henrique aparecido
DESCRIPTION
segurançaTRANSCRIPT
Henrique Aparecido da Rocha
Proposta de Cenario para aplicacao da norma NBR
ISO/IEC 27002 em Auditorias Governamentais do
Sistema de Controle Interno
Brasılia
dezembro de 2008
Henrique Aparecido da Rocha
Proposta de Cenario para aplicacao da norma NBR
ISO/IEC 27002 em Auditorias Governamentais do
Sistema de Controle Interno
Monografia apresentada ao Departamento deCiencia da Computacao da Universidade deBrasılia como requisito parcial para a obten-cao do tıtulo de Especialista em Ciencia daComputacao: Gestao da Seguranca da Infor-macao e Comunicacoes
Orientador: Prof. Dr. Edgard Costa Oliveira
Universidade de Brasılia – UnBDepartamento de Ciencia da Computacao
Brasılia
dezembro de 2008
i
Monografia de Especializacao defendida sob o tıtulo “Proposta de Cenario para apli-
cacao da norma NBR ISO/IEC 27002 em Auditorias Governamentais do Sistema de
Controle Interno”, defendida por Henrique Aparecido da Rocha e aprovada em 10 de de-
zembro de 2008 em Brasılia - DF, pela banca examinadora constituıda pelos professores
e pesquisadores:
Prof. Dr. Edgard Costa OliveiraOrientador
Prof. Dr. Jose Carlos Loureiro RalhaUniversidade de Brasılia
Prof. Dr. Jorge H. C. FernandesUniversidade de Brasılia
ii
Dedicatoria
A pequena Yasmin, presente de Deus.
iii
Agradecimentos
A Deus,
pela oportunidade de vibrar com mais esta conquista.
–
Ao Prof. Edgard,
pela disposicao em direcionar este trabalho.
–
A Coordenacao,
que assumiu o compromisso de conduzir essa 1ª turma e o fez de forma extremamente
competente.
–
Ao Gabinete de Seguranca Institucional,
pelas iniciativas como esta que fomentam a cultura de seguranca da informacao na APF.
–
A Controladoria-Geral da Uniao,
pela consideracao com que me distinguiu para participar deste projeto.
–
Aos colegas de curso,
que criaram um ambiente propıcio para a aprendizagem coletiva e a troca de
experiencias.
–
A minha famılia,
pelo apoio e compreensao.
iv
Resumo
As iniciativas em Seguranca da Informacao tem se destacado nos ultimos anos emvirtude de fatores que incluem o poder conquistado pela informacao nos processos denegocio atuais, a grande exposicao dessas informacoes propiciada pelo desenvolvimentotecnologico e o consequente aumento dos registros de incidentes de seguranca. Entretanto,a Administracao Publica Federal (APF) ainda nao absorveu totalmente essa cultura deseguranca e nao protege adequadamente as suas informacoes de valor.
De outro lado, o Sistema de Controle Interno tem a incumbencia de assessorar osgestores publicos na implementacao dos controles internos responsaveis por garantir quesejam alcancados os objetivos das instituicoes. E nesse contexto, a seguranca da informa-cao pode ajudar. O foco desta monografia e especificar meios de disseminar a cultura deseguranca da informacao entre os orgaos da APF e apoia-los a implementar os controlesadequados para esse fim. A solucao proposta consiste na incorporacao de procedimentosde verificacao, baseados em normas de seguranca da informacao amplamente utilizadas,no processo de auditoria do Sistema de Controle Interno. A ideia e utilizar a estrutura jaexistente de auditorias periodicas como suporte tambem para conscientizar e orientar osorgaos da importancia da seguranca da informacao para suas missoes.
As principais contribuicoes desta monografia sao: (1) Descrever o processo de auditoriaempregado pelo Sistema de Controle Interno do Governo Federal; (2) Descrever a normaNBR ISO/IEC 270002 que apresenta codigo de pratica para a gestao da seguranca dainformacao; e (3) Propor cenario de aplicacao da norma NBR ISO/IEC 270002 no processode auditoria do Sistema de Controle Interno do Governo Federal.
Palavras-Chave
Controle Interno, Cultura de Seguranca, Procedimentos de Auditoria
v
Abstract
Initiatives on Information Security have been highlighted in recent years due to fac-tors that include the importance acquired by information in the light of modern businessprocesses, the vast exposure of the information provided by the development of new tech-nologies and the consequent growth of reported information security incidents. However,the Federal Public Administration (FPA) has not yet fully absorbed the culture of infor-mation security and thus, does not adequately protect its important information.
Yet in this context, the Internal Control System of the Federal Government has theduty of advising the public managers on the implementation of internal procedures thatensure the institutions needs they represent are achieved. As will be discussed, informationsecurity can play an important role in this process. The goal of this monograph is to specifyways to disseminate the culture of information security among FPA departments and tosupport them on the task of implementing the appropriate controls for that purpose. Thesolution to be proposed includes the incorporation of verification procedures, especiallythose based on widely used information security standards, in the audit process of theInternal Control System. The idea is to make use of the existing periodic audit structureas a mean of bringing the institutions orientation and awareness about the importance ofinformation security on their missions.
The main contributions of this monograph are: (1) To describe the audit processemployed by the Internal Control System, (2) To describe the standard NBR ISO/IEC27002 which presents a code of practice for information security management, and (3) Topropose an implementation scenario for the NBR ISO/IEC 27002 in the context of theInternal Control System audit process.
Keywords
Internal Control, Culture of Information Security, Auditing Procedures
vi
Sumario
Resumo p. iv
Abstract p. v
Lista de Tabelas p. ix
Lista de Figuras p. x
1 Introducao p. 1
2 Requisitos Pre-pesquisa p. 3
2.1 Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 3
2.1.1 Objetivo geral . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 3
2.1.2 Objetivos especıficos . . . . . . . . . . . . . . . . . . . . . . . . . p. 3
2.2 Justificativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 4
2.3 Metodologia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 5
2.3.1 Caracterizacao da pesquisa . . . . . . . . . . . . . . . . . . . . . . p. 5
3 Revisao de Literatura e Fundamentos p. 7
3.1 O Controle na Administracao Publica . . . . . . . . . . . . . . . . . . . . p. 7
3.1.1 A funcao Controle . . . . . . . . . . . . . . . . . . . . . . . . . . p. 7
3.1.1.1 Classificacao . . . . . . . . . . . . . . . . . . . . . . . . p. 8
3.1.1.2 Controle Interno . . . . . . . . . . . . . . . . . . . . . . p. 8
3.1.2 Sistema de Controle Interno . . . . . . . . . . . . . . . . . . . . . p. 10
3.1.2.1 Finalidades . . . . . . . . . . . . . . . . . . . . . . . . . p. 10
Sumario vii
3.1.2.2 Controladoria-Geral da Uniao . . . . . . . . . . . . . . . p. 11
3.1.3 Fundamentacao Legal . . . . . . . . . . . . . . . . . . . . . . . . p. 12
3.2 Gestao da Seguranca da Informacao . . . . . . . . . . . . . . . . . . . . . p. 12
3.2.1 Informacao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 13
3.2.2 Classificacao das Informacoes . . . . . . . . . . . . . . . . . . . . p. 14
3.2.3 Seguranca da Informacao . . . . . . . . . . . . . . . . . . . . . . . p. 15
3.2.4 Seguranca da Informacao na Administracao Publica Federal . . . p. 16
3.3 Trabalhos Correlatos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 18
3.4 Resumo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 20
4 Auditoria Governamental no Sistema de Controle Interno p. 21
4.1 Acoes de Controle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 21
4.2 Planejamento das Acoes de Controle . . . . . . . . . . . . . . . . . . . . p. 23
4.2.1 Hierarquizar Programas . . . . . . . . . . . . . . . . . . . . . . . p. 24
4.2.2 Detalhar Acoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 25
4.2.3 Identificar pontos crıticos . . . . . . . . . . . . . . . . . . . . . . . p. 25
4.2.4 Elaborar Plano Operacional . . . . . . . . . . . . . . . . . . . . . p. 26
4.3 Execucao das Acoes de Controle . . . . . . . . . . . . . . . . . . . . . . . p. 26
4.3.1 Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 27
4.3.1.1 Classificacao . . . . . . . . . . . . . . . . . . . . . . . . p. 27
4.3.1.2 Formas de Execucao . . . . . . . . . . . . . . . . . . . . p. 28
4.3.1.3 Procedimentos e tecnicas . . . . . . . . . . . . . . . . . p. 29
4.3.2 Fiscalizacao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 29
4.4 Resumo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 30
5 A norma NBR ISO/IEC 27002 p. 31
5.1 Historico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 31
Sumario viii
5.2 Estrutura da Norma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 32
5.3 Requisitos de Seguranca da Informacao . . . . . . . . . . . . . . . . . . . p. 33
5.4 Controles de Seguranca da Informacao . . . . . . . . . . . . . . . . . . . p. 34
5.5 Resumo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 36
6 Cenario de aplicacao da norma NBR ISO/IEC 27002 p. 37
6.1 Cenario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 37
6.2 Complementando os Procedimentos de Auditoria . . . . . . . . . . . . . p. 40
6.3 Aplicacao do cenario proposto em um caso real . . . . . . . . . . . . . . p. 41
6.4 Resumo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 43
7 Conclusoes e Extensoes p. 45
7.1 Contribuicoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 45
7.2 Extensoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 46
Referencias p. 48
ix
Lista de Tabelas
1 Categorias de controles da norma NBR ISO/IEC 27002 . . . . . . . . . . p. 34
2 Comparativo entre um procedimento de auditoria e um objetivo de con-
trole da norma NBR ISO/IEC 27002 . . . . . . . . . . . . . . . . . . . . p. 41
3 Sıntese de procedimento de auditoria recomendado pelo Manual de Con-
trole Interno para gestao patrimonial (CORREIA; SPINELLI, 2007) . . . . . p. 42
4 Controles recomendados pela norma NBR ISO/IEC 27002 para gestao
de ativos (ANBT, 2007) . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 43
5 Controle de inventario de ativos proposto pela norma NBR ISO/IEC
27002 (ANBT, 2007) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 44
x
Lista de Figuras
1 Principais deficiencias de Seguranca da Informacao na Administracao
Publica Federal (TCU, 2008) . . . . . . . . . . . . . . . . . . . . . . . . . p. 17
2 Etapas de uma acao de controle . . . . . . . . . . . . . . . . . . . . . . . p. 22
3 Cenario de utilizacao da norma NBR ISO/IEC 27002 nas acoes de controle p. 39
1
1 Introducao
Em 2005, um estagiario de 18 anos que trabalhava no INSS conseguiu fraudar o sistema
de benefıcios da Previdencia Social desviando um montante de R$ 3 milhoes em 2 anos. O
estagiario creditava valores em conta das avos, que eram sacados com procuracoes falsas,
acessando o sistema com a senha da chefe do posto em que trabalhava (IstoE Dinheiro,
2005). Esse fato da a dimensao dos riscos a que a Administracao Publica Federal (APF)
e a sociedade estao submetidas atualmente.
Um numero crescente de Sistemas de Informacao e inovacoes tecnologicas tem sido
introduzido nos processos e fluxos informacionais da APF. Visam aumentar a eficiencia
e o grau de execucao dos objetivos e metas dos orgaos de governo. De outro lado tam-
bem introduzem pontos de risco para a integridade das informacoes e vulnerabilidades ao
processo de comunicacao e preservacao dos ativos das instituicoes.
Para garantir a execucao das metas e objetivos de forma ıntegra, as organizacoes
devem nao somente investir em tecnologia e aprimoramento do fluxo de informacoes, mas
tambem em seguranca. Basicamente atraves da implementacao de controles adequados a
funcao de proteger as informacoes que transitam em seus processos.
A APF conta com um Sistema de Controle Interno (SCI) que e responsavel pela
verificacao da eficiencia e eficacia dos sistemas de gestao e dos controles adotados nos
orgaos do Poder Executivo Federal. A Controladoria-Geral da Uniao (CGU) como seu
orgao central tem a incumbencia de orientar e supervisionar tecnicamente os orgaos e
unidades que compoem o Sistema.
Com os controles internos dessas organizacoes se preparando para serem mais efetivos
tambem na gestao de seguranca da informacao, convem que as auditorias governamentais
empreendidas pelo SCI incluam tambem a verificacao de controles conforme as normas
amplamente utilizadas na area. Varias normas sobre seguranca da informacao estao dis-
ponıveis para serem aplicadas dentre as quais a NBR ISO/IEC 27002 que apresenta um
conjunto de controles que podem ser implementados em uma organizacao.
1 Introducao 2
O restante desta monografia esta organizado da seguinte maneira: o capıtulo 2 des-
creve os objetivos desta pesquisa e apresenta os aspectos metodologicos de producao
deste trabalho; o capıtulo 3 apresenta os conceitos basicos necessarios para entendimento
do texto, englobando os conceitos de controle e de seguranca da informacao; o capıtulo 4
detalha os processos de verificacao executados pelos orgaos de controle; o capıtulo 5 apre-
senta o conteudo da norma NBR ISO/IEC 27002 utilizada como insumo deste trabalho; o
capıtulo 6 apresenta o cenario proposto de insercao da norma no processo de auditoria dos
orgaos de controle visando complementa-lo com os conceitos de seguranca da informacao;
e, por fim, o capıtulo 7 apresenta as conclusoes desta pesquisa e relaciona um conjunto
de trabalhos futuros que podem ser derivados desta monografia.
3
2 Requisitos Pre-pesquisa
Este capıtulo apresenta os requisitos desta pesquisa e esta dividido da seguinte ma-
neira: a secao 2.1 apresenta os objetivos, geral e especıficos, pretendidos desta pesquisa;
a secao 2.2 apresenta a justificativa de se estudar o tema proposto; e por fim, a secao 2.3
descreve a metodologia utilizada neste trabalho.
2.1 Objetivos
2.1.1 Objetivo geral
Esta pesquisa se concentra em propor melhoria no Sistema de Controle Interno (SCI)
com a incorporacao de procedimentos de verificacao da seguranca da informacao. O
objetivo e empregar a norma NBR ISO/IEC 27002 para agregar seguranca da informacao
aos processos de auditoria governamental.
