Auditoria dos Sistemas de Informao Aliada Gesto Empresarial

Maicom Rafael Victor Simch

Tiago Squinzani Tonetto
E-mail:tiago-tonetto@hotmail.com, maravisi@hotmail.com

Resumo
Neste trabalho proposta a auditoria dos sistemas de informaes das
empresas, bem como o acompanhamento permanente do ambiente informatizado.
Desta forma, salienta-se a necessidade de oferecer informaes seguras aos
tomadores de deciso e, atravs da reviso de literatura, evidencia-se a relevncia
destas informaes no ambiente empresarial. A intensa busca por dados, registros,
informaes e sistemas no meio empresarial sustenta-se em regras bsicas de
segurana que, quando observadas tornam-se ferramentas preparadas para o
enfrentamento de uma realidade onde mais do que nunca informao poder.
Palavras-chaves: sistemas de informaes, auditoria, gesto empresarial.
Introduo
Com a globalizao a disseminao das informaes tornou-se bastante
abrangente, facilitando a vida dos usurios. As informaes ficaram mais fceis de
serem interceptadas, gerando risco e receio por parte dos usurios. A cada tempo
que passa os empresrios ficam mais receosos e acabam retrocedendo no tempo
em prol da prpria segurana, por vezes, deixam de tomar decises importantes ao
futuro da empresa por no dispor da informao em tempo hbil ou ento por no
confiar na informao gerada pelo sistema de informaes que utilizado.
Estas informaes aps processadas geram os relatrios contbeis e
financeiros que so apresentados aos interessados pelo seu desempenho
econmico-financeiro. Estes usurios podem ser acionistas, investidores, ou
analistas de mercado, entre outros. Tais usurios avaliam o valor das aes e outros
ttulos emitidos pela empresa, e a cada dia a dinmica do mercado financeiro tem
exigido uma maior velocidade das informaes, colaborando com isso a internet vem

sendo considerada um canal de divulgao que potencializa as oportunidades

melhorando a qualidade das informaes.
Toda empresa que prime por controles internos e processos definidos deve
utilizar-se de sistemas de informaes. Entretanto, uma empresa que dispe de um
sistema integrado informatizado e, no respeita alguns aspectos de suma
importncia estar exposta a riscos. Os riscos podem ser identificados internamente
e externamente. Sua avaliao dependera da anlise da probabilidade de ocorrncia
e de seus impactos identificados, de maneira quantitativa e qualitativa. No
esquecendo, entretanto, de avaliar sempre os efeitos positivos e negativos da
aplicao da auditoria destes sistemas. O controle de risco dever estabelecer um
processo formal de identificao, avaliao e desenvolvimento das respostas aos
riscos do projeto de auditoria, para que a sua situao seja constantemente
monitorada e seus planos de contingncia estejam sempre atualizados e prontos
para serem implementados.
Diante disso, este artigo tem por objetivo analisar a prtica de procedimentos
de auditoria nos sistemas de informaes visando, sobretudo, evidenciar a
necessidade de informaes teis e confiveis para o processo de gesto.
Complementando a proposta, discorre-se sobre os componentes que necessitam de
maior ateno em um uma auditoria nos sistemas de informaes voltados a gesto.
O cumprimento dos objetivos dar-se- por meio da reviso da literatura,
determinando-se a relao entre gesto, segurana e auditoria de TI (Tecnologia de
Informaes), no que diz respeito a dados e informaes. Discute-se a auditoria das
informaes como atitude aliada aos processos de gesto na empresa, no sentido
de oferecer s organizaes um maior controle sobre os dados relevantes e uma
conformao maior com os mecanismos de tomada de deciso e confidencialidade
dentro das instituies.
Tecnologia da Informao como Suporte Gesto da Informao
A tecnologia da informao alterou o mundo dos negcios de forma
irreversvel. Desde que foi introduzida sistematicamente, em meados da dcada de
50, houve uma mudana radical no modo de operar das organizaes (Mcgee,
Prusak, 1994). Na atualidade, tanto sob a perspectiva acadmica quanto do mundo
dos negcios, uma questo de grande relevncia. Antonialli (1996) concorda que

