem-se mostrado a causa-raiz da maioria das
deficiecircncias encontradas nas auditorias
32
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
O que eacute o controle
NC 3IN01DSICGSIPR - 44 Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees (POSIC) documento aprovado
pela autoridade responsaacutevel do oacutergatildeo ou entidade da APF
com o objetivo de fornecer diretrizes criteacuterios e suporte
administrativo suficientes agrave implementaccedilatildeo da seguranccedila da
informaccedilatildeo e comunicaccedilotildees
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
3IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 13
NBR ABNT ISOIEC 27002 item 51
33
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
Por que o gestor deve implantar
NC 3IN01DSICGSIPR 21 A Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees declara o comprometimento da
alta direccedilatildeo organizacional com vistas a prover diretrizes
estrateacutegicas responsabilidades competecircncias e o apoio
para implementar a gestatildeo de seguranccedila da informaccedilatildeo e
comunicaccedilotildees nos oacutergatildeos ou entidades da Administraccedilatildeo
Puacuteblica Federal direta e indireta
Aspectos que o auditor deve analisar
formalizaccedilatildeo conteuacutedo divulgaccedilatildeo atualizaccedilatildeo recursos
para implantaccedilatildeo
34
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
35
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
36
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
28
Renato Braga CISARenato Braga CISA CIA CGAP
Aacutereas de atuaccedilatildeo
29
Governanccedila
Seguranccedila
Sistemas
Dados
Infraestrutura
Contrataccedilotildees
Programas e poliacuteticas
Fiscalizaccedilatildeo
operacional ou
de conformidade
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagens de auditorias de TI
30
Governanccedila de TI
(direccedilatildeo mecanismos e controle)
Dados Contrataccedilotildees
(SLA OLA UC)
Seguranccedila da
Informaccedilatildeo
Sistemas
Poliacuteticas e programas
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
31
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Governanccedila de TI
Objetivo
Avaliar a estrutura de governanccedila de TI da
organizaccedilatildeo
Principal fonte de criteacuterios
Cobit
Tem-se mostrado a causa-raiz da maioria das
deficiecircncias encontradas nas auditorias
32
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
O que eacute o controle
NC 3IN01DSICGSIPR - 44 Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees (POSIC) documento aprovado
pela autoridade responsaacutevel do oacutergatildeo ou entidade da APF
com o objetivo de fornecer diretrizes criteacuterios e suporte
administrativo suficientes agrave implementaccedilatildeo da seguranccedila da
informaccedilatildeo e comunicaccedilotildees
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
3IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 13
NBR ABNT ISOIEC 27002 item 51
33
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
Por que o gestor deve implantar
NC 3IN01DSICGSIPR 21 A Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees declara o comprometimento da
alta direccedilatildeo organizacional com vistas a prover diretrizes
estrateacutegicas responsabilidades competecircncias e o apoio
para implementar a gestatildeo de seguranccedila da informaccedilatildeo e
comunicaccedilotildees nos oacutergatildeos ou entidades da Administraccedilatildeo
Puacuteblica Federal direta e indireta
Aspectos que o auditor deve analisar
formalizaccedilatildeo conteuacutedo divulgaccedilatildeo atualizaccedilatildeo recursos
para implantaccedilatildeo
34
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
35
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
36
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Aacutereas de atuaccedilatildeo
29
Governanccedila
Seguranccedila
Sistemas
Dados
Infraestrutura
Contrataccedilotildees
Programas e poliacuteticas
Fiscalizaccedilatildeo
operacional ou
de conformidade
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagens de auditorias de TI
30
Governanccedila de TI
(direccedilatildeo mecanismos e controle)