Dessa forma o SCI reunira as condicoes para colaborar de forma mais efetiva na
disseminacao da cultura de seguranca da informacao entre os orgaos da APF. Por meio
de seus trabalhos de auditoria, o SCI podera acompanhar e orientar os demais orgaos a
implementar controles adequados de protecao das informacoes.
2.1.2 Objetivos especıficos
Os objetivos especıficos deste trabalho sao:
1. Descrever o processo de auditoria empregado pelo Sistema de Controle Interno do
Governo Federal;
2. Descrever a norma NBR ISO/IEC 27002 que apresenta codigo de pratica para a
gestao da seguranca da informacao;
2.2 Justificativa 4
3. Propor cenario de aplicacao da norma NBR ISO/IEC 27002 no processo de auditoria
do Sistema de Controle Interno do Governo Federal.
2.2 Justificativa
A seguranca da informacao apesar de disciplina relativamente nova, tomou um espaco
importante na agenda das organizacoes em geral. Seja em funcao do aumento da depen-
dencia delas em relacao a tecnologia, seja pelo receio dos prejuızos advindos de sua ma
utilizacao.
Entretanto na Administracao Publica Federal (APF), a seguranca da informacao ainda
nao e tratada com a devida importancia. Com excecao de alguns orgaos, especialmente
aqueles que fornecem majoritariamente servicos de tecnologia da informacao (como SER-
PRO e DATAPREV), a maioria ainda esta mais preocupada em utilizar seu orcamento
disponıvel com os programas de governo do que despender recursos com iniciativas de se-
guranca. Isso implica em grande risco para sociedade em geral, destinataria das acoes de
governo, vez que a execucao de programas de governo deve estar acompanhada de acoes
que garantam sua integridade e efetividade.
Colaborando com esse cenario, constata-se ainda a escassez de bons profissionais de
seguranca atuando no setor publico. O currıculo medio dos profissionais ainda nao abrange
com profundidade a area de seguranca da informacao. A preocupacao com seguranca
nao e prioritaria na maioria das vezes, com reflexo na baixa carga horaria destinada a
treinamento sobre o assunto. Isso dificulta bastante a adocao de mecanismos de seguranca
pelos orgaos, elevando o nıvel de risco de quebras de integridade dos processos que lidam
com informacao.
Os orgaos de governo responsaveis pelo controle devem estar atentos a essas dicotomias
entre o avanco tecnologico e a protecao da integridade dos sistemas de gestao. E dever
desses orgaos assessorar os dirigentes nas atividades de implantacao de controles que
garantam a eficiencia e integridade da gestao.
Nesse contexto, as recomendacoes dos orgaos de controle elaboradas a partir de suas
auditorias devem estar em linha com as boas praticas da area. Devem acompanhar as
recomendacoes ja existentes e atestadas pelo mercado. Justifica-se assim a necessidade
de se alinhar os procedimentos adotados nas auditorias com as normas que explicitam as
boas praticas em seguranca da informacao. Essa integracao entre as normas em seguranca
da informacao e os procedimentos de auditoria pode ajudar a subsidiar o controle interno
2.3 Metodologia 5
da APF com as tecnicas mais modernas, o que e fator crıtico de sucesso em um ambiente
que sofre mudancas com grande frequencia. Alem disso, a verificacao das competencias
dos orgaos de controle pode auxiliar na reformulacao dos normativos, que hoje nao con-
templam explicitamente o conceito de seguranca da informacao, para reafirmar a posicao
do Controle como orgao fomentador das atividades de seguranca.
2.3 Metodologia
2.3.1 Caracterizacao da pesquisa
A metodologia utilizada neste trabalho e classificada como pesquisa qualitativa e ex-
ploratoria. Tem como objetivo proporcionar maior familiaridade com o problema, com
vistas a torna-lo mais explıcito (GIL, 1999; SANTOS, 2004). Este trabalho tratou de ex-
plorar o processo de auditoria governamental com o objetivo de identificar pontos onde
as norma de seguranca da informacao podem atuar de forma complementar.
Esta pesquisa dividiu-se em tres etapas. A primeira mapeou e descreveu o processo
de auditoria governamental empregado pelo Sistema de Controle Interno (SCI). O me-
todo utilizado nessa etapa foi a pesquisa bibliografica aos normativos legais que regulam a
atuacao do SCI e aos manuais de auditoria da Controladoria-Geral da Uniao (CGU). Fo-
ram detalhadas as etapas do processo de auditoria, seus produtos decorrentes e as formas
de execucao dos procedimentos de verificacao. O processo de auditoria foi sistematizado
a partir do estudo das normas que o regulam e desenhado para evidenciar os fluxos de
informacao entre suas etapas.
A segunda etapa detalhou a norma NBR ISO/IEC 27002 que trata de codigo de
pratica para a gestao da seguranca da informacao. O metodo utilizado foi tambem a
pesquisa bibliografica, agora ao texto da norma e a outras referencias sobre a evolucao da
norma. Foram descritos a aplicacao da norma, os objetivos de controle e a diretrizes de
implementacao dos controles da norma.
A terceira etapa identificou oportunidades de insercao de conceitos de segurnaca da
informacao no processo de auditoria do SCI. Por meio da analise dos produtos elaborados
nas etapas anteriores, desenhou-se um cenario de complementacao do processo de auditoria
com os controles da norma NBR ISO/IEC 27002. O cenario identifica os momentos do
processo de auditoria em que a norma pode ser agregada e tambem quais elementos
da norma podem contribuir de forma mais efetiva. Nessa etapa houve a necessidade
2.3 Metodologia 6
de pesquisa documental a procedimentos de auditoria utilizados pela CGU e tambem a
relatorios de auditoria. A analise crıtica desse material subsidiou a elaboracao de exemplos
de procedimento de auditoria complementado com controles da norma e de aplicacao do
cenario proposto a um caso real de auditoria.
7
3 Revisao de Literatura e Fundamentos
Este capıtulo apresenta os conceitos basicos para a compreensao desta monografia e
relaciona um conjunto de trabalhos correlatos ao tema em pesquisa.
O capıtulo esta dividido da seguinte forma: a secao 3.1 desenvolve o conceito de
controle e como essa atividade e desempenhada no Governo Federal; a secao 3.2 apresenta
os conceitos de seguranca da informacao e um panorama do seu estagio de implementacao
nos orgaos do Governo; por fim, a secao 3.3 relaciona alguns trabalhos correlatos ao
assunto desenvolvido nesta monografia.
3.1 O Controle na Administracao Publica
3.1.1 A funcao Controle
Segundo De Placido e Silva (2006) o vocabulo controle, derivado do frances controler
(registrar, inspecionar, examinar) ou do italiano controllo (registro, exame), era utilizado
para expressar tecnica comercial de inspecao ou exame, que se processava nos papeis ou
nas operacoes, registradas a cada instante, nos estabelecimentos comerciais.
Entretanto, para melhor entender e situar a importancia da funcao de controle, torna-
se necessario esclarecer os fundamentos que orientam a atividade de administracao.
A administracao de uma entidade deve estar estruturada e organizada de acordo com
princıpios cientıficos aplicaveis as funcoes basicas que a compoem, para melhor realizar os
seus planos e alcancar os objetivos que constituem a razao da sua existencia.
Segundo a teoria, a administracao deve atender, particularmente, aos princıpios de
planejamento, organizacao, direcao e controle (CHIAVENATO, 2001; TAYLOR, 1995; FAYOL,
1994). O controle constitui, portanto um dos princıpios basilares da administracao. E a
funcao administrativa que monitora e avalia as atividades e resultados alcancados para
assegurar que o planejamento, a organizacao e a direcao sejam bem-sucedidas.
3.1 O Controle na Administracao Publica 8
Por meio da funcao de controle as demais funcoes recebem informacoes de retroali-
mentacao para aumentar a probabilidade de que os resultados planejados sejam atingidos
da melhor maneira.
3.1.1.1 Classificacao
Existem varias formas de classificar a funcao de controle. As mais importantes estao
listadas abaixo:
1. Quanto ao sujeito: Estatal ou social;
2. Quanto ao orgao: Administrativo, Legislativo ou Judiciario;
3. Quanto ao momento: Previo, concomitante ou posterior;
4. Quanto a localizacao: Interno ou externo;
No ambito governamental, o Controle Interno e o controle exercido diretamente pe-
los orgaos que praticam os atos administrativos e por orgaos especıficos de cada poder
enquanto Controle Externo e controle exercido pelo poder legislativo com auxılio dos
Tribunais de Contas sobre os atos administrativos de todos os poderes.
Em especial, o Controle Interno faz parte do tema desta pesquisa e sera detalhado
nas secoes a seguir.
3.1.1.2 Controle Interno
O controle interno faz parte do plano de organizacao da administracao e tem os mes-
mos objetivos. Ocupa-se essencialmente do processamento de informacoes que retroali-
mentem a funcao de direcao, concorrendo para a correta tomada de decisoes; coexiste com
as demais funcoes da administracao e com elas, por vezes, se confunde, sendo cada qual
indispensavel para o funcionamento do sistema que formam, de tal maneira que a falha
em uma delas pode prejudicar o funcionamento de todo o conjunto.
Almeida (1996) define o conceito de Controle Interno para o universo privado, mas
que pode ser aplicado tambem, por analogia, a Administracao Publica:
O controle interno representa em uma organizacao o conjunto de pro-cedimentos, metodos ou rotinas com os objetivos de proteger os ativos,produzir dados contabeis confiaveis e ajudar a administracao na condu-cao ordenada dos negocios da empresa.
3.1 O Controle na Administracao Publica 9
A Organizacao Internacional de Entidades de Fiscalizacao Superiores (INTOSAI), em
seu documento Padroes de Controles Internos para o Setor Publico (INTOSAI, 2004) define
Controle Interno como:
Um processo fundamental efetuado por todos em uma entidade, proje-tado para identificar riscos e fornecer garantia razoavel de que, ao sebuscar cumprir a missao da entidade, os seguintes objetivos gerais seraoatingidos: executar operacoes de forma organizada, etica, economica,eficiente e eficaz; estar em conformidade com as leis e os regulamentosaplicaveis; salvaguardar recursos contra perda, abuso e dano; e cumpriras obrigacoes de accountability.
A garantia e razoavel porque os controles dependem de uma vantajosa relacao de
custo e benefıcio (todo controle tem um custo, que deve ser inferior a perda decorrente
da consumacao do risco controlado) e da inexistencia de conluio entre empregados, e
devido aos eventos externos estarem alem do controle de qualquer organizacao. Tais fatos
constituem ameacas aos objetivos dos controles.
Segundo Piscitelli (1998), os Controles Internos tem como objetivos:
1. os aspectos eminentemente contabeis, formais e legais, revisando e/ou verificando
as operacoes;
2. o aspecto da eficiencia, que concerne aos meios empregados, verificando os recursos
utilizados para a consecucao dos objetivos da organizacao;
3. o aspecto da eficacia, verificando o produto, os programas e os fins perseguidos; e
4. o julgamento da propria administracao, disponibilizando e tornando transparente
uma prestacao de contas de qualidade e os resultados.
Na analise de Sanchez (2003), o primeiro objetivo diz respeito ao controle formal no
sentido de verificar se os gastos foram feitos em conformidade com as leis e regulamentos
aplicaveis a entidade e a sua area de atuacao. O segundo envolve o controle substantivo de
contas, contra o desperdıcio, a fraude e o abuso de poder. O terceiro refere-se ao controle
de gestao, ou seja, a avaliacao do desempenho da organizacao. Enquanto o quarto objetivo
visa dar subsıdios ao referido controle vertical.
Em resumo, o Controle Interno e crıtico para o sucesso de qualquer organizacao.
Quando e efetivo, o nıvel de gestao tem razoavel garantia quanto ao alcance das metas e
objetivos da organizacao.
3.1 O Controle na Administracao Publica 10
3.1.2 Sistema de Controle Interno
Vieira (2008), ao citar que sistema e o ”conjunto de partes coordenadas (articuladas
entre si) com vista a consecucao de objetivos bem determinados”define Sistema de Controle
Interno como o ”conjunto de unidades tecnicas, articuladas a partir de um orgao central de
coordenacao, orientado para o desempenho das atribuicoes de controle interno indicados
na Constituicao e normatizados em cada nıvel de governo”.
Os Sistemas de Controle Interno existem para auxiliar as organizacoes a atingir suas
metas e objetivos. Permitem ao nıvel de gestao lidar com mudancas nos ambientes interno
e externo. Tambem promovem eficiencia, reduzem o risco de perdas e ajudam a assegurar
confiabilidade as declaracoes financeiras e conformidade com leis e regulacoes.
O Sistema de Controle Interno (SCI) e constituıdo de varios subsistemas ou unidades
que devem atuar de forma integrada e harmonica e nao deve ser confundido com o sistema
contabil e financeiro que representa apenas um dos instrumentos do controle interno;
tambem nao e sinonimo de auditoria interna, pois esta pertence ao Sistema e equivale a
atividade desenvolvida por unidade especializada quanto a revisao e apreciacao da atuacao
dos controles internos, os quais servem de base para toda a atividade de controle na
Administracao Publica.
O SCI precisa funcionar integrado e possuir uma unidade para coordenar todos os
controles internos que o formam. Silva (2004) ensina que, na estrutura integrada, as dele-
gacoes funcionam nos orgaos e sao subordinadas tecnica e administrativamente a unidade
coordenadora central. Dessa forma, a unidade de comando administrativo assegura o co-
mando tecnico; possibilita maior especializacao devido a unidade de quadro de pessoal
tecnico; uniformiza de procedimentos; viabiliza maior velocidade na obtencao de infor-
macoes; e garante adequada autonomia tecnica, indispensavel ao exercıcio da funcao de
controle.