as fortes tendncias e fatores tecnolgicos so os responsveis por contnuas

adaptaes da postura estratgica empresarial.
Corroborando com isso, Wang (1998) afirma que a informao tecnolgica
pode ser a maior ferramenta dos tempos modernos, mas o julgamento de negcios
dos humanos que a faz poderosa.
De acordo com Rezende e Abreu (2000), a informao desempenha papis
importantes tanto na definio quanto na execuo de uma estratgia. Ela ajuda na
identificao das ameaas e das oportunidades para a empresa e cria o cenrio
para uma resposta competitiva mais eficaz.
Assim, a tecnologia da informao abrange uma gama de produtos de
hardware e software capazes de coletar, armazenar, processar e acessar nmeros e
imagens, que so usados para controlar equipamentos e processos de trabalho e
conectar pessoas, funes e escritrios dentro das empresas e entre elas (Walton,
1993).
A importncia da Informao nos Processos de Gesto
A informao, na viso de Rezende e Abreu (2000), o dado com uma
interpretao lgica ou natural agregada pelo usurio. A informao um ativo que,
como qualquer outro ativo importante para os negcios, tem um valor para a
organizao e, conseqentemente, necessita ser adequadamente protegido (NBR
ISO/IEC 17799, 2003). Como salienta Dias (2000), a informao o principal
patrimnio da empresa e est sob constante risco.
Nem toda informao crucial ou essencial a ponto de merecer cuidados
especiais. Por outro lado, uma determinada informao pode ser to vital que o
custo de sua integridade, qualquer que seja ainda ser menor que o custo de no
dispor dela adequadamente. Boran (1996) e Wadlow (2000) classificam a
informao em nveis de prioridade, respeitando a necessidade de cada empresa
assim como a importncia da classe de informao para a manuteno das
atividades da empresa:

Pblica. Informao que pode vir a pblico sem maiores conseqncias

danosas ao funcionamento normal da empresa, e cuja integridade no vital.

Interna. O acesso livre a este tipo de informao deve ser evitado,

embora as conseqncias do uso no autorizado no sejam por demais srias. Sua

integridade importante, mesmo que no seja vital.

Confidencial. Informao restrita aos limites da empresa, cuja

divulgao ou perda pode levar a desequilbrio operacional, e eventualmente, a

perdas financeiras ou de confiabilidade perante o cliente externo.

Secreta. Informao crtica para as atividades da empresa, cuja

integridade deve ser preservada a qualquer custo e cujo acesso deve ser restrito a
um nmero reduzido de pessoas. A segurana desse tipo de informao vital para
a companhia.
Ativos de Informao
Conforme Souza (2006), os ativos de informao so aqueles mecanismos
que usamos para armazenar, transmitir e processar informaes (Ex.: pedao de
papel, computadores, redes, discos rgidos, banco de dados, fitas etc..).
Constituem basicamente os chamados Ativos de Informao:

A informao (conceitualmente): mensagens, textos, dados de um

sistema, informaes de funcionrios, programas de rdio e TV, etc.

As tecnologias que suportam a informao: papel, correio eletrnico,

editor de texto, sistemas de informao, rdio, TV, telefone, arquivos de ao,

computadores, etc.

As pessoas e processos que utilizam as informaes: vendedores,

gerentes, fornecedores, clientes, processo de compra, processo de venda, etc.