Dados Contrataccedilotildees
(SLA OLA UC)
Seguranccedila da
Informaccedilatildeo
Sistemas
Poliacuteticas e programas
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
31
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Governanccedila de TI
Objetivo
Avaliar a estrutura de governanccedila de TI da
organizaccedilatildeo
Principal fonte de criteacuterios
Cobit
Tem-se mostrado a causa-raiz da maioria das
deficiecircncias encontradas nas auditorias
32
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
O que eacute o controle
NC 3IN01DSICGSIPR - 44 Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees (POSIC) documento aprovado
pela autoridade responsaacutevel do oacutergatildeo ou entidade da APF
com o objetivo de fornecer diretrizes criteacuterios e suporte
administrativo suficientes agrave implementaccedilatildeo da seguranccedila da
informaccedilatildeo e comunicaccedilotildees
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
3IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 13
NBR ABNT ISOIEC 27002 item 51
33
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
Por que o gestor deve implantar
NC 3IN01DSICGSIPR 21 A Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees declara o comprometimento da
alta direccedilatildeo organizacional com vistas a prover diretrizes
estrateacutegicas responsabilidades competecircncias e o apoio
para implementar a gestatildeo de seguranccedila da informaccedilatildeo e
comunicaccedilotildees nos oacutergatildeos ou entidades da Administraccedilatildeo
Puacuteblica Federal direta e indireta
Aspectos que o auditor deve analisar
formalizaccedilatildeo conteuacutedo divulgaccedilatildeo atualizaccedilatildeo recursos
para implantaccedilatildeo
34
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
35
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
36
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagens de auditorias de TI
30
Governanccedila de TI
(direccedilatildeo mecanismos e controle)
Dados Contrataccedilotildees
(SLA OLA UC)
Seguranccedila da
Informaccedilatildeo
Sistemas
Poliacuteticas e programas
Fonte TCUSefti
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
31
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Governanccedila de TI
Objetivo
Avaliar a estrutura de governanccedila de TI da
organizaccedilatildeo
Principal fonte de criteacuterios
Cobit
Tem-se mostrado a causa-raiz da maioria das
deficiecircncias encontradas nas auditorias
32
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
O que eacute o controle
NC 3IN01DSICGSIPR - 44 Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees (POSIC) documento aprovado
pela autoridade responsaacutevel do oacutergatildeo ou entidade da APF
com o objetivo de fornecer diretrizes criteacuterios e suporte
administrativo suficientes agrave implementaccedilatildeo da seguranccedila da
informaccedilatildeo e comunicaccedilotildees
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
3IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 13
NBR ABNT ISOIEC 27002 item 51
33
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
Por que o gestor deve implantar
NC 3IN01DSICGSIPR 21 A Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees declara o comprometimento da
alta direccedilatildeo organizacional com vistas a prover diretrizes
estrateacutegicas responsabilidades competecircncias e o apoio
para implementar a gestatildeo de seguranccedila da informaccedilatildeo e
comunicaccedilotildees nos oacutergatildeos ou entidades da Administraccedilatildeo
Puacuteblica Federal direta e indireta
Aspectos que o auditor deve analisar
formalizaccedilatildeo conteuacutedo divulgaccedilatildeo atualizaccedilatildeo recursos
para implantaccedilatildeo
34
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
35
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
36
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
31
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Governanccedila de TI
Objetivo
Avaliar a estrutura de governanccedila de TI da
organizaccedilatildeo
Principal fonte de criteacuterios
Cobit
Tem-se mostrado a causa-raiz da maioria das