3.1.2.1 Finalidades
Segundo a Constituicao Federal (BRASIL, 1988), o Sistema de Controle Interno do
Poder Executivo Federal tem como finalidades:
1. avaliar o cumprimento das metas previstas no Plano Plurianual, a execucao dos
programas de governo e dos orcamentos da Uniao;
2. comprovar a legalidade e avaliar os resultados, quanto a eficacia e a eficiencia da
3.1 O Controle na Administracao Publica 11
gestao orcamentaria, financeira e patrimonial nos orgaos e entidades da Adminis-
tracao Publica Federal, bem como da aplicacao de recursos publicos por entidades
de direito privado;
3. exercer o controle das operacoes de credito, avais e garantias, bem como dos direitos
e haveres da Uniao; e
4. apoiar o controle externo no exercıcio de sua missao institucional.
3.1.2.2 Controladoria-Geral da Uniao
A Controladoria-Geral da Uniao (CGU) e o orgao do Governo Federal responsavel
por assistir direta e imediatamente o Presidente da Republica quanto aos assuntos que,
no ambito do Poder Executivo Federal, sejam relativos a defesa do patrimonio publico e
ao incremento da transparencia da gestao, por meio das atividades de controle interno,
auditoria publica, correicao, prevencao e combate a corrupcao e ouvidoria.
No Poder Executivo Federal, a CGU atua como orgao central, exercendo supervisao
tecnica dos orgaos que compoem o Sistema de Controle Interno e o Sistema de Correicao
e das unidades de ouvidoria, prestando a necessaria orientacao normativa.
A CGU foi criada por meio da Medida Provisoria n° 2.143-31, 2 de abril de 2001,
com a denominacao inicial de Corregedoria-Geral da Uniao. Teve, originalmente, como
proposito declarado o de combater, no ambito do Poder Executivo Federal, a fraude e a
corrupcao e promover a defesa o patrimonio publico.
Quase um ano depois, o Decreto n° 4.177, de 28 de marco de 2002, integrou a Se-
cretaria Federal de Controle Interno (SFC) e a Comissao de Coordenacao de Controle
Interno (CCCI) a estrutura da entao Corregedoria-Geral da Uniao. O mesmo Decreto
transferiu para a Corregedoria-Geral da Uniao as competencias de Ouvidoria-Geral, ate
entao vinculadas ao Ministerio da Justica.
A Medida Provisoria n° 103, de 1° de janeiro de 2003, convertida na Lei n° 10.683,
de 28 de maio de 2003, alterou a denominacao para Controladoria-Geral da Uniao, assim
como atribuiu ao seu titular a denominacao de Ministro de Estado do Controle e da
Transparencia. Mais recentemente, o Decreto n° 5.683, de 24 de janeiro de 2006, alterou
a estrutura da CGU, conferindo maior organicidade e eficacia ao trabalho realizado pela
instituicao.
Efetivou-se, desta forma, o agrupamento das principais funcoes administrativas de
3.2 Gestao da Seguranca da Informacao 12
controle, correicao, prevencao e ouvidoria, consolidando-as em uma unica estrutura fun-
cional.
3.1.3 Fundamentacao Legal
O princıpio de controle da Administracao Publica como se conhece hoje foi intro-
duzido pela Reforma Administrativa atraves da Constituicao de 1967 e regulamentada
pelo Decreto-Lei nº 200/1967. Esse Decreto-Lei dedica um capıtulo inteiro para tratar do
controle das atividades da Administracao Federal.
Mais recentemente a Constituicao de 1988 institui os Sistemas de Controle Interno
de cada Poder e atribui ao Congresso Nacional, com auxılio do Tribunal de Contas da
Uniao, a responsabilidade pelo controle externo. Em 2000, o Decreto nº 3.591/2000 dispoe
sobre as finalidades, atividades, estrutura e competencias do Sistema; Em seguida, a Lei
nº 10.180/2001 organiza e disciplina os sistemas do ciclo de gestao governamental, entre
os quais figura o Sistema de Controle Interno. Ainda em 2001 a Secretaria Federal de
Controle Interno, orgao da estrutura da CGU, edita a Instrucao Normativa nº 01/2001
para definir diretrizes, princıpios, conceitos e normas tecnicas para a atuacao do Sistema
de Controle Interno do Poder Executivo Federal.
Na proxima secao serao apresentados os conceitos basicos de gestao da seguranca da
informacao com o intuito de agrega-los aos procedimentos executados pelo Sistema de
Controle Interno.
3.2 Gestao da Seguranca da Informacao
Tradicionalmente, as organizacoes dedicam grande atencao aos seus ativos tangıveis
fısicos e financeiros, mas relativamente pouca atencao aos ativos de informacao que pos-
suem. Em anos recentes, contudo, a informacao assumiu importancia vital para manu-
tencao dos negocios, marcados pela dinamicidade da economia globalizada e permanen-
temente on-line, de tal forma que, atualmente, as organizacoes dependem, em maior ou
menor grau, da tecnologia da informacao. Imaginar um comprometimento dos sistemas
de informacao por problemas de seguranca nesse contexto pode causar grandes prejuızos
ou mesmo invibializar a missao de uma instituicao.
3.2 Gestao da Seguranca da Informacao 13
3.2.1 Informacao
A informacao e o dado com uma interpretacao logica ou natural dada a ele por seu
usuario (REZENDE; ABREU, 2000). Constitui um ativo que, como qualquer outro ativo
importante, e essencial para os negocios de uma organizacao. A sua importancia e o nıvel
de interconectividade atuais expoem a informacao a um crescente numero e a uma grande
variedade de ameacas e vulnerabilidades.
A informacao pode existir em diversas formas. Impressa ou escrita em papel, armaze-
nada eletronicamente, transmitida pelo correio ou por meios eletronicos, apresentada em
filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio atraves do
qual a informacao e compartilhada ou armazenada, e recomendado que ela seja sempre
protegida adequadamente.
Independentemente da forma como as informacoes sao representadas, elas percorrem
um ciclo de vida que pode ser definido por quatro fases (SEMOLA, 2003):
� Manuseio: e a fase na qual a informacao e originada e manejada, seja na digitacao,
folheamento de papeis, ou ate mesmo na utilizacao de uma senha, por exemplo.
� Armazenamento: e a continuidade da fase anterior, ou seja, depois de manipu-
lada a informacao deve seguir um caminho, por exemplo: gravacao em uma mıdia,
preservacao em um armario de arquivo ou deposito em gaveta para eventos futuros.
� Transporte: seguido do armazenamento esta fase representa o instante em que a
informacao e encaminhada, seja via e-mail, fax, ou mesmo uma informacao confi-
dencial que deve ser remetida pelo telefone.
� Descarte: este e o momento do destino que a informacao ira tomar, seja para a
lixeira (material impresso), ou entao um arquivo que vai ser excluıdo do computador,
alem de outros.
O controle da informacao e um fator de sucesso crıtico para os negocios e sempre teve
fundamental importancia para as corporacoes do ponto de vista estrategico e empresa-
rial (SYNNATT, 1987). Dispor da informacao correta, na hora adequada, significa tomar
uma decisao de forma agil e eficiente. Com a evolucao das tecnologias e dos sistemas, a
informacao ganhou mobilidade, exigiu estrategias de inteligencia competitiva e se incor-
porou definitivamente aos processos de gestao. Por essas razoes deve ser administrada em
seus particulares, diferenciada e salvaguardada (LAUREANO, 2007).
3.2 Gestao da Seguranca da Informacao 14
3.2.2 Classificacao das Informacoes
Nem toda informacao e crucial ou essencial a ponto de merecer cuidados especiais.
Por outro lado, determinada informacao pode ser tao vital que o custo de sua integridade,
qualquer que seja, ainda sera menor que o custo de nao dispor dela adequadamente. E
importante classificar a informacao em nıveis de prioridade, respeitando a necessidade de
cada empresa assim como a importancia da classe de informacao para a manutencao das
atividades da empresa. Ferreira (FERREIRA; ARAuJO, 2006) apresenta uma classificacao
segundo o grau de importancia dividida em tres grupos:
� Informacoes Publicas: sua divulgacao e livre. Nao exige controle. Por exemplo:
folhetos comerciais para o publico em geral, ou dados divulgados pela imprensa e
Internet.
� Informacoes de Uso Interno: nao devem ser expostas fora da empresa. Devem
ser armazenadas em locais que nao permitam o acesso publico. Por exemplo: re-
latorios, pareceres, documentos e processos de negocio que interessam apenas aos
funcionarios da empresa.
� Informacoes Confidenciais: exigem um cuidadoso esforco de protecao, uma vez
que sua divulgacao pode vir a causar prejuızos na empresa. Devem ser armazenadas
em locais de maxima protecao, trancado e com acesso restrito. Quando elas esti-
verem contidas em meios eletronicos, e imprescindıvel que sejam utilizados meios
seguros para seu armazenamento, de preferencia equipados com programas crip-
tograficos e senhas de acesso. Por exemplo: contratos, senhas, balancos, dados
cadastrais de clientes e funcionarios e informacoes que devem ser protegidas por
obrigatoriedade legal.
Entretanto, independentemente da relevancia ou tipo da informacao, a gestao dos
dados organizacionais e estrategica, pois possibilita o apoio para a tomada de decisoes
em qualquer ambito institucional. Algumas informacoes sao centrais para organizacao
e a divulgacao parcial ou total destas pode alavancar um numero de repercussoes cuja
complexidade pode ser pouco ou nada administravel pela organizacao com consequencias
possivelmente nefastas.
O conceito de engenharia da informacao - que e um conjunto empresarial de disciplinas
automatizadas, dirigido ao fornecimento da informacao correta para a pessoa certa no
3.2 Gestao da Seguranca da Informacao 15
tempo exato (MARTIN, 1991; FELICIANO NETO; FURLAN; HIGO, 1988) - ja demonstrava a
importancia da seguranca da informacao para as instituicoes.
Conforme Crosby (1992), a qualidade dos processos custa dinheiro, mas a falta dela
custa muito mais. Estabelecendo uma analogia, a seguranca custa dinheiro mas a sua
ausencia podera custar muito mais.
3.2.3 Seguranca da Informacao
Seguranca da informacao e a protecao da informacao de varios tipos de ameacas para
garantir a continuidade do negocio, minimizar o risco ao negocio, maximizar o retorno
sobre os investimentos e as oportunidades de negocio.
A seguranca da informacao e obtida a partir da implementacao de um conjunto de con-
troles adequados, incluindo polıticas, processos, procedimentos, estruturas organizacionais
e funcoes de software e hardware. Estes controles precisam ser estabelecidos, implemen-
tados, monitorados, analisados criticamente e melhorados, onde necessario, para garantir
que os objetivos do negocio e de seguranca da organizacao sejam atendidos. Convem que
isto seja feito em conjunto com outros processos de gestao do negocio (ABNT, 2005).
E evidente que os negocios estao cada vez mais dependentes das tecnologias e estas
precisam estar de tal forma a proporcionar confidencialidade, integridade e disponibilidade
- que conforme ABNT (2005), Tipton e Krause (2005), Albuquerque e Ribeiro (2002), sao
os princıpios basicos para garantir a seguranca da informacao - das informacoes:
� Confidencialidade: seguranca de que a informacao pode ser acessada apenas por
quem tem autorizacao.
� Integridade: certeza da precisao da informacao.
� Disponibilidade: garantia de que os usuarios autorizados tenham acesso a infor-
macao e aos recursos associados, quando necessario.
O item integridade nao pode ser confundido com confiabilidade do conteudo (seu
significado) da informacao. Uma informacao pode ser imprecisa, mas deve permanecer
ıntegra (nao sofrer alteracoes por pessoas nao autorizadas).
A seguranca visa tambem aumentar a produtividade dos usuarios atraves de um am-
biente mais organizado, proporcionando maior controle sobre os recursos de informatica,
viabilizando ate o uso de aplicacoes de missao crıtica.
3.2 Gestao da Seguranca da Informacao 16
A combinacao em proporcoes apropriadas dos itens confidencialidade, disponibilidade
e integridade facilitam o suporte para que as empresas alcancem os seus objetivos, pois
seus sistemas de informacao serao mais confiaveis.
Outros autores (DIAS, 2000; WADLOW, 2000; TIPTON; KRAUSE, 2005; ALBUQUERQUE;
RIBEIRO, 2002; SEMOLA, 2003) defendem que para uma informacao ser considera segura,
o sistema que o administra ainda deve respeitar:
� Autenticidade - Garante que a informacao ou o usuario da mesma e autentico;
Atesta com exatidao, a origem do dado ou informacao;
� Nao repudio - Nao e possıvel negar (no sentido de dizer que nao foi feito) uma
operacao ou servico que modificou ou criou uma informacao; Nao e possıvel negar
o envio ou recepcao de uma informacao ou dado;
� Legalidade - Garante a legalidade (jurıdica) da informacao; Aderencia de um sis-
tema a legislacao; Caracterıstica das informacoes que possuem valor legal dentro de
um processo de comunicacao, onde todos os ativos estao de acordo com as clausulas
contratuais pactuadas ou a legislacao polıtica institucional, nacional ou internacional
vigentes.
� Privacidade - Foge do aspecto de confidencialidade, pois uma informacao pode
ser considerada confidencial, mas nao privada. Uma informacao privada deve ser
vista / lida / alterada somente pelo seu dono. Garante ainda, que a informacao
nao sera disponibilizada para outras pessoas (neste caso e atribuıdo o carater de
confidencialidade a informacao); E a capacidade de um usuario realizar acoes em
um sistema sem que seja identificado.
� Auditoria - Rastreabilidade dos diversos passos que um negocio ou processo reali-
zou ou que uma informacao foi submetida, identificando os participantes, os locais
e horarios de cada etapa. Consiste no exame do historico dos eventos dentro de um
sistema para determinar quando e onde ocorreu uma violacao de seguranca.
3.2.4 Seguranca da Informacao na Administracao Publica Federal
A seguranca da informacao vem ganhando espaco nas agendas das organizacoes. Ape-
sar disso, o cenario ainda e tımido na Administracao Publica Federal como revela pes-
quisa recente do Tribunal de Contas da Uniao (TCU). Cerca de 330 orgaos/entidades
3.2 Gestao da Seguranca da Informacao 17
foram consultados sobre governanca da tecnologia da informacao e tambem seguranca da
informacao.