Os ambientes: CPDs, salas de arquivos, depsitos de mdias e

equipamentos, etc.
Vulnerabilidade dos ativos da informao
Souza (2006) ressalta ainda que, na rea de tecnologias podemos identificar
as seguintes deficincias:

computadores sem proteo contra vrus;

arquivos de ao sem controle de acesso;

equipamentos em locais pblicos (impressoras, fax)

cabos de redes expostos;

redes locais com senha padro ou pblica;

sistemas sem controle de acesso lgico;

falta de controle a reas crticas;

problemas de manuteno em equipamentos;

problemas com energia eltrica.

Com relao s pessoas e processos os ativos da informao podem estar

comprometidos no que diz respeito a:

ausncia de controle interno estruturado e bem aplicado;

ausncia de poltica institucional de segurana na organizao;

inexistncia de especialistas em segurana na organizao;

inexistncia de regulamentao para acesso s informaes da

organizao;

procedimentos ineficientes para anlise e conferencia das informaes;

colaboradores no-treinados em segurana;

ausncia de procedimentos disciplinares para o tratamento das

violaes da poltica de segurana;

ausncia de planos de contingncia.

O ambiente no qual a empresa esta inserida tambm propicia algumas formas

de ataque ao ativo da informao da empresa, conforme segue:

ausncia de mecanismos contra incndio;

inexistncia de mecanismos de preveno enchente;

inexistncia de proteo contra poluentes diversos que possam

prejudicar mdias e equipamentos.

Critrios para Segurana da Informao
evidente que os negcios esto cada vez mais dependentes das
tecnologias e estas precisam proporcionar confidencialidade, integridade e
disponibilidade. Segundo Albuquerque e Ribeiro (2002) h trs princpios bsicos
para garantir a segurana da informao:

Confidencialidade. A informao somente pode ser acessada por

pessoas explicitamente autorizadas. a proteo de sistemas de informao para

impedir que pessoas no autorizadas tenham acesso.

Disponibilidade. A informao deve estar disponvel no momento em

que a mesma for necessria.

Integridade. A informao deve ser recuperada em sua forma original

(no momento em que foi armazenada). a proteo dos dados ou informaes

contra modificaes intencionais ou acidentais no-autorizadas.
O item integridade no pode ser confundido com confiabilidade do contedo
(significado) da informao. Uma informao pode ser imprecisa, mas deve
permanecer integra (no sofrer alteraes por pessoas no autorizadas).
Rezende, Abreu (2000) e Smola (2003) defendem que para que uma
informao seja considerada segura, o sistema que o administra ainda deve
respeitar os seguintes critrios:

Autenticidade. Garante que a informao ou o usurio da mesma

autntico.

No repdio. No possvel negar (no sentido de dizer que no foi

feito) uma operao ou servio que modificou ou criou uma informao; no

possvel negar o envio ou recepo de uma informao ou dado.

Legalidade. Garante a legalidade (jurdica) da informao; a aderncia

de um sistema legislao; e as caractersticas das informaes que possuem valor

legal dentro de um processo de comunicao, onde todos os ativos esto de acordo
com as clusulas contratuais pactuadas ou a legislao nacional ou internacional
vigente.

Privacidade. Foge do aspecto de confidencialidade, pois uma

informao pode ser considerada confidencial, mas no privada. Uma informao

privada deve poder ser vista / lida / alterada somente pelo seu dono. Garante ainda,
que a informao no ser disponibilizada para outras pessoas (neste caso
atribudo o carter de confidencialidade informao). a capacidade de um
usurio realizar aes em um sistema sem que seja identificado.

Auditoria. Rastreabilidade dos diversos passos de um negcio ou

processo, identificando os participantes, os locais e horrios de cada etapa. A

auditoria aumenta a credibilidade da empresa e responsvel pela adequao da

empresa s polticas legais e internas.
Implementado e Auditando Polticas de Segurana
Conforme Dias (2000), os aspectos de segurana apresentados a seguir
podem ser utilizados como uma lista de controle, tanto pela gerncia de segurana
de sistemas, como pela equipe de auditoria. Para a gerncia de segurana, essa
lista pode servir como um conjunto de tarefas a serem realizadas na implementao
da poltica de segurana.
Lista de poltica de segurana de informaes:

Elaborar, divulgar e manter atualizado documento que descreva a

poltica de segurana de informaes;

A alta gerncia deve estar comprometida com a poltica de segurana

de informaes, a qual deve ser implantada de acordo com o documento formal por
ela aprovado;

Definir uma estrutura organizacional responsvel pela segurana, a

qual deve aprovar e revisar as polticas de segurana, designar funes de

segurana e coordenar a implantao da poltica;

Estabelecer procedimentos de segurana de pessoal, com intuito de

reduzir ou evitar erros humanos, mau uso dos recursos computacionais, fraude ou
roubo, por meio de um processo rigoroso de recrutamento de pessoal e de controle
sobre acessos a dados confidenciais;

Todos os funcionrios devem ter conhecimento dos riscos de

segurana de informaes e de suas responsabilidades com relao a esse assunto.

aconselhvel que haja um treinamento de segurana para difuso de boas
prticas e padres de segurana, promovendo uma cultura de segurana na
organizao;

Implantar controle de acesso lgico aos sistemas de forma a prevenir

acessos no autorizados. Esse controle pode ser feito via processo seguro de logon,
senhas fortemente seguras, registro formal de usurios, monitoramento por trilhas
de auditoria;

Definir procedimentos de backup e de restaurao dos sistemas

computacionais para garantir a integridade e a disponibilidade de dados e software.

A freqncia de backup deve ser apropriada e pelo menos uma cpia do backup
deve ser guardada em local seguro. Os procedimentos de restaurao devem ser
periodicamente testados para garantir sua efetividade quando forem necessrios; e

Auditar regularmente todos os aspectos de segurana a fim de

determinar se as polticas esto sendo efetivamente cumpridas ou se so

necessrias modificaes.
Antigamente, a ateno sobre a segurana da informao estava focada na
tecnologia. Hoje, o desafio construir uma relao de confiabilidade com clientes e
parceiros. Conforme Rezende e Abreu (2000), as empresas esto procurando dar
mais ateno ao ser humano, pois ele que faz com que as engrenagens
empresariais funcionem perfeitas e harmonicamente, buscando um relacionamento
cooperativo e satisfatrio.
Auditoria da Tecnologia da Informao
Auditoria da TI uma auditoria operacional1, analisa a gesto de recursos,
com o foco nos aspectos de eficincia, eficcia, economia e efetividade. A
abrangncia desse tipo de auditoria pode ser o ambiente de informtica como um
todo ou a organizao do departamento de informtica (PUCRS, 2007):

Ambiente de informtica:

Segurana dos outros controles;

Segurana fsica;

Segurana lgica;

Planejamento de contingncias;

Operao do centro de processamento de dados.

Organizao do departamento de informtica:

Aspectos administrativos da organizao;

Para Arajo (2001, p.34) a auditoria operacional o exame objetivo e sistemtico da gesto operativa de uma
organizao, programa, atividade ou funo e est voltada para a identificao das oportunidades para se
alcanar maior economia, eficincia e eficcia

Polticas,

responsabilidades

padres,

organizacionais,

procedimentos,
gerncia

pessoal

planejamento de capacidade;

Banco de dados;

Redes de comunicao e computadores;

Controle sobre aplicativos:

Desenvolvimento;

Entradas, processamento e sadas.

A auditoria da segurana de informaes determina a postura da organizao

com relao segurana. Avalia a poltica de segurana e controles relacionados
com aspectos de segurana institucional mais globais, faz parte da auditoria da TI.
Seu escopo envolve:

Avaliao da poltica de segurana;

Controles de acesso lgico;

Controles de acesso fsicos;

Controles ambientais;

Planos de contingncia e continuidade de servios.