deficiecircncias encontradas nas auditorias
32
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
O que eacute o controle
NC 3IN01DSICGSIPR - 44 Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees (POSIC) documento aprovado
pela autoridade responsaacutevel do oacutergatildeo ou entidade da APF
com o objetivo de fornecer diretrizes criteacuterios e suporte
administrativo suficientes agrave implementaccedilatildeo da seguranccedila da
informaccedilatildeo e comunicaccedilotildees
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
3IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 13
NBR ABNT ISOIEC 27002 item 51
33
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
Por que o gestor deve implantar
NC 3IN01DSICGSIPR 21 A Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees declara o comprometimento da
alta direccedilatildeo organizacional com vistas a prover diretrizes
estrateacutegicas responsabilidades competecircncias e o apoio
para implementar a gestatildeo de seguranccedila da informaccedilatildeo e
comunicaccedilotildees nos oacutergatildeos ou entidades da Administraccedilatildeo
Puacuteblica Federal direta e indireta
Aspectos que o auditor deve analisar
formalizaccedilatildeo conteuacutedo divulgaccedilatildeo atualizaccedilatildeo recursos
para implantaccedilatildeo
34
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
35
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
36
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Governanccedila de TI
Objetivo
Avaliar a estrutura de governanccedila de TI da
organizaccedilatildeo
Principal fonte de criteacuterios
Cobit
Tem-se mostrado a causa-raiz da maioria das
deficiecircncias encontradas nas auditorias
32
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
O que eacute o controle
NC 3IN01DSICGSIPR - 44 Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees (POSIC) documento aprovado
pela autoridade responsaacutevel do oacutergatildeo ou entidade da APF
com o objetivo de fornecer diretrizes criteacuterios e suporte
administrativo suficientes agrave implementaccedilatildeo da seguranccedila da
informaccedilatildeo e comunicaccedilotildees
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
3IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 13
NBR ABNT ISOIEC 27002 item 51
33
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
Por que o gestor deve implantar
NC 3IN01DSICGSIPR 21 A Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees declara o comprometimento da
alta direccedilatildeo organizacional com vistas a prover diretrizes
estrateacutegicas responsabilidades competecircncias e o apoio
para implementar a gestatildeo de seguranccedila da informaccedilatildeo e
comunicaccedilotildees nos oacutergatildeos ou entidades da Administraccedilatildeo
Puacuteblica Federal direta e indireta
Aspectos que o auditor deve analisar
formalizaccedilatildeo conteuacutedo divulgaccedilatildeo atualizaccedilatildeo recursos
para implantaccedilatildeo
34
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
35
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
36
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
O que eacute o controle
NC 3IN01DSICGSIPR - 44 Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees (POSIC) documento aprovado
pela autoridade responsaacutevel do oacutergatildeo ou entidade da APF
com o objetivo de fornecer diretrizes criteacuterios e suporte
administrativo suficientes agrave implementaccedilatildeo da seguranccedila da
informaccedilatildeo e comunicaccedilotildees
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
3IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 13
NBR ABNT ISOIEC 27002 item 51
33
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
Por que o gestor deve implantar
NC 3IN01DSICGSIPR 21 A Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees declara o comprometimento da
alta direccedilatildeo organizacional com vistas a prover diretrizes
estrateacutegicas responsabilidades competecircncias e o apoio
para implementar a gestatildeo de seguranccedila da informaccedilatildeo e
comunicaccedilotildees nos oacutergatildeos ou entidades da Administraccedilatildeo