As respostas fornecidas pelos orgaos/entidades pesquisados as questoes sobre o trata-
mento dado a seguranca das informacoes sob sua responsabilidade indicam que e preciso
mais atencao ao tema. Dentre as nove questoes sobre esse assunto, apenas uma obteve
mais de 50% de resposta positiva. A figura 1 resume as deficiencias encontradas no tra-
tamento de seguranca da informacao, indicando para cada questao qual o percentual de
orgaos/entidades que informaram nao executar o controle associado. O resultado preo-
cupa, pois a propria prestacao do servico de uma instituicao publica aos cidadaos depende
da confiabilidade das informacoes por ela tratadas e ofertadas (TCU, 2008).
Figura 1: Principais deficiencias de Seguranca da Informacao na Administracao PublicaFederal (TCU, 2008)
Da figura 1 podem ser destacados alguns pontos para a reflexao sobre os resultados
da pesquisa:
� 64% dos orgaos/entidades pesquisadas declarou nao possuir polıtica de seguranca
da informacao (PSI). Isso demonstra que a gestao da seguranca da informacao e
incipiente ou inexistente na maioria dos orgaos, vez que a PSI e um dos primeiros
documentos elaborados no processo de seguranca da informacao;
� 80% dos orgaos/entidades pesquisadas declarou nao efetuar a classificacao de suas
informacoes. Outro dados preocupante, ja que junto com a PSI, o processo de
classificacao de informacoes e um dos pilares da seguranca da informacao;
3.3 Trabalhos Correlatos 18
� 88% dos orgaos/entidades pesquisados declarou nao possuir qualquer plano de con-
tinuidade do negocio (PCN). Esse dado aponta para a falta de cultura acerca de
continuidade de negocios. Isso constitui um alto risco para a seguranca das infor-
macoes tratadas por essas instituicoes governamentais, ao deixa-las vulneraveis a
perda ou ao comprometimento de informacoes em caso de interrupcao de servicos
por causas naturais ou intencionais.
Apesar das diversas praticas e projetos de seguranca da informacao adotados no am-
bito do governo, percebe-se que a Administracao Publica Federal ainda nao criou uma
cultura de seguranca da informacao em seus processos de trabalho. Mesmo os controles
mais basicos de seguranca nao sao implementados pelos orgaos. Em razao disso, uma se-
rie de medidas, desde iniciativas de conscientizacao e treinamento ate mesmo auditorias,
devem ser empreendidas ou reforcadas para reverter esse quadro.
A pesquisa conclui dizendo que esses resultados delineiam um cenario no qual o auditor
de TI tem papel fundamental no incentivo a governanca da seguranca de informacao
por meio da indicacao de controles para apoiar estruturas e processos organizacionais
com vistas a protecao das informacoes, tendo como referencia modelos apropriados (TCU,
2008).
Nesse contexto, como forma de encaminhamento, o trabalho do TCU finaliza com
recomendacao ao Gabinete de Seguranca Institucional da Presidencia da Republica, ao
Conselho Nacional de Justica e ao Conselho Nacional do Ministerio Publico que promovam
acoes com objetivo de disseminar a importancia do gerenciamento da seguranca da infor-
macao e induzir, mediante orientacao normativa, os orgaos/entidades da Administracao
Publica Federal a realizarem acoes para implantacao e/ou aperfeicoamento dos controles
mencionados no questionario.
3.3 Trabalhos Correlatos
A Controladoria-Geral da Uniao nao possui procedimentos de auditoria especıficos
que versem sobre seguranca da informacao. Isso tambem e observado no trabalho de
Hanashiro (2007), ao recomendar estrutura do governo federal exclusiva para auditar
assuntos de Tecnologia da Informacao e tambem de Seguranca da Informacao. A area de
seguranca da informacao e tratada incidentalmente quando em execucao de procedimentos
correlatos como: acesso fısico, guarda de documentos, segregacao de funcoes entre outras.
3.3 Trabalhos Correlatos 19
Existem varias normas internacionais tratando do assunto. Dentre elas, destaca-
se a famılia de normas ISO/IEC 27000 que trata do tema especıfico de seguranca da
informacao. Para citar as mais utilizadas, a ISO/IEC 27001:2005 define os requisitos para
um Sistema de Gestao de Seguranca da Informacao e a ISO/IEC 27002 expoe o codigo
de pratica para a gestao da seguranca da informacao (ABNT, 2005). Esta prevista para o
ano de 2009 a publicacao da norma ISO/IEC 27007 que especificara os requisitos e o guia
para auditoria e certificacao de um sistema de gestao da seguranca da informacao.
A quase totalidade dos trabalhos em gestao da seguranca da informacao baseia-se
nessas normas ISO/IEC, especialmente na ISO/IEC 27002. Souto, Silva e Lima (2006)
apresentam um estudo da norma e propoem maneiras de se aplica-la no ambiente empre-
sarial. Entretanto o foco e bastante direcionado para os aspectos tecnicos. Mota (2006)
faz um trabalho similar dando enfase apenas a parte de seguranca fısica. Varios outros
trabalhos seguem essa linha, sugerindo adaptar os procedimentos e modelos da norma
para simplificar a tarefa de desenvolver um sistema de seguranca (HOLT, 2006; SALEH;
ALRABIAH; BAKRY, 2007; BERGHEL, 2007).
Alem disso, varios orgaos, do Brasil e exterior, publicam documentos com recomenda-
coes para a gestao da seguranca da informacao. O Tribunal da Contas da Uniao (TCU)
disponibiliza em seu site manual com boas praticas (TCU, 2007), relacionando acordaos e
decisoes do Tribunal sobre seguranca de tecnologia da informacao. O National Institute
of Standards and Technology (NIST), orgao de tecnologia do governo americano, mantem
publicacao que agrega um conjunto de informacoes relacionadas a seguranca (NIST, 1995),
inclusive contemplando conceitos de trilhas de auditoria. Entretanto, a auditoria nesse
contexto e focada no sentido de atividade forense - de perıcia, investigacao e elaboracao
de prova legal, diferentemente do objetivo das auditorias realizadas pela CGU, que e de
assessoramento ao gestor publico.
Existem tambem na literatura, algumas normas e guias que tratam da gestao de
tecnologia da informacao de forma ampla. Apesar de nao serem especıficos quanto a
questao da seguranca, trazem recomendacoes de que e necessario proteger a integridade
das informacoes das organizacoes. E o caso do Cobit -Control Objectives for Information
and related Technology, editado pelo ISACA - Information Systems Audit and Control
Foundation (ISACA, 2007); do ITIL - Information Technology Infrastructure Library, sob
custodia da OGC (Office for Government Commerce) da Inglaterra (OGC, 2007); e tambem
do Guidance on Monitoring Internal Control Systems, publicado pelo COSO - Committee
of Sponsoring Organizations of the Treadway Commission (COSO, 2007).
3.4 Resumo 20
Por fim, o Governo Federal tambem possui regulamentos proprios que versam sobre
seguranca da informacao. O mais importante deles e o Decreto 3.505/2000 que instituiu
a Polıtica de Seguranca da Informacao nos orgaos e entidades da Administracao Publica
Federal (BRASIL, 2000). Corresponde a definicao de seguranca da informacao, primeiro
passo para que o assunto fosse colocado em pauta e posto em discussao. Outras normas
a seguiram, como a Medida Provisoria nº 2.200-2/2001 que instituiu a Infra-Estrutura de
Chaves Publicas Brasileira - ICP-Brasil e o Decreto nº 4.553/2002 que dispoe sobre a sal-
vaguarda de dados, informacoes, documentos e materiais sigilosos, entre outras (BRASIL,
2001b; BRASIL, 2002). Recentemente o Gabinete de Seguranca Institucional da Presi-
dencia da Republica editou a IN GSI nº 1/2008 disciplinando a Gestao da Seguranca da
Informacao e Comunicacoes na APF (BRASIL, 2008).
3.4 Resumo
Este capıtulo descreveu os conceitos basicos que serao utilizados no decorrer desta
monografia: o conceito de controle e a especificacao de controle interno, a organizacao do
Sistema de Controle Interno do Poder Executivo Federal e suas atribuicoes constitucionais;
os conceitos de informacao e de seguranca da informacao; um panorama do grau de
implementacao de controle de seguranca da informacao nos orgaos da Administracao
Publica Federal. Alem disso, o capıtulo ainda apresentou alguns trabalhos correlatos que
tratam de controle interno e normas de seguranca da informacao.
O proximo capıtulo descreve detalhadamente o processo de auditoria executado pelos
orgaos de controle. Entender esse processo e importante para se identificar as oportunida-
des de aplicacao da norma de seguranca da informacao como forma de complementa-lo.
21
4 Auditoria Governamental no Sistema deControle Interno
A auditoria e tecnica recomendada para verificacao de controles internos (CFC, 2003).
Atraves dela os orgaos de controle avaliam e monitoram a qualidade/efetividade dos me-
canismos e medidas adotados pelos orgaos que compoem o Sistema de Controle Interno
de modo a aperfeicoar a gestao publica. Essa avaliacao e monitoramento se materializam
por meio de auditorias que sao planejadas e organizadas atraves das acoes de controle.
Este capıtulo e baseado no Manual do Sistema de Controle Interno do Poder Executivo
Federal (BRASIL, 2001a) que detalha o processo de planejamento das acoes de controle,
suas formas e tecnicas de execucao.
O capıtulo esta dividido da seguinte maneira: A secao 4.1 apresenta o conceito de acao
de controle; A secao 4.2 detalha o seu processo de planejamento; A secao 4.3 introduz as
tecnicas utilizadas na execucao das acoes de controle.
4.1 Acoes de Controle
A atuacao da CGU esta baseada na execucao de acoes de controle. Por meio dessas
acoes a CGU, como orgao central do Sistema de Controle Interno, exerce o controle sobre
a atuacao dos orgaos do Poder Executivo Federal (BRASIL, 2001a).
Basicamente a atuacao de cada orgao de governo se concentra na execucao das polıti-
cas publicas que estao sob sua responsabilidade. De forma simplificada o ciclo das polıticas
publicas se inicia pela aprovacao do Orcamento da Uniao o qual, por sua vez, apresenta
os recursos organizados segundo a classificacao orcamentaria em Programas, que serao
divididos em Acoes. Para as situacoes em que nao existam classificacoes orcamentarias
especıficas, utiliza-se o artifıcio de criar a figura das programacoes, analogas aos progra-
mas, e que, tambem de forma analoga as Acoes, sao divididas em Modulos-Tipo. Essa
classificacao e importante, pois define a unidade sobre a qual se executa os procedimentos
4.1 Acoes de Controle 22
de controle.
Nesse contexto, as acoes de controle visam verificar os controles implementados pelos
orgaos que suportam a gestao de seus Programas e Acoes. Possibilita tambem que o orgao
central monitore a evolucao da gestao publica e identifique oportunidades de melhoria e
recomende as modificacoes necessarias.
Toda acao de controle possui dois momentos distintos: o planejamento e a execucao.
A figura 2 ilustra os momentos de uma acao de controle e a correspondente sequencia de
etapas.
Figura 2: Etapas de uma acao de controle
Conforme demonstrado na figura 2, cada etapa se insere em um momento definido
(planejamento ou execucao) e apresenta um produto correspondente que servira como
insumo para a etapa posterior. Convem destacar que as etapas de Identificar Pontos
Crıticos e Elaborar Plano Operacional sao executadas para cada Acao priorizada pela
4.2 Planejamento das Acoes de Controle 23
atividade de hieraquizacao.
O processo de uma acao de controle nao e apresentado dessa forma nos normativos,
restringindo-se apenas a descricao textual esparsa das etapas e de alguns dos produtos
gerados. Entretanto, para favorecer a compreensao de como se processa uma acao de
controle, que e essencial para os propositos desta pesquisa, organizou-se o processo da
acao de controle no diagrama da figura 2 que evidencia o fluxo de etapas e sua associacao
com os produtos gerados. As proximas secoes detalharao todas as etapas da acao de
controle com a caracterizacao dos produtos desenvolvidos em cada uma delas.
4.2 Planejamento das Acoes de Controle
O planejamento das acoes de controle tem o objetivo de favorecer o estudo das Acoes
de cada Ministerio, a percepcao das principais areas de atuacao e pauta polıtica especıfica,
a compreensao sobre o funcionamento dos Programas e respectivas Acoes ou equivalentes,
bem como avaliar as unidades responsaveis pelas diferentes etapas do processo gerencial de
implementacao das Polıticas Publicas. A partir desse conjunto de informacoes e possıvel
tracar a estrategia mais adequada para avaliar os controles internos e sua efetividade no
alcance dos objetivos estipulados para os orgaos.
O planejamento das acoes de controle deve observar os procedimentos e sequencia
abaixo:
1. Mapear as polıticas publicas afetas a cada ministerio ou orgao equivalente, com
identificacao dos macro-objetivos, dos recursos previstos, dos agentes responsaveis
e interfaces, de modo a evidenciar a importancia estrategica, de cada uma delas,
inclusive em relacao ao projeto global de governo;
2. Hieraquizar programas/programacoes governamentais, baseado em criterios polı-
ticos e estrategicos definidos, bem como riscos baseados em materialidade, relevancia
e criticidade. Na conformacao atual da classificacao orcamentaria, esse exercıcio de
hierarquizacao se faz em nıvel de Programa por ser esse o que apresenta, em geral,
a definicao consistente de limites e abrangencia;
3. Mapear as Acoes que se vinculam aos Programas hierarquizados na etapa anterior;
4. Hierarquizar Acoes de cada Programa, segundo criterios definidos com bases
estrategicas;
4.2 Planejamento das Acoes de Controle 24
5. Detalhar as Acoes priorizadas elaborando o Relatorio de Situacao dessas Acoes
com as informacoes pertinentes a sua execucao;
6. Para cada Acao selecionada identificar os pontos crıticos e frageis capazes de
impactar a execucao e a definicao da abordagem de controle a ser adotada; e
7. Elaborar o Plano Operacional de cada divisao de trabalho definida na aborda-
gem da Acao, com identificacao das acoes de controle a serem realizadas, definicao
de instrumentos e do perıodo de realizacao dos trabalhos.