Os aplicativos (softwares) necessitam de ateno especial, ao que da-se o

nome de auditoria de aplicativos. Segurana e controle de aplicativos especficos,
incluindo aspectos intrnsecos rea a que o aplicativo atende:

Controles sobre o desenvolvimento de sistemas aplicativos;

Controles de entradas, processamento e sada de dados;

Controle sobre contedo e funcionamento do aplicativo, com relao

rea por ele atendida.

Concluses
A informao contbil uma ferramenta extremamente importante para o
sucesso empresarial, mas no deve apenas se restringir ao atendimento das
determinaes legais, pois, mais que a legalidade, a informao contbil deve
contribuir decisivamente para a tomada de deciso pelos gestores da empresa.
Neste sentido, pode-se observar que a auditoria de TI deve estar inserida na
rotina de processos de qualquer empresa que busca tomar decises baseando-se

em relatrios gerados a partir de um sistema informatizado. No entanto, nota-se que

o elo mais fraco de um processo de segurana a pessoa (ou grupos de pessoas),
que por sua vez, a responsvel por garantir a fidelidade da informao. Assim, a
melhor forma de garantir a segurana da informao estratgica atuar junto s
pessoas que de alguma forma manipulam a informao com polticas de
treinamento, preveno e auditoria dos processos relacionados.
Enfim, as prticas da Segurana da Informao garantem que a informao
certa, esteja disponvel na hora certa, para que os responsveis possam tomar a
deciso estrategicamente adequada em tempo hbil.
Referncias Bibliogrficas
ALBUQUERQUE, Ricardo e RIBEIRO, Bruno. 2002. Segurana no
Desenvolvimento de Software Como desenvolver sistemas seguros e avaliar a
segurana de aplicaes desenvolvidas com base na ISO 15.408. Editora Campus.
Rio de Janeiro.
ANTONIALLI, L.M. (1996). Tecnologia da informao e estratgia de uma
cooperativa de cafeicultores: o caso Cooxup. In: MARCOVITCH, J. Tecnologia
de Informao e Estratgia Empresarial. So Paulo: FEA/USP. cap.3, p.13-24.
ARAJO, I. da P. S. (2001). Introduo auditoria operacional. Rio de
Janeiro: FGV.
BORAN,

Sean.

IT

Security

Cookbook.

1996.

Disponvel

em

http://www.boran.com/security/. Acesso em: 15/09/2007.

DIAS, Cludia. 2000. Segurana e Auditoria da Tecnologia da Informao.
Rio de Janeiro: Axcel Books.
MCGEE, J. V.; PRUSAK, L. (1994). Gerenciamento estratgico da
informao. Rio de Janeiro: Campus.
NBR ISO/IEC 17799. 2003. Tecnologia da Informao. Cdigo de Prtica
para Gesto da Segurana da Informao. Associao Brasileira de Normas
Tcnicas. Rio de Janeiro.
PUCRS. 2007. Auditoria da Tecnologia da Informao. Disponvel em
http://pucrs.campus2.br/~annes/sas_audit.doc. Acesso em 15/09/2007.
REZENDE, Denis Alcides e ABREU, Aline Frana. 2000. Tecnologia da
Informao Aplicada a Sistemas de Informao Empresariais. So Paulo: Atlas.

SMOLA, Marcos. 2003. Gesto da Segurana da Informao Uma viso

Executiva. Editora Campus. Rio de Janeiro.
SOUZA, Celso. 2006. Auditoria da Tecnologia de Informao. Disponvel
em: http://www.trueaccess.com.br/pagina-artigos.html. Acesso em 20/09/2007.
WADLOW, Thomas. 2000. Segurana de Redes. Editora Campus. Rio de
Janeiro.
WALTON, R. (1993). Tecnologia da informao: o uso da TI pelas
empresas que obtm vantagem competitiva. So Paulo: Atlas.
WANG, C. B..(1998). Techno Vision II - Um Guia para Profissionais e
Executivos Dominarem a Tecnologia e Internet. So Paulo: Makron Books.