Puacuteblica Federal direta e indireta
Aspectos que o auditor deve analisar
formalizaccedilatildeo conteuacutedo divulgaccedilatildeo atualizaccedilatildeo recursos
para implantaccedilatildeo
34
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
35
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
36
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
eg Poliacutetica de Seguranccedila da Informaccedilatildeo
Por que o gestor deve implantar
NC 3IN01DSICGSIPR 21 A Poliacutetica de Seguranccedila da
Informaccedilatildeo e Comunicaccedilotildees declara o comprometimento da
alta direccedilatildeo organizacional com vistas a prover diretrizes
estrateacutegicas responsabilidades competecircncias e o apoio
para implementar a gestatildeo de seguranccedila da informaccedilatildeo e
comunicaccedilotildees nos oacutergatildeos ou entidades da Administraccedilatildeo
Puacuteblica Federal direta e indireta
Aspectos que o auditor deve analisar
formalizaccedilatildeo conteuacutedo divulgaccedilatildeo atualizaccedilatildeo recursos
para implantaccedilatildeo
34
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
35
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
36
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
35
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
36
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Questatildeo de auditoria
Informaccedilotildees necessaacuterias
Fontes de informaccedilatildeo
Procedimentos
Detalhamento do procedimento
Objeto
Membro
Periacuteodo
Possiacuteveis achados
36
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 1
Elaborar uma linha da matriz de planejamento
para avaliar o seguinte objetivo de controle
ldquoTraduzir os requisitos de negoacutecio de risco e
conformidade em um plano abrangente de seguranccedila de
TI que leve em consideraccedilatildeo a infraestrutura de TI e a
cultura de seguranccedila O plano deve ser implementado em
poliacuteticas e procedimentos de seguranccedila juntamente com
investimentos adequados em serviccedilos pessoal software e
hardware Poliacuteticas e procedimentos de seguranccedila devem
ser comunicados aos usuaacuterios e partes interessadasrdquo
Fonte Cobit 41 DS52 Plano de Seguranccedila de TI
37
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
38
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Seguranccedila da Informaccedilatildeo
Objetivo
Avaliar como a organizaccedilatildeo trata os aspectos de
gestatildeo de seguranccedila da informaccedilatildeo
Principal fonte de criteacuterios
ABNT NBR ISOIEC 270022005
39
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
O que eacute o controle
NC 7IN01DSICGSIPR 516 Os oacutergatildeos ou entidades da
APF em suas aacutereas de competecircncia estabelecem regras
para credenciamento bloqueio e exclusatildeo de contas de
acesso de seus usuaacuterios bem como para o ambiente de
desenvolvimento
Criteacuterios
IN-GSIPR 12008 art 5ordm inciso VII cc NC
7IN01DSICGSIPR
Resoluccedilatildeo-CNJ 902009 art 10
NBR ABNT ISOIEC 27002 item 112
40
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de Usuaacuterios
Por que o gestor deve implantar
NC 7IN01DSICGSIPR 21O objetivo do controle eacute
sistematizar a concessatildeo de acesso a fim de evitar a
quebra de seguranccedila da informaccedilatildeo e comunicaccedilotildees
Aspectos que o auditor deve analisar
Registro do usuaacuterio gerenciamento de privileacutegios
gerenciamento de senhas anaacutelise criacutetica de direitos de
acesso
41
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
42
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Matriz de Planejamento
Matriz deAchados
Matriz de Responsabilizaccedilatildeo
Detalhando os padrotildees
Descriccedilatildeo
Situaccedilatildeo encontrada
Objetos
Criteacuterios
Evidecircncias
Causas
Efeitos
Encaminhamento
43
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 2
Ler individualmente a situaccedilatildeo encontrada
descrita e identificar
Criteacuterios
Evidecircncias
Causas
Efeitos (reais ou potenciais)
Que proposta de encaminhamento pode ser feita
44
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