As secoes seguintes detalham as etapas mais relevantes do processo de planejamento
das acoes de controle.
4.2.1 Hierarquizar Programas
A hierarquizacao trata de classificar os Programas/Programacoes, segundo a per-
cepcao do controle, em Essenciais, Relevantes e Coadjuvantes. A percepcao do con-
trole resulta da aplicacao de criterios de importancia polıtico-estrategica aos Progra-
mas/Programacoes sob responsabilidade do Orgao, sendo ainda consideradas as variaveis
de materialidade e criticidade.
Devido as suas proprias caracterısticas, os Programas/Programacoes de classificacao
Essencial sao em geral objeto de controle sistematico, com a mais elevada concentracao
de atencao por parte do Controle. Embora sempre presente, face as limitacoes de recursos
e menores taxas de impacto e/ou risco, as acoes do Controle serao menos intensas nos
Programas/Programacoes governamentais classificadas como Relevantes e Coadjuvantes.
O Controle Sistematico tem como premissa a existencia de um processo detalhado
de planejamento como base para deflagracao das acoes de controle. O planejamento ado-
tado pressupoe obrigatoriamente o conhecimento amplo do problema, a definicao de uma
estrategia de atuacao focada nos pontos crıticos do processo de execucao e o estabeleci-
mento de cronologias, formas e instrumentos de atuacao capazes de garantir um padrao
de cobertura e seguranca compatıveis com as caracterısticas e especificidades do objeto
controlado.
O Controle Assistematico trata das excepcionalidades, caracterizadas como ques-
toes pontuais e agudas, tıpicas de denuncias ou solicitacoes de autoridades, ou aspectos
que, por qualquer razao, o Sistema de Controle Interno entenda necessario averiguar, ou,
4.2 Planejamento das Acoes de Controle 25
ainda, cuja complexidade ou risco justifique um planejamento mais simplificado. Nesses
casos, dispensa-se o planejamento completo para a deflagracao de acoes de controle.
Atraves de um conjunto de criterios que incluem fatores de natureza polıtica, estra-
tegica, economico-financeira, de complexidade da execucao, da maior ou menor fragili-
dade dos orgaos responsaveis, a fase de hierarquizacao pretende selecionar os Progra-
mas/Programacoes que farao parte do processo sistematico de controle, de acordo com a
capacidade operacional existente para planejamento e execucao das acoes de controle.
4.2.2 Detalhar Acoes
O detalhamento das Acoes deve ser documentado por meio de Relatorio de Situacao
que apresenta uma descricao sumaria do objeto de interesse e informes sobre o exercıcio
anterior e o exercıcio atual. Os elementos de informacao apresentados no Relatorio ofere-
cem as condicoes para definir a estrategia de atuacao e, a partir dela, estabelecer as acoes
de controle que serao desenvolvidas.
O Relatorio de Situacao apresenta informacoes extraıdas em sua maior parte das Leis
de Orcamento Anual, de Diretrizes Orcamentarias, do Plano Plurianual de Investimento
e dos sistemas estruturadores do governo.
4.2.3 Identificar pontos crıticos
Os principais pontos crıticos das Acoes governamentais sob enfoque sao registrados
no Plano Estrategico que deve ser elaborado a partir do conhecimento detalhado da Acao.
Pontos crıticos sao os pontos cruciais da trajetoria de desenvolvimento da Acao,
indispensaveis e essenciais a viabilizacao das atividades e objetivos colimados. Na iden-
tificacao dos pontos crıticos, deve-se trabalhar com o fluxo de processos, os agentes e as
interacoes entre eles. Os pontos crıticos nao sao necessariamente fragilidades no processo
de execucao da Acao. Caso apresentem fragilidades, essas devem ser observadas como
impacto negativo sobre o processo. Identificar os pontos crıticos e desenvolver hipoteses
sobre as suas possıveis fragilidades e riscos de ocorrencia sao atividades cruciais para a
definicao e o planejamento das acoes de controle.
O Plano Estrategico busca definir o que se considera ser a melhor opcao entre as varias
possibilidades diferentes de se controlar a Acao. Assim, devem-se identificar as particoes
em que se dividiu a estrategia de atuacao da Acao para facilitar o seu controle, e, se for
4.3 Execucao das Acoes de Controle 26
o caso, de que forma elas serao ou nao abordadas nesta fase dos trabalhos. Tais divisoes
podem corresponder a regioes geograficas, areas tematicas, fases do processo gerencial
de implementacao da acao, ou qualquer outra que seja considerada conveniente. Cada
divisao estabelecida gera um unico Plano Operacional especıfico a ser detalhado.
4.2.4 Elaborar Plano Operacional
O Plano Operacional e elaborado para cada divisao definida na abordagem do Plano
Estrategico de cada Acao, ocasiao em que sao identificadas as etapas, os produtos e
os clientes relacionados as mesmas. Tambem sao identificados os pontos de controle
mais adequados, as acoes de controle a serem desenvolvidas com vistas a efetivar os
procedimentos definidos, com a determinacao das tecnicas de controle adequadas para
realizacao dos exames, bem como o perıodo de realizacao das mesmas.
Ponto de controle e o item, area ou atividade sobre o qual e exercida a acao de
controle.
O resultado esperado das acoes de controle consiste no registro dos pontos de controle
eleitos e na especificacao da avaliacao que sera executada sobre eles. Podem existir varias
acoes de controle destinadas a avaliar um unico ponto de controle. Esse aspecto pode ser
considerado como elemento chave, destinando-se a agregar as informacoes de forma mais
estrategica.
O detalhamento das acoes de controle esclarece exatamente o que sera feito, que
instrumentos serao utilizados e, cabendo, da uma indicacao sobre alguma particularidade
que deva ser observada no desencadeamento das acoes.
4.3 Execucao das Acoes de Controle
As atividades a cargo do Sistema de Controle Interno do Poder Executivo Federal sao
exercidas mediante a utilizacao de tecnicas proprias de trabalho, as quais se constituem
no conjunto de processos que viabilizam o alcance dos macro-objetivos do Sistema. As
tecnicas de controle sao as seguintes:
1. auditoria; e
2. fiscalizacao
4.3 Execucao das Acoes de Controle 27
4.3.1 Auditoria
A auditoria e o conjunto de tecnicas que visa avaliar a gestao publica, pelos processos
e resultados gerenciais, e a aplicacao de recursos publicos por entidades de direito publico
e privado, mediante a confrontacao entre uma situacao encontrada com um determinado
criterio tecnico, operacional ou legal. Trata-se de uma importante tecnica de controle do
Estado na busca da melhor alocacao de seus recursos, nao so atuando para corrigir os
desperdıcios, a improbidade, a negligencia e a omissao e, principalmente, antecipando-se
a essas ocorrencias, buscando garantir os resultados pretendidos, minimizar os impactos
negativos e maximizar os benefıcios sociais.
A auditoria tem por objetivo primordial o de garantir resultados operacionais na
gerencia da coisa publica. Essa auditoria e exercida nos meandros da maquina publica
em todas as unidades e entidades publicas federais, observando os aspectos relevantes
relacionados a avaliacao dos programas de governo e da gestao publica.
A finalidade basica da auditoria e comprovar a legalidade e legitimidade dos atos e
fatos administrativos e avaliar os resultados alcancados, quanto aos aspectos de eficiencia,
eficacia e economicidade da gestao orcamentaria, financeira, patrimonial, operacional,
contabil e finalıstica das unidades e das entidades da Administracao Publica, em todas as
suas esferas de governo e nıveis de poder, bem como a aplicacao de recursos publicos por
entidades de direito privado, quando legalmente autorizadas nesse sentido.
4.3.1.1 Classificacao
As auditorias realizadas no ambito do Sistema de Controle Interno podem ser classi-
ficadas nos seguintes grupos:
� Auditoria de Avaliacao da Gestao: objetiva emitir opiniao com vistas a certifi-
car a regularidade das contas, verificar a execucao de contratos, acordos, convenios
ou ajustes, a probidade na aplicacao dos dinheiros publicos e na guarda ou admi-
nistracao de valores e outros bens da Uniao ou a ela confiados;
� Auditoria de Acompanhamento da Gestao: realizada ao longo dos processos
de gestao, com o objetivo de se atuar em tempo real sobre os atos efetivos e os efeitos
potenciais positivos e negativos de uma unidade ou entidade federal, evidenciando
melhorias e economias existentes no processo ou prevenindo gargalos ao desempenho
da sua missao institucional;
4.3 Execucao das Acoes de Controle 28
� Auditoria Contabil: compreende o exame dos registros e documentos e na co-
leta de informacoes e confirmacoes, mediante procedimentos especıficos, pertinentes
ao controle do patrimonio de uma unidade, entidade ou projeto. Objetiva obter
elementos comprobatorios suficientes que permitam opinar se os registros contabeis
foram efetuados de acordo com os princıpios fundamentais de contabilidade;
� Auditoria Operacional: consiste em avaliar as acoes gerenciais e os procedimen-
tos relacionados ao processo operacional, com a finalidade de emitir uma opiniao
sobre a gestao quanto aos aspectos da eficiencia, eficacia e economicidade. Este
tipo de procedimento auditorial, consiste numa atividade de assessoramento ao ges-
tor publico, com vistas a aprimorar as praticas dos atos e fatos administrativos,
procurando auxiliar a administracao na gerencia e nos resultados por meio de reco-
mendacoes que visem aprimorar os procedimentos, melhorar os controles e aumentar
a responsabilidade gerencial.
� Auditoria Especial: objetiva o exame de fatos ou situacoes consideradas relevan-
tes, de natureza incomum ou extraordinaria, sendo realizadas para atender deter-
minacao expressa de autoridade competente. Classificam-se nesse tipo os demais
trabalhos auditoriais nao inseridos em outras classes de atividades.
4.3.1.2 Formas de Execucao
1. Direta - trata-se das atividades de auditoria executadas diretamente por servido-
res em exercıcio nos orgaos e unidades do Sistema de Controle Interno do Poder
Executivo Federal
2. Indireta - trata-se das atividades de auditoria executadas com a participacao de
servidores nao lotados nos orgaos e unidades do Sistema de Controle Interno do
Poder Executivo Federal, que desempenham atividades de auditoria em quaisquer
instituicoes da Administracao Publica Federal ou entidade privada
3. Simplificada - trata-se das atividades de auditoria realizadas, por servidores em
exercıcio nos Orgaos Central, setoriais, unidades regionais ou setoriais do Sistema de
Controle Interno do Poder Executivo Federal, sobre informacoes obtidas por meio
de exame de processos e por meio eletronico, especıfico das unidades ou entidades
federais, cujo custo-benefıcio nao justifica o deslocamento de uma equipe para o
orgao.
4.3 Execucao das Acoes de Controle 29
4.3.1.3 Procedimentos e tecnicas
Os Procedimentos e as Tecnicas de Auditoria constituem-se em investigacoes tecnicas
que, tomadas em conjunto, permitem a formacao fundamentada da opiniao por parte do
Sistema de Controle Interno do Poder Executivo Federal.
Procedimento de auditoria e o conjunto de verificacoes e averiguacoes previstas
num programa de auditoria, que permite obter evidencias ou provas suficientes e adequa-
das para analisar as informacoes necessarias a formulacao e fundamentacao da opiniao
por parte do Sistema de Controle Interno do Poder Executivo Federal. Trata-se ainda,
do mandamento operacional efetivo, sao as acoes necessarias para atingir os objetivos nas
normas auditoriais. Tambem chamado de comando, o Procedimento representa a essencia
do ato de auditar, definindo o ponto de controle sobre o qual se deve atuar e como deve
ser o exame. O exame abrange testes de observancia e testes substantivos:
1. Testes de observancia: visam a obtencao de razoavel seguranca de que os pro-
cedimentos de controle interno estabelecidos pela Administracao estao em efetivo
funcionamento e cumprimento.
2. Testes substantivos: visam a obtencao de evidencias quanto a suficiencia, exati-
dao e validacao dos dados produzidos pelos sistemas contabil e administrativos da
entidade, dividindo-se em testes de transacoes e saldos e procedimentos de revisao
analıtica.
Tecnica de Auditoria e o conjunto de processos e ferramentas operacionais de que se
serve o controle para a obtencao de evidencias, as quais devem ser suficientes, adequadas,
relevantes e uteis para conclusao dos trabalhos.
E necessario observar a finalidade especıfica de cada tecnica auditorial, com vistas
a evitar a aplicacao de tecnicas inadequadas, a execucao de exames desnecessarios e o
desperdıcio de recursos humanos e tempo. Existe um grande numero de tecnicas de
auditoria que podem ser aplicadas. Para citar algumas: Analise Documental, Conferencia
de Calculos, Inspecao Fısica entre outros.
4.3.2 Fiscalizacao
A fiscalizacao e uma tecnica de controle que visa a comprovar se o objeto dos progra-
mas de governo existe, corresponde as especificacoes estabelecidas, atende as necessidades
4.4 Resumo 30
para as quais foi definido e guarda coerencia com as condicoes e caracterısticas pretendidas
e se os mecanismos de controle administrativo sao eficientes.
O ato de fiscalizar e a aplicacao do conjunto de procedimentos que permitam o exame
dos atos da Administracao Publica, visando avaliar a execucao de polıticas publicas,
atuando sobre os resultados efetivos dos programas do Governo Federal.
A finalidade basica da fiscalizacao e avaliar a execucao dos programas de governo
elencados ou nao nos orcamentos da Uniao e no Plano Plurianual.
Os procedimentos, tecnicas e as formas de execucao empregadas na fiscalizacao se
assemelham aquelas aplicadas para a auditoria. A diferenca substancial entre auditoria
e fiscalizacao se concentra na questao do objetivo. Enquanto a auditoria se concentra no
exame dos controles e no aperfeicoamento da gestao, a fiscalizacao se incumbe de verificar
os produtos gerados quando da execucao das polıticas publicas.
4.4 Resumo
Este capıtulo apresentou como se processam as auditorias governamentais no Sistema
de Controle Interno. A auditoria representa tecnica de controle utilizada na etapa de
execucao do processo mais amplo de acao de controle. Os orgaos de controle organizam
suas atividades em torno dessas acoes de controle que apresentam momentos distintos de
planejamento e execucao.