45
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Dados
Objetivo
Verificar os atributos de seguranccedila (integridade
confidencialidade e disponibilidade) dos dados dos
sistemas em especial se estatildeo em conformidade com
as regras que regem o negoacutecio
Principal fonte de criteacuterio
Regras de negoacutecio
46
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
eg Gerenciamento de usuaacuterios
Se o controle geral de TI natildeo estiver implantado
ou for deficiente o que se pode esperar como
consequumlecircncias
A NC 7IN01DSICGSIPR preconiza que
22A identificaccedilatildeo a autorizaccedilatildeo a autenticaccedilatildeo o
interesse do serviccedilo e a necessidade de conhecer satildeo
condicionantes preacutevias para concessatildeo de acesso nos
oacutergatildeos ou entidades da APF
Vamos nos ater a dois aspectos
segregaccedilatildeo de funccedilotildees
anaacutelise criacutetica de direitos de acesso
47
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 3
48
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de usuaacuterios
49
CPF Nome Cargo Inicio Fim444444 Michael Terceirizado 22032004 22092009777777 Platatildeo Terceirizado 01022009 02022009
666666 MadonaChefe de compras 20052010
555555 RenatoAuxiliar
contabilidade 22012003
888888 AmmyGestor de compras 01022000 31012002
999999 Lula Presidente 01022001
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Cadastro de permissotildees de acesso
50
CPFAdministrador (do sistema)
Gestor (do sistema)
Usuaacuterio -Registra Pedido
Usuaacuterio -Homologa
pedidoUsuaacuterio -
paga666666 - - - x -888888 - - x - -999999 x - - - -444444 - - - - -555555 - - - x x777777 x - - - -
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 31 ndash Aquecendo
A) Dados os cadastros de usuaacuterios e de
permissotildees no sistema de compras verificar se
as permissotildees de acesso estatildeo adequadas
B) E se fossem milhares de registros como
fazer
51
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32 ndash Este eacute o modelo de dados
52
TB_Usuario
Id_Usuario
Nome_Usu
Ramal_Usu
Unidade_Usu
Status_Usu
TB_Usu_Perf
Id_Usuario
Id_Perfil
TB_Perfil
Id_Perfil
Nome_Perf
Id_Criador
TB_Perf_Ope
Id_Perfil
Id_Operacao
TB_Operacao
Id_Operacao
Nome_Op
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 32
Descrever um procedimento para avaliar se haacute
contas de usuaacuterios ativos com permissotildees
simultacircneas para registrar um pedido e efetuar
um pagamento
Eacute possiacutevel prever outro procedimento Qual
Este fica como dever de casa
-)
53
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Exerciacutecio 33
Refletir individualmente sobre o teste que foi
simulado e responder a seguinte pergunta
ldquoTrata-se de um teste substantivo ou de
observacircnciardquo
54
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Agenda
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
55
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Acoacuterdatildeo 712007-Plenaacuterio
Objetivo da auditoria
ldquo avaliar aspectos relacionados com a
seguranccedila e a consistecircncia das informaccedilotildees
gerenciadas pelo sistema Infoseg (Sistema
Nacional de Integraccedilatildeo de Informaccedilotildees em
Justiccedila e Seguranccedila Puacuteblica) em cumprimento
ao disposto no item 94 do Acoacuterdatildeo 7242005-
TCU-Plenaacuteriordquo
56
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
(Ilustraccedilatildeo cedida pela SenaspMJ)
Infoseg ndash
Sistema Nacional de Integraccedilatildeo de
Informaccedilotildees em Justiccedila e Seguranccedila Puacuteblica
Integraccedilatildeo das
informaccedilotildees
dos oacutergatildeos de
seguranccedila
puacuteblica justiccedila
e fiscalizaccedilatildeo
da Uniatildeo dos
Estados e do
Distrito
Federal
57
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Finalidade do Infoseg
Disponibilizaccedilatildeo dessas informaccedilotildees para os
agentes puacuteblicos federais estaduais distritais e
municipais cadastrados no sistema por meio
da Internet (paacuteginas Web)
do telefone celular (mensagem SMS)
da Intranet (via Web Services)
58
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Moacutedulos de consulta
Indiviacuteduos Iacutendice Nacional (IN) de inqueacuteritos processos mandados de prisatildeo
registro de armas
Consultas detalhadas
Armas Consulta agrave base do Sistema Sinarm - Sistema Nacional de Armas -
mantido pelo Departamento de Poliacutecia Federal
Veiacuteculos Consulta agrave base do Sistema Renavam - Registro Nacional de
Veiacuteculos Automotores - mantido pelo Denatran
Condutores Consulta agrave base do Sistema Renach - Registro Nacional de
Carteiras de Habilitaccedilatildeo - mantido pelo Denatran
59
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Ambientes heterogecircneos
NaturalAdabas6
JavaMySQL5
CobolDMS24
JavaSQL Server3
JavaOracle2
DelphiOracle1
LinguagemSGBDEnte
participante
61
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
ldquoAs inconsistecircncias encontradas evidenciam
controles de processamento insuficientes (item
1222 da NBR ISOIEC 177992005) e podemos
dividi-las em trecircs grupos
registros constantes do IN sem correspondecircncia nas
bases do ente
registros constantes das bases do ente sem
correspondecircncia no IN
registros constantes das bases do ente e do IN poreacutem
com conteuacutedos divergentesrdquo
62
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem dados
922 adote as providecircncias necessaacuterias para
resolver as inconsistecircncias entre as bases de
dados estaduais e o Iacutendice Nacional constantes
dos arquivos do CD-ROM em anexo
923 institua mecanismos que garantam a
consistecircncia entre o Iacutendice Nacional - IN - e as
bases dos entes que alimentam o IN verificando
periodicamente a eficaacutecia dos mecanismos
implementados de acordo com o previsto no item
1222 da NBR ISOIEC 177992005
63
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
925 estabeleccedila e identifique formalmente
responsabilidades relativas agraves questotildees de
seguranccedila das informaccedilotildees do Infoseg de acordo
com o previsto no item 613 da NBR ISOIEC
177992005
928 conduza a intervalos regulares a anaacutelise
criacutetica dos direitos de acesso dos usuaacuterios do
Infoseg por meio de um processo formal de
acordo com o previsto no item 1124 da NBR
ISOIEC 177992005
64
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem seguranccedila da informaccedilatildeo
9215 formalize poliacutetica de geraccedilatildeo de coacutepias de
seguranccedila para o Infoseg de acordo com o previsto no
item 1051 da NBR ISOIEC 177992005
9216 armazene as miacutedias contendo coacutepias de
seguranccedila do Infoseg em local diverso da operaccedilatildeo do
sistema de acordo com a diretriz ldquodrdquo do item 1051 da
NBR ISOIEC 177992005
9217 estabeleccedila um periacutemetro de seguranccedila nas
instalaccedilotildees da gerecircncia do Infoseg (barreiras tais como
paredes portotildees de entrada controlados por cartatildeo ou
balcatildeo com recepcionista) em conformidade com o item
911 da NBR ISOIEC 177992005
65
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
911 estude a viabilidade de apresentar agrave Casa Civil da
Presidecircncia da Repuacuteblica anteprojeto de lei que
regulamente o sect 7ordm do art 144 da Constituiccedilatildeo Federal
de forma a institucionalizar o sistema Infoseg contendo
entre outros dispositivos que contemplem atribuiccedilotildees e
responsabilidades para os entes que detecircm as
informaccedilotildees de interesse do sistema
921 crie dispositivos que melhor regulamentem o
Infoseg estabelecendo atribuiccedilotildees e responsabilidades
para os entes participantes do sistema ainda que por
meio do aperfeiccediloamento dos termos de convecircnio
firmados no acircmbito do Fundo Uacutenico de Seguranccedila Puacuteblica
- FUSP
66
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
926 defina formalmente uma Poliacutetica de Seguranccedila
da Informaccedilatildeo - PSI - para o Infoseg que forneccedila
orientaccedilatildeo e apoio para a seguranccedila da informaccedilatildeo
da rede promovendo-se ampla divulgaccedilatildeo do
documento para todos os usuaacuterios de acordo com o
previsto no item 511 da NBR ISOIEC 177992005
927 defina formalmente uma Poliacutetica de Controle de