O proximo capıtulo apresenta a norma NBR ISO/IEC 27002 que sugere um con-
junto de controles para serem implementados visando obter seguranca da informacao nas
instituicoes.
31
5 A norma NBR ISO/IEC 27002
A norma NBR ISO/IEC 27002 faz parte da serie de normas NBR ISO/IEC 27000, que
trata de padroes para a area de seguranca da informacao. Em especial, a NBR ISO/IEC
27002 apresenta um codigo de pratica para a gestao da seguranca da informacao.
Segundo a norma, a seguranca da informacao e obtida a partir da implementacao
de um conjunto de controles adequados, incluindo polıticas, processos, procedimentos,
estruturas organizacionais e funcoes de software e hardware. Estes controles precisam ser
estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde
necessario, para garantir que os objetivos do negocio e de seguranca da organizacao sejam
atendidos. Convem que isto seja feito em conjunto com outros processos de gestao do
negocio (ANBT, 2007).
Dessa forma, a norma apresenta um conjunto de controles que pode ser implementado
para se atender aos requisitos de seguranca da organizacao. Em geral, esses requisitos
devem ser levantados em uma etapa previa por meio de tecnicas como a analise e avaliacao
de riscos.
O capıtulo esta organizado da seguinte maneira: a secao 5.1 descreve como a norma foi
concebida; a secao 5.2 detalha a estrutura do documento da norma; a secao 5.3 discute a
necessidade de se levantar os requisitos de seguranca da informacao e a secao 5.4 relaciona
o conjunto de controles da norma.
5.1 Historico
Em 1987 o Departamento de Comercio e Industria do Reino Unido (DTI) cria um
centro de seguranca de informacoes, o CCSC (Commercial Computer Security Centre)
incumbido de criar normas de Seguranca da Informacao para o Reino Unido (FONTES,
2008).
Desde 1989 varios documentos preliminares foram publicados por esse centro, ate que
5.2 Estrutura da Norma 32
em 1995 surge a BS7799 (British Standard 7799), um codigo de boas praticas em seguranca
da informacao. Esse documento foi disponibilizado em duas partes para consulta publica,
a primeira em 1995 e a segunda em 1998 (BSI, 1995; BSI, 1998).
A BS7799-1, primeira parte da norma, contem uma introducao, definicao de extensao
e condicoes principais de uso da norma. A BS7799-2, segunda parte da norma, tem por
objetivo proporcionar uma base para gerenciar a Seguranca da Informacao dos sistemas
das organizacoes.
Em dezembro de 2000, apos incorporar diversas sugestoes e alteracoes, a BS7799-1
ganha status internacional com sua publicacao na forma da ISO/IEC 17799:2000. Em
setembro de 2001, a ABNT homologa a versao brasileira da norma, denominada NBR
ISO/IEC 17799.
Em abril de 2003 uma nova versao da norma revisada e preparada e lancada em 2005.
Ainda em 2005 a ABNT publica a revisao da norma NBR ISO/IEC 17799:2005 (ABNT,
2005).
Em 2007 ocorre a renumeracao da norma para ISO/IEC 27002 sem mudanca signi-
ficativa do conteudo. A norma tambem e renumerada no Brasil e hoje vigora a NBR
ISO/IEC 27002 (ANBT, 2007).
5.2 Estrutura da Norma
A norma contem 11 secoes de controles de seguranca da informacao, que juntas to-
talizam 39 categorias principais de seguranca e uma secao introdutoria que aborda a
analise/avaliacao e o tratamento de riscos.
Cada secao contem um numero de categorias principais de seguranca da informacao.
As secoes classificam/dividem os controles em funcao da area tematica de atuacao. Cada
categoria principal de seguranca da informacao contem:
1. um objetivo de controle que define o que deve ser alcancado; e
2. um ou mais controles que podem ser aplicados para se alcancar o objetivo de con-
trole.
A descricao de cada controle na norma esta acompanhada da definicao do controle
propriamente dito, das diretrizes para sua implementacao e, quando apropriado, de infor-
macoes adicionais como, por exemplo, consideracoes legais e referencia a outras normas.
5.3 Requisitos de Seguranca da Informacao 33
5.3 Requisitos de Seguranca da Informacao
Antes da selecao de controles e de sua consequente implementacao, e essencial que a
organizacao identifique os seus requisitos de seguranca da informacao. Esses requisitos
podem ser levantados de tres fontes principais (ANBT, 2007):
1. Analise e avaliacao de riscos para a organizacao, levando-se em conta os objetivos e
as estrategias globais de negocio da organizacao.
2. Legislacao vigente, estatutos, regulamentacao e clausulas contratuais que a organiza-
cao, seus parceiros comerciais, contratados e provedores de servico tem que atender,
alem do seu ambiente sociocultural;
3. Conjunto particular de princıpios, objetivos e requisitos do negocio para o proces-
samento da informacao que uma organizacao tem que desenvolver para apoiar suas
operacoes.
Ressalte-se que a analise e avaliacao de riscos ocupa papel de destaque no processo de
levantamento dos requisitos de seguranca da informacao. Por meio dela sao identificadas
as ameacas aos ativos, suas vulnerabilidades e realizada uma estimativa da probabilidade
de ocorrencia e do impacto potencial ao negocio. Os resultados dessa analise e avaliacao,
em linha com os normativos e princıpios da organizacao, direcionam as acoes gerenciais
apropriadas e as prioridades para o gerenciamento dos riscos de seguranca da informacao,
e para a implementacao dos controles selecionados para a protecao contra estes riscos.
A analise e avaliacao de riscos deve identificar, quantificar e priorizar os riscos com
base em criterios para aceitacao dos riscos e dos objetivos relevantes para a organizacao.
Significa dizer que antes de considerar o tratamento de um risco, a organizacao deve
definir os criterios para determinar se os riscos podem ser ou nao aceitos. Um risco pode
ser aceito se, por exemplo, for avaliado que e baixo ou que o custo do tratamento e inviavel
economicamente para a organizacao.
Para cada um dos riscos identificados, seguindo a analise e avaliacao de riscos, a
organizacao deve decidir como trata-los. As opcoes possıveis para o tratamento dos riscos
inclui (ANBT, 2007):
1. Aplicar controles apropriados para reduzi-los;
5.4 Controles de Seguranca da Informacao 34
2. Conhecer e objetivamente aceita-los, sabendo que atendem claramente a polıtica da
organizacao e aos criterios para a aceitacao de risco;
3. Evita-los, nao permitindo acoes que poderiam causar a sua ocorrencia;
4. Transferi-los para outras partes como seguradoras ou fornecedores.
Para os casos em que a decisao de tratar os riscos seja a de aplicar controles apro-
priados, a norma apresenta um conjunto de controles passıveis de serem implementados
de onde pode ser realizada a selecao dos mais adequados para a reducao dos riscos levan-
tados. A depender das necessidades especıficas da organizacao, os controles podem ser
selecionados mesmo de outros conjuntos de controles.
Conclui-se, portanto, que o conjunto de controles apresentados pela norma nao sao
de adocao obrigatoria pela organizacao. O processo de analise/avaliacao de riscos e que
trara subsıdios para selecionar apenas os controles necessarios ao tratamento dos riscos
levantados e para atender os requisitos de seguranca da informacao exigidos pela organi-
zacao.
5.4 Controles de Seguranca da Informacao
Os controles sao apresentados na norma por area tematica. Essas areas representam
as secoes do documento. Abaixo estao relacionadas as secoes que compoem a norma
com a respectiva quantidade de categorias de controle, o assunto correspondente e um
exemplo de controle para cada secao. Esta tabela e uma adaptacao daquela apresentada
no trabalho de Hanashiro (2007).
Tabela 1: Categorias de controles da norma NBRISO/IEC 27002
Secao Assunto Exemplo de Controle
Polıtica de Seguranca(1)
Descreve a estrutura do docu-mento de Polıtica de Seguranca,analise crıtica e avaliacao
Documentar polıtica deseguranca da informacaoaprovado pela direcao
Seguranca Organizaci-onal (2)
Aborda a infra-estrutura de se-guranca, o controle de acesso dosprestadores de servico e o es-tabelecimento de responsabilida-des e caso de terceirizacao
Inserir em acordos com ter-ceiros clausulas que garan-tam os requisitos de segu-ranca da informacao rele-vantes
continua na proxima pagina
5.4 Controles de Seguranca da Informacao 35
Tabela 1: Categorias de controles da norma NBRISO/IEC 27002 (continuacao)
Secao Assunto Exemplo de ControleClassificacao e Con-trole de Ativos de In-formacao (2)
Detalha a contabilizacao e o re-gistro de ativos e a classificacaode informacao
Inventariar ativos impor-tantes
Seguranca de Pessoas(3)
Foca o risco decorrente de atosintencionais ou acidentais reali-zados por pessoas. Alem disso,aborda a inclusao de responsabi-lidades relativas a seguranca dainformacao na descricao de car-gos, a forma de contratacao e otreinamento em seguranca
Documentar papeis e res-ponsabilidades pela segu-ranca da informacao defuncionarios, fornecedores eterceiros de acordo com apolıtica de seguranca da in-formacao
Seguranca Fısica eAmbiental (2)
Define areas de seguranca, segu-ranca dos equipamentos e con-troles gerais
Demarcar perımetros de se-guranca para proteger areasque contenham informacoese instalacoes de processa-mento da informacao
Gerenciamento dasOperacoes (10)
Aborda procedimentos e respon-sabilidades operacionais, plane-jamento e aceitacao dos siste-mas, protecao contra softwaresmaliciosos, salvamento e recupe-racao de dados, gerenciamentode rede, seguranca e tratamentode mıdias, troca de informacoese software
Segregar funcoes e areas deresponsabilidades para re-duzir oportunidades de mo-dificacao ou uso indevidonao autorizado ou nao in-tencional dos ativos da or-ganizacao
Controle de Acesso (7) Aborda requisitos do negociopara controle de acesso, geren-ciamento de acessos de usua-rios, responsabilidade do usua-rio, controle de acesso a rede,controle de acesso ao sistemaoperacional, controle de acessoas aplicacoes, monitoracao douso e acesso aos sistemas, com-putacao movel e acesso remoto
Estabelecer e documentarpolıtica de controle deacesso
Desenvolvimentoe Manutencao deSistemas (6)
Aborda requisitos de segurancade sistemas, seguranca de siste-mas de aplicacao, controles decriptografia, seguranca de arqui-vos do sistema.
Restringir acesso ao codigo-fonte de programa
continua na proxima pagina
5.5 Resumo 36
Tabela 1: Categorias de controles da norma NBRISO/IEC 27002 (continuacao)
Secao Assunto Exemplo de ControleGestao de Incidentesde Seguranca (2)
Aborda a notificacao de fragili-dades e eventos de seguranca dainformacao e a gestao de inciden-tes de seguranca da informacao emelhorias.
Relatar os eventos de segu-ranca da informacao atra-ves dos canais apropriados omais rapidamente possıvel
Gestao de Continui-dade do Negocio (1)
Aborda processo de gestao, con-tinuidade de negocio e analisede impacto, documentacao e im-plementacao do plano de conti-nuidade, estrutura do plano decontinuidade dos negocios, tes-tes, manutencao e reavaliacaodos planos de continuidade.
Desenvolver planos para amanutencao ou recuperacaodas operacoes apos a ocor-rencia de interrupcoes ou fa-lhas dos processos crıticosdo negocio
Conformidade (3) Aborda a necessidade de con-formidade com requisitos legais,analise crıtica da polıtica de se-guranca e da conformidade tec-nica, consideracoes quanto a au-ditoria de sistemas.
Verificar periodicamente ossistemas de informacao emsua conformidade com asnormas de seguranca da in-formacao implementadas
5.5 Resumo
Este capıtulo apresentou a norma NBR ISO/IEC 27002. Essa norma descreve um
conjunto de controles para serem implementados visando obter seguranca da informacao
nas instituicoes.
O proximo capıtulo apresenta proposta de cenario para incorporacao da norma NBR
ISO/IEC 27002 ao processo de auditoria governamental utilizado pelo Sistema de Controle
Interno.
37
6 Cenario de aplicacao da norma NBRISO/IEC 27002
A proposta desta pesquisa e apresentar cenario de insercao da norma NBR ISO/IEC
27002 nos processos de auditoria executados pelos orgaos de controle. A norma pode
aperfeicoar as atividades de verificacao que esses processos embutem com a visao de
robustecer a integridade das instituicoes auditadas e por consequencia contribuir para a
governanca no setor publico. Nesse cenario, os orgaos de controle podem colaborar como
indutores do processo de conscientizacao dos demais orgaos acerca da importancia da
seguranca da informacao para seus objetivos de negocio e/ou missao.
O capıtulo esta organizado da seguinte maneira: a secao 6.1 apresenta o cenario
proposto como principal produto desta pesquisa; a secao 6.2 demonstra como a norma
pode complementar os procedimentos de auditoria ja existentes; a secao 6.3 apresenta um
exemplo de utilizacao do cenario em um caso real; por fim, a secao 6.4 apresenta o resumo
do capıtulo.
6.1 Cenario
O cenario proposto neste capıtulo consiste em identificar no processo regular de audito-
ria governamental oportunidades para insercao dos conceitos de seguranca, especialmente
os controles da norma NBR ISO/IEC 27002. Para tanto, convem relembrar o processo
de uma acao de controle detalhado no capıtulo 4. Para privilegiar a didatica, as etapas
foram reunidas em tres grupos:
1. Levantar informacoes sobre as polıticas publicas de Governo - Visa subsidiar
estudo dos programas e acoes implementados pela Administracao Publica Federal
com o intuito de se priorizar aquelas que serao objeto de verificacao. Abrange as
etapas de i) Mapear Polıticas Publicas; ii) Hieraquizar Programas; iii) Mapear Acoes
e iv) Hieraquizar Acoes
6.1 Cenario 38
2. Planejar as acoes de verificacao - Representa o conjunto de etapas respon-
savel pela definicao da estrategia de verificacao dos programas e acoes seleciona-
dos/priorizados nas etapas anteriores. As seguintes etapas fazem parte desse grupo:
i) Identificar Pontos Crıticos e ii) Elaborar Plano Operacional
3. Executar as verificacoes - Significa selecionar a tecnica de controle mais ade-
quada, auditoria ou fiscalizacao, para os propositos previstos no planejamento da
acao de controle e executar os trabalhos de verificacao propriamente ditos.
Importa salientar que os documentos gerados durante o planejamento - Relatorio de
Situacao, o Plano Estrategico e o(s) Planos Operacional(is) tratam, na ordem, de descrever
sumariamente o objeto de interesse, identificar os pontos crıticos da Acao governamen-
tal enfocada e os seus pontos de controle mais adequados para verificacao. Destaque-se
que um Plano Operacional deve ser elaborado para cada divisao definida na abordagem
do Plano Estrategico de cada Acao e devera consignar os procedimentos definidos para
verificacao e as tecnicas de controle adequadas para realizacao dos exames.
O Plano Operacional sistematiza o trabalho do auditor vez que seleciona os controles
e apresenta o roteiro de como devem ser examinados. Como ja relatado nos capıtulos an-
teriores, a norma NBR ISO/IEC 27002 apresenta conteudo estruturado de forma similar:
objetivos de controle, os controles propriamente ditos e as diretrizes para sua implemen-
tacao. Por essa razao, a norma tem a sua maior utilidade exatamente para subsidiar
a elaboracao dos Planos Operacionais das acoes de controle. Os controles apresentados
na norma e as diretrizes de implementacao podem compor, sem grandes adaptacoes, os
Planos Operacionais.
Entretanto, outras partes da norma tambem podem apoiar o processo de acao de
controle. A figura 3 apresenta o cenario proposto de aplicacao da norma ao processo de
acao de controle.
O diagrama da figura 3 apresenta quatro oportunidades de utilizacao da norma no
processo de acao de controle. Sao elas:
� Nas etapas de hierarquizacao (1 e 2 na figura 3) - Os capıtulos introdu-
torios da norma apresentam conceitos relacionados a seguranca da informacao e
da necessidade da avaliacao de riscos para escolha adequada dos controles a serem
implementados. A avaliacao de riscos e o sumario de controles da norma podem
complementar os criterios de priorizacao utilizados nessa etapa da acao de controle
inserindo o vies da seguranca.
6.1 Cenario 39
Figura 3: Cenario de utilizacao da norma NBR ISO/IEC 27002 nas acoes de controle
� Na etapa de identificacao dos pontos crıticos (3 na figura 3) - De novo a
avaliacao de riscos preconizada pela norma e a relacao de controles mais utilizados
ajudam na identificacao dos pontos mais importantes para determinada Acao de
governo.
� Na etapa de elaboracao do Plano Operacional (4 na figura 3) - A maior
contribuicao que a norma pode dar ao processo ocorre nessa etapa. E nesse momento
que os pontos de controle sao selecionados para verificacao e e definida a forma de
avaliacao. Nesse sentido, a correspondencia com a norma e bem proxima, ja que o
conteudo principal da norma e apresentar um conjunto de controles, sua aplicacao
e diretrizes para sua implementacao. Ressalte-se que a consubstanciacao de qual
controle e de como efetivar a verificacao no Plano Operacional se da atraves de um
documento chamado Procedimento de Auditoria, apresentado tambem no capıtulo 4.
� Na etapa de execucao da acao de controle (5 na figura 3) - No momento da
execucao da acao de controle, seja por meio de auditoria ou mesmo de fiscalizacao,
6.2 Complementando os Procedimentos de Auditoria 40
o auditor deve verificar os controles definidos no planejamento (existe um proce-
dimento de auditoria adequado para cada situacao) e ao final emitir um relatorio
com as recomendacoes para o gestor do orgao auditado. As recomendacoes relacio-
nadas aos controles de seguranca da informacao podem se basear nas diretrizes de
implementacao sugeridas pela norma.
6.2 Complementando os Procedimentos de Auditoria
Os procedimentos de auditoria agregam as informacoes de quais pontos de controle
serao objetos de verificacao e de como se dara efetivamente essa verificacao. Os procedi-
mentos utilizados pelos orgaos de controle interno em seus trabalhos de auditoria estao
sistematizados em banco de dados e classificados em areas tematicas, das quais se desta-
cam (CORREIA; SPINELLI, 2007):
1. Controles da Gestao
2. Gestao Operacional
3. Gestao Financeira
4. Gestao Patrimonial
5. Gestao Contabil
6. Gestao de Suprimento de Bens e Servicos
7. Gestao de Recursos Humanos
8. Recursos Externos
Essas areas tematicas tambem podem servir de classificacao para os controles apre-
sentados pela norma NBR ISO/IEC 27002. Uma correlacao natural pode ser tracada
entre as areas tematicas e as categorias de controles da norma. Significa dizer que exis-
tem procedimentos de alguma forma relacionados aos assuntos da norma, ainda que nao
haja correspondencia total. Logo, alem dos aspectos examinados atualmente por esses
procedimentos, a seguranca da informacao tambem pode ser incluıda no escopo de avali-
acao se norma complementar os procedimentos de auditoria. Atualizar os procedimentos
ja existentes para dota-los de diretrizes que possibilitem a verificacao dos aspectos de
seguranca.
6.3 Aplicacao do cenario proposto em um caso real 41
Para esclarecer, considere a tabela 2 que compara um procedimento de auditoria e
um objetivo de controle da norma que tratam do mesmo assunto: terceirizacao.
Procedimento de auditoria Objetivo de ControleOrigem Catalogo de procedimentos Norma NBR ISO/IEC 27002Identificacao 06.02.08.0001 item 6.2.3Tıtulo Utilizacao da mao de obra contra-
tadaIdentificando seguranca da infor-macao nos acordos com terceiros
Objetivo Verificar contratos de servicos ter-ceirizados em observancia as dis-posicoes estabelecidas nos norma-tivos nacionais e dos organismosinternacionais de cooperacao tec-nica
Verificar se os acordos com tercei-ros envolvendo informacoes da or-ganizacao cobrem todos os requi-sitos de seguranca da informacaorelevantes
Operacionalizacao O exame recai sobre os aspectoslegais das licitacoes e dos contra-tos decorrentes, da execucao dosservicos em conformidade com ocontratado, do ateste de execucaodesses servicos e do pagamento se-gundo as exigencias legais
Incluir nos acordos todos os ris-cos identificados e os requisitos deseguranca da informacao. Cui-dar para que nao haja desconti-nuidade na prestacao dos servi-cos e controlar as permissoes deacesso as informacoes da organi-zacao por terceiros
Tabela 2: Comparativo entre um procedimento de auditoria e um objetivo de controle danorma NBR ISO/IEC 27002
Percebe-se que no caso apresentado pela tabela, existe uma complementaridade entre
o Procedimento de Auditoria e o Objetivo de Controle da norma. Enquanto o primeiro
se concentra na verificacao dos aspectos legais dos contratos com terceiros, o segundo
realca as necessidades de seguranca desses mesmos contratos. Logo, atualizar o procedi-
mento de auditoria com as recomendacoes da norma representa um grande avanco para
as verificacoes de controles sob a otica da seguranca. Sempre que um auditor utilizar esse
procedimento atualizado para verificar contratos de terceirizacao, alem de examinar os
criterios legais e de efetiva execucao tambem estara analisando os aspectos de seguranca
inerentes ao proprio contrato. Dessa forma se estabelece a conformidade entre o proce-
dimento de auditoria e a norma e, por consequencia, amplia-se o escopo das auditorias
executadas atualmente.
6.3 Aplicacao do cenario proposto em um caso real
Tome-se o exemplo de auditoria operacional na gestao patrimonial de determinado
orgao do Poder Executivo Federal.
6.3 Aplicacao do cenario proposto em um caso real 42
Frequentemente os orgaos de controle executam auditorias operacionais nos orgaos ju-
risdicionados (ver secao 4.3.1.1). Essas auditorias verificam os controles internos adotados
para fundamentar a opiniao do Sistema de Controle Interno sobre a gestao governamental
sob os aspectos de eficiencia, eficacia e economicidade.
Como explanado no capıtulo anterior, o processo se inicia pelo planejamento da Acao
de Controle correspondente. De acordo com o cenario proposto na secao 6.1, a primeira
modificacao nesse processo ocorre na etapa de hierarquizacao. No exemplo em estudo,
os capıtulos 3 e 4 da norma, que tratam respectivamente do sumario de controles e da
analise, avaliacao e tratamento de riscos, podem auxiliar no processo de priorizacao dos
Programas e Acoes. Por meio desses insumos e possıvel acrescentar aos criterios de selecao
Programas e Acoes sensıveis a protecao de informacoes.
O processo segue seu rito tradicional ate a etapa de elaboracao do Plano Operacional.
A segunda modificacao proposta pelo cenario sugere a utilizacao da norma para orientar a
escolha dos pontos de controle a serem verificados. Todos os objetivos de controle podem
ser utilizados para subsidiar essa escolha, o que dependera da meta de verificacao da
auditoria em curso. No exemplo abordado nesta secao, o da gestao patrimonial, a secao 7
da norma denominada Gestao de Ativos e aquela que pode mais contribuir. Dessa forma,
a auditoria pode ser ampliada para estar conforme as praticas de seguranca da informacao,
de acordo com a norma.
Abaixo estao relacionados os procedimentos recomendados tanto pelo Manual do Con-
trole Interno (CORREIA; SPINELLI, 2007), quanto pela secao 7 da norma 27002 no que se
referem a gestao patrimonial e/ou de ativos.
Manual de Controle InternoVerificar sistemas de controle patrimonialConfirmar existencia de ativos inventariadosVerificar bens moveis e imoveisVerificar meios de transporteVerificar sistemas de telefoniaVerificar recursos de hardware e softwareVerificar registros contabeis dos bens
Tabela 3: Sıntese de procedimento de auditoria recomendado pelo Manual de ControleInterno para gestao patrimonial (CORREIA; SPINELLI, 2007)
Como explicitado pelas tabelas 3 e 4, a norma apresenta tambem o controle de in-
ventario de ativos tal como o Manual de Controle Interno. Entretanto a norma apresenta
adicionalmente a recomendacao de se registrar o proprietario dos ativos, inclusive do
ativo informacao e tambem identificar e documentar as regras para que sejam permitidos
6.4 Resumo 43
Norma 27002Identificar e inventariar todos os ativosDesignar proprietario para todas as informacoes e ativos associados com os recursosde processamento da informacaoIdentificar, documentar e implementar regras de permissao de uso de informacoes eativos associados
Tabela 4: Controles recomendados pela norma NBR ISO/IEC 27002 para gestao de ati-vos (ANBT, 2007)
o uso de informacoes e de ativos associados aos recursos de processamento da informacao.
Trata-se de uma complementacao importante para estender o escopo da acao de controle
e incluir conceitos de seguranca.
Por fim, o cenario sugere a utilizacao da norma tambem durante a fase de execucao da
acao de controle, ou seja, na auditoria propriamente dita. A norma apresenta os detalhes
de implementacao de cada controle sugerido e dessa forma pode apoiar o auditor no tra-
balho de verificacao dos controles em campo e tambem na elaboracao das recomendacoes
ao gestor. Inclusive a auditoria operacional tem mesmo o objetivo de assessorar o gestor
publico na implementacao de controles adequados para melhoria da gestao.
Para ilustrar, a tabela 5 demonstra o detalhamento do controle de Inventario de Ativos
que esta proposto na norma.
As diretrizes de implementacao apresentadas na norma constituem fundamento para
que o auditor elabore as recomendacoes ao gestor. Constitui avanco significativo que as
recomendacoes emitidas pelos orgaos de controle interno estejam alinhadas com as normas
amplamente utilizadas na area.
6.4 Resumo
Este capıtulo apresentou a proposta de cenario para insercao da norma NBR ISO/IEC
27002 no processo de acao de controle. Essa proposta baseou-se na identificacao de opor-
tunidades no processo para utilizacao de elementos da norma que contribuıssem de forma
a complementar a visao atual de auditoria com os conceitos de seguranca da informacao.
O capıtulo apresentou ainda um exemplo de aplicacao do cenario proposto em um caso
real de auditoria.
O proximo capıtulo encerra esta pesquisa apresentando as conclusoes deste trabalho
e futuras extensoes.
6.4 Resumo 44
7.1.1. Inventario dos AtivosControle Convem que todos os ativos sejam claramente identifica-
dos e um inventario de todos os ativos importantes sejaestruturado e mantido.
Diretrizes para implementa-cao
Convem que a organizacao identifique todos os ativos edocumente a importancia destes ativos. Convem que oinventario do ativo inclua todas as informacoes necessa-rias que permitam recuperar de um desastre, incluindoo tipo do ativo, formato, localizacao, informacoes sobrecopias de seguranca, informacoes sobre licencas e a im-portancia do ativo para o negocio. Convem que o inven-tario nao desnecessariamente, porem ele deve assegurarque o seu conteudo esta coerente.
Informacoes adicionais Existem varios tipos de ativos, incluindo:
� ativos de informacao: base de dados e arquivos,contratos e acordos, documentacao de sistema, in-formacoes sobre pesquisa, manuais de usuario, ma-terial de treinamento, procedimentos de suporteou operacao, planos de continuidade do negocio,procedimentos de recuperacao, trilhas de audito-ria e informacoes armazenadas;
� ativos de software: aplicativos, sistemas, ferra-mentas de desenvolvimento e utilitarios;
� ativos fısicos: equipamentos computacionais, equi-pamentos de comunicacao, mıdias removıveis e ou-tros equipamentos;
� servicos: servicos de computacao e comunicacoes,utilidades gerais, por exemplo aquecimento, ilumi-nacao, eletricidade e refrigeracao;
� pessoas e suas qualificacoes, habilidades e experi-encias;
� intangıveis, tais como a reputacao e a imagem daorganizacao.