Acesso - PCA - para o Infoseg contemplando
usuaacuterios Web ldquohost de atualizaccedilatildeordquo e da rede interna
da gerecircncia do Infoseg de acordo com o previsto no
item 1111 da NBR ISOIEC 177992005
67
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem governanccedila de TI
9222 envide esforccedilos no sentido de dotar a gerecircncia do
Infoseg dos recursos humanos especializados e treinados
necessaacuterios agrave garantia da continuaccedilatildeo do
desenvolvimento manutenccedilatildeo e operaccedilatildeo do sistema agrave
semelhanccedila das orientaccedilotildees contidas no item PO 412 do
COBIT 40
9223 avalie a situaccedilatildeo de terceirizaccedilatildeo de pessoal na
gerecircncia do Infoseg de modo a dotar aquela gerecircncia de
servidores ocupantes de cargos efetivos suficientes
capacitados e treinados para exercer as atividades
estrateacutegicas e sensiacuteveis sobretudo as de gestatildeo do
sistema (planejamento coordenaccedilatildeo organizaccedilatildeo
supervisatildeo e controle)
68
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem contrataccedilotildees
A gerecircncia do Infoseg vem efetuando uma fiscalizaccedilatildeo
eficiente do Contrato nordm 1112005 (anexo1 v1
fls304319) firmado com a Empresa Brasileira de
Telecomunicaccedilotildees SA - Embratel - para o fornecimento
dos serviccedilos de comunicaccedilatildeo de dados da rede Infoseg
(boa praacutetica registrada no relatoacuterio)
94 determinar que nos contratos de serviccedilos relativos
agrave aacuterea de TI defina claramente tanto nos editais de
licitaccedilatildeo como nos contratos claacuteusulas contemplando
requisitos de seguranccedila da informaccedilatildeo como os previstos
no item 623 da NBR ISOIEC 177992005
69
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Sistemas
912 estude em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no
caput do art 37 da Constituiccedilatildeo Federal a viabilidade de virem a
integrar diretamente agrave rede Infoseg todos os oacutergatildeos que possam
fornecer informaccedilotildees ao Iacutendice Nacional em especial os Tribunais
de Justiccedila das unidades da federaccedilatildeo oacutergatildeos responsaacuteveis pelas
informaccedilotildees sobre mandados de prisatildeo e andamento de
processos
915 em atenccedilatildeo ao Princiacutepio da Eficiecircncia contido no caput do
art 37 da Constituiccedilatildeo Federal avalie os resultados da pesquisa
realizada com os usuaacuterios do Infoseg no curso deste trabalho
(CD-ROM em anexo) visando a implementar melhorias no
sistema que minimizem os pontos fraacutegeis apontados em especial
quanto agrave facilidade de busca das informaccedilotildees
70
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Abordagem Infraestutura
914 estude a viabilidade de trafegar os dados pela rede
Infoseg em formato mais compacto que o formato XML
usado atualmente como por exemplo no formato TXT em
atendimento ao Princiacutepio da Eficiecircncia constante do art
37 caput da Constituiccedilatildeo Federal
(achado natildeo decorrente da investigaccedilatildeo de questatildeo de auditoria)
71
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Resumo
Conceitos iniciais
Um meacutetodo de auditoria
Abordagens de auditoria de TI
Abordagem Governanccedila de TI
Abordagem Seguranccedila da Informaccedilatildeo
Abordagem Dados
Por que combinar abordagens
72
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Atingimos o objetivo proposto
Conhecer as abordagens de auditoria de TI
utilizadas pelo Tribunal de Contas da Uniatildeo (TCU)
ateacute o ponto de entender em que ocasiotildees a
combinaccedilatildeo dessas abordagens se faz
necessaacuteria para atingir o objetivo de uma
auditoria
73
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
ldquoA uacutenica coisa necessaacuteria
para o triunfo do mal eacute que os
homens bons natildeo faccedilam
nadardquo
Edmund Burke
estadista e filoacutesofo britacircnico
74
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75
Renato Braga CISARenato Braga CISA CIA CGAP
Grato pela atenccedilatildeo
httpwwwisaca-brasiliaorg
diretoreducacaoisaca-brasiliaorg
falecomigorenatobraganet
75