Tabela 5: Controle de inventario de ativos proposto pela norma NBR ISO/IEC27002 (ANBT, 2007)
45
7 Conclusoes e Extensoes
7.1 Contribuicoes
Este trabalho se concentrou em apresentar uma proposta de cenario para incorporacao
de normas de seguranca da informacao, neste caso a NBR ISO/IEC 27002, ao processo
de auditoria empreendido pelo Sistema de Controle Interno Federal.
Os controles internos dos orgaos da Administracao Publica tem a funcao precıpua
de garantir a eficiencia da gestao no alcance dos objetivos da instituicao. Esse con-
ceito tem sido ampliado para abarcar tambem a necessidade de se atingir os objetivos de
forma segura, ıntegra. Significa dizer que os controles internos tambem tem incorporado
a componente seguranca da informacao no rol de requisitos indispensaveis para a boa
governanca.
Essa nova concepcao obriga a adequacao das praticas de verificacao de controles por
parte dos orgaos com essa incumbencia. O Sistema de Controle Interno deve acompanhar
essa evolucao reproduzindo-a em seus mecanismos de controle, quais sejam auditorias e
fiscalizacoes.
O cenario apresentado no capıtulo 6 associa os procedimentos utilizados pelo Sistema
de Controle Interno - compilados nesta pesquisa no capıtulo 4, ao conteudo da norma NBR
ISO/IEC 27002 que trata de seguranca da informacao, descrita no capıtulo 5. A analise
desse cenario conclui que a norma pode colaborar de forma efetiva em varios pontos do
processo, auxiliando a: priorizar os programas e acoes de governo a serem acompanhados;
identificar os pontos a serem verificados nos programas e acoes selecionados; definir a forma
de verificacao e ate fornecer arcabouco para que o auditor elabore suas recomendacoes ao
orgao auditado.
Em outras palavras, o cenario proposto demonstra a viabilidade de se integrar praticas
de verificacao de controles segundo normas de seguranca da informacao aos procedimen-
tos hoje executados pelo Sistema de Controle Interno. Alem disso, evidencia tambem a
7.2 Extensoes 46
estreita correlacao entre procedimentos existentes e aqueles propostos pela norma NBR
ISO/IEC 27002 o que permite observar que o Sistema de Controle Interno, mesmo sem
referencia explıcita a norma em estudo, executa auditorias tambem sobre controles apre-
sentados por ela.
Atraves de estudo minucioso dos processos de acoes de controle, foi possıvel identificar
as etapas onde a norma consegue agregar conhecimento de forma mais efetiva. Os controles
sugeridos pela norma podem se adequar sem maiores adaptacoes ao conjunto de controles
recomendados atualmente nas atividades de auditoria.
A auditoria representa instrumento extremamente util para diagnosticar e aperfeicoar
os atos de gestao. As recomendacoes expedidas como resultado de auditorias tem um papel
importante para o fortalecimento da governanca na Administracao Publica, sobretudo pelo
carater didatico e de orientacao ao gestor publico. Atraves delas, os gestores recebem a
retroalimentacao essencial para o processo de administracao das polıticas publicas.
Importa consignar tambem o papel do Sistema de Controle Interno como apoiador do
controle externo. Os casos crıticos de ineficiencia dos controles internos por negligencia ou
mesmo de forma intencional fazem parte de selecao que deve ser encaminhada aos orgaos
de controle externo, instancia com competencia para responsabilizar os atos de descaso no
trato do patrimonio publico. O gestor e obrigado a gerir de forma adequada os recursos
provenientes dos cofres publicos e isso inclui a necessidade de implementar controles de
igual forma adequados para garantir a boa gestao.
As principais contribuicoes deste trabalho foram:
1. Descrever o processo de auditoria empregado pelo Sistema de Controle Interno do
Governo Federal;
2. Descrever a norma NBR ISO/IEC 27002 que apresenta codigo de pratica para a
gestao da seguranca da informacao;
3. Propor cenario de aplicacao da norma NBR ISO/IEC 27002 no processo de auditoria
do Sistema de Controle Interno do Governo Federal.
7.2 Extensoes
Diversas extensoes podem ser proposta a partir desta pesquisa. Dentre elas, podemos
citar:
7.2 Extensoes 47
� Elaborar analise comparativa dos procedimentos de auditoria com os controles da
norma - Um estudo preliminar efetuado nesta pesquisa levantou a existencia de
uma base de mais de 1.500 procedimentos de auditoria da Controladoria-Geral da
Uniao. Uma extensao natural deste trabalho e comparar os controles referenciados
na base de procedimentos de auditoria com os controles relacionados na norma NBR
ISO/IEC 27002 para identificar os pontos de interseccao e complementaridade;
� Atualizar a base de procedimentos de auditoria - Consiste em atualizar os procedi-
mentos de auditoria ampliando o escopo para os controles da norma. E criar novos
procedimentos para controles que nao estejam cobertos pela base de procedimentos
atual;
� Ampliar o conjunto de normas de interesse na analise - Esta pesquisa se atem a
norma NBR ISO/IEC 27002. Existem varias outras normas que tratam de seguranca
da informacao e de frameworks de governanca. Seria util tambem incorpora-las ao
processo de analise dos sistemas de controle interno;
� Desenvolver ferramentas de auxılio a aplicacao da norma em trabalhos de auditoria
- Representa o esforco de se criar ferramentas que apoiem o auditor em seu trabalho
de verificar os controles propostos pela norma.
48
Referencias
ALBUQUERQUE, R.; RIBEIRO, B. Seguranca no Desenvolvimento de Software —Como desenvolver sistemas seguros e avaliar a seguranca de aplicacoes desenvolvidascom base na ISO 15.408. Rio de Janeiro: Editora Campus, 2002.
ALMEIDA, M. C. Auditoria — um curso moderno e completo. Sao Paulo: Atlas, 1996.
ASSOCIACAO BRASILEIRA DE NORMAS TECNICAS (ABNT). Tecnologia daInformacao - Codigo de pratica para a gestao da seguranca da informacao: NBRISO/IEC 17799:2005. Rio de Janeiro, 2005.
ASSOCIACAO BRASILEIRA DE NORMAS TECNICAS (ABNT). Tecnologia daInformacao - Codigo de pratica para a gestao da seguranca da informacao: NBRISO/IEC 27002. Rio de Janeiro, 2007.
BERGHEL, H. Better-than-nothing security practices. Communications of ACM, 2007.
BRASIL. Constituicao da Republica Federativa do Brasil. Brasil, 1988.
BRASIL. Decreto nº 3.505, de 13 de junho de 2000 : Institui a polıtica de seguranca dainformacao nos orgaos e entidades da administracao publica federal. Brasil, 2000.
BRASIL. Instrucao Normativa SFC nº 1, de 6 de abril de 2001 : Define diretrizes,princıpios, conceitos e aprova normas tecnicas para a atuacao do sistema de controleinterno do poder executivo federal. Brasil, 2001.
BRASIL. Medida Provisoria nº 2.200-2, de 24 de agosto de 2001 : Institui a infra-estrutura de chaves publicas brasileira — ICP-Brasil, transforma o Instituto Nacional deTecnologia da Informacao em autarquia, e da outras providencias. Brasil, 2001.
BRASIL. Decreto nº 4.553, de 27 de dezembro de 2002 : Dispoe sobre a salvaguardade dados, informacoes, documentos e materiais sigilosos de interesse da segurancada sociedade e do estado, no ambito da administracao publica federal, e da outrasprovidencias. Brasil, 2002.
BRASIL. Instrucao Normativa GSI nº 1, de 13 de junho de 2008 : Disciplina a gestaode seguranca da informacao e comunicacoes na administracao publica federal, direta eindireta, e da outras providencias. Brasil, 2008.
BRITISH STANDARDS INSTITUTION (BSI). Information security management. Codeof practice for information security management systems : BS 7799-1:1995. Inglaterra,1995.
BRITISH STANDARDS INSTITUTION (BSI). Information security management. Codeof practice for information security management systems : BS 7799-2:1998. Inglaterra,1998.
Referencias 49
CHIAVENATO, I. Teoria Geral da Administracao. 6ª. ed. [S.l.]: Campus, 2001.
COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAYCOMMISSION (COSO). Guidance on Monitoring Internal Control Systems (Draft).[S.l.], 2007. Disponıvel em: <http://www.coso.org>. Acesso em: janeiro de 2008.
CONSELHO FEDERAL DE CONTABILIDADE (CFC). NBC T 12 - Da AuditoriaInterna. Brasılia, 2003. Disponıvel em: <http://www.cfc.org.br/sisweb/sre/docs%-/RES 986.doc>. Acesso em: novembro de 2008.
CORREIA, C. P.; SPINELLI, M. V. C. Manual de Controle Interno: Um guia paraa implementacao e operacionalizacao de unidades de controle interno governamentais.CGU, 2007.
CROSBY, P. B. Qualidade e Investimento. 5ª. ed. Rio de Janeiro: Jose Olympio Editora,1992.
De Placido e Silva. Vocabulario Jurıdico. 27ª. ed. Rio de Janeiro: Forense, 2006.
DIAS, C. Seguranca e Auditoria da Tecnologia da Informacao. Rio de Janeiro: AxcelBooks, 2000.
FAYOL, H. Administracao Industrial e Geral. Sao Paulo: Atlas, 1994.
FELICIANO NETO, A.; FURLAN, J. D.; HIGO, W. Engenharia da Informacao —Metodologia, Tecnicas e Ferramentas. Sao Paulo: Editora McGraw-Hill, 1988.
FERREIRA, F. N. F.; ARAuJO, M. T. Polıtica de Seguranca da Informacao - GuiaPratico para Elaboracao e Implementacao. Rio de Janeiro: Editora Ciencia Moderna,2006.
FONTES, E. Praticando a Seguranca da Informacao. Rio de Janeiro: Brasport, 2008.
GIL, A. C. Metodos e tecnicas de pesquisa social. 5. ed. Sao Paulo: Atlas, 1999.
HANASHIRO, M. Metodologia para desenvolvimento de procedimentos e planejamentode auditorias de TI aplicada a Administracao Publica Federal. Dissertacao (Dissertacaode Mestrado) — Universidade de Brasılia, Brasılia, 2007.
HOLT, L. A. A year affair with security: the development of a security program andmanager. 3rd Annual Conference on information Security Curriculum Development, NewYork, 2006.
INFORMATION SYSTEMS AUDIT AND CONTROL FUNDATION (ISACA). Cobit4.1. Estados Unidos, 2007.
INTERNATIONAL ORGANIZATION OF SUPREME AUDIT INSTITUTIONS(INTOSAI). Guidelines for Internal Control Standards for the Public Sector. Belgica,2004.
IstoE Dinheiro. George, o golpista do INSS. IstoE Dinheiro, Sao Paulo, 2005. Disponıvelem: <http://www.terra.com.br/istoedinheiro/432/negocios/george inss.htm>. Acessoem: janeiro de 2008.
Referencias 50
LAUREANO, M. Redes e Seguranca — Notas de aula. Parana, 2007. Disponıvel em:<http://www.mlaureano.org/ensino/gestao-da-seguranca/>. Acesso em: novembro de2008.
MARTIN, J. Engenharia da Informacao — Introducao. Rio de Janeiro: Editora Campus,1991.
MOTA, L. G. S. Implementacao de Procedimentos de Seguranca Fısica em conformidadecom a Norma ABNT NBR ISO/IEC 17799:2005. Dissertacao (Dissertacao de Mestrado)— UPIS Faculdades Integradas, Brasılia, 2006.
NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST). AnIntroduction to Computer Security: The NIST Handbook. Estados Unidos, 1995.Disponıvel em: <http://csrc.nist.gov/publications/nistpubs/800-12/handbook.pdf>.Acesso em: janeiro de 2008.
OFFICE OF GOVERNMENT AND COMMERCE (OGC). Introduction to the ITILService Lifecycle (ITIL Version 3). Inglaterra, 2007.
PISCITELLI, R. O controle interno na administracao publica federal brasileira. ESAF,1998.
REZENDE, D. A.; ABREU, A. F. Tecnologia da Informacao Aplicada a Sistemas deInformacao Empresariais. Sao Paulo: Atlas, 2000.
SALEH, M. S.; ALRABIAH, A.; BAKRY, H. S. Using iso 17799: 2005 informationsecurity management: a stope view with six sigma approach. International Journal ofNetwork Management, 2007.
SANCHEZ, O. A. Bureaucratic power and information control. Lua Nova, 2003.
SANTOS, A. R. Metodologia Cientıfica: a Construcao do Conhecimento. [S.l.]: DP&AEditora, 2004.
SEMOLA, M. Gestao da seguranca da informacao: uma visao executiva. Rio de Janeiro:Elsevier, 2003.
SILVA, L. M. Contabilidade Governamental: um Enfoque Administrativo. Sao Paulo:Atlas, 2004.
SOUTO, C. C.; SILVA, M. A.; LIMA, W. D. Estudo e Aplicacao da Norma NBRISO/IEC 17799:2005 em Seguranca da Informacao. Dissertacao (Trabalho Final deCurso) — UNIEURO Centro Universitario, Brasılia, 2006.
SYNNATT, W. R. The Information — Weapon Winning Customers and Markets withTechnology. Estados Unidos: Editora John Wiley Sons, 1987.
TAYLOR, F. W. Princıpios de Administracao Cientıfica. Sao Paulo: Atlas, 1995.
TIPTON, H. F.; KRAUSE, M. Information Security Management Handbook. 5ª. ed.Estados Unidos: Auerbach Publications, 2005.
TRIBUNAL DE CONTAS DA UNIAO (TCU). Boas praticas em seguranca dainformacao. 2. ed. Brasılia, 2007.
Referencias 51
TRIBUNAL DE CONTAS DA UNIAO (TCU). Situacao da Governanca de Tecnologiada Informacao - TI na Administracao Publica Federal : Acordao nº 1603/2008 — TCU— plenario. Brasılia, 2008.
VIEIRA, C. O controle interno nas camaras municipais, segundo a lei de responsabilidadefiscal. BNDES, 2008. Disponıvel em: <http://www.bndes.gov.br/clientes/federativo-/bf bancos/e0001565.pdf>. Acesso em: 08/09/2008.
WADLOW, T. Seguranca de Redes. Rio de Janeiro: Editora Campus, 2